Azonosították a férfit, aki 2023 óta túlterheléses támadások egész sorozatával tett időszakosan elérhetetlenné több magyar híroldalt, köztük a HVG online felületét és a bécsi székhelyű International Press Institute honlapját is – számolt be róla hétfői közleményében a rendőrség.
Csakhogy a hekker célpontjai közt szereplő Media1 már 2024 januárjában olyan információkat derített ki és adott át a rendőrségnek, amelyek alapján a most leleplezett hekker által használt számítógép IP-címe, vagyis hálózati azonosítója meghatározható volt – állítja a portál főszerkesztője, Szalay Dániel.
A támadásai során rendre Hano álnevet használó hekker eredetileg kormánykritikus magyar oldalakat igyekezett hosszabb-rövidebb időre elérhetetlenné tenni túlterheléses támadásokkal, majd a támadásokról beszámoló külföldi portált is célba vette.
Az ilyen – DDoS-típusú (Distributed Denial-of-Service, azaz „elosztott, szolgáltatás-megtagadást okozó” túlterheléses) – támadások lényege, hogy egy adott weboldalt több ezer vagy akár több tízezer IP-címről „keresnek fel” egy adott időszakban, ami az érvénytelen kérésekkel akkora terhelést okoz, hogy a weboldal, illetve a mögötte álló infrastruktúra kapacitás hiányában már nem tudja kiszolgálni a megkereséseket – mondta el lapunknak egy informatikai szakértő. A valódi felhasználók, olvasók túlnyomó többsége statisztikai valószínűség szerint a ki nem szolgáltak csoportjába esik.
A támadásokhoz használt IP-címek mögött jellemzően jóhiszemű – bár óvatlan – felhasználók számítógépei állnak. Ezeket szakosodott hekker-csoportok fertőzik meg olyan vírusokkal, amelyek segítségével a tulajdonos tudta nélkül, „háttérben futó programként” internetes műveletek végrehajtására tudják utasítani a – távirányítható ágenssé, vagyis „bottá” tett – gépet. Egy ilyen több tízezer darabos számítógépre kiterjedő bothálózat kiépítése és üzemben tartása (a vírusok frissítései, a vírusirtás miatt kieső gépek pótlása stb.) komolyabb munkát igényel annál, mint amit egy-egy akció érdekében ésszerűen vállalható elvégezni. Viszont éppen ezért léteznek olyan hekkercsapatok, amelyek bárkinek rendelkezésére bocsátják távirányítható hálózatukat a megfelelő fizetség ellenében.
A rendőrség közleménye szerint pontosan ilyen „bér-DDoS” szolgáltatások igénybevételével bénította meg célpontjait Hano, aki a gyanú szerint valójában egy 23 éves budapesti fiatal. Ennek a szolgáltatásnak az elérése azonban nemcsak abban különbözik egy pizzarendeléstől, hogy a törvény bünteti, hanem lényegesen komolyabb kompetenciákat is igényel. Már a dark weben, a világháló szokványos keresőmotorokkal nem elérhető, rejtett tartományában is csak bizonyos ismeretek birtokában közlekedhet az avatott felhasználó, de az igazi vízválasztót egy olyan – általában sokszorosan közvetett – hamis profil kialakítása jelenti, ami minél inkább visszakövethetetlenné teszi használója valódi személyazonosságát – mondta a szakember.
Ha azt nézzük, hogy a támadások gyanúsítottja évekig folytathatta üzelmeit anélkül, hogy a rendőrség utolérte volna – sőt még mindig nem emeltek vádat a gyanúsított fiatal ellen –, azt gondolhatjuk, ügyesen is maszkolta magát az online térben. Túlterheléses támadások elkövetőjeként ráadásul nemcsak a magyar hatóságok, de az osztrák és egy ideig német szervek is próbálták felderíteni a Hano nevével náluk elkövetett támadások tettesét. Az osztrákok – akikkel közleményük szerint a magyar nyomozók is felvették a kapcsolatot – nem számoltak be eredményükről; a németek – akikre a magyar közlemény nem is utal – pedig egyenesen feladták a nyomozást, eredménytelenség miatt megszüntetve az eljárást.
Másfelől viszont Hanót végül sikerült beazonosítani. Virtuális lábnyomait pedig, amelyek lakása ajtajáig vezettek, a rendőrségi házkutatás előtt másfél évvel, már 2024 januárjában megtalálta és visszakövette az egyik célba vett magyar portál szakértője.
A Media1.hu ellen 2023 tavaszán indultak a túlterheléses támadások, amelyekkel szemben a szerkesztőség elsősorban informatikai megoldásokkal volt kénytelen védekezni, a főszerkesztő, Szalay Dániel pedig a rendőrségnél is bejelentést tett. Miután a nyomozás nehézkes indulása egyértelművé tette, hogy gyors eredményre nem számíthatnak a hatóságoktól, a folytatódó támadások pedig egyre nagyobb károkat okoztak a portálnak, lassan az is fontossá vált, hogy amit lehet, ők maguk tudjanak meg rossztevőjükről. A támadások hatására nemcsak hazai internetszolgáltatójuk helyett kellett – sokszoros áron – franciaországi kiszolgálót találniuk, hanem szinte állandó jelleggel kellett alkalmazniuk egy informatikai biztonsági cég szakértőjét is, hogy a DDoS-támadások elhárításával és elemzésével foglalkozzon.
Ő dolgozta ki azokat a megoldásokat, amelyekkel a túlterheléses kampányokból előbb a támadó botgépek IP-címeit, majd az azokat ténylegesen irányító gép adatait is meg tudta határozni.
Bár szakértőjük révén számos saját értesüléssel gazdagodtak, ezekről a rendőrség kérésére a folyamatban lévő nyomozás érdekében a házkutatásig nem számoltak be cikkeikben. Az szinte kezdettől egyértelmű volt, hogy Hano annyira jól ismeri a magyar belpolitikai viszonyokat, a magyar sajtótartalmakat, hogy jó eséllyel magyar elkövetőről van szó, vagy ha csoport, annak van magyar tagja. A támadó kódokat vizsgálva pedig a 2021-es ellenzéki előválasztási rendszert ért támadásokkal is gyanús hasonlóságokat fedeztek fel, még ha ezeknek nincs is egyértelmű bizonyító erejük.
Az áttörést az jelentette, amikor tavaly januárban, a szakértőjük által programozott virtuális csapdának hála, sikerült a támadásokat vezénylő gép böngészőjét, internetszolgáltatóját (DIGI) és IP-azonosítóját is visszafejteni – mint Szalay mondta, nem mellesleg támadójuk elbizakodottsága és bakijai miatt is. A Hano név kitartó használata önmagában vétkes – és magát megbosszuló – könnyelműség volt, de a fiatal hekker ezen kívül is hagyott maga mögött olyan nyomokat, amilyeneket egy igazi profi eltüntetett volna.
Amikor a nyomozóknak átadták a támadások analíziséből származó adataikat, köztük a kulcsfontosságú IP-címet, a kapcsolatot tartó hadnagy azt mondta, heteken belül várhatók a fejlemények – mesélte Szalay, aki pár hónapig még várta az ígért folytatást, de miután hosszú időn át semmilyen érdemi tájékoztatást nem kapott az ügy alakulásáról,
másfél évvel később ugyanolyan meglepetéssel olvasta a hétfői közleményt, mint akármelyik hírfogyasztó.
Hogy másfél év után miért éppen most került sor házkutatásra, találgatások tárgya marad, mivel a rendőrség nemcsak a sajtó kérdéseire nem válaszol, hanem a korábban döntő információkat szolgáltató sértettet sem tájékoztatják azóta érdemben. Igaz, cikkünk megjelenése előtt a Media1 mint feljelentő és sértett kérésére a nyomozók ígéretet tettek a lap vezetőjének, hogy hamarosan betekinthet a nyomozás bizonyos dokumentumaiba.
Mivel Németországban is éppen a múlt héten jelentették be egy bér-DDoS-támadásokkal operáló orosz hekkercsapat felderítését, nem zárható ki, hogy a nemzetközi szállal is bíró Hano-ügyet ez is előremozdította valahogyan. Ugyanakkor Szalay azt is elképzelhetőnek tartja, hogy a házkutatási parancs kiadása késhetett sokáig – amennyiben a bíróságon is ugyanolyan nehezen kezdtek bármit is egy virtuális bűncselekmény számítástechnikai nyomaival, bizonyítékaival, mint ahogy kezdetben a rendőrség se tudta, mit kezdjen az üggyel.
Szalay csodálkozását az is növelte, hogy a házkutatásról közölt felvételek alapján a fiatal elkövető teljesen rendezett, középosztályi viszonyok közül került elő,
a kritikus bűnjelként szolgáló adathordozókat saját szobájában megőrizve tartotta, gépén a legközönségesebb böngészőt használt – mintha egyáltalán nem számolt volna a kibertérben elkövetett bűncselekményei súlyával és lehetséges következményeivel.
A túlterheléses támadások súlyos anyagi károkat okoztak; összesítve csak a Media1 tízmilliós nagyságrendű anyagi kárt szenvedett az eléréskiesés, és főleg a védekezésből adódó extra költségek miatt. A kártérítési igényüknek pedig peres úton is érvényt kívánnak szerezni; amint az elkövető személyét a hatóságok nyilvánosságra hozzák.
A rendőrségi felvételek alapján azonban valami továbbra is zavaróan hiányzik a képből. Mivel rendre kormánykritikus felületeket vett célba, politikai motivációja nyilvánvaló. Az viszont egyáltalán nem világos, hogy a jelek szerint még szüleivel élő fővárosi fiatal miből fedezte a túlterheléses támadások tömegét adó bothálózatok bérlését.
