Minden jel arra utal, hogy ismeretlen támadók az Inc. Ransomware nevű zsarolóvírus segítségével ellopták a Védelmi Beszerzési Ügynökség Zrt. (VBÜ) anyagait a cég fájlszerveréről, majd tikosították magát a szervert, és ötmillió dollárt követelnek azért, hogy a dokumentumokat visszaadják. Bizonyítandó, hogy az anyag náluk van, 46 képernyőfotót tettek közzé. Ha nem kapják meg a pénzt, publikálják a többit is. Nemzetbiztonsági szempontból extra érzékeny anyagokról van szó, védelmi beszerzésekről, belső levelezésekről, a magyar haderő valós képességeiről.
A támadást egy negyedik vagy ötödik generációs zsarolóvírus okozhatta. Ez nagyon leegyszerűsítve úgy működik, hogy a hálózat sérülékenységét kihasználva az áldozat (jelen esetben a Védelmi Beszerzési Ügynökség) fájlszerverébe betörnek, letöltik az összes fájlt, majd az egészet titkosítják, kizárva onnan az áldozatukat. Ő többé nem fér hozzá a dokumentumokhoz, hiszen a kulcs a támadóknál van. A kiberbiztonsági fenyegetésekkel foglalkozó szakemberek határon innen és túl november 6-án már tudhatták, hogy megtámadták a VBÜ-t, az első, teaserszerű képernyőképeket a konkrét bizonyítékokról pedig november 8-án tették közzé, elvileg „motivációként”, hogy fizessen az állami cég. Ezek egyben bizonyítékul is szolgálnak arra, hogy valóban a támadóknál van a fájlszerver tartalma, amiről azt állítják, hogy ellopták.
🚨 INC Ransom Ransomware Alert 🚨
Defense Procurement Agency Private Limited Liability Company (VBÜ Zrt.) 🇭🇺
VBÜ Zrt., a defense procurement agency based in Budapest, Hungary, has fallen victim to INC RANSOM ransomware. The group claims to have access to the organization’s… pic.twitter.com/CEcv69hQdi
— FalconFeeds.io (@FalconFeedsio) November 8, 2024
A támadásra Frész Ferenc kiberbiztonsági szakértő is felhívta a figyelmet közösségimédia-oldalán.A mostani támadás a gyakorlatban azt jelentheti, hogy a Védelmi Beszerzési Ügynökség dolgozói november eleje óta semmilyen anyagukhoz nem férnek hozzá, hacsak a fájlszerverről nem volt biztonsági mentésük. Ez ismerve, hogy mivel foglalkozik a VBÜ, komoly nemzetbiztonsági kockázatot jelent. Mindezzel együtt az a kisebb probléma, hogy a VBÜ munkatársai nem férnek hozzá a dokumentumokhoz, amelyek tartalmazzák Magyarország összes védelmi, nemzetbiztonsági beszerzésének részletétt az elmúlt öt évből. A nagyobb az, hogy ha egy hekkercsoport tényleg hozzáfért, pénzt követel érte, és azzal fenyeget, hogy ha nem fizetnek, nyilvánosságra is hoz mindent.
Tényleg mindent ellophattak
A támadás súlyosságának érzékeltetésére fontos tisztázni, mi az a Védelmi Beszerzési Ügynökség Zrt. Nem egy sokadrangú kormányzati gittegyletről van szó, a szervezet a kiemelt honvédelmi beszerzéseket kezeli. A 2019 decemberében felállított, száz százalékban állami tulajdonú VBÜ célja, hogy „átláthatóbbá tegye a kormány által irányított állami szervezetek védelmi és biztonsági beszerzéseit”. Kizárólagos hatáskörébe tartozik a honvédelmi, rendvédelmi, bűnüldözési, bűnmegelőzési, büntetőeljárási, büntetés-végrehajtási, nemzetbiztonsági, határőrizeti és határforgalmi, katasztrófavédelmi, adóhatósági és vámhatósági, őrzési, védelmi, illetve önvédelmi célú haditechnikai eszközök, valamint szolgáltatások beszerzése.
A széles tevékenységi körből és a munkavállalói létszámból (97 fő) kiindulva egyértelmű, hogy a már közzétett dokumentumok csak az elenyésző töredékét teszik ki annak, ami a zsarolók birtokába került, de már ezek között is van több olyan, ami katonai és nemzetbiztonsági szempontból érzékeny. Az iratok között vannak olyan nem nyilvános anyagok, amik beszerzett honvédségi eszközök, felszerelések árát, mennyiségét tartalmazzák, és olyanok is, amik védelmiképesség-fejlesztési terveket tartalmaznak több évre előre.
Nem nyilvános döntéselőkészítő és költségvetésű tárgyú anyagok, belső levelezések, a munkatársak adatainak nyilvánosságra kerülése is jelentős biztonsági kockázatot jelentene.
Kik támadnak?
A támadás mögött álló Inc. Ransomware kiberbűnözői csoport jellemzően 2-3 hetet vár, mielőtt jelentkezik, ebből kiindulva október második felében kezdődhetett a történet. A VBÜ a honlapján egyébként október 18–22. közötti üzemzavarról írt:
„Ezúton tájékoztatjuk Önöket, hogy 2024. október 18. 07:00 óra és 2024. október 22. 14:00 óra közötti időtartamban a VBÜ Portál működése informatikai üzemzavar miatt szünetelt, a VBÜ Portál szolgáltatásai ezen időtartamban nem voltak elérhetők. Az üzemzavar a mai napon (2024. október 22-én) teljes körűen elhárításra került, a VBÜ Portál rendszer ismételten használható.”
Kiberbiztonsági szakértők szerint a csoport általában EU- és NATO-tagállamok kormányzati és kritikusinfrastruktúra-rendszerei ellen indítanak támadást, ám azt nem lehet egyértelműen megállapítani, hogy kik állhatnak mögötte.
Az ügy kapcsán kérdéseket küldtünk a Honvédelmi Minisztériumnak. Ha válaszolnak, cikkünket frissítjük.