Ez az összefoglaló a digitális elemzés legfontosabb megállapításait tartalmazza a „Zelenszkij embere” címen terjedő, 2026. márciusi videóval kapcsolatban.

Vizsgált videók: A 2026-os Békemenetre hívó, narrátorral és feliratokkal ellátott klip és a Pryamyi TV (ukrán ellenzéki csatorna), 2026. március 9-i interjú felvétel.

• Hamis identitás: A klip állításával ellentétben az interjúalany (Hrihorij Omelcsenko) nem az ukrán kormány képviselője, hanem egy radikális ellenzéki figura, aki az eredeti felvételen élesen bírálja Zelenszkij elnököt.

• Cheapfake technológia: A klip nem mesterségesen generált teljes deepfake, hanem a valódi, 60 perces interjúból szándékosan összeollózott (stitching) manipuláció. A készítők egymástól több percre elhangzott mondatokat vágtak egymás mellé.

• Szándékos vizuális zaj: A videó ugráló képe és rossz minősége nem technikai hiba, hanem stratégiai álca. A laggolás segít elrejteni a durva vágási pontokat és a mesterségesen illesztett szájmozgást (lip-sync).

• Tartalmi torzítás: Az elemzés megmutatta, hogy Omelcsenko eredeti, karmikus átokról szóló fejtegetését a vágások segítségével közvetlen fizikai/terrorista fenyegetéssé alakították át a kontextus (pl. az ukrán gyerekáldozatok említésének) tudatos törlésével.

• Kampánycélú felhasználás: A videó szerkezete (narráció + feliratok + mozgósító üzenet) bizonyítja, hogy a tartalom egy előre tervezett pszichológiai hadviselési eszköz, amelynek célja a félelemkeltés és a politikai mozgósítás.

A vizsgált anyag digitális bizonyítékok alapján tudatos hamisítvány. A technikai hibák (ugrálás, pixelizáció) valójában a manipuláció nyomai, amelyek a kontextusából kiragadott és sorrendjében megváltoztatott beszédet hivatottak hitelesnek feltüntetni.

Személyazonosság és hitelesség ellenőrzése

• A személy: Hrihorij Omelcsenko (75 éves), nyugalmazott SZBU-altábornagy, volt parlamenti képviselő.

• Státusz: NEM kormányzati tisztségviselő, NEM Zelenszkij embere. Sőt, az eredeti interjú 43. percétől keményen bírálja az ukrán elnököt.

• Forrás: Pryamyi TV (ukrán ellenzéki csatorna), élő interjú, 2026. március 9.

• Konklúzió: A „Zelenszkij embere” megnevezés ténybeli hazugság.

A Stitching (Összeöltés) térképe

Ez a videó egy 60 perces interjúból készült, és az alábbi időkódokból rakták össze egyetlen perccé:

• 0:03 – 0:15: Az interjú 38:44-es részétől indul (Lakcím és szokások).

• 0:15 – 0:35: Az interjú 39:06-os részétől folytatódik (Putyin bűnei és a Karma büntetése).

• 0:35 – 0:45: Az interjú 39:45-ös részére ugrik (Az 5 gyermek és 6 unoka).

• 0:45 – 0:51: Az interjú 34:55-ös (vagy 43:43-as) részéből veszi ki a választási dátumot.

A szöveg elemzése (Zárójelezett vágásokkal)

Az alábbiakban az eredeti ukrán interjú szövege látható. A vastagbetűs részek maradtak a videóban, a [zárójelbe tett, dőlt] részeket tudatosan kivágták.

I. blokk: A megfigyelés látszata (Eredeti: 38:44)

„[Pane (Úr)] Zelenszkij, [a mi szervezetünknek,] a Karma [nevű szervezetünknek] nincs szüksége Orbán címére. [Már elmondtam korábban is:] Tudjuk, hol lakik, hol tölti az éjszakát, [hol iszik sört, bort, hová jár ki, kikkel találkozik és így tovább.]”

