Forgókínpad

Forgókínpad

Szele Tamás: A Meduza és a Huppa

2024. április 24. - Szele Tamás

Nem a görög mitológia Medusájáról van szó, hanem az orosz ellenzéki Meduza híroldalról, ami már annyi borsot tört a Kreml orra alá, hogy el is hiszem: ha ránéznek, kővé dermednek. Ők Rigában dolgoznak, emigrációban, hiszen Moszkvában képtelenség volna: viszont európai, sőt, globális jelentőségű munkát végeznek ezekben a sorsfordító időkben, megérdemelnek minden tiszteletet.

hano_aprilis_24_2024.jpg

(Képünk illusztráció)

Mi meg, a Huppa.hu egy kis magyar (nem feltétlenül kormánypárti) híroldal vagyunk, egyelőre még nem emigrációban, most is harcolunk a lapfelületünkért, a munkálatok folynak, ha meg is akadnak néha: távolról sincs európai fontosságunk, bár egyszer még az a nap is eljöhet. Mi lehet közös ebben a két sajtótermékben?

A DDoS-támadás, amit mindkét orgánum ellen folytattak. A Meduza tegnap közölte, mi is a helyzet a háza táján, és mikor olvastam, kilelt a hideg – hiszen szóról szóra ugyanez történt velünk is, csak mi, kicsik lévén, nem tudtuk elhárítani. De bizony a nagyoknak is alig sikerült. Hát akkor lássuk, mit mondanak Rigából, mi történt?

2024. április közepén a Meduza a kiadvány történetében a legerősebb DDoS-támadás célpontja volt. A szervezők nem csupán a honlapunk munkáját akarták megzavarni – azt akarták elérni, hogy a Meduza többé ne legyen olvasható. Bár nincs közvetlen bizonyítékunk, feltételezzük, hogy az orosz hatóságok állnak e támadás mögött, akárcsak a korábbiak mögött. Technikai partnerünk, a Qurium Alapítvány elkészített egy jelentést a támadással kapcsolatos első adatokról.”

Nálunk is majdnem elérték, hogy ne legyünk olvashatóak, arról feledkeztek meg a támadók, vagyis a Hano (jobban mondva: abba tört bele a bicskája), hogy lehet ám Facebook-posztok formájában is publikálni, a lapfelület elérhetetlensége nem jelenti okvetlenül a lap halálát.

A Meduza már beszámolt arról, hogy 2024 februárjában és márciusában – az orosz elnökválasztás előtt – kiadványunkat többféle támadás érte, az újságírók levelezésének feltörésére irányuló kísérletektől kezdve a számos DDoS-támadásig. A választások után ezek a kísérletek nem szűntek meg, a DDoS-támadások esetében pedig új szintet értek el.

A DDoS-támadások a következőképpen működnek: a támadók rengeteg kérést küldenek az áldozat szervereire, és megpróbálják azokat annyira túlterhelni, hogy a normál felhasználók kérései nem tudnak „átjutni” hozzájuk. Ennek eredményeként például egy médiaoldalt ért támadás esetén az olvasói anyagok sokkal lassabban kezdenek el betöltődni – vagy egyáltalán nem nyílnak meg.”

Náluk ezek szerint az orosz elnökválasztás váltotta ki a támadást, nálunk nem tudom, mi lehetett a kiváltó ok tavaly szeptemberben és októberben, bár most, ahogy visszapörgettem a saját archívumomat, döbbenten látom, hogy az utolsó, még a működő lapfelületen megjelent írásom arról szólt, miszerint Galina Timcsenko telefonján és számítógépén Pegasust találtak. Hogy kicsoda Galina Timcsenko? A Meduza kiadója...

Április 15-én este kezdődött a fő támadás. A sebezhető pont a Meduza weboldalának keresőmotorja volt: míg magukat az anyagokat vagy az azokból készült képeket gyors tükörszervereken tudjuk tárolni, a keresőmotor eléréséhez közvetlenül a kiadvány fő szervereihez intézett kérések vezetnek, hogy a legfrissebb találatokhoz jussunk.

Ez a DDoS-támadás 48 órán át tartott. Ez idő alatt több mint kétmilliárd lekérdezés érkezett a szervereinkre – több százszor több, mint a közönségünk által generált tipikus lekérdezések száma. A támadás során keletkezett, a lekérésekről szóló szöveges információk (naplók) körülbelül három terabájtnyi adatot foglalnak el.”

A „mintázat”, ahogy egy közismert magyar biztonságpolitikai álszakértő fogalmazna, megint csak kísértetiesen hasonló. Az első támadás után 48 órával mi is vissza tudtuk kapcsoltatni egy fél napra a lapfelületet, azt hittük, vége az ostromnak, de aztán jött a valódi össztűz. Mint a Meduzánál.

