Hekkerek törték fel a Nemzeti Régészeti Intézet szervereit, érzékeny tervekhez juthattak hozzá

Szakmai körökben hamar elterjedt a hír pénteken, hogy feltörték a Nemzeti Régészeti Intézet (NRI) szervereit. Az intézet munkatársait hazaküldték a Daróczy úti irodából, még a laptopjaikat is bent kellett hagyniuk. A HVG úgy értesült, az NRI szervereit a hekkerek titkosították, és a titkosítás feloldásáért pénzt követelnek. Több forrásból is 10 millió dolláros (mai árfolyamon több mint 3,8 milliárd forintnyi) váltságdíjról hallottunk. 

Az NRI szervezetileg a Magyar Nemzeti Múzeum, vagyis a Demeter Szilárd által vezetett Magyar Nemzeti Múzeum Közgyűjteményi Központ alá tartozik, ezért levelet írtunk a múzeumnak, hogy erősítsék meg a hírt. Megkérdeztük azt is, milyen adatok kerültek a hekkerek birtokába, és hogy tervezik-e kifizetni a követelt összeget.

Hétfőn délelőtt azt a választ kaptuk, hogy a szervereket egy RansomHub nevű nemzetközi hekkercsoport támadta meg. A TrendMicro nevű kiberbiztonsági szakportál azt írja, a csoportot 2024 februárjában azonosítottak először, főként észak-amerikai célpontokra lőnek.

A RansomHub egy Ransomware-as-a-Service, azaz “zsarolóvírus mint szolgáltatás” csoport. Ez egy olyan kiberbűnözői üzleti modell, amiben zsarolóvírusok fejlesztői eladják a zsarolóvírus kódját más hekkereknek (társszervezeteknek), akik aztán maguk követik el a támadást és a zsarolást.

A TrendMicro azt írja, a RansomHub a támadásból bejövő váltságdíj 10 százalékát rakja el, a társszervezet, amelyik a kódot csak használja, pedig a fennmaradó 90 százalékot. Vagyis bár az NRI azt írja, a RansomHub zsarolóvírusa fertőzte meg a szervereiket, azt nem tudni, ki a támadás “megrendelője”.

A RansomHub nem támad nonprofit szervezetekre, és nem célozza meg ismételten azokat az áldozatokat, akik egyszer már fizettek váltságdíjat. Kerülik a Független Államok Közösségének (FÁK – 10 volt szovjet tagállam laza együttműködése Oroszországgal) tagországait, valamint Kubát, Észak-Koreát és Kínát is, és ezt várja el megrendelőitől is.

A RansomHub és a hozzá hasonló kiberbűnözői csoportok önállóan, vagy egy-egy ország titkosszolgálatával együttműködésben dolgoznak. Ilyenkor, ha az állami szereplők nem is támogatják a hekkereket, félrenéznek, ha a tevékenységük nem baráti országok vagy szervezetek ellen irányul.

Az NRI szerint a nagy közgyűjtemények esetében nem példátlan, ami velük történt. A British Libraryt 2023 októberében érte hekkertámadás, ami jelentős károkat okozott, a könyvtár számos szolgáltatása hónapokig elérhetetlen maradt.

Az NRI esetében jelenleg az adatok visszaállítása zajlik a biztonsági másolatok felhasználásával.

Kerestük a rendőrséget is, hogy megtudjuk, nyomoznak-e az ügyben. Ők pénteken azt írták, hogy nem tudnak erre válaszolni, próbálkozzunk újra hétfőn. Hétfőn ismét megkerestük az ORFK-t, de sem azt nem erősítették meg, hogy érkezett hozzájuk feljelentés, sem azt, hogy nyomoznának ilyen ügyben.

Az NRI feladata Magyarország régészeti örökségének gondozása, a csaknem 300 fős szervezet több korábbi intézmény és intézményrész összevonásával jött létre, rendkívül összetett és szerteágazó feladatkörökkel. Az intézet gondoskodik a Magyarország területén található régészeti emlékek felderítéséről, kutatásáról és dokumentálásáról. 

Ez azzal jár, hogy az NRI az elsők között értesül minden magyarországi nagyberuházásról, azok területén ugyanis a munkálatok megkezdése előtt próbafeltárást kell végezni, hogy megállapítsák a „régészeti érintettséget”, és szükség esetén elvégezzék a feltárásokat.