• A manipuláció: A „Pane Zelenszkij” megszólítással Omelcsenko valójában az ukrán elnököt oktatja ki, de ezt a videó elején a narrátor úgy állítja be, mintha Omelcsenko Zelenszkij megbízásából beszélne.

II. blokk: A politikai bűnösség (Eredeti: 39:06)

„Ezért, ha Orbán nem változtatja meg [Ukrajnával szembeni] ukránellenes álláspontját, és továbbra is Putyin háborús bűneinek cinkosa marad, [amiről én rengeteg bizonyítékot gyűjtöttem,] emlékezzen rá, hogy a Karma soha nem bocsátja meg senki bűneit. [A Karma elől nem lehet elrejtőzni és nem lehet megvásárolni.]”

• A manipuláció: Kivágták a hivatkozást a saját nyomozásaira, így az nem egy rögeszmés nyugdíjas magánvéleményének, hanem egy kőkemény ultimátumnak tűnik.

III. blokk: Az érzelmi zsarolás (Eredeti: 39:45)

„[Mivel a bűnökért a leszármazottak is felelnek,] gondolkodjon el Orbán az öt gyermekén és a hat unokáján! [Vajon hogyan tud a szemükbe nézni, miközben az ő bűnös politikája miatt ukrán gyerekek halnak meg nap mint nap?]”

• A manipuláció: Itt történik a legsúlyosabb torzítás. Az eredeti mondatban Omelcsenko egy (zavaros) erkölcsi párhuzamot von az ukrán áldozatok és a karma között. A vágással ezt eltüntették, így a mondat egy indoklás nélküli, tiszta fenyegetéssé vált a család ellen.

Technikai és vizuális diagnózis

• A Lip-sync hiba: Mivel a 38. és a 39. percnél a beszélő más fizikai pozícióban volt, az egymás mellé vágott szavaknál (pl. a “tudjuk” és a „gyermekei” között) a száj mozgása ugrik. Ezt próbálja az MI elmosni, ami a videóban látható vibrálást és természetellenes arcmozgást okozza.

• Vizuális butítás: A videó szándékosan rossz minőségű (pixeles), hogy ne legyenek tisztán láthatóak azok a pontok, ahol a vágóolló vagy az MI belenyúlt a képbe.

• A narráció szerepe: A videó elején látható influenszer-narrátor adja meg a hamis értelmezési keretet: ő mondja ki a „Zelenszkij embere” hazugságot, amit a néző már kész tényként fogad el, mielőtt a tábornok megszólalna.

A FRANKENSTEIN-VÁGÁS MENETE (Időkódok)

1. START: 38:44 (Lakcím említése)

2. UGRÁS: 22 másodpercet előre (39:06 - Fenyegetés)

3. UGRÁS: 32 másodpercet előre (39:45 - Gyermekek említése)

4. UGRÁS: 5 percet vissza (34:55 - Választási dátum)

A békemenetre mozgósító videó készítői a zajos, ugráló képet és a pixelességet használták arra, hogy ne lehessen észrevenni, hogy egy 60 perces beszélgetést daraboltak szét, és a legijesztőbb szavakat pakolták egymás mellé, olyan sorrendben, ahogy azok soha nem hangzottak el.

A videó nem azért ugrál, mert rossz a technika, hanem azért, mert percekben mérhető távolságokat hidaltak át vele, hogy egy nem létező, összefüggő fenyegetést alkossanak.

Ez a verzió egy pszichológiai hadviselési eszköz. A 60 perces interjúból kicsemegézték azokat a részeket, amelyek a magyar nézőkből a legerősebb védelmező ösztönt (család féltése) váltják ki, majd ezt egy politikai rendezvényre (Békemenet) való felhívással kötötték össze.

