Most érkezett el az a pillanat, amikor lecsaptak rá, pedig a rendőrség már másfél éve birtokában volt a Hano álnéven ismert hekkerhez vezető információknak.

A rendőrség örömmel számolt be arról, hogy feltehetően sikerült azonosítaniuk azt a hekkert, aki számos hazai hírportált, köztük a hvg.hu-t is, elérhetetlenné tette. Az örömbe azonban némi árnyalatot visz, hogy a 23 éves hacker kilétére vonatkozó kulcsinformációt egyik magyar célpontja saját hatáskörében fedezte fel, és ezt még 2024 januárjában megosztotta a nyomozókkal. Az ügy legizgalmasabb részéről viszont a rendőrség nem szolgáltatott további részleteket.

A rendőrség hétfői sajtóközleménye szerint sikerült azonosítani azt a férfit, aki 2023 óta folyamatosan túlterheléses támadásokkal tette elérhetetlenné számos magyar híroldalt, köztük a HVG online platformját és a bécsi központú International Press Institute weboldalát is.

A hekker célpontjai között megtalálható Media1 már 2024 januárjában olyan adatokat gyűjtött és juttatott el a rendőrséghez, amelyek révén a mostanra felfedett hekker által használt számítógép IP-címe, vagyis a hálózati azonosítója pontosan azonosíthatóvá vált - mondta el a portál főszerkesztője, Szalay Dániel.

A Hano álnevet viselő hekker, aki kormánykritikus magyar weboldalak rendszeres célpontja volt, a támadásaival próbálta hosszabb-rövidebb időre megbénítani ezeket az oldalakat, túlterheléses módszerekkel. Ezt követően egy külföldi híroldalra is rátámadt, amely a támadásokról számolt be.

A DDoS-típusú támadások (Distributed Denial-of-Service, azaz "elosztott szolgáltatásmegtagadás") lényege, hogy egy weboldalt egyszerre több ezer, vagy akár tízezer IP-címről próbálnak elérni egy rövid időintervallumban. Ez a hirtelen megnövekedett forgalom, amely tele van érvénytelen kérésekkel, olyan mértékű terhelést generál, hogy a weboldal, valamint a mögötte álló infrastruktúra nem bírja el a nyomást, és képtelenné válik a felhasználói kérések kiszolgálására. A helyzet súlyosbodik, mivel a valódi látogatók, olvasók zöme a statisztikák szerint a "ki nem szolgáltak" csoportjába tartozik. Ezt a jelenséget egy informatikai szakértő osztotta meg lapunkkal.

A kibertámadások során használt IP-címek mögött általában jóhiszemű, ám figyelmetlen felhasználók számítógépei rejtőznek. Ezeket a rendszereket szakértő hekkercsoportok fertőzik meg olyan kártevőkkel, amelyek lehetővé teszik, hogy a gép a tulajdonosa tudta nélkül, "háttérben futó programként" végezzen különféle internetes tevékenységeket. Ezt az eljárást követően a gép egy távirányítható "bot" lesz, amelyet a támadók irányítanak. A több tízezer eszközt magában foglaló bothálózat létrehozása és fenntartása – beleértve a vírusok folyamatos frissítését és a kiesett gépek pótlását – nem elhanyagolható munka, így az ilyen tevékenységek elvégzése gyakran meghaladja az egyes támadások keretein belül vállalható erőfeszítéseket. Ezért léteznek olyan hekkercsapatok, amelyek hajlandóak bérbe adni távirányítható hálózataikat megfelelő díjazás ellenében, lehetővé téve mások számára is a kibertámadások lebonyolítását.

A rendőrség tájékoztatása szerint Hano, akit a hatóságok egy 23 éves budapesti fiatalemberként azonosítottak, pontosan ilyen "bér-DDoS" szolgáltatások segítségével bénította meg célpontjait. Ennek a szolgáltatásnak az igénybevétele azonban nem csupán annyiban különbözik egy pizzarendeléstől, hogy törvénybe ütközik, hanem sokkal komolyabb szakértelmet is követel. A dark web mélyén, ahol a hagyományos keresőmotorok nem járnak, csak megfelelő tudással rendelkező felhasználók navigálhatnak. Az igazi kihívást pedig egy olyan hamis profil kialakítása jelenti, amely számos közvetítő lépésen keresztül segít eltüntetni a felhasználó valódi személyazonosságát – magyarázta a szakértő.

Ha azt vesszük szemügyre, hogy a támadások gyanúsítottja évek hosszú során keresztül folytathatta üzelmeit anélkül, hogy a hatóságok nyomára bukkantak volna – ráadásul még mindig nem emeltek vádat a fiatal ellen –, akkor meglehetősen valószínű, hogy ügyesen rejtőzködött az online világban. Túlterheléses támadások elkövetőjeként nem csupán a magyar hatóságok, hanem az osztrák, sőt egy ideig a német szervek is fáradoztak a Hano név mögött álló személy azonosításán. Az osztrák hatóságok – akik szerintük együttműködtek a magyar nyomozókkal – nem adtak hírt a nyomozás eredményeiről; a németek pedig, akikre a magyar közlemény nem is hivatkozik, végül feladták a nyomozást, mivel nem jutottak előbbre, és megszüntették az eljárást.

Másfelől viszont Hanót végül sikerült beazonosítani. Virtuális lábnyomait pedig, amelyek lakása ajtajáig vezettek, a rendőrségi házkutatás előtt másfél évvel, már 2024 januárjában megtalálta és visszakövette az egyik célba vett magyar portál szakértője.

A Media1.hu ellen 2023 tavaszán indított túlterheléses támadások komoly kihívások elé állították a szerkesztőséget. A főszerkesztő, Szalay Dániel, a helyzet súlyosságát felismerve, a rendőrséghez fordult segítségért. Mivel a nyomozás kezdeti lassúsága világossá tette, hogy a hatóságoktól gyors megoldásra nem számíthatnak, a portál számára egyre sürgetőbbé vált, hogy saját maguk gyűjtsenek információt a támadóikról. A folyamatosan érkező támadások nemcsak anyagi károkat okoztak, hanem arra is kényszerítették őket, hogy hazai internetszolgáltatójuk helyett – jelentős felárral – franciaországi szervereket keressenek. Ezen kívül, hogy a DDoS-támadásokkal szemben védelmet nyújtsanak, szinte folyamatosan szükségessé vált egy informatikai biztonsági szakértő alkalmazása, aki az elhárítási és elemzési feladatokat látta el.

Ő dolgozta ki azokat a megoldásokat, amelyekkel a túlterheléses kampányokból előbb a támadó botgépek IP-címeit, majd az azokat ténylegesen irányító gép adatait is meg tudta határozni.

Bár szakértőik révén számos saját információval gazdagodtak, a rendőrség kérésére a folyamatban lévő nyomozás érdekében a házkutatásig nem osztották meg ezeket a cikkeikben. Már a kezdetektől fogva világos volt, hogy Hano mélyen belelát a magyar belpolitikai viszonyokba és a sajtó tartalmába, így valószínű, hogy a nyomozás egy magyar elkövető nyomaira vezet. Amennyiben pedig csoportos elkövetésről van szó, akkor annak egy magyar tagja is lehet. A támadók által használt kódokat elemezve pedig érdekes párhuzamokat találtak a 2021-es ellenzéki előválasztási rendszer elleni támadásokkal, még ha ezek nem is szolgálnak kézzelfogható bizonyítékokkal.

Az áttörést az hozta el, amikor tavaly januárban, a szakértőjük által kidolgozott virtuális csapda révén, sikerült feltárni a támadásokat irányító gép böngészőjének, internetszolgáltatójának (DIGI) és IP-azonosítójának részleteit. Szalay szavai szerint nem elhanyagolható, hogy a támadó elbizakodottsága és a hibái is hozzájárultak ehhez a sikerhez. A Hano név folyamatos használata már önmagában is súlyos hiba volt - egyfajta könnyelműség, ami végül a saját vesztét okozta. Ezen kívül a fiatal hekkertől olyan nyomok maradtak hátra, amelyeket egy igazi szakértő biztosan eltüntetett volna.

Amikor a nyomozók átadták a támadások részletes elemzéséből származó információkat, beleértve a döntő jelentőségű IP-címet is, a kapcsolatot tartó hadnagy megjegyezte, hogy heteken belül várhatóak a fejlemények. Szalay, aki hónapokon át türelmesen várt az ígért folytatásra, végül kénytelen volt szembesülni azzal, hogy a hosszú várakozás alatt semmilyen érdemi tájékoztatást nem kapott az ügy előrehaladásáról.

Másfél év elteltével ugyanolyan ámulattal szemlélte a hétfői közleményt, mint bármelyik híreket követő olvasó.

Hogy másfél év után miért éppen most került sor házkutatásra, találgatások tárgya marad, mivel a rendőrség nemcsak a sajtó kérdéseire nem válaszol, hanem a korábban döntő információkat szolgáltató sértettet sem tájékoztatják azóta érdemben. Igaz, cikkünk megjelenése előtt a Media1 mint feljelentő és sértett kérésére a nyomozók ígéretet tettek a lap vezetőjének, hogy hamarosan betekinthet a nyomozás bizonyos dokumentumaiba.

Mivel a múlt héten Németországban bejelentették egy bér-DDoS-támadásokkal foglalkozó orosz hekkercsapat felderítését, nem kizárt, hogy ez a nemzetközi szálakkal bíró Hano-ügyet is valamilyen módon elősegítette. Szalay véleménye szerint az is elképzelhető, hogy a házkutatási parancs kiadásának folyamata jelentős késlekedést szenvedett el. Ha a bíróságon is hasonló nehézségek adódtak a virtuális bűncselekmények számítástechnikai nyomaival és bizonyítékaival kapcsolatban, mint amilyen kihívásokkal a rendőrség szembesült az ügy kezdeti szakaszában, akkor ez magyarázatot adhat a késlekedésre.

Szalay meglepettsége csak fokozódott, amikor a házkutatás során készült felvételek alapján rájött, hogy a fiatal elkövető egy rendezett, középosztálybeli környezetből származik.

a kritikus bűnjelként szolgáló adathordozókat saját szobájában megőrizve tartotta, gépén a legközönségesebb böngészőt használt - mintha egyáltalán nem számolt volna a kibertérben elkövetett bűncselekményei súlyával és lehetséges következményeivel.

A túlterheléses támadások komoly anyagi veszteségeket idéztek elő; a Media1 esetében a kár összesítve elérte a tízmilliós nagyságrendet, amelyet az elérhetőségi problémák és a megerősített védekezés miatt felmerült extra költségek együttesen okoztak. A vállalat kártérítési igényét peres úton kívánja érvényesíteni, amint a hatóságok nyilvánosságra hozzák az elkövető kilétét.

A rendőrségi felvételek alapján azonban valami továbbra is zavaróan hiányzik a képből. Mivel rendre kormánykritikus felületeket vett célba, politikai motivációja nyilvánvaló. Az viszont egyáltalán nem világos, hogy a jelek szerint még szüleivel élő fővárosi fiatal miből fedezte a túlterheléses támadások tömegét adó bothálózatok bérlését.