Nemrég az amerikai kiberbiztonsági ügynökség (CISA) figyelmeztetést tett közzé, mely részletek nélkül azt jelezte, hogy hackerek bejutottak egy amerikai szövetségi ügynökségbe. Hogy pontosan mikor történt a támadás, és milyen módszereket használtak, azt nem írták le, csupán jelezték, hogy a támadók új kártevőt használtak és adatokat loptak el – írja az ArsTechnika nyomán a G Data.
Összerakták a puzzle-t
A Dragos biztonsági cég elemzője, Joe Slowik azonban összerakta a puzzle-t és egy korábbi támadás részleteivel összevetve az adatokat, arra a következtetésre jutott, hogy a támadás mögött a Fancy Bear vagy APT28-as nevű, orosz gyökerű hekkercsapat állhat. Feltevések szerint a csoport az orosz állami hatóságoknak dolgozik, és
állítólag ők szervezték a 2016-os amerikai elnöki választásokat érő támadásokat is, ahogy idén is próbálkoztak ezzel.
A közös szálat egy magyar szerver jelentette, melyet az őszi támadásban és egy korábbi, nyári, az oroszoknak tulajdonított támadásban egyaránt használtak. A másik támadásban, júliusban az FBI figyelmeztetést küldött az érintetteknek: akkor széles körben amerikai hálózatokat támadtak, többek között kormányzati szervezeteket, oktatási intézményeket, és úgy tűnik, energia szektorban tevékenykedő vállalatokat is.
A figyelmeztetésben felsorolták azokat a szervereket, melyeket a támadáshoz használtak, közöttük volt egy magyar kiszolgáló is. Az FBI figyelmeztetése esetében
legalább egy támadás, melyet erről a magyar szerverről indítottak, sikeres volt.
Webhoszting céghez tartozik
A domaintools.com adatai szerint a szóban forgó IP cím (91.219.236.166) a webhosztinggal foglalkozó ServerAstra Kft. egy ügyfeléhez tartozhat. A 2006-ban alapított cégtől bárki bérelhet IP címet is, a 2018-as évet 17 millió forintos árbevétellel zárták az Opten adatbázisa szerint.
Nem csak a magyar szál árulta el a támadás mögött lévő szervezetet: az amerikai energia hivatal tavaly adott ki egy közleményt arra vonatkozóan, hogy a APT28 amerikai kormányzati szervezetek hálózatát próbálgatta egy lett szerverről. Ez a lett szerver felbukkant a CISA figyelmeztetésében is.