A kiberbiztonság világában az elmúlt években nagyot változtak a távoli elérést biztosító trójai programok (RemoteAccessTrojan). A régi, egyszerűbb kártevők helyett ma már moduláris és rugalmas rendszereket használnak a támadók. Ezek közül a Moonrise RAT a technikai megoldásai és az elemzésekkel szembeni ellenállása miatt érdemel figyelmet. Az irányító C2 rendszer ma már nem csak egy szerver, hanem egy olyan kapcsolat, amivel a támadók a fertőzés után hosszú ideig láthatatlanul irányíthatják az áldozat gépét. Ez a cikk a Moonrise RAT működését, hálózati megoldásait és a támadók módszereit mutatja be, különös tekintettel a Golang nyelvre és a WebSocket protokollra.

A C2 rendszer a támadások központja. Ezen keresztül kap a kártevő utasításokat a fertőzés után, és itt küldi vissza az ellopott adatokat. A támadók legnehezebb feladata, hogy elrejtsék ezt a forgalmat a biztonsági eszközök (például tűzfalak) elől. Ezért olyan módszereket használnak, amik hasonlítanak a normál internetes forgalomra. A kártevő rendszeresen hazaszól (beaconing) a szervernek, hogy van-e új feladat, így a támadók adatokat lophatnak vagy újabb kártékony modulokat tölthetnek le.

A technológia sokat fejlődött: a régi, könnyen észrevehető protokollok helyett ma már HTTPS-t, DNS-t vagy felhőszolgáltatásokat használnak álcának. A Moonrise RAT a WebSocket protokollt használja, ami azért jó a támadóknak, mert egyetlen nyitott kapcsolaton keresztül, valós időben és gyorsan tudnak adatokat cserélni a fertőzött géppel.

A Moonrise RAT felépítése és jellemzői

A Moonrise RAT egy modern, Golang (Go) nyelven írt program, amely 2026 elején jelent meg. A Go nyelv választása azért okos döntés, mert így a program több operációs rendszeren is működik, és minden szükséges összetevőt magában hordoz (statikus linkelés). Emiatt a célponton nem kell külön telepíteni semmit, és a biztonsági elemzőknek is nehezebb dolguk van a kód vizsgálatakor.

Azonosítók és fájladatok

Az ANY.RUN elemzései szerint a Moonrise bináris fájljai 64 bites Windows rendszerekre készültek. A támadók gyakran eltávolítják a fájlokból a hibakeresési információkat, hogy nehezebb legyen rájönni, hogyan írták a programot. Az alábbi táblázat a moonrise-client.exe főbb adatait mutatja:

Fontos megjegyezni, hogy a Moonrise eleinte nem szerepelt a VirusTotal listáján, tehát a készítői sikeresen kerülték el a lebukást a hagyományos vírusirtók előtt. Ezért van szükség a viselkedésalapú védelemre (EDR).

Működés a rendszerben

A Moonrise RAT futás közben megpróbál beépülni a Windows mélyebb rétegeibe. Gyakran olyan neveket választ, amik hasonlítanak a valódi rendszerfájlokra, például az svchost.exe-re. Az ANY.RUN szerint a folyamat így néz ki: a kártevő először létrehoz egy másolatot magáról az ideiglenes könyvtárban (\AppData\Local\Temp\WindowsServices\svchost.exe), és onnan dolgozik tovább.

A program a svchost.exe álcája alatt indítja el a parancssort (cmd.exe) és a PowerShellt, hogy parancsokat futtasson. Emellett beírja magát a Windows “Indítópult” könyvtárába és a Registry-be (beállításjegyzék) is, hogy a gép minden újraindítása után automatikusan elinduljon.

Kommunikáció és parancsok

A hálózati kapcsolat a WebSocket protokollra épül, ami korszerűbb megoldás a sima HTTP-nél. Itt a kapcsolat tartós marad, így a szerver bármikor küldhet utasítást a kártevőnek anélkül, hogy megvárná, amíg az újra bejelentkezik.

