Megszámlálhatatlan támadás érte Magyarországot: 157 százalékos ugrás a fenyegetésekben

Aki azt hitte, hogy a hétvége nyugalmat hoz a kiberfenyegetések terén, az tévedett. A szombati adatok kemény valóságot mutatnak: 762 incidens, szemben az előző nap 296-os értékével. Ez 157,4 százalékos növekedést jelent gyakorlatilag egyetlen nap alatt. Nem túlzás azt mondani, hogy a magyar hálózatok elleni támadások volumene soha nem látott méreteket öltött ezen a napon.

A súlyossági eloszlás pedig még aggasztóbb képet fest. A 762 eseményből 445, azaz közel 60 százalék kritikus kategóriába esett. Ehhez képest a 237 magas és a mindössze 80 közepes súlyosságú fenyegetés szinte elhanyagolhatónak tűnik. Érdekes módon egyetlen alacsony súlyosságú eseményt sem regisztráltak – ami vagy azt jelenti, hogy a detektáló rendszerek kizárólag a komolyabb incidenseket kapcsolták fel, vagy azt, hogy a támadók nem is próbálkoztak felderítéssel, egyenesen a támadásra készültek.

A támadási felületek elemzése egyértelmű mintázatot mutat. A leginkább célzott port a 6379/tcp volt, amelyen a Redis in-memory adatbázisok kommunikálnak – ezt 224 alkalommal támadták. A második helyen a 2375/tcp áll 110 találattal, ami a Docker konténer-menedzsment interfészét jelenti. Ez a két technológia alapvető fontosságú a modern felhőinfrastruktúrákban, és a támadók pontosan tudják ezt.

A harmadik legtámadottabb port a klasszikus 23/tcp, azaz a Telnet, száz alkalommal. Bár ez a protokoll évtizedek óta biztonsági kockázatnak számít, meglepően sok rendszerben még mindig engedélyezett. A 9200/tcp, az Elasticsearch keresőmotor portja 88-szor szerepelt a listán, míg a távoli asztali kapcsolatokat kezelő 3389/tcp 80-szor. A fájlmegosztást lehetővé tevő 445/tcp és a MongoDB adatbázisok 27017/tcp portja kisebb, de még mindig jelentős figyelmet kapott a támadóktól.

Az összkép egy olyan hadszíntérről árulkodik, ahol a támadók rendszeresen pásztázzák a kritikus infrastruktúrákat, és kifejezetten a modern, gyakran nehezen védhető technológiákat célozzák meg.

A támadási források földrajzi eloszlása a szokásos mintát követi, néhány érdekességgel kiegészítve. Az Egyesült Államok vezeti a listát 15 százalékkal, ami 15 regisztrált támadást jelent – ez a szám első hallásra alacsony lehet, de érdemes szem előtt tartani, hogy az amerikai szerverek gyakran proxyként szolgálnak más országokból érkező támadásokhoz. Kína a második helyen áll 13 százalékkal, ami meglepően magas arány, ha figyelembe vesszük, hogy a kínai kiberfenyegetések általában nagyobb volumenű, de kevésbé célzott támadásokat jelentenek.

Németország 9, Románia és Oroszország egyaránt 8-8 százalékkal következik. A romániai források jelenléte különösen érdekes a régió közelsége miatt – ez lehet az ott működő botnetek jele is. Az viszont feltűnő, hogy a Seychelles-szigetek 5 százalékot képviselnek. Ez a kis óceániai ország ugyanis adóparadicsomként és laza kiberbiztonsági szabályozásáról ismert, így népszerű célpontja a kiberbűnözőknek, akik ott regisztráltatják szervereiket.

A leginkább érintett hazai szolgáltatók listája jól tükrözi a magyar internethasználati szokásokat. A Magyar Telekom vezeti a mezőnyt 165 érintett eseménnyel, ami nem meglepő a piaci részesedését ismerve. A DIGI szorosan követi 158-cal, ami figyelemre méltó annak fényében, hogy a szolgáltató az elmúlt években jelentős hálózatfejlesztéseket végzett. Az Invitech 81, a Vodafone 41 érintettséggel áll a sorban.

Két anonimizált szolgáltató, az AS62214 és AS42964 összesen 61 eseményben érintett. Ezek a kisebb, gyakran speciális szolgáltatásokat nyújtó cégek jellemzően kevésbé rendelkeznek robosztus védelemmel, mint a nagy szereplők – a támadók pedig kihasználják ezt a réseket.

A kormányzati hálózatokat mindössze négy esemény érintett, és szerencsére egy sem volt kritikus. Ez vagy azt jelenti, hogy az állami rendszerek jobban védettek, vagy azt, hogy a támadók a könnyebb prédákat részesítik előnyben.

A fenyegetéstípusok eloszlása egyértelmű képet mutat: a 662 sebezhetőség 87 százalékot tesz ki az összes eseményből, míg a kártékony tevékenység mindössze 100 esetben fordult elő. Ez a arány arra utal, hogy a támadók még felderítési fázisban vannak, keresik a réseket, de a tényleges behatolások száma viszonylag alacsony.

Persze ez nem ok a megkönnyebbülésre. A sebezhetőségek felderítése gyakran a célzott támadások előszobája. Aki ma még csak pásztázza a rendszereket, az holnap már exploits kóddal próbálkozhat. A két aktív intelligence forrás, amely az adatokat szolgáltatta, vélhetően komolyabb támadóaktivitást is észlelt volna, ha a kártékony szándék erősebb lett volna.