Orosz hekkerek: a magyar külügy rendszerének feltörése csak a jéghegy csúcsa

Egy külföldön tevékenykedő hírszerző ügynökökkel dolgozik. A rizikós kémtevékenységet valójában nem a hírszerző, hanem az általa beszervezett ügynökök végzik, míg ő – tartótisztként – instruálja, irányítja őket. Ahhoz, hogy egy külföldi titkosszolgálatnál tisztában legyenek azzal, kit érdemes beszervezni ügynöknek, vagy egyáltalán kinél érdemes próbálkozni, előzetes kutatómunkára van szükség. Ezt a titkosszolgálati zsargonban tippkutatásnak nevezik.

Mennyi a fizetése, mikor megy szabadságra?

A tippkutatás lényege, hogy a hírszerző a sokaságban megtalálja azt az embert, akiről valamilyen oknál fogva úgy gondolja: nemcsak értékes ügynök lehet, mert például egy kormányzati szervnél vagy minisztériumnál dolgozik, de jó eséllyel be is lehet szervezni. Például azért, mert kevesli a fizetését, ezért elégedetlen a munkahelyével, vagy a megnyilvánulásai alapján látható, hogy nem feltétlenül lojális ahhoz a kormányzathoz, amelyiknek dolgozik. A tippkutatás azonban fárasztó és időigényes munka, mert egy sor olyan információt kell megtudni a célszemélyről, ami alapján dönteni lehet arról, érdemes-e a hírszerzőnek megkörnyékezni őt.

Amikor két évvel ezelőtt a Direkt36 először írt arról, hogy az orosz titkosszolgálatok éveken át ki-be járkáltak a Külgazdasági és Külügyminisztérium (KKM) informatikai rendszerébe, a kormányzat azzal reagált, hogy ez a hír „kampányhazugság”. Nemrég azonban a 444 olyan belső dokumentumot szerzett meg, amely egyértelműen bizonyítja: a kormányzat annak ellenére nevezte hazugságnak a Direkt36 cikkét, hogy a külügy valójában tudott az orosz kibertámadásokról.

Az orosz titkosszolgálatok nemzetbiztonsági szempontból felbecsülhetetlen értékű adatokat lophattak a külügy gépeiről, és a támadásoknak köszönhetően 4000 munkaállomás és 930-nál több szerver vált megbízhatatlanná. Az oroszok ráláttak a belső levelezésekre, hozzáférhettek többek között a Konzuli Információs Rendszerhez, a Forrás nevű pénzügyi-számviteli háttérszoftverhez, a Scriptament elektronikus ügyirat- és dokumentumkezelő és nyilvántartó rendszerhez. Láthatták, kinek mennyi a fizetése, mikor megy vagy ment szabadságra, és még egy sor olyan dokumentumhoz férhettek hozzá, amelyek ugyan nem titkosak, de nyilvánosan és harmadik fél számára legálisan nem elérhetők.

Az oroszok tehát éveken át hozzáférhettek rengeteg olyan információhoz, amely a tippkutatáshoz óriási segítséget nyújt. Az internet előtti korban ugyanis a tippkutatás még azzal járt, hogy a hírszerző a külügyminisztériumból munka után kilépő dolgozót titokban követte, megnézte, milyen szórakozóhelyekre, kocsmákba jár, milyen a magánélete. Mindezt rendkívüli módon megkönnyíti, ha a minisztériumi levelezések és belső adatbázisok segítségével a munka dandárját egy erre alkalmas adatelemző program végzi el, és csak az aprómunka elvégzése marad a hírszerzőre.

Puha célponton keresztül a keményebb célpont felé

De nemcsak a tippkutatáshoz, hanem más titkosszolgálati művelethez vagy titkosszolgálati játszmákhoz is jól jöhetnek ezek az információk. Ha nem is fértek hozzá a zárt hálózatokon belül tárolt minősített információkhoz, tehát államtitkokhoz, olyan nem minősített információkat is le tudtak szívni, amelyek emberi vagy gépi adatelemzéssel akár más, már folyamatban lévő vagy előkészület alatt álló egyéb művelethez nyújthattak nekik segítséget. Sokszor egyébként az ügynökök sem azért értékesek, mert államtitkokat lopnak a megbízónak. Gyakran jelentéktelennek tűnő, de nyilvánosan nem elérhető információk is segíthetnek abban, hogy a hírszerzésnél az elemzők egy-egy információs mozaikdarab birtokában sikereket érjenek el.

Mindemellett pedig azzal, hogy az oroszok hozzáfértek a magyar külügy rendszeréhez, Magyarország szövetségeseinek is károkat okozhattak. Sokszor ugyanis ezeknél a támadásoknál a puhább célpontot arra használják, hogy azokat megfertőzve és azokon keresztül keményebb célpontokat támadjanak – például a Magyarországgal szövetséges Egyesült Államokat. Ehhez elég, ha hozzáférést kapnak például olyan diplomaták levelezéseihez, akik a munkájuk során közvetlen és rendszeres kapcsolatban állnak a szövetséges államok diplomatáival.

Az, hogy idegen titkosszolgálatok ellenérdekelt országok kormányzati szervezeteit támadják, korántsem példa nélküli. Ahogy a Telexnek egy biztonsági forrás fogalmazott, „a KKM-et érintő ügy csak a jéghegy csúcsa”, Oroszország, Kína és Észak-Korea előszeretettel végez ilyen műveleteket szerte a világban, Magyarország sem kivétel.

Az azonban nem mindegy, hogy egy ilyen támadásra a megtámadott fél miként reagál. Az első a kármentés, majd a károk felmérése, de legalább ennyire fontos az érintett külföldi partnerek minél gyorsabb tájékoztatása. Ha ez utóbbi elmarad vagy késik, az további károkat okozhat. Nemcsak azért, mert a külföldi partner sem tudja időben elvégezni a kármentést, hanem azért is, mert a hallgatás a partnerek körében bizalmatlanságot szül. Különösen igaz ez Magyarországra, amelynek kormányát a nemzetközi politika színterén gyakran éri az a vád, hogy szoros kapcsolatot alakított ki Moszkvával, miközben „alsó szinteken” – legyen az éppen az elhárítás vagy egy rendvédelmi szerv – különösen fontos a szövetségi rendszeren belül élő, nemzetközi kapcsolatok ápolása.

Gyakran támadnak, de nem mindegy, hogy reagálnak rá

Ha egy ilyen ügy kirobban, akkor nem önmagában a támadás, hanem az arra adott kormányzati reakció lehet kínos. Például az, hogy a támadást követi-e valamilyen válaszreakció: a nagykövet berendelése, diplomaták kiutasítása, orosz IT-cégek szankcionálása, bármi, amivel a megtámadott fél a támadónak jelzi, ellenséges lépésnek tekinti a történteket.

Önmagában ugyanis abban nincs semmi rendkívüli, hogy Oroszország vagy Kína ilyen támadásokat hajt végre. Idén májusban a brit védelmi minisztérium jelentette be, hogy hekkerek a minisztérium bérszámfejtő rendszerének egyik gyenge pontját kihasználva 270 ezer jelenlegi és volt katona nevét, banki adatait, egyes esetekben pedig a lakcímeit szerezték meg. A támadásért a brit kormányzat Kínát tette felelőssé, de senki nem követeli a brit védelmi miniszter fejét. Mindeközben az ország szuverenitására szavakban oly kényes magyar kormányzat nemcsak hogy nem ismerte el a támadás tényét, de hazugságnak is nevezte azt. Szijjártó Péter a mai napig kitart amellett, hogy a kibertámadásról szóló hír „kampányhazugság”.

A Telexnek azonban több, a területre rálátó forrás is megerősítette, hogy rendszeresek az efféle támadások. Sőt, a rendelkezésre álló információk alapján azt sem lehet biztosan kijelenteni, hogy az évekkel ezelőtt „több adagban” és több orosz titkosszolgálat által végrehajtott támadássorozat egyáltalán véget ért-e.

Sok múlik ugyanis azon, hogy egy olyan nagy horderejű kibertámadásnak, mint ami a külügy informatikai rendszerét érte, milyen „utóélete” van. Nem csak politikai értelemben. A legnagyobb védelmet ugyanis az jelentené, ha ilyenkor a hardvereket egy az egyben lecserélnék, egy ilyen cserének azonban milliárdos költségei vannak. A vas kikukázása, tehát a teljes csere nélkül azonban nincs garancia arra, hogy a rendszert sikerül maradéktalanul megtisztítani.

A kínaiak a beszervezést is online intézik

Lapunk olyan, 2022-ben regisztrált incidensről is tudomást szerzett, amely szintén kormányzati szervezetet érintett, igaz, annak hátterében kínai hekkerek álltak. A támadók akkor az internetre csatlakozó szerverek gyenge pontjait kihasználva adathalász emailek segítségével jutottak be a kiszemelt informatikai rendszerbe.

A hekkerek által megszerzett információkat adathalászatra éppúgy fel lehet használni, mint tippkutatásra. Ráadásul a kínai hírszerzőkre jellemző, hogy nemcsak a tippkutatást, de a beszervezést is online intézik: a kiszemelt ügynökjelölteket gyakran a LinkedInen keresik fel, tanácsadói állást kínálva nekik, majd miután megkörnyékezték őket és fizettek is nekik, az ügynökök értésére adják, hogy nincs visszaút.

A Telexnek név nélkül nyilatkozó biztonsági szakemberek szerint a hírszerzésű célú kibertámadásokban a kínaiak már jóval előrébb tartanak, mint az oroszok. Ennek oka a szakértők szerint az, hogy Kínában centralizált a titkosszolgálati munka, a hekkerek az államnak dolgoznak.

Nyisson meg egy emailt!

Az orosz hekkerek esetében ez bonyolultabb: vannak olyan IT-szakemberek, akiket közvetlenül a titkosszolgálat foglalkoztat, tehát hivatalos állományban vannak, de sok olyan csoport is működik, amelynek tagjai csak bedolgoznak az állami szerveknek, de emellett másoknak is a zsoldjában állnak – például internetes csalásokra szakosodott szervezett bűnözői köröknek. Valamint tudni olyan orosz hekkerekről is, akik közvetítők révén, lazán kapcsolódnak csak valamelyik titkosszolgálathoz vagy bűnözői körhöz, és esetükben sem a lojalitás, hanem a pénz a hajtóerő. Márpedig a titkosszolgákra jellemző, hogy egy-egy művelet részleteibe csak a sajátjaikat avatják be, a külsős hekkerek csak a részfeladatot ismerik, a teljes műveleti cél rejtve marad előttük. Ez ugyanis bizalmi kérdés.

Hekkereket persze nemcsak a kínaiak, az oroszok vagy az észak-koreaiak használnak, hanem más szolgálatok is is. Az például, hogy 2023 februárjában hekkerek feltörték a budapesti székhelyű, a sajtóban csak orosz kémbanknak csúfolt Nemzetközi Beruházási Bank szerverét és belső levelezéseket szivárogtattak ki, szakértők szerint egy olyan titkosszolgálat akciója lehetett, amely Oroszország ellen dolgozott. De előfordulhat olyan eset is, hogy egy hekkercsoport több kapura játszik: egy sikeres betörés után az igazán értékes adatokat valamelyik titkosszolgálatnak adja el, míg a „maradékot” a dark weben értékesíti. Hogy mit kezdenek a titkosszolgálatok a saját vagy a nekik dolgozó külsős hekkerek által megszerzett információkkal, az eltérő lehet. Sokszor a nyilvánosságnak történő kiszivárogtatást használják nyomásgyakorlásként, másként olyan műveletben használják fel – például zsarolási eszközként –, amely műveletről nem tud a publikum.

Az ellenérdekelt titkosszolgálatok a kormányzati szervezetek nyílt hálózataihoz gyakran kívülről férnek hozzá, kihasználva a felhasználók hanyagságát, éppen úgy, ahogy teszik azt például az internetes csalók. De a kormányzat zárt hálózataihoz már belső ember segítsége kell.

A Telexnek nyilatkozó szakemberek szerint az ellenérdekelt titkosszolgálatok által beszervezett helyi ügynököt gyakran csak egyetlen feladattal bízza meg a tartótisztje: helyezkedjen el valamelyik kormányzati szervezetnél, és ha eljön az idő, akkor nyisson meg egy emailt – más dolga nincsen. Egy ilyen megbízás jóval kevésbé rizikós, mint a hagyományos, folyamatos kémkedés, lebukás esetén pedig nehéz megállapítani azt, hogy az illető eleve rossz szándékkal, egy idegen hatalom megbízásából járt el, vagy csak egyszerűen hanyagságból. Úgy tudjuk, Magyarországon is több alkalommal használták külföldi szolgálatok belső ember segítségét.

Jóllehet a külügyet az orosz szolgálatoknak dolgozó hekkerek támadták meg, a kínaiakkal ellentétben az oroszok még mindig a régimódi módszereket alkalmazzák, legalábbis ha ügynökök beszervezéséről van szó – a kibertérben pedig a magyar külügyi rendszer feltöréséhez hasonló műveletek mellett leginkább katonai és energetikai célpontokat vesznek célba. Természetesen emellett egy sor más olyan műveletet is végrehajtanak, ami már leginkább a katonai jellegű szabotázsakciókra hasonlít – főleg a jelenlegi, háborús helyzetben szaporodtak meg ezek az akciók.

Kémfészek Bécsben, Genfben

A háború kitörése óta azonban sokkal óvatosabbak lettek, merthogy tevékenységük a mainstream médiában napi téma lett, az európai elhárító szervek pedig a korábban még tolerált orosz befolyásoló hálózatokat is fényre viszik. Utóbbira példa az, hogy több európai elhárító szerv gyakorlatilag nyilvánosan leplezett le egy Magyarországra is kiterjedő orosz befolyásolási hálózatot az EP-választási kampány kellős közepén.

A területet ismerő források a Telexnek azt mondták: azzal, hogy a háború kirobbanása után több európai állam is tucatszámra utasította ki a hírszerzőgyanús orosz diplomatákat, Moszkva az osztrák fővárosban, Bécs egyik külvárosi részében alakította ki az orosz hírszerzők főhadiszállását, de Genfben is otthonra leltek.

Bécs mindig is kedvelt helyük volt az oroszoknak, akárcsak Magyarországon belül Hévíz, amit a háború előtt elleptek az orosz turisták. „Ha Hévíz egy játszótér, akkor Bécs a Disneyland” – utalt egy, a területet jól ismerő forrás arra, milyen szintbeli különbség van a magyar város és az osztrák főváros között. És miközben az orosz kibertámadások gyakoriak, az orosz hírszerzők előszeretettel tértek vissza azokhoz az analóg módszerekhez, amelyeket a hidegháború idején használtak.

Szintén újdonság, hogy az oroszok újabban ukrán menekülteket szerveznek be ügynöki munkára. Van, amikor pénzzel motiválják, de előfordul, hogy zsarolással bírják rá őket az együttműködésre. Ezeket az ügynököket előszeretettel használják szabotázsakciókra is.

Az orosz hírszerzők a módszereiken is változtattak: a leggyakrabban a bécsi központjukból utaznak – busszal vagy vonattal, de semmiképpen sem repülővel – az európai országokba, ahol a konspiratív találkozóikat bonyolítják az ügynökeikkel.

Az, hogy az oroszok kénytelenek voltak átállni erre a módszerre, előnyökkel és hátrányokkal is jár számukra. Előnyös azért, mert a schengeni zónán belül könnyedén utazhatnak, a másik országban pedig idegenként nem keltenek feltűnést. Az viszont hátrány, hogy a háború után kiutasított hírszerzők a korábban már beszervezett ügynökeiket „átadták” az új tartótisztnek. Márpedig arra nincs garancia, hogy az új tartótiszt ugyanúgy szót ért az ügynökkel, mint az elődje.

Ugyanakkor Ausztria ideális bázis: az osztrák kémelhárítás szervezetébe az elmúlt években sikeresen épültek be az oroszok. Emellett Európán belül jelenleg Bécsben van a legtöbb diplomata státuszban lévő orosz állampolgár. A számukat a Telex forrásai 600 körülire tették, ebben természetesen benne vannak a diplomaták családtagjai is.

Összehasonlításképpen: Magyarországon ez a szám nagyjából 100-120 fő, de ebből csak 40-45 a „valódi” diplomata, a többi vagy családtag, vagy a diplomatákat segítő személyzet. Ugyanis – ellentétben például az amerikai nagykövetséggel – az orosz nagykövetség nem alkalmaz külföldi dolgozót.

Ez is a bizalomról, pontosabban a bizalmatlanságról szól. Az oroszok ugyanis tudják, hogy ha nem a saját emberük van házon belül, akkor éppen olyan sebezhetőek, mint azok az országok, amelyeknek a szervezeteit helyi ügynökeik segítségével támadják.