Dana 30. decembra 2021. godine, u Moskvi, ruski ministar spoljnih poslova Sergej Lavrov zakačio je Orden prijateljstva na odijelo svog mađarskog kolege Petra Sijartoa. Iako je medalju uručio Lavrov, odlučio je da je dodijeli lično predsjednik Rusije Vladimir Putin. Orden, koji je u obliku vijenca od maslinovih grančica oko globusa, a na poleđini ima ćirilični natpis "Mir i prijateljstvo“, najveće je rusko državno odlikovanje koje se može dodijeliti strancu.
Peter Sijarto je odavno znao da su ruske obaveštajne službe napale i hakovale IT sisteme Ministarstva vanjskih poslova i trgovine (MFA), na čijem je on bio na čelu. Do druge polovine 2021. godine postalo je jasno da su Rusi potpuno ugrozili kompjutersku mrežu i internu prepisku Ministarstva vanjskih poslova. Štaviše, hakovali su i šifrovanu mrežu koja se koristi za prenos "ograničenih” i "poverljivih” državnih tajni i diplomatskih informacija, koje se mogu koristiti samo pod strogim sigurnosnim mjerama.
Prema internom dokumentu koji je dobio "Direkt36", ministarstvo spoljnih poslova je i dalje bilo pod ciljanim napadima u januaru ove godine. Detalje ruskog hakovanja komunikacionih kanala ministarstva vanjskih poslova podijelili su sa mađarskim istraživačkim sajtom, između ostalih, bivši državni zvaničnici, koji su za incident saznali od direktno upućenih zvaničnika.
Prema bivšim obaveštajnim zvaničnicima, trag cyber napada sugeriše da hakerske grupe koje rade za ruske obavještajne službe očigledno stoje iza operacija protiv mađarskog ministarstva spoljnih poslova. Ovi hakeri rade za Federalnu službu bezbjednosti, FSB, koju je ranije vodio Putin, i za rusku vojnu obaveštajnu službu, GRU. Prema izvorima, ove hakerske grupe su odavno dobro poznate mađarskim državnim organima, jer najmanje deceniju neprekidno napadaju mreže mađarske vlade. Ruski napadi na Mađarsku najčešće su povezani sa hakovanjem drugih NATO zemalja, a članice zapadne alijanse redovno sarađuju i dijele informacije kako bi identifikovale ove ofanzivne cyber operacije.
Mađarska diplomatija je postala praktično otvorena knjiga za Moskvu kroz hakovanje mreža ministarstva. Rusi mogu unaprijed da znaju šta mađarsko ministarstvo vanjskih poslova misli i planira, a to se dešava u veoma osjetljivom trenutku. Ruska infiltracija je ostala aktivna prije i djelimično nakon invazije na Ukrajinu, tokom aktuelnih kriznih samita EU i NATO. U međuvremenu, nema znakova da je mađarska vlada javno uputila protest Rusiji zbog cyber špijunaže.
"Direkt36" je uz pomoć dokumenata ministarstva vanjskih poslova i više od trideset intervjua razotkrio ruske obaveštajne operacije protiv mađarskog ministarstva spoljnih poslova i neadekvatnost mađarskih kontraobaveštajnih mjera unazad najmanje deceniju. Na primjer, razgovarali su sa bivšim mađarskim obavještajnim i sigurnosnim oficirima koji su radili na poljima vezanim za rusku obavještajnu službu i imali su konkretne informacije o mnogim slučajevima. Izvori upoznati sa unutrašnjim poslovima Ministarstva spoljnih poslova i trgovine podijelili su informacije o tome kako je ministarstvo postupalo sa cyber napadom.
Osoblju ministarstva nije rečeno da su njihovi računari zaraženi
Od jeseni 2021. neobične poruke pojavile su se na internim mejling listama u Ministarstvu vanjskih poslova i trgovine. Dok je osoblje ministarstva ranije dobijalo takve mejlove u vezi sa cyber-sigurnošću samo povremeno, od prošle godine su i dalje često dolazili.