JSON alapú utasítások

A támadó és a kártevő JSON formátumú üzenetekkel beszélget egymással. Ez a módszer átlátható és jól rendszerezett irányítást tesz lehetővé. A Moonrise az alábbi típusú parancsokat használja:

A program hibaüzeneteket is küld vissza, például ha nem tud képernyőképet készíteni ("message":"no disp") [Image context]. Ebből a támadó látja, ha valami nem sikerült, és próbálkozhat máshogy.

Álcázás a hálózaton

A Moonrise megpróbálja elhitetni a védelemmel, hogy ő csak egy sima Microsoft szolgáltatás. Ezért olyan címekre küld adatokat, mint a settings-win.data.microsoft.com vagy a login.live.com. Sok biztonsági eszköz ezeket alapból megbízhatónak tartja, így a kártevő észrevétlen maradhat. Emellett megnézi a gép internetes beállításait is, hogy biztosan ki tudjon jutni a hálózatról.

Mire képes a Moonrise RAT?

A program fő célja a megfigyelés és az adatlopás. A Go nyelv miatt hatékonyan tud egyszerre több feladatot is végezni, például hangot és videót rögzíteni.

Kamera és mikrofon elérése

A kártevő hozzá tud férni a webkamerához és a mikrofonhoz is. Ehhez gyakran PowerShell parancsokat használ, amikkel listázza az elérhető eszközöket (például: Get-PnpDevice -Class Camera -Status OK). Mivel a PowerShell egy gyári Windows eszköz, a használata kevésbé tűnik gyanúsnak, mint ha a program közvetlenül próbálna a kamerához nyúlni. A Moonrise nem csak képeket tud lőni, hanem folyamatos képernyőátvitelre is képes, így a támadó élőben látja, mit csinál az áldozat.

Kriptovaluta-lopás

A Moonrise bináris kódjában olyan mintákat (YARA szabályok) találtak, amik kriptovaluta-címek (például Bitcoin vagy Ethereum) felismerésére szolgálnak. Amikor a felhasználó kimásol egy ilyen címet a vágólapra, a kártevő észleli azt, és kicserélheti a támadó saját címére. Ezt nevezik “clipper” funkciónak. A parancskészletben külön utasítások vannak a támadó által használt pénztárcacímek kezelésére.

Hogyan kerüli el a lebukást?

A fejlesztők sokat dolgoztak azon, hogy a Moonrise-t ne vegyék észre az elemzők vagy az automata rendszerek (homokozók). A program úgy viselkedik, mint egy rootkit: aktívan figyeli, hogy vizsgálják-e.

Elemző eszközök keresése

A kártevő a memóriájában egy hosszú listát tárol az ismert elemző programokról (például x64dbg, IDA, Procmon). Ha észreveszi, hogy valamelyik fut a gépen, akkor vagy leáll, vagy teljesen ártalmatlanul kezd viselkedni, hogy ne bukjon le. Emellett módosítja a rendszerhívásokat (API hooking), hogy elrejtse a saját fájljait és folyamatait a Windows elől.

Környezetellenőrzés

A program ellenőrzi a gép nyelvét és a Windows verzióját is, hogy kiszűrje a tesztkörnyezeteket. Képes felismerni a gépi tanuláson alapuló védelmet is, és megváltoztatja a hálózati forgalom ütemét, hogy az ne tűnjön gyanúsan szabályosnak.

Hogyan terjed? A TikTok és a ClickFix módszerek

A Moonrise RAT gyakran a “ClickFix” nevű kampányokkal terjed, amik a felhasználók átverésére építenek. Ezek a módszerek technikai trükköket és pszichológiai nyomást kombinálnak.

Átverős videók a TikTokon

2025-ben kezdtek el terjedni olyan, mesterséges intelligenciával készült videók, amik szoftverek (pl. Windows, Office, Spotify, CapCut) ingyenes aktiválását ígérik. A videók egy weboldalra irányítják az embert, ahol egy parancs futtatását vagy egy fájl letöltését kérik. Ez valójában a Moonrise-t vagy más adatlopókat telepíti a gépre. Mivel a videó hitelesnek tűnik, a felhasználó maga hajtja végre a fertőzést okozó lépéseket.

