MEGA sekurak hacking party już 13. czerwca – zdobądź bilety tutaj.

Cyberszpiegowska afera na Węgrzech

06 kwietnia 2022, 15:27 | W biegu | komentarzy 10
Tagi:

W przededniu wyborów parlamentarnych na Węgrzech opozycyjny portal Direkt36 donosił, że rosyjskie służby skompromitowały najważniejsze systemy informatyczne państwa, w tym systemy, w których przetwarzane są informacje z klauzulami “tajne”, “zastrzeżone” oraz “NATO”. Węgierska opozycja domaga się dymisji ministra spraw zagranicznych, z kolei MSZ Węgier dystansuje się od tych doniesień trzema węgierskimi słowami Kampányhazugságokkal nem foglalkozunk (pol. nie komentujemy kłamstw kampanii).

Autor tekstu twierdzi, że węgierski minister spraw zagranicznych od dawna wiedział, że służby rosyjskie skompromitowały sieć resortu. Atakujący mieli naruszyć poufność przetwarzanych informacji, w tym uzyskać dostęp do oklauzulowanych dokumentów. Dokonano również atrybucji operacji prowadzonych przeciwko węgierskiemu MSZ, wskazując rosyjską FSB oraz wojskowy wywiad GRU.

Direkt36 publikuje dokument z  listopada 2021 r., w którym MSZ informuje urzędników o sposobie powiadamiania o podejrzanych zdarzeniach, wskazując dedykowany adres e-mail, na który powinny być przesyłane takie informacje (ang. Single Point of Contact).

Źródło: Direkt36

W grudniu 2021 r., MSZ wydał instrukcję dla placówek dyplomatycznych dotyczącą korzystania z telefonów komórkowych do wykonywania zadań służbowych. W styczniu 2022 r., urzędnicy mieli otrzymać reprymendę, ponieważ nie zastosowali się do wcześniejszych instrukcji i nadal korzystali z rozwiązań, co do których istniało podejrzenie, że nie zapewniają odpowiedniego stopnia poufności. Direkt36 wskazuje, że urzędnicy mieli korzystać m.in. z Huawei (ZTE), Honor, Xiaomi, Wiko i OnePlus. Co więcej, urzędnicy MSZ Węgier do codziennej pracy używali podobno alternatywnych skrzynek e-mail (BlueMail).

Źródlo: Direkt36

Słabości miało być więcej. Direkt36 cytuje anonimowego węgierskiego dyplomatę, który wskazuje, że nawet najważniejsza komunikacja odbywała się za pośrednictwem Facebooka i Messengera, a higiena poświadczeń i polityka haseł pozostawiały wiele do życzenia.

W styczniu 2022 r. skrzynki węgierskiego MSZ były targetowane w kampanii phishingowej, w której atakujący zamierzali wykradać poświadczenia pod pretekstem konieczności zmiany hasła z uwagi na jego rychłe wygaśnięcie. Wcześniejsze kampanie phishingowe i ataki miały skutkować przełamaniem zabezpieczeń węgierskiego MSZ i objąć zarówno komputery w siedzibie MSZ, jak i w placówkach poza granicami kraju. Takich kampanii phishingowych miało być więcej, m.in. w 2016 roku wymierzono ją w węgierski resort obrony.

Direkt36, powołując się na źródła w służbach węgierskich, podaje, że w 2016 r. urzędnik węgierskiego MSZ faktycznie padł ofiarą ataku spearphishingowego skierowanego przeciwko co najmniej 20 innym urzędnikom resortu, w którym atakujący, podszywając się pod pracownika dowództwa NATO w Brukseli, zainfekował jego komputer. Chociaż urzędnik twierdził, że po kliknięciu nie wydarzyło się nic podejrzanego, nie pojawiła się żadna czaszka ze skrzyżowanymi piszczelami, to podobno cała sieć węgierskiego MSZ miała zostać skompromitowana, a urzędnik był przesłuchiwany na okoliczność szpiegostwa na rzecz Federacji Rosyjskiej. Deutsche Welle podaje, że w tym samym czasie skompromitowano 168 kont czeskiego MSZ, z których wykradziono ponad 7 tys. dokumentów. Czeska służba kontrwywiadu BIS (cz. Bezpečnostní informační služba) w raporcie rocznym za 2016 rok pisała:

Rok 2017 upłynął pod znakiem cyberszpiegostwa przeciwko Republice Czeskiej. Pod względem zakresu i konsekwencji najistotniejszym przypadkiem było skompromitowanie systemu informatycznego Ministerstwa Spraw Zagranicznych. Atak wykryty na początku 2017 roku, trwał co najmniej od początku roku poprzedniego.

