A támadás, ami majdnem megsemmisítette a hódmezővásárhelyi önkormányzat teljes informatikáját

A nyár végén az Azonnali cikkei után ismét nyilvánosságot kapott eseten túl több kibertámadás is érte a hódmezővásárhelyi önkormányzatot az elmúlt években. Ebből az egyiket egy zsarolóvírus okozta – bemutatjuk a történetet, amikor majdnem megsemmisült a város adatvagyona.

Az Azonnali kérdésére derült ki, hogy büntetővégzéssel első körben már bűnösnek is mondták ki az egyik, a hódmezővásárhelyi önkormányzatot ért hackertámadásban ifj. Rapcsák Andrást, az önkormányzati Hódmezővásárhelyi Vagyonkezelő és Szolgáltató (HVSZ) Zrt. egykori igazgatósági elnökét. Az ügy azóta tárgyalással folytatódott, de ítélet még nincs, a bíró új tanúkat és bizonyítékokat kért be.

Már ennek kapcsán is elhangzott: nem ez volt az első kibertámadás a város informatikája ellen.

Teljes üzemzavar lett úrrá a hódmezővásárhelyi önkormányzaton 2019. március 19-én kedden, ami egészen vasárnapig eltartott. Lényegében leállt a munka a hivatalban, erről akkor a nyilvánosság is értesülhetett, ugyanis a város abban az évben késve adta le az éves beszámolóját a Magyar Államkincstárnak, ami miatt az állami előfinanszírozásukat is felfüggesztették egy időre. 

Márki-Zay Péter, az akkor kicsit több mint egy éve megválasztott polgármester akkor le is nyilatkozta a médiának, hogy az ok: zsarolóvírust kaptak. Bár a Delmagyar.hu beszámolója szerint a közeli Sándorfalva informatikája például megfertőződött az akkoriban a világsajtót foglalkoztató, észak-koreai hackerekhez kötött “wannacry” elnevezésű kártevővel, a csongrád-csanádi megyei jogú várost nem ez támadta meg. Mégis közel álltak ahhoz, hogy a teljes önkormányzati adatvagyon megsemmisüljön.

Felpuhított biztonság és feszültségek

Ahogyan ez az országos viszonylatban is éles helyi politikai adok-kapokban többször, de általában elég felületesen előkerült, a várost több informatikai fertőzés is érte 2018 és 2019 során. 2018 októberében az egyik számítógépük kapott be egy vírust, ami elkezdett terjedni az azzal hálózatba kötött eszközökön. Hogy pontosan honnan eredt, nem tudni, az biztos, hogy az egyik dolgozó fiókjáról került be, így elképzelhető, hogy egyszerűen valaki figyelmetlen volt és egy olyan linkre kattintott, amire nem kellett volna.

Ez az incidens arra viszont mindenképp jó volt, hogy az akkor éppen személyes konfliktusoktól sem mentes, a 2018 februári polgármester-választás után félig-meddig már lecserélt önkormányzati vezetés figyelmét ráirányítsa a hivatali informatika durva sebezhetőségére.

Forrásaink szerint a rendszer eredendően nem lett volna rossz, de annyi kényelmi kiskaput tettek bele az évek alatt, hogy így már könnyű célpont lett a támadóknak. 

A szigorú tűzfalbeállításokat felpuhították rengeteg engedélyezett kivétellel, és titkosítás nélkül adtak távoli asztal hozzáférést kollégák vagy külső támogatók számítógépeinek. Ezt egyébként ifj. Rapcsák is említette, amikor a másik, őt érintő ügyről nyilatkozott. Ekkoriban átmeneti jelleggel az általa vezetett HVSZ Zrt. informatikusai támogatták meg az informatikát a “torony alatt”, miután az ellenzéki győzelemmel záruló időközi polgármesterválasztás után nem sokkal szinte egy időben az önkormányzat mindhárom informatikusa felmondott. 

A hivatal végül felvett informatikusokat állandóra és egy külsős céggel is szerződtek, hogy átvilágítsák a hivatal informatikáját. (A cég által delegált Kalotay Balázst a vizsgálat után a HVSZ igazgatósági alelnökévé is kinevezték, egészen a közelmúltig a cég egyik vezetője volt.) 

Üres kazetták, kulcsgenerátorral

Itt először csak törvényi hiányosságokat találtak, majd 2019. januárjában egy adatmentő szoftverekkel foglalkozó céggel is vizsgálódtak, mivel minden polgármesteri hivatalnak kötelező rendszeresen biztonsági mentést készíteni a teljes számítógépes állományáról. Ebből egy példányt ő, egyet pedig a Belügyminisztérium őriz arra az esetre, ha például természeti katasztrófa miatt odaveszne a teljes informatikai állomány. 

Ezeket a kazettákat vizsgálták meg, ekkor elsőre csak egy groteszknek ható blamát fedeztek fel. Kiderült ugyanis, hogy az archívumok elkészítéséhez használt Backup Exec szoftver – a gyártócég honlapja szerint 40 és 70 dollár közti havidíját – úgy néz ki, a hivatal korábbi döntéshozói sokallták, ezért 

a hatvan napos ingyenes próbaverzió felhasználási idejét egy illegális kulcsgenerátorral meghosszabbították 9999 napra.

Az Azonnali ezzel kapcsolatos értesülését Tatár Zoltán, a város jegyzője is megerősítette. Erre utalhatott egyébként a polgármester, amikor egyik beszédében konkrétumok említése nélkül tört szoftvereket emlegetett. A torrentező otthoni felhasználók körében népszerű, a netes kultúrában szörnyű aláfestő zenéikről elhíresült keygen szoftver mellett azonban lett egy konkrétabb eredménye is a vizsgálatnak: talán azért sajnálták a pénzt a szoftver havi díjára, mert nem igazán használták azt.

Nem fizettek váltságdíjat

A polgármesteri hivatalból távozó informatikusok forrásaink szerint azzal adták át a terepet, hogy ne nyúljanak semmihez, „minden be van állítva”. 

Vélhetően jól tették, hogy ezt a tanácsot nem fogadták meg, kiderült ugyanis, hogy a hetente érkező futár már jó ideje üres kazettákat vitt a belügy raktárába.

Vagyis az önkormányzat is üres kazettákat tárolt leplombálva, valamiért a rendszer ugyanis nem készítette el a szükséges biztonsági mentéseket. Erről akkor Kalotay Balázs, a HVSZ akkori vezetője elmondása alapján hivatalos e-mailt küldött Tatár Zoltánnak, az önkormányzat akkori aljegyzőjének (aki azóta jegyzővé lépett elő), amit Tatár kérdésünkre meg is erősített.

Végül a hiányosságokat rendezték, ezért a márciusi zsarolóvírusos támadáskor már volt használható biztonsági mentése a hivatalnak. Az önkormányzat nem fizetett a bűnözőknek, törölte a teljes számítógépes állományát és a legfrissebb biztonsági mentés alapján állították vissza a rendszert.

Ha tehát az átvételkor nem vették volna észre, hogy nem készülnek mentések, akkor durván fél évvel a 2019 őszi önkormányzati választások előtt teljesen összeomlott volna az önkormányzat informatikai rendszere és nem lett volna miből visszaállítani az adatokat.

Esetleg a költségvetés jelentős részét átutalhatták volna kriptovalutában kiberbűnözőknek – persze felkészülve arra a nem épp valószínűtlen esetre, hogy simán átverik őket és ezután sem kapják meg az elvileg ilyenkor létező, a kódolást visszaállító programot.

Nem tudni összefüggésről

Az eset az Azonnali információi szerint előkerült a Rapcsák-féle ügy szeptember eleji tárgyalásán is, ahol Kalotay Balázst tanúként kérdezték az eseményekről. Ezek alapján joggal merült fel a kérdés, hogy lehet-e összefüggés a támadások között.

Azokon a spekulációkon túl, amely arról szól, hogy politikai motivációk állhattak-e vajon az attak mögött, nem ismert, hogy bármi is utalna arra, hogy összefüggés lenne az esetek között.

A másik ügy kapcsán valószínűleg csak azért vették elő ezt a történetet is, mert a hatóség szerette volna időrendben feltérképezni a támadásokat.

Disclaimer: a szerző 2020. január és 2020. októbere között a hódmezővásárhelyi önkormányzati lap, a Hódpress.hu főszerkesztője volt, amelynek kiadója ez idő alatt a HVSZ Zrt. volt.

CÍMLAPKÉP: Tarnay Kristóf Ábel / Azonnali