Az új támadás egy órán át tartott, de tízszer több IP-címet használt, mint az előző. A támadás ezúttal IPv6-hálózatokat és a rezidens proxyszolgáltatók infrastruktúráját használta. Az ilyen szolgáltatók lehetővé teszik, hogy a forgalmat más országok közönséges felhasználóinak álcázzák (szemben az olyan proxykkal, amelyek a kéréseket adatközpontokban lévő szervereken keresztül irányítják).”

Mit mondanak a szakértők az első támadásról?

A Qurium elemzése kimutatta, hogy a támadást egy botnet segítségével hajtották végre, amely vagy vírusfertőzött otthoni számítógépeket, vagy internet-hozzáféréssel rendelkező, kompromittált okosotthon-eszközöket használt. Összesen 6300 IP-címről rögzítették, hogy különböző intenzitással küldött kéréseket, az óránkénti több millió kéréstől néhány ezerig. A Qurium úgy véli, hogy ez azt jelenti, hogy a botnetnek nincs belső kontrollja a támadás ereje felett – minden eszköz olyan aktívan küldte a kéréseket, ahogyan csak tudta.

A támadásban részt vevő IP-címek országonkénti megoszlása a következő: több mint 25 százalékuk Brazíliából származott, további közel 20 százalékuk az Egyesült Államokból, a többi pedig Délkelet-Ázsiából, Dél-Amerikából és a Közel-Keletről.”

Szó szerint ugyanezt mondta nekem a mi szolgáltatónk is. A Meduza azonban – mivel világlap, nálunk komolyabb erőforrásokkal – a második, monstre támadás után azonnal a támadók után vetette magát.

A Qurium három rezidens proxyszolgáltatót azonosított, amelyek eszközeit a támadás során használták: Plain Proxies, RapidSeedbox és MIN proxy. A szervezet megjegyzi, hogy hasonló infrastruktúrát figyeltek meg a magyar médiaoldalak elleni 2023. októberi támadásokban.

A Qurium április 18-án lépett kapcsolatba a Plain Proxies-szel, amikor a támadás történt. A cég másnap válaszolt (a támadás ekkor már leállt): közölték, hogy „jelenleg nem látnak semmilyen forgalmat ezen az erőforráson”, de a jövőben blokkolni fognak minden, a Meduza oldalára irányuló kérést.

A vállalat ugyanakkor kételkedett abban, hogy DDoS-támadásról van szó, mivel 250 000 kérés egy IPv6-címről „nem szokatlan a proxyk világában” – és megígérték, hogy felveszik a kapcsolatot az ügyféllel, hogy tisztázzák, miért generáltak ilyen sok kérést. Hogy ki volt a Plain Proxies ügyfele és mi volt a válasza, nem tudni.”

Mi a proxyszolgáltatókig nem jutottunk el, de nem kétlem, hogy ugyanígy ráztak volna le minket. Ha ugyan szóba állnak velünk egyáltalán az ekkora nagyurak. De most jön az alapvető kérdés.

Ki volt a támadó?

Mi egy véletlen folytán tudjuk, hogy a magát Hanónak nevező csoport – a Média1 számára hagyott üzenetet az illető az egyik támadáshoz használt stringben:

hanodidntattackszemlelekcuzwewerefocusedonhuppa.hu

vagyis magyarul és a szavakat elválasztva:

hano nem támadta meg a szemlelek.hu-t mert a huppa.hu-val voltunk elfoglalva

tehát nekünk van egy nevünk („Hano”) és a többesszámból ítélve („we were”, nem „I was”) tudjuk, hogy csoportról van szó. De mit tud a Meduza a támadóiról?

Ki áll a támadások mögött?

Nem tudjuk. De azt tudjuk, hogy ez egy nagyon költséges támadás, és a célja nem csak az, hogy megakadályozza a weboldalunk és a mobilalkalmazásunk működését, hanem az, hogy az erőforrásaink ne működjenek. Ilyen célja csak az orosz hatóságoknak lehet. És folytatni fogják a próbálkozásaikat.”

Furcsul, egyre furcsul – mondaná Alice Csodaországban. Ez már nem hasonlóság, ez már egyezés.

Én nem vonom le nyilvánosan a konzekvenciát azzal kapcsolatban, ki lehet Hano, illetve inkább Хано munkaadója, megbízója, de elképzelhető, hogy Moszkvában lehetne megtalálni, a Lubjanka téren. Elég randa tér az.

Egyelőre ennyire jutottam, de már ez is hátborzongató.

Хано, Хано, szorul a hurok!

 

Szele Tamás

süti beállítások módosítása