System komunikacji elektronicznej MSZ był skompromitowany od co najmniej początku 2016 r., kiedy atakujący uzyskali dostęp do ponad 150 skrzynek pocztowych pracowników MSZ i skopiowali wiadomości e-mail, w tym ich załączniki. Uzyskali w ten sposób dane, które mogą posłużyć do przyszłych ataków, a także listę potencjalnych celów praktycznie we wszystkich ważnych instytucjach państwowych. Atakujący skupili się głównie na skrzynkach pocztowych czołowych przedstawicieli ministerstw. Uzyskiwali dostęp do ich skrzynek pocztowych w sposób powtarzalny, długotrwały i nieregularny.

Przypadek pozyskania skrzynek pocztowych w wielu kluczowych aspektach odpowiada podobnym przypadkom cyberszpiegostwa, które miały miejsce w innych państwach europejskich w tym samym okresie.

– BSI 

Portal przypomina również, że w listopadzie 2012 r. atakujący z grupy TeamSpy przejęli komputer wysokiego rangą urzędnika i mieli do tego komputera stały zdalny dostęp. We wspólnej analizie węgierskiego NSA (ang. Hungarian National Security Authority) oraz CrySyS Lab Malware Intelligence Team opisane są szczegóły tego ataku i wskazano tam, że analizę rozpoczęto właśnie od węgierskiej ofiary. W tym samym czasie, atakujący mieli pozyskać uprawnienia administratora domeny węgierskiego MSZ.

Zgodnie z informacjami Direkt36, jeszcze wcześniej, bo już w 2010 roku, rosyjscy hakerzy mieli zainfekować sieć węgierskiego MSZ, z której atakowano sieci innych państw członkowskich NATO.

W węgierskich placówkach dyplomatycznych rzekomo skompromitowane miały zostać również sieci teleinformatyczne, w których przetwarzane są informacje niejawne (węg. Védett Külügyi Hálózat, VHK), przy czym Direkt36 nie podaje szczegółów na ten temat. Zdarzenia dotyczące infrastruktury VHK miały obejmować nie tylko cyberataki, ale również przypadki naruszenia bezpieczeństwa fizycznego, co do którego poziomu węgierscy dyplomaci zgłaszali zastrzeżenia.

~anna@sekurak.pl

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Imię

    więc mają haki na pana O., a ten bidny co ma robić, musi popierać wyzwolicieli

    Odpowiedz
  2. Klub Pana Rysia

    Nic sie nie stalo i tak sie juz wczesniej zintegrowali z Rosja. Po prostu odlaczyc ich od NATO i tyle.

    Odpowiedz
    • Nie tylko od NATO, ale także od Unii Europejskiej, inicjatywy Trójmorza, dziewiątki bukaresztańskiej, ONZ-u, WHO, strefy Schengen i innych organizacji\inicjatyw, w których są Węgry.

      Odpowiedz
  3. JustaGuy

    @anna@sekurak – just fyi, compromised nie tłumaczymy jako skompromitowane – bo sie można skompromitować :)

    Odpowiedz
    • Michał

      W praktyce już się tak mówi. Wbrew pozorom to słowo już po angielsku kłuje – tutaj po prostu zwyciężyło przyzwyczjanie.

      skompromitować
      1. «narazić kogoś na kompromitację»
      2. «stać się dowodem świadczącym przeciw komuś»
      3. «ujawnić wady czegoś»

      Odpowiedz
      • Asdf150

        Ale… ta definicja właśnie nie potwierdza że powinno się tak mówić. Jeśli te serwery zaczerwieniły się i spuściły wzrok po ataku to można powiedzieć że zostały skompromitowane. Ta definicja nadal po polsku nie oznacza „przejęte”. A wady można ujawnić nie wykorzystując ich.
        Co do angielskiego się zgadzam, niestety tłumacząc to w ten sposób sprawiamy że treść jest jeszcze bardziej „konfudująca” ;)

        Odpowiedz
    • zero one

      Dodajmy jeszcze „agenda” kiedy czytam to mi się F-1 w plecaku odbezpiecza. Aaaaaaa i jeszcze coraz bardziej popularne „immersja”.
      Polacy to każde g… przyjmą byle by było z zachodu.
      I nie piszę o Sekuraka czy tylko o nim ale ogólnie o naszym podwórku. :-(

      Odpowiedz
  4. Michał

    „do codziennej pracy używali podobno alternatywnych skrzynek e-mail (BlueMail)” – to skrzynek czy też aplikacji na Androida? Jełśi aplikacja na Androida BlueMail jest niepewna to co używać?

    Odpowiedz
  5. Jakub

    BlueMail to przecież klient pocztowy, a nie usługodawca ;)

    Odpowiedz
  6. hmm

    „W raporcie za rok 2016 czytamy że rok 2017 upłynął…”

    Odpowiedz

Odpowiedz