Kihallgatta a Nemzeti Nyomozó Iroda a Media1 főszerkesztőjét

Épp a Media1 főszerkesztőjének az NNI-nél zajló kihallgatásának kezdetén indult újabb kibertámadás portálunk ellen, így a rendőrök élőben nézhették a kihallgatás idején, mi zajlik lapunk ellen is.

Mint azt a Media1 rendszeres olvasói már tudják, több mint 40 magyar online médiumot ért úgynevezett elosztott túlterheléses támadás (DDoS) az elmúlt időszakban Magyarországon, sőt a sértettek száma az elmúlt hetek újabb támadásaival együtt már 50-hez közelít. (Az elmúlt hetekben a Szombat nevű zsidó folyóirat honlapját, a Nemzetközi Sajtóintézetet és az Infovilág.hu-t, továbbá a huppa.hu-t és a Kreatív oldalát is támadás érte, több lapot hosszú időre is elérhetetlenné téve.)

A bűnöző saját magával kapcsolatban az egyik támadás során olyan bűnjeleket hagyott hátra, amiből arra lehet következtetni, hogy az illető megegyezik azzal a személlyel, aki 2021-ben az ellenzéki előválasztás számítógépes rendszerét is sikerrel támadta meg és blokkolta egy ideig az előválasztás menetét DDoS segítségével. Ugyancsak ő támadta meg nemrégiben a BKK (Budapesti Közlekedési Központ) weboldalát vagy például a Budapest Pride, a HVG, a Telex, az Átlátszó, a Népszava, a Nyugat.hu, a Nyugatifény.hu és más médiumok weblapját.

Először csak ide-oda pakolgatta az ügyet a rendőrség

A több mint 40 médiumot ért idei kibertámadás miatt Szalay Dániel, a Media1 főszerkesztője először a titkosszolgálatokhoz tartozó Nemzeti Kibervédelmi Intézetnél tett bejelentést hónapokkal ezelőtt, ám ott az ügy vizsgálatát először megtagadták, arra hivatkozva, hogy nincsen nyomozati jogkörük az ügyben. Ezt követően Szalay feljelentést tett a Készenléti Rendőrség Nemzeti Nyomozó Iroda (NNI) Kiberbűnözés elleni Főosztályán, ám onnan az ügy először egy kerületi kapitányságra, a BRFK XIII. kerületi Rendőrkapitányság Bűnügyi Osztályára került át. A hivatalos indoklás szerint azért került a kerületi kapitányságra az ilyen ügyekre szakosodott szakértői csapattól, mert a Media1-et ért támadások idején az internetszolgáltatónk szolgáltatójának adatközpontja az említett fővárosi kerületben működött.

Ugyanakkor a kerületi kapitányságon elismerték, hogy szakismeretük és erőforrásuk nem elégséges az ügy feltárásához, maguk sem értették, miért testálták rájuk a feladatot, miért nem az NNI folytatja a nyomozást, ahol erre szakosodott szakemberek dolgoznak.

Lapunkat, a Media1.hu-t és testvéroldalunkat, a vipcast.hu-t is több alkalommal célba vette a magát Hano néven emlegető bűnöző és többször teljesen blokkolta is oldalunk működését, akadályozta hírszolgáltatásunk zavartalan működését. A leállásokkal a bűnöző több millió forint kárt okozott nekünk, amellett, hogy olvasóink tájékozódását is korlátozta, és már a Budapest Internet Exchange (BIX) adatforgalmán is megfigyelhető volt tevékenysége, amivel akadályozta több internetszolgáltató zavartalan működését.

Eközben augusztus végén egy nemzetközi szervezet, a Nemzetközi Sajtó Intézet (International Press Institute / IPI) közleményben figyelmeztette az Európai Unió döntéshozóit, hogy a több mint 40 lapot érintő támadássorozat veszélyezteti a jövő évi európai parlamenti választásokat is, illetve kiemelték, hogy a magyar rendőrség nem folytat hatékony nyomozást, hiszen az egyes eseteket külön-külön kapitányságokra delegálta és azokkal elkülönülten foglalkozik. A Media1 a Belügyminisztériumnál és az ORFK-nál is érdeklődött arról, mit gondolnak a nemzetközi szervezet kritikájáról a nyomozás hatékonyságával kapcsolatban, és arról, miért egy kerületi kapitányságra került az ügy, amire az ORFK azt közölte, hogy nem kommentálnak ilyen véleményeket. A Belügyminisztérium sajtóosztálya még ennyit sem reagált. Eközben kibertámadás érte az IPI oldalát is.

Néhány napra rá azonban váratlanul fordulat történt, és az ügyet átvette az NNI, vagyis lényegében több mint másfél hónap után visszakerült oda a nyomozás, ahonnan augusztus elején indulni kellett volna, vagyis ahol a feljelentést tettük, és ahonnan számunkra meghökkentő indokkal került el a nyomozás az angyalföldi nyomozókhoz korábban. Sőt, hirtelen a korábban még nyomozati jogkör hiányáról író, a titkosszolgálatokhoz tartozó Nemzeti Kibervédelmi Intézet is bejelentkezett nálunk és adatokat kért lapunktól a támadásokkal kapcsolatban, amit természetesen azonnal meg is adtunk. Eközben a Nemzeti Nyomozó Irodától (NNI) kihallgatásra idézték a Media1 főszerkesztőjét.

Élőben nézhették a rendőrök, hogyan támadja Hano (?) a Media1-et

Portálunk főszerkesztőjét e hét hétfő délelőtt 10 órára (feljelentéséhez képest közel két hónapra) hívták be az NNI-hez Budapestre. Mielőtt elindult a kihallgatásra, épp arról írt, hogy a Szemlélek című katolikus magazint is támadás érte. A hírben megemlítette, hogy ekkor még Gégény István, a Szemlélek lapigazgatója nem tudta megmondani, hogy a támadó ezúttal is hagyott-e hátra nyomokat és a Hano bűnözői nevet használta-e, mint a többi 40 megtámadott lap jelentős részénél.