Szoftverfeltörések és hamis hirdetések

A Moonrise előszeretettel rejtőzik ingyen kínált, feltört programokba (cracks) is. Emellett megtévesztő hirdetéseken keresztül is terjedhet, amik hasznos programnak álcázzák magukat. Ez főleg azokat veszélyezteti, akik nem hivatalos forrásból szereznek be szoftvereket.

Összefoglalás és védekezés

A Moonrise RAT egy nagyon veszélyes és modern eszköz. A Go nyelv, a WebSocket kapcsolat és a fejlett rejtőzködési technikák miatt sokáig észrevétlen maradhat. Már nem csak egy egyszerű vírus, hanem egy komplex rendszer része.

A védekezéshez a cégeknek és felhasználóknak is szintet kell lépniük:

• Viselkedésalapú védelem (EDR): Nem csak a fájlokat, hanem a programok gyanús viselkedését is figyelni kell.

• Hálózati ellenőrzés: Fontos a titkosított forgalom és a gyanús Microsoft-címek alapos vizsgálata.

• Szigorú hozzáférés (Zero Trust): Minden hálózati kérést ellenőrizni kell, függetlenül attól, honnan jön.

• Biztonságos mentés: A mentéseknek elérhetetlennek kell lenniük a kártevők számára (offline mentés), hogy egy fertőzés után helyreállítható legyen a rendszer.

A Moonrise RAT elleni küzdelemben a legfontosabb a gyors észlelés és az óvatosság, különösen az ismeretlen forrásból származó szoftverek és webes utasítások esetén.

Gondolkodtál már azon, miért lepik el a közösségi oldalakat a furcsa hozzászólások, vagy miért kapsz egyre több gyanús SMS-t? A válasz sokkal egyszerűbb és ijesztőbb, mint hinnénk: azért, mert olcsó.

A digitális térben zajló manipulációról sokszor hallunk, de ritkán látunk a színfalak mögé. Mostanáig a kiberbűnözés dezin…

Read more

Gyakran érezzük úgy, hogy az interneten, és különösen a Facebookon vagy a TikTokon két teljesen külön világ létezik. Az egyik oldalon “feketét” mondanak, a másikon “fehéret”, és a két tábor nemhogy nem érti egymást, de mintha nem is ugyanazon a bolygón élne. Számtalan kutatás folyik a témában, ezek alapján kijelenthető, ho…

Read more

/ TL;DR

A 2025. szeptember-októberi időszak a kiberbiztonság területén paradigmaváltást hozott, ahol a támadások fókusza a mennyiségről a minőségre, a széles körű, alacsony hatásfokú próbálkozásokról a precízen célzott, rendszerszintű károkozásra helyeződött át. Két kulcsfontosságú esemény – a Collins Aerospace és a Jagua…

Read more

Read more

TL;DR

• A protokollszintű sebezhetőségek rendszerszintű kockázatot jelentenek. A „MadeYouReset” és elődje, a „Rapid Reset” rávilágít arra, hogy az internet alapját képező protokollok tervezési hibái továbbra is súlyos, széles körben kihasználható sebezhetőségek forrásai lehetnek. Ezek megelőzése és kezelése proaktív kutatást és az iparági szereplők (kutatók, gyártók, koordinációs központok) szoros együttműködését igényli.

• A kifinomult támadások a protokoll logikáját fordítják önmaga ellen. A „MadeYouReset” nem egy egyszerű túlterheléses támadás, hanem egy intellektuális ugrás, ahol a támadó a szervert kényszeríti a kapcsolatok leállítására, ezzel megkerülve azokat a védelmeket, amelyek a kliensoldali viselkedést figyelik. Ez a mélyreható, a mögöttes logikai hibát orvosló javítások fontosságát hangsúlyozza a felületes, tüneti kezelésekkel szemben.

