Szele Tamás: A GRU akcióban
Jó lenne most már kigyógyulnunk a választás, kormányváltás, talán rendszerváltás lázából, mert attól, hogy nálunk fordult a Föld, az országunk és Európa ellenségei még nem pihentek meg. Sőt, mostantól még tán sokkal veszélyesebbek is lesznek – épp ezért érdemes odafigyelnünk az orosz titkosszolgálati akciókra, melyek közül egy különösen szemtelenre most Romániában derült fény a PressOne tanúsága szerint.
A GRU – Moszkva katonai hírszerző szolgálata – egyik speciális kiberegységéhez tartozó orosz hackercsoport a Román Légierő legalább 67 e-mail fiókát támadta meg. A művelet Ukrajnát, Szerbiát, a Balkán-régió NATO-tagállamait, Görögországot és Bulgáriát célozta, és 2024 szeptembere és 2026 márciusa között zajlott. Gyakorlatilag másfél évig tartott. Mindösszesen 284 e-mail fiókot támadtak meg. A román állami intézmények, élükön a Nemzeti Védelmi Minisztériummal, mindvégig hallgattak az ügyről.
2026. április 7-én az FBI közleményt tett közzé, amelyben bejelentette a GRU által szervezett teljes kibertámadás feltárását. Egy nappal később a SRI bejelentette, hogy „a nemzetközi hírszerző közösséggel együtt részt vett a Masquerade műveletben, amelynek keretében sikerült megzavarni egy olyan támadásó infrastruktúrát, amely a GRU-hoz tartozó orosz hackercsoport, az APT28/FANCY BEAR által használt kommunikációs eszközökből (routerekből) állt”.
Sem az FBI, sem a SRI nem tett – akkoriban – semmilyen említést a GRU által megtámadott „e-mail fiókokról”.
Az e-mail-fiókok – köztük a Román Légierő fiókjai – kompromittálásáról szóló információ csak később került nyilvánosságra egy, a Ctrl-Alt-Intel – egy brit és amerikai IT- és kiberbiztonsági szakértői csoport – által közzétett jelentésben, amelyet a Reuters, majd tőlük a román sajtó is átvett.
Romániában a hackerek legalább 67 e-mail fiókot támadtak meg a Román Légierőnél, köztük néhányat a NATO légibázisokhoz tartozott, valamint feltörték legalább egy magas rangú katonatiszt fiókját.
A Védelmi Minisztérium közölte, hogy ezt az információbiztonsági incidenst „2025 márciusában észlelték, és megállapították, hogy több tucat e-mail-cím feltörését jelentette; további 30 e-mail-cím esetében viszont a támadás nem járt sikerrel. Az incidenst az illetékes szervek 24 órán belül észlelték, elemezték és elszigetelték”.
A SRI és a Védelmi Minisztérium közleményei ellentmondanak egymásnak, ugyanakkor kiegészítik egymást
A Védelmi Minisztérium tehát elismeri egy kibertámadás „felfedezését” abban a hónapban, márciusban, amikor a GRU kibertámadásait megakadályozták.
„Egyáltalán nem vagyok meglepve” – nyilatkozta a PressOne-nak Sandu-Valentin Mateiu katonai szakértő, a román hadsereg tartalékos ezredese. „Amit az amerikaiak egy hónappal ezelőtt bejelentettek az oroszok széles körű kiberháborús akciójának meghiúsításáról, és a később Nicușor Dan által tett nyilatkozatok – ugyanarra az időszakra, 2024–2026-ra, és ugyanarra a szereplőre vonatkoztak: a GRU 85. Központjára” – tette hozzá.
A SRI-vel ellentétben a Védelmi Minisztérium a közleményében sehol sem említette a „GRU”-t vagy az „orosz hackereket”. Ehelyett a román Védelmi Minisztérium bagatellizálta a támadás hatásait, hangsúlyozva, hogy a célzott adatok nem voltak titkosak. Mindazonáltal a minisztérium is azt közli, hogy a helyzetet 24 órán belül megoldották.
Ugyanakkor az áprilisi közleményében a SRI a következőképpen részletezte a GRU kibertámadását:
„A támadó hálózat segítségével a hackerek jelszavakat, hitelesítési tokeneket és érzékeny adatokat gyűjtöttek, beleértve e-maileket és internetes keresési előzményeket, olyan információkat, amelyeket általában SSL (secure socket layer) és TLS (transport layer security) protokollok védenek. Így a GRU világszerte számos szervezetet kompromittált, köztük romániaiakat is, különös tekintettel a kritikus infrastruktúrákra, valamint a katonai és kormányzati szféra információira”
– derül ki a SRI április 7-i közleményéből. Április 14-én a Védelmi Minisztérium elismerte egy „biztonsági incidens” bekövetkeztét anélkül, hogy közvetlenül megnevezte volna a támadót.
„Biztonsági rést találtak” – véli Sandu-Valentin Mateiu ezredes. „Az oroszok ahol csak tudtak, behatoltak. Célpontjuk az ukrajnai támaszpontok és a balkáni NATO-adatok voltak – mi, a bolgárok és a görögök. És Szerbia – amely Moszkvával baráti viszonyt ápol, de a kémkedés mindig érdekek alapján történik”.
A GRU hackereinek módszere és az FBI magyarázata
Az FBI április 7-i közleménye valamivel részletesebben tárgyalja az oroszok által alkalmazott módszert.
„A támadók hitelesítési adatokat gyűjtöttek és kihasználták a világszerte megtalálható sebezhető útválasztókat, beleértve a CVE–2023-50224 sebezhetőség által érintett TP-Link útválasztókat is. Megváltoztatták az eszközök hálózati beállításait, különösen a DHCP-vel (az IP-címeket automatikusan kiosztó protokoll) és a DNS-sel (a weboldalak nevét IP-címekké alakító rendszer) kapcsolatosakat, hogy a forgalmat az általuk ellenőrzött DNS-kiszolgálókra irányítsák.
Az ezekhez a routerekhez csatlakozó összes eszköz – például laptopok vagy telefonok – automatikusan átveszi ezeket a módosított beállításokat anélkül, hogy a felhasználók észrevennék.
A támadók által ellenőrzött infrastruktúra így képes lehallgatni és rögzíteni az összes webhelyre irányuló kérést (vagyis azt, hogy a felhasználók milyen címeket érnek el). Sőt, bizonyos szolgáltatások és domainek – beleértve a Microsoft Outlook Web Access-t is – esetében a támadók adhatnak hamis DNS-válaszokat is.
Ez lehetővé teszi számukra, hogy „adversary-in-the-middle” típusú támadásokat hajtsanak végre (hasonlóan a „man-in-the-middle”-hez), akár titkosított forgalom esetén is, ha a felhasználók figyelmen kívül hagyják a tanúsítványokkal kapcsolatos biztonsági figyelmeztetéseket.
Ilyen helyzetekben a támadók titkosítatlan formában láthatják a felhasználók által továbbított adatokat, beleértve az érzékeny információkat is.”
Másképp szólva, a hackerek kihasználták azt a tényt, hogy az ilyen támadások célpontjául szolgáló „áldozatoknak” „vannak régi szoftverei, amelyekhez nem készítettek biztonsági frissítéseket, vagy amelyekhez nincsenek ilyenek” – magyarázta a PressOne-nak Robert Butyka, IT-biztonsági szakértő.
Ezen felül az FBI közleménye a „Microsoft Outlook Web Access”-re is utal.
2024-ben a román hadsereget azzal vádolták, hogy Microsoft-licenceket vásárolt egy olyan cégtől, amelyről a Nemzetbiztonsági Tanács (CSAT) azt állította, hogy a nemzetbiztonságot veszélyezteti.
Lehetőség vagy sebezhetőség?
A román hadsereg nem adott ki részleteket arról, hogy milyen operációs rendszerk futottak az e-mail címeket használó gépeken, de egy informatikai és elektronikai szakértő a PressOne-nak elmondta, hogy ha a rendszer régi, akkor gyenge védelmet nyújt a támadások ellen.
„Az operációs rendszer elég fontos szerepet játszik, mert a régi rendszerek nem rendelkeznek megfelelő védelemmel, és sok elfeledett biztonsági rés van bennük: amikor írták őket, a fejlesztők még nem gondoltak a mai hackelési módszerekre” – pontosította a helyzet értékelését egy ilyen szakértő, aki névtelen kívánt maradni.
Sandu-Valentin Mateiu rámutat, hogy a Román Légierő ellen irányuló GRU-kibertámadás nem volt feltétlenül véletlenszerű.
„A kérdés az, hogy milyen mértékben voltak a Védelmi Minisztérium és a Légierő Parancsnoksága meghatározott célpontok: gondoljunk csak bele, hogy vannak F–16-osaink, nálunk működik a deveselui rakétavédelmi pajzs, vagy az ukrán pilóták borceai kiképzési programja is. Az FBI műszaki leírásában az állt, hogy az oroszok kihasználtak egy sebezhetőséget néhány TP-Link útválasztón. Ez vagy egyedi alkalom volt, vagy kihasználtak egy sebezhetőséget. Úgy gondolom, mindkettő igaz. A Román Légierőt vették célba, és sikerrel jártak” – mondta Sandu-Valentin Mateiu.
Az orosz hackerek kihasználhatták a Védelmi Minisztérium alkalmazottainak esetleges fegyelmezetlenségét is.
„Egy e-mail feltörése, ha könnyű az azt védő jelszó, gyorsan megy” – állítja Robert Butyka.
Sandu-Valentin Mateiu katonai szakértő rámutat, hogy Moszkva és az orosz titkosszolgálatok egyértelműen hibrid háborút folytatnak a nyugati országok ellen, és ez alól Románia sem kivétel.
„Már nem hiszünk a saját nyilatkozatainkban sem. Ha megmondták, hogy hibrid háború folyik, és Moszkva kijelentette, hogy háborúban áll a Nyugattal, a NATO stratégiai koncepciójában pedig Oroszországot fenyegetésként szerepeltették, akkor mi a fenét akarunk még, mit takargatunk?” – zárja gondolatát Sandu-Valentin Mateiu.
Nos, kérem, a tanulság egyszerű: míg az oroszok nem alszanak, jobb, ha nem alszik sem Bukarest, sem Budapest. Akkor sem, ha mi múlt vasárnap óta valamivel közelebb kerültünk Európához, mint korábban voltunk – látjuk, Románia el sem távolodott Brüsszeltől, mégis támadják, ahol érik. Minket sem fognak kímélni: legyünk résen.
Szele Tamás