Szele Tamás: A GRU akcióban

Jó lenne most már kigyógyulnunk a választás, kormányváltás, talán rendszerváltás lázából, mert attól, hogy nálunk fordult a Föld, az országunk és Európa ellenségei még nem pihentek meg. Sőt, mostantól még tán sokkal veszélyesebbek is lesznek – épp ezért érdemes odafigyelnünk az orosz titkosszolgálati akciókra, melyek közül egy különösen szemtelenre most Romániában derült fény a PressOne tanúsága szerint.

A GRU – Moszkva katonai hírszerző szolgálata – egyik speciális kiberegységéhez tartozó orosz hackercsoport a Román Légierő legalább 67 e-mail fiókát támadta meg. A művelet Ukrajnát, Szerbiát, a Balkán-régió NATO-tagállamait, Görögországot és Bulgáriát célozta, és 2024 szeptembere és 2026 márciusa között zajlott. Gyakorlatilag másfél évig tartott. Mindösszesen 284 e-mail fiókot támadtak meg. A román állami intézmények, élükön a Nemzeti Védelmi Minisztériummal, mindvégig hallgattak az ügyről.

2026. április 7-én az FBI közleményt tett közzé, amelyben bejelentette a GRU által szervezett teljes kibertámadás feltárását. Egy nappal később a SRI bejelentette, hogy „a nemzetközi hírszerző közösséggel együtt részt vett a Masquerade műveletben, amelynek keretében sikerült megzavarni egy olyan támadásó infrastruktúrát, amely a GRU-hoz tartozó orosz hackercsoport, az APT28/FANCY BEAR által használt kommunikációs eszközökből (routerekből) állt”.

Sem az FBI, sem a SRI nem tett – akkoriban – semmilyen említést a GRU által megtámadott „e-mail fiókokról”.

Az e-mail-fiókok – köztük a Román Légierő fiókjai – kompromittálásáról szóló információ csak később került nyilvánosságra egy, a Ctrl-Alt-Intel – egy brit és amerikai IT- és kiberbiztonsági szakértői csoport – által közzétett jelentésben, amelyet a Reuters, majd tőlük a román sajtó is átvett.

Romániában a hackerek legalább 67 e-mail fiókot támadtak meg a Román Légierőnél, köztük néhányat a NATO légibázisokhoz tartozott, valamint feltörték legalább egy magas rangú katonatiszt fiókját.

A Védelmi Minisztérium közölte, hogy ezt az információbiztonsági incidenst „2025 márciusában észlelték, és megállapították, hogy több tucat e-mail-cím feltörését jelentette; további 30 e-mail-cím esetében viszont a támadás nem járt sikerrel. Az incidenst az illetékes szervek 24 órán belül észlelték, elemezték és elszigetelték”.

A SRI és a Védelmi Minisztérium közleményei ellentmondanak egymásnak, ugyanakkor kiegészítik egymást

A Védelmi Minisztérium tehát elismeri egy kibertámadás „felfedezését” abban a hónapban, márciusban, amikor a GRU kibertámadásait megakadályozták.

„Egyáltalán nem vagyok meglepve” – nyilatkozta a PressOne-nak Sandu-Valentin Mateiu katonai szakértő, a román hadsereg tartalékos ezredese. „Amit az amerikaiak egy hónappal ezelőtt bejelentettek az oroszok széles körű kiberháborús akciójának meghiúsításáról, és a később Nicușor Dan által tett nyilatkozatok – ugyanarra az időszakra, 2024–2026-ra, és ugyanarra a szereplőre vonatkoztak: a GRU 85. Központjára” – tette hozzá.

A SRI-vel ellentétben a Védelmi Minisztérium a közleményében sehol sem említette a „GRU”-t vagy az „orosz hackereket”. Ehelyett a román Védelmi Minisztérium bagatellizálta a támadás hatásait, hangsúlyozva, hogy a célzott adatok nem voltak titkosak. Mindazonáltal a minisztérium is azt közli, hogy a helyzetet 24 órán belül megoldották.

Ugyanakkor az áprilisi közleményében a SRI a következőképpen részletezte a GRU kibertámadását:

„A támadó hálózat segítségével a hackerek jelszavakat, hitelesítési tokeneket és érzékeny adatokat gyűjtöttek, beleértve e-maileket és internetes keresési előzményeket, olyan információkat, amelyeket általában SSL (secure socket layer) és TLS (transport layer security) protokollok védenek. Így a GRU világszerte számos szervezetet kompromittált, köztük romániaiakat is, különös tekintettel a kritikus infrastruktúrákra, valamint a katonai és kormányzati szféra információira”

– derül ki a SRI április 7-i közleményéből. Április 14-én a Védelmi Minisztérium elismerte egy „biztonsági incidens” bekövetkeztét anélkül, hogy közvetlenül megnevezte volna a támadót.

„Biztonsági rést találtak” – véli Sandu-Valentin Mateiu ezredes. „Az oroszok ahol csak tudtak, behatoltak. Célpontjuk az ukrajnai támaszpontok és a balkáni NATO-adatok voltak – mi, a bolgárok és a görögök. És Szerbia – amely Moszkvával baráti viszonyt ápol, de a kémkedés mindig érdekek alapján történik”.

A GRU hackereinek módszere és az FBI magyarázata

Az FBI április 7-i közleménye valamivel részletesebben tárgyalja az oroszok által alkalmazott módszert.

„A támadók hitelesítési adatokat gyűjtöttek és kihasználták a világszerte megtalálható sebezhető útválasztókat, beleértve a CVE–2023-50224 sebezhetőség által érintett TP-Link útválasztókat is. Megváltoztatták az eszközök hálózati beállításait, különösen a DHCP-vel (az IP-címeket automatikusan kiosztó protokoll) és a DNS-sel (a weboldalak nevét IP-címekké alakító rendszer) kapcsolatosakat, hogy a forgalmat az általuk ellenőrzött DNS-kiszolgálókra irányítsák.

Az ezekhez a routerekhez csatlakozó összes eszköz – például laptopok vagy telefonok – automatikusan átveszi ezeket a módosított beállításokat anélkül, hogy a felhasználók észrevennék.

A támadók által ellenőrzött infrastruktúra így képes lehallgatni és rögzíteni az összes webhelyre irányuló kérést (vagyis azt, hogy a felhasználók milyen címeket érnek el). Sőt, bizonyos szolgáltatások és domainek – beleértve a Microsoft Outlook Web Access-t is – esetében a támadók adhatnak hamis DNS-válaszokat is.

Ez lehetővé teszi számukra, hogy „adversary-in-the-middle” típusú támadásokat hajtsanak végre (hasonlóan a „man-in-the-middle”-hez), akár titkosított forgalom esetén is, ha a felhasználók figyelmen kívül hagyják a tanúsítványokkal kapcsolatos biztonsági figyelmeztetéseket.

Ilyen helyzetekben a támadók titkosítatlan formában láthatják a felhasználók által továbbított adatokat, beleértve az érzékeny információkat is.”

Másképp szólva, a hackerek kihasználták azt a tényt, hogy az ilyen támadások célpontjául szolgáló „áldozatoknak” „vannak régi szoftverei, amelyekhez nem készítettek biztonsági frissítéseket, vagy amelyekhez nincsenek ilyenek” – magyarázta a PressOne-nak Robert Butyka, IT-biztonsági szakértő.

Ezen felül az FBI közleménye a „Microsoft Outlook Web Access”-re is utal.

2024-ben a román hadsereget azzal vádolták, hogy Microsoft-licenceket vásárolt egy olyan cégtől, amelyről a Nemzetbiztonsági Tanács (CSAT) azt állította, hogy a nemzetbiztonságot veszélyezteti.

Lehetőség vagy sebezhetőség?

A román hadsereg nem adott ki részleteket arról, hogy milyen operációs rendszerk futottak az e-mail címeket használó gépeken, de egy informatikai és elektronikai szakértő a PressOne-nak elmondta, hogy ha a rendszer régi, akkor gyenge védelmet nyújt a támadások ellen.

„Az operációs rendszer elég fontos szerepet játszik, mert a régi rendszerek nem rendelkeznek megfelelő védelemmel, és sok elfeledett biztonsági rés van bennük: amikor írták őket, a fejlesztők még nem gondoltak a mai hackelési módszerekre” – pontosította a helyzet értékelését egy ilyen szakértő, aki névtelen kívánt maradni.

Sandu-Valentin Mateiu rámutat, hogy a Román Légierő ellen irányuló GRU-kibertámadás nem volt feltétlenül véletlenszerű.

„A kérdés az, hogy milyen mértékben voltak a Védelmi Minisztérium és a Légierő Parancsnoksága meghatározott célpontok: gondoljunk csak bele, hogy vannak F–16-osaink, nálunk működik a deveselui rakétavédelmi pajzs, vagy az ukrán pilóták borceai kiképzési programja is. Az FBI műszaki leírásában az állt, hogy az oroszok kihasználtak egy sebezhetőséget néhány TP-Link útválasztón. Ez vagy egyedi alkalom volt, vagy kihasználtak egy sebezhetőséget. Úgy gondolom, mindkettő igaz. A Román Légierőt vették célba, és sikerrel jártak” – mondta Sandu-Valentin Mateiu.