• A koordinált közzététel kulcsfontosságú a megelőzésben. A „MadeYouReset” esete a felelős közzétételi folyamat sikerének mintapéldája. A kutatók, a hibajavító programot működtető vállalat (Akamai) és a koordinációs központ (CERT/CC) együttműködése lehetővé tette a javítások kidolgozását és elterjesztését, mielőtt a támadók kihasználhatták volna a sebezhetőséget, ellentétben a „Rapid Reset” esettel, amelyet már aktív támadások során fedeztek fel.

/TL;DR

A http/2 stream kezelés működése és a visszaélés lehetőségei

A HTTP/2 protokoll forradalmasította a webes kommunikációt azáltal, hogy bevezette a multiplexing koncepcióját, amely lehetővé teszi több kérés és válasz egyidejű továbbítását egyetlen TCP kapcsolaton keresztül. Ez a párhuzamosság „streamek” vagy adatfolyamok segítségével valósul meg, amelyek a kapcsolaton belüli logikai csatornákként funkcionálnak. A szerverek túlterhelésének megakadályozására a protokoll tartalmaz egy fontos védelmi mechanizmust, a

SETTINGS_MAX_CONCURRENT_STREAMS paramétert. Ez a beállítás meghatározza, hogy egy kliens egy adott kapcsolaton belül legfeljebb hány aktív streamet tarthat fenn egyidejűleg, ami elméletben korlátozza a szerverre nehezedő terhelést.

A protokolltervezés során a fejlesztőknek gondolniuk kell a hibakezelésre és a rugalmasságra is. Ennek egyik eleme a stream-visszaállítás (RST_STREAM) funkciója. Ez egy legitim mechanizmus, amely lehetővé teszi a kliens vagy a szerver számára, hogy egy streamet idő előtt lezárjon, például ha a kért erőforrásra már nincs szükség, vagy ha hiba lép fel. A „MadeYouReset” és elődje, a „Rapid Reset” támadások pontosan ezt a legitim, a protokoll működéséhez szükséges funkciót használják ki rosszindulatúan, hogy a szerver erőforrásait kimerítsék.

Technikai lebontás: hogyan kerüli meg a „madeyoureset” a védelmi mechanizmusokat?

A „MadeYouReset” (CVE-2025-8671) támadás egy kifinomultabb megközelítést alkalmaz a szerverek túlterhelésére, mint a korábbi, hasonló jellegű sebezhetőségek. A támadás lényege, hogy a kliens nem közvetlenül küld nagy mennyiségű RST_STREAM keretet, hanem szándékosan hibás, de a protokoll szintaktikája szerint érvényes vezérlőkereteket továbbít a szerver felé. A kutatók több ilyen „primitívet” is azonosítottak, amelyekkel a támadás kiváltható :

• Egy WINDOW_UPDATE keret küldése, amelynek növekménye 0, vagy amelynek hatására az áramlásvezérlési ablak mérete meghaladná a 231−1 értéket.

• HEADERS vagy DATA keretek küldése egy olyan streamen, amelyet a kliens oldalon már lezártak (az END_STREAM jelzővel).

• Egy PRIORITY keret küldése, amelynek hossza nem a specifikációban előírt 5 bájt.

A HTTP/2 protokoll specifikációja (RFC 9113) egyértelműen előírja, hogy a szervernek az ilyen típusú protokollsértésekre PROTOCOL_ERROR hibával és az érintett stream RST_STREAM kerettel történő lezárásával kell válaszolnia. És itt rejlik a támadás kulcsa: a szerver, miután elküldte a

RST_STREAM keretet, a streamet lezártnak tekinti, és csökkenti az aktív streamek számlálóját. Azonban sok implementációban a háttérben futó alkalmazáslogika nem állítja le azonnal a kérés feldolgozását, és továbbra is értékes CPU- és memória-erőforrásokat emészt fel. Mivel a szerveroldali számláló „felszabadult”, a kliens azonnal jogosulttá válik egy új stream megnyitására, még mielőtt a korábbi kérés feldolgozása ténylegesen befejeződött volna. Ezzel a módszerrel a támadó a SETