Orosz és ukrán nyomok is vannak a bombafenyegetős levelekben

Ukrán IP-címen keresztül orosz emailszolgáltatóhoz vezetnek a technikai nyomok abban a bombafenyegetős emailben, amelyet országszerte több mint kétszáz iskola kapott meg csütörtökön. Ebből azonban nem vonható le olyan következtetés, hogy ukránok és/vagy oroszok állnának az egész országban iskolakiürítéseket és rendőrségi kivonulást eredményező akció mögött, mert ezt ezen a ponton, a nyilvánosan elérhető információk alapján nem lehet tudni.

Ahogy a sajtóban is megjelent, az emailek legalább egy részét a harcos@coredp.com emailcímről küldték ki. A coredp.com domainről nyilvános eszközökkel megállapítható, hogy a TempM nevű szolgáltatás áll mögötte, amely eldobható, bárki által használható emailcímeket kínál. Ugyanitt látható az is, hogy a tempm.com domain MX rekordja, azaz a mögötte álló emailszerver IP-címe, a 91.196.52.205 a PP KOM i TEX, azaz a Komitex nevű ukrán internetszolgáltatóhoz tartozik. Magyarul ezt az eldobható emailcímet egy olyan oldalon hozták létre, amelynek a levélküldő szolgáltatása Ukrajnából működik:

Ezenkívül magának az iskolákhoz beérkezett emailnek a fejlécét érdemes még megvizsgálni, amelyben visszakövethető az email útja. Kiberbiztonsági szakértők fel is töltötték egy ilyen email fejlécét, itt bárki megnézheti. Ez az email nem a harcos@coredp.com, hanem a harcos@mrdmn.com címről érkezett, amelyet az email-fake.com oldalon hoztak létre, de emögött ugyanaz az ukrán emailszerver áll, mint a másik cím létrehozásához használt szolgáltató mögött, a kettő gyakorlatilag ugyanaz.

A fejlécben az is látható, hogy bár a küldőnél az eldobható emailcím szerepel, az emailt a Yandex nevű orosz cég levélküldő szolgáltatásán keresztül küldték. Illetve az útvonalban a yandex.az cím is látható, ami azerbajdzsáni domainnév:

Mindkét eldobható emailcím úgy működik, hogy az emailcím és a létrehozásához használt oldal ismeretében bárki hozzáférhet az oda érkező levelekhez. Az coredp.com-os fiók itt, míg az mrdmn.com-os itt található. Előbbiben cikkünk írásakor már nem láthatók a korábbi emailek, de csütörtök délelőtt még elérhetők voltak. Az első üzenetekből az látszott, hogy ezt az eldobható fiókot többek között egy yandexes fiókba való belépéshez is használták: ide érkeztek a bejelentkezéshez szükséges kódok. Az újabb levelek már magyar címekről, feltehetően diákoktól, illetve szülőktől érkezhettek, akiknek vagy nem tetszett, hogy valaki szórakozik velük, vagy épp ellenkezőleg, örültek volna további bombafenyegetés miatti iskolai szünetnek is:

Itt most már nem látszanak ezek az emailek. A fenti képet a beérkező levelekről mi készítettük, de egy Reddit-felhasználó, aki maga is az emailfiók nyomába eredt, néhány levélről is tett közzé képernyőképet.

A másik eldobható emailfiók egyes levelei azonban még cikkünk írásakor is elérhetők. Itt is találhatók yandexes levelek, de az iskolák által megkapott fenyegető emailt is elküldte magának a feladó:

Ahogy a képen is látható, itt a feladó mellett található egy sender info, azaz küldő infó feliratú gomb, erre kattintva megnyílik ez az oldal, ahol szintén látható, hogy az eldobható cím mögött yandexes fiók áll.

Mindebből könnyen arra a következtetésre juthat valaki, hogy a levelek küldője vagy küldői ukránok/oroszok. Ezt azonban ennyi információ alapján nem tudhatjuk, hiszen az ukrán hátterű eldobhatóemail-szolgáltatást és az orosz emailfiókot is bárki használhatja. Ezt kérdésünkre Frész Ferenc kiberbiztonsági szakértő is megerősítette, aki a Facebook-oldalára maga is kiírta, hogy „a leveleket Oroszország Yandex szolgáltatóját használva küldték”.

Frész ebben a bejegyzésben azt is jelezte, hogy a következő logikus lépés az lehetne, hogy a magyar hatóságok megkeresik a Yandexet, hogy a cég segítsen az emailek mögött álló fiók tulajdonosának azonosításában. Cikkünk megjelenése előtt megkérdeztük a rendőrséget, hogy ez megtörtént vagy meg fog-e történni, ha válaszolnak, beszámolunk róla.

Egyébként szerdán Bulgáriában is történt egy hasonló bombafenyegetős eset, ott is felbukkant hasonló orosz nyom. A tavaly őszi csehországi és szlovákiai bombafenyegetésekkel kapcsolatban Michal Koudelka, a cseh titkosszolgálat vezetője arra utalt, az akkori levelek mögött „szintén jól látható orosz nyomok vannak”.

Arról, hogy mi állhat a fenyegetések mögött, Buda Péter nemzetbiztonsági szakértővel vettük végig a lehetséges verziókat.