Az orosz hackerek kihasználhatták a Védelmi Minisztérium alkalmazottainak esetleges fegyelmezetlenségét is.

„Egy e-mail feltörése, ha könnyű az azt védő jelszó, gyorsan megy” – állítja Robert Butyka.

Sandu-Valentin Mateiu katonai szakértő rámutat, hogy Moszkva és az orosz titkosszolgálatok egyértelműen hibrid háborút folytatnak a nyugati országok ellen, és ez alól Románia sem kivétel.

„Már nem hiszünk a saját nyilatkozatainkban sem. Ha megmondták, hogy hibrid háború folyik, és Moszkva kijelentette, hogy háborúban áll a Nyugattal, a NATO stratégiai koncepciójában pedig Oroszországot fenyegetésként szerepeltették, akkor mi a fenét akarunk még, mit takargatunk?” – zárja gondolatát Sandu-Valentin Mateiu.

Nos, kérem, a tanulság egyszerű: míg az oroszok nem alszanak, jobb, ha nem alszik sem Bukarest, sem Budapest. Akkor sem, ha mi múlt vasárnap óta valamivel közelebb kerültünk Európához, mint korábban voltunk – látjuk, Románia el sem távolodott Brüsszeltől, mégis támadják, ahol érik. Minket sem fognak kímélni: legyünk résen.

Szele Tamás

Kérjük támogasd a független sajtót, támogasd a Zóna blogját! Köszönjük!

Gesta-ajánló:

Két liberalizmusról, egy elveszett horgonyról, és arról, mivel lehet harcolni

Két liberalizmusról, egy elveszett horgonyról, és arról, mivel lehet harcolni

Kirilo Budanov, az ukrán katonai hírszerzés főnöke egy tavalyi fórumon mondott egy mondatot, amely látszatra a hadviselésről szól, valójában azonban a filozófia legmélyebb kérdéséig ér le. Úgy fogalmazott: a nagyszabású dezinformációval szemben lehetetlen hatékonyan fellépni saját, világos, ellenőrzött álláspont nélkül. Aki csak cáfol, az veszít. A hazugságot nem lehet pusztán letagadni — szembe…

ugar
Szele Tamás: Melnyicsenko esszéje

Szele Tamás: Melnyicsenko esszéje

Aki Oroszországnak enged, maga is rabszolga lesz, inkább előbb, mint utóbb.

zona
A kéz és az agy: két robot tört fel kormányokat kínai megbízásból

A kéz és az agy: két robot tört fel kormányokat kínai megbízásból

Biztonsági kutatók egy aktív kiberkémkedési kampányt lepleztek le, amelyben feltételezett kínai állami kötődésű operátorok két kereskedelmi mesterséges intelligenciát – az Anthropic Claude Code-ját és a kínai DeepSeek-v4-prót – építettek be közvetlenül a támadások végrehajtásába. A célpontok között Tajvan, Thaiföld és Afganisztán kormányzati rendszerei szerepeltek, de amerikai portálokat is…

ugar
Az IMF üzeni: elfogyott a világ pénze

Az IMF üzeni: elfogyott a világ pénze

Kristalina Georgieva, az IMF ügyvezető igazgatója komor mondattal foglalta össze a világgazdaság állapotát: elfogyott a „fiskális lőszer". A kormányok tartalékai kiürültek, épp amikor a legnagyobb szükség lenne rájuk – az államadósság 2029-re átlépi a GDP 100 százalékát, a kamatszámla pedig négy év alatt a másfélszeresére hízott. A figyelmeztetés akkor hangzik el, amikor az IMF a saját működését…

ugar
Bulgarizálódunk – és az RMDSZ nyomja a gázt

Bulgarizálódunk – és az RMDSZ nyomja a gázt

A romániai belpolitikai válság idei kiadása kicsit durvábbra sikerült, mint az eddigiek. Mert eddig az volt, hogy a vérünkbe ivódott balkáni közönnyel vettük tudomásul, hogy bizalmatlansági indítvánnyal megbukott egy kormány, majd jött a másik, hogy esetleg az is megbukjon – de arra is volt már példa kies tájainkon, hogy a kormánypárt buktassa meg saját kormányfőjét. Mindez azonban jó jel is…

ugar