Több mint 2600 kibertámadás érte Magyarországot egyetlen nap alatt – ukrán dominancia a támadók között

A számok önmagukért beszélnek. A regisztrált támadások több mint fele, pontosan 52,3%-a ukrán forrásból érkezett – ez 116 olyan incidenst jelent, ahol a támadó IP-címe, az infrastruktúra vagy a művelet jellege egyértelműen Kijev irányába mutat. Ez nem véletlen egybeesés. A magyar-ukrán viszony 2025-2026-ban történelmi mélyponton van: Magyarország nem támogatja a háború eszkalációját, nem engedélyezi a fegyverszállításokat a területén át, és ez Kijevben nyílt ellenségesként értékelődik. Az ukrán vezetés részéről megfogalmazott retorika Budapest ellen szinte háborús hangvételű – és ez a kibertérben is megmutatkozik.

A 2026-os parlamenti választás közeledtével a helyzet csak romlik. Az ukrán érdekszféra – legyen szó állami szervekről, kiberhadviselési egységekről vagy a kormányhoz kötődő hacktivistákról – aktívan érdekelt abban, hogy a magyar belpolitikai helyzet megváltozzon. A jelenlegi kormányzat újraválasztását meg akarják akadályozni, és a kibertámadások, az információs műveletek, a digitális befolyásolási kísérletek mind ennek a szélesebb hibrid hadviselési stratégiának a részei. Egy szomszédos ország, amely nyíltan ellenséges, aktív háborús félként jelentős kiberoffenzív kapacitással rendelkezik, és politikai motivációja van a magyar infrastruktúra zavarására – ez nem egy átlagos fenyegetési kép. Ez egy olyan helyzet, amire fel kell készülni.

Ha összesítjük a keleti régióból érkező támadásokat, a kép még aggasztóbb. Ukrajna, Oroszország, Kína és Irán együttesen a támadások 67,6%-áért felelős – ez 150 dokumentált incidenst jelent egyetlen nap leforgása alatt. Oroszország 14 támadással a második helyen áll a régióban, Kína 12-vel következik, Irán pedig 8-cal zárja a sort. Ezek nem random script kiddie-k, akik unalmukban portokat szkennelnek. Az orosz és kínai kibertérből érkező fenyegetések mögött gyakran államilag koordinált APT csoportok állnak – olyan egységek, amelyek évek óta fejlesztik a módszereiket, és kifejezetten kritikus infrastruktúrákat, kormányzati hálózatokat, stratégiai vállalatokat céloznak meg.

Magyarország földrajzi és politikai helyzete miatt egyszerre található a keleti és nyugati kibertér ütközőzónájában. Ez a pozíció eddig is kihívásokkal járt, de a jelenlegi geopolitikai feszültségek közepette gyakorlatilag céltáblává váltunk. A keleti szereplők számára Magyarország nem csupán egy útvonal nyugat felé – egyre inkább egy olyan politikai tényező, amelyet meg kell törni, befolyásolni, vagy legalábbis destabilizálni.

A legaggasztóbb adatok a kormányzati hálózatokat érintik. 132 olyan eseményt regisztráltak, amely közvetlenül az államigazgatás infrastruktúráját célozta – ebből 57 volt kritikus súlyosságú. Ez nem véletlen. A választási időszakban a kormányzati rendszerek elleni támadások nem pusztán technikai incidensek, hanem a szuverenitás elleni merényletek. Ha sikerül megbénítani egy minisztériumi hálózatot, vagy adatokat szerezni egy pártkampány belső rendszereiből, az már nem kiberbiztonsági kérdés – az hibrid hadviselés, amelynek célja a politikai folyamatok befolyásolása.

A KIFÜ és NIIF hálózatai 83 támadást vonzottak – ezek az intézmények adják az államigazgatás gerincét, az oktatási és kutatási hálózatoktól a központi szolgáltatásokig. A Vodafone magyar hálózata 157 incidenst könyvelhet el, ami szintén aggasztó, hiszen a távközlési szolgáltatók kritikus infrastruktúrának számítanak.

A portok eloszlása árulkodó. A 6379/tcp port – ami a Redis adatbázis-szerverekhez kapcsolódik – 244 alkalommal volt célba véve. A MongoDB-hez tartozó 27017/tcp 206-szor, a 8080/tcp pedig 170-szer kapott találatot. Ezek az adatbázisok és webszerverek portjai – a támadók információt keresnek, hozzáférést akarnak szerezni, feltérképezik a réseket. A 445/tcp, ami a Windows fájlmegosztásokért felel, 160-szor szerepel a listán – ez a port a WannaCry járvány óta ismert a biztonsági szakemberek számára, és azóta is az egyik leggyakoribb támadási vektor.

A legnagyobb magyar szolgáltatók mindegyike érintett. A Magyar Telekom 449 támadást regisztrált, a DIGI 412-t, az Invitech 266-ot. Ezek a számok azt mutatják, hogy a támadók szisztematikusan dolgoznak – nem véletlenszerűen választanak célpontokat, hanem végigpásztázzák a teljes magyar IP-teret.

A támadások 2622 esetben ismert sebezhetőségekre építettek – olyan biztonsági résekre, amelyekről a gyártók már kiadtak javítást, de a rendszergazdák valamiért nem telepítették azokat. Ez a jelenség évek óta ismert a szakmában, de a mai arányok elképesztőek. Csak 49 esetben rögzítettek kártékony tevékenységet, és egyetlen hálózati vizsgálatot – ami arra utal, hogy a fenyegetések túlnyomó többsége automatizált, szkennelésen alapuló támadás, nem pedig célzott, kézi beavatkozást igénylő művelet. Ez egyrészt jó hír: az automatizált támadások hatékonyabban szűrhetők. Másrészt viszont azt is jelenti, hogy a magyar infrastruktúra folyamatos, tömeges tűz alatt áll – és csak idő kérdése, mikor talál egy ilyen automatizált hullám egy olyan rést, ami átcsúszik a védelmen.