Nem sokkal hírünk élesítése után, épp néhány perccel azelőtt, hogy Szalay Dániel megérkezett az NNI épületébe a kihallgatásra, újabb DDoS-támadás indult portálunk ellen. A szerverünk üzemeltetésével foglalkozó munkatársunk meg is találta, illetve dokumentálta, hogy a támadó a következő üzenetet hagyta részünkre az újabb támadáshoz használt stringen keresztül:

hanodidntattackszemlelekcuzwewerefocusedonhuppa.hu

A támadó ezzel a hosszú kódsororral azt üzente, hogy nem Hano támadta meg a Szemléleket (hano did’nt attack szemlelek), mivel ő most a Huppa.hu nevű oldal támadására fókuszál (cuzwewerefocusedonhuppa.hu). Akár igaz ez, akár nem, mindenesetre érdekes, hogy fontosnak tartotta közölni egy bűnöző, hogy a katolikus magazinnak nem ő a támadója, és e közléséhez egy újabb bűncselekményt, újabb DDoS támadást követett el lapunk ellen. Érdekes az is, hogy Hano ezek szerint törzsolvasónk, és vagy ért magyarul, vagy lefordítja a cikkeinket azonnal a saját nyelvére.

A kibertámadó ezután sem állt le, így az elkövetkező néhány órában még többször is ismételten DDoS támadással lőtte oldalunkat. Így portálunk főszerkesztője élőben tudta megmutatni a Nemzeti Nyomozó Iroda nyomozóinak a bűncselekménysorozat legújabb fejleményét, vagyis azt, hogyan próbálta a Media1-et ismételten ellehetetleníteni Hano, akivel kapcsolatban lehetséges, hogy többes szám lenne indokolt azok után, hogy a „we were focused” kifejezést használta a támadó kódban, vagyis többes számban írt magáról a Huppa.hu/Szemlélek kapcsán.

Már Ausztria is nyomoz

Az NNI egyébként több gigabájtnyi adatot tartalmazó rendszernaplót kapott meg tőlünk, beleértve a most hétfői kihallgatás idején történt legújabb DDoS támadások naplófájljait is, emellett több érdekes összefüggésre is rávilágítottunk az üggyel kapcsolatban.

A Media1 egyébként úgy tudja, a néhány nappal ezelőtt szintén támadás alá vont Nemzetközi Sajtóintézet (IPI) is feljelentést tett az őket ért kibertámadás miatt. Ők nem a magyar, hanem az osztrák rendőrségen tettek bejelentést. Emellett úgy tudjuk, a világ egyik elismert informatikai biztonsági szakértői csapatát és IT-biztonsági kutatókat is bevont az IPI az ellene történt nyomozásba.

A magyar NNI részéről ígéretet kaptunk, hogy most, hogy több mint másfél hónapnyi keringő után visszakerült hozzájuk az ügy, komolyan veszik a bejelentést és a nemzetközi társhatóságok, vagyis például az osztrák rendőrség és a támadásban érintett internetszolgáltatók bevonásával megpróbálják kézre keríteni a bűnözőt. Hogy ez sikerül-e, persze majd kiderül.

Az ügy további fejleményeiről még beszámolunk, addig az előzményeket ajánljuk.

https://media1.hu/2023/09/27/kihallgatta-a-nemzeti-nyomozo-iroda-a-media1-foszerkesztojet/

“See you next time Hano hates u”

Sorozatos DDoS támadások érték a sajtószabadságot védő Nemzetközi Sajtóintézet (IPI) rendszerét, és a jelek arra mutatnak, hogy az intézetnek a magyar sajtó szabadsága védelmében végzett munkája miatti megtorlásról van szó – mutatott rá az IPI a honlapján közzétett közleményében.

A közlemény rámutatott a hogy a támadások azt követően kezdődtek, hogy az IPI ugyancsak egy közleményben augusztus 29-én felemelte a szavát a magyar független sajtót az elmúlt öt hónapban érő hasonló támadások miatt. A bizonyítékok azt mutatják, hogy a támadások mögött ugyanaz a cyber bűnöző, vagy azok a bűnözők állnak, akik a magyarországi támadásokat indították.

A támadásokat hétköznapi szerverszolgáltatók, és nem úgynevezett számítógépes malware-ek útján hajtották végre. A szakértők szerint a támadások léptéke, időtartama és költségei azt jelzik, hogy az elkövető/k bőséges anyagi forrásokkal rendelkezik/rendelkeznek.

Az írás nagyon részletesen ismertette a történteket, egyebek mellett azt, hogy a támadások mellett több kísérlet történt az IPI honlapjának feltörésére is.

A támadó (vagy támadók) HANO néven fut (futnak), és – akárcsak a magyarországi támadások során – ezúttal is hagyott (hagytak) üzenetet. Azt írták angol nyelven:

Az IPI feljelentést tett az osztrák rendőrség cyberbűnözéssel foglalkozó részlegénél, rendelkezésre bocsátotta az adatokat, tájékoztatja az illetékes EU-hatóságokat, tájékoztatja a szervereket üzemeltető magáncégeket, amelyek infrastruktúráját használták a támadók, és nyomon fogja követni, mit tesznek ezek a társaságok a visszaélések megszüntetésére, továbbá megosztja a támadásokkal kapcsolatos információkat és adatokat független biztonságkutatókkal.

Az IPI reméli, hogy fokozni tudja a cybertámadásokkal szembekerülő magyar és más független sajtóorgánumok támogatását.