Prema diplomatskoj depeši Ministarstva vanjskih poslova koji je dobio "Direkt36", objavljeno je 11. novembra 2021. da se "projekat za cyber sigurnost razvija u cilju jačanja IT i cyber sigurnosti“. Кao prvi korak, kreirana je adresa e-pošte na koju se pozivaju zvaničnici ministarstva vanjskih poslova da "prijave probleme u vezi sa cyber-sigurnošću (npr. "phishing email", DDOS napad, napad virusom ransomvare-a, curenje lozinke, curenje podataka)“.
‼️🇷🇺Hungary’s latest Russia scandal: @direkt36 reveals that Orbán’s foreign ministry has been compromised by an ongoing Russian cyberespionage campaign. They even hacked the encrypted channel also transmitting confidential NATO & EU material.
— Szabolcs Panyi (@panyiszabolcs) March 30, 2022
👇THREAD.👇https://t.co/H3MD8RwnoX
Ministarstvo je prije Božića već izdalo uputstva mađarskim diplomatskim misijama o ograničenju upotrebe mobilnih telefona za službeni rad. Zatim, 7. januara ove godine, službenik projekta za cyber sigurnost je prekorio osoblje zbog nepoštovanja nove politike. "Tehničke istrage sprovedene u cilju povećanja informacione i cyber sigurnosti pokazale su da se zvanična prepiska ministarstva ne odvija isključivo pomoću tipova uređaja i programa koji su ovlašćeni za ovu svrhu“, navodi se u drugoj internoj depeši.
Došlo je do sve veće sumnje u ministarstvu da bi problem mogao biti prilično ozbiljan. Jedan izvor upoznat sa unutrašnjim poslovima ministarstva mislio je u to vrijeme da su Кinezi možda hakovali njihov sistem. Jedna od depeša ministarstva nagovještava ovo: "U upotrebi su mjerljive količine uređaja za koje je dokazano da na tajan način prenose lične podatke Кini. To uključuje (ali nije ograničeno na) Huawei (ZTE), Honor, Shiaomi, Vikos, između ostalih".
Ovo nije samo značajno jer ističe ozbiljne ranjivosti vladine komunikacije. Pismo je zanimljivo i po tome što pokazuje da je Orbanova vlada svjesna sigurnosnog rizika koji predstavljaju kineski uređaji, dok su to u javnosti godinama negirali. Štaviše, Orbanova vlada je bila jedna od najvećih pristalica upotrebe kineskih telekomunikacionih uređaja u Evropi. Sijarto se, na primjer, više puta zalagao za Huawei i tvrdio da uređaji kineske kompanije ne predstavljaju nikakav rizik.
Samo sedmicu dana nakon pisma sa upozorenjem na kineske uređaje, Ministarstvo vanjskih poslova je izdalo upozorenje o drugačijoj vrsti prijetnji, rekavši da se napad putem e-pošte "pojavio u nekoliko stranih ambasada ove sedmice“. U zaraženoj e-poruci, napisanoj na engleskom, navodi se da će lozinka primaoca za njihov nalog elektronske pošte @mfa.gov.hu ministarstva uskoro isteći i da treba da se promijeni. "Unesene lozinke bile bi automatski dodijeljene adresi napadača, a zatim proslijeđene neovlaštenim korisnicima koji bi mogli lako da dobiju pristup punom sadržaju prijemnog sandučeta", navedeno je u upozorenju.
Međutim, projekat cyber sigurnosti ministarstva nije pokrenut samo da bi se podigla svijest, a interne istrage nisu samo otkrile potencijalne rizike. Do druge polovine 2021. rukovodstvu ministarstva je takođe postalo očigledno da iza aktivnog, ozbiljnog napada na sisteme ministarstva stoje ruski hakeri, izjavilo je za "Direkt36" nekoliko bivših mađarskih državnih zvaničnika. Imali su detalje od kolega sa direktnim saznanjima o ruskoj operaciji ili onih koji su ranije radili u oblastima vezanim za rusku obavještajnu službu.
Na osnovu poznatih metoda hakera iz prethodnih cyber napada u Mađarskoj i inostranstvu, tehnike zaraze i drugih tragova koje su ostavili za sobom (IP adrese, porijeklo i odredište mrežnog saobraćaja, ciljevi), agencijama je od početka bilo jasno da su ruske obaveštajne službe napale ministarstvo. Na primjer, neki od tragova su bili posebno povezani sa poznatim napadima na druge zemlje NATO-a za koje je već potvrđeno da ih je izvela Rusija, ili su imali nevjerovatnu sličnost sa njima.
"Nemoguće otkriti kada je počelo"
"Zaraza" je ušla u Ministarstvo vanjskih poslova Mađarske dijelom putem "fišing" napada i priloga u e-porukama koji sadrže malver i viruse, a zatim se proširila internom mrežom. Prema riječima bivših zvaničnika, zaraza je vrebala godinama i otkrivena je toliko kasno da je nemoguće retrospektivno reći u kom trenutku i na koliko različitih načina su Rusi upali u sisteme ministarstva.
Prema izvorima upućenim u unutrašnje poslove ministarstva, agencije odgovorne za sigurnost mreža obavjestile su Sijartoa i najviše rukovodstvo ministarstva prije najmanje šest mjeseci. Od tada, ministar unutrašnjih poslova Šandor Pinter i šefovi njegovog ministarstva su takođe dobijali detalje od sigurnosnih agencija koje nadgledaju. U ministarstvu vanjskih poslova, cyber-sigurnost je u nadležnosti Odeljenja za sigurnost, informacione tehnologije i telekomunikacije (BITAF) i civilne obavještajne agencije, Кancelarije za informacije (IH). Na nivou ukupne vlasti, nadležna agencija je Specijalna Služba za nacionalnu sigurnost (SSNS). Međutim, prema nekoliko bivših obaveštajnih službenika, Nacionalni provajder infokomunikacijskih usluga (NISZ), kao i kontraobavještajna agencija, Кancelarija za zaštitu ustava (AH) takođe su uključeni u ublažavanje incidenta.
Sijarto je početkom decembra prošle godine rekao odboru mađarskog parlamenta za nacionalnu sigurnost da je IH – koji je takođe odgovoran za nacionalnu sigurnost mađarskih ambasada u inostranstvu – izradio novi koncept za jačanje zaštite i "rad na tome je započeo ovaj godine kako je planirano”. On je dodao da su u IH "preduzeli više mjera za jačanje unutrašnje sigurnosti“. Međutim, nije rekao da to ima veze sa cybernapadima.
Na istom sastanku odbora, Pinter je takođe izrazio zabrinutost. Nakon što je rekao da je mađarska cyber odbrana "u potpunosti“ odgovornost SSNS-a, koji on nadgleda, on je dodao da "bez obzira na to, svaka konkretna agencija mora da sprovodi svoje zadatke cyber odbrane, jer nije dovoljno imati centralnu viziju ako pojedinačni članovi osoblja ne obraćaju dovoljno pažnje na korišćenje računara i interneta”.
Iako su Sijarto i njegovi zamjenici već neko vrijeme svjesni rizika, oni to nisu otkrili aparatu spoljnih poslova osim putem opštih upozorenja u diplomatskim depešama u kojima se pominje da su njihovi svakodnevni radni uređaji i mreže ministarstava vanjskih poslova već neko vrijeme ugroženi. Osim toga, proces izbacivanja ruskih obavještajnih službi iz mreža mađarskog ministarstva vanjskih poslova je izuzetno spor i do danas nije završen. Prema bivšim sigurnosnim zvaničnicima, to je zbog, između ostalog, fragmentiranog i sporog donošenja odluka i nedostatka stručnosti.
Ipak, ruski cyber napadi na mađarsku vladu i mađarsko ministarstvo vanjskih poslova dešavaju se najmanje deceniju unazad, saznao je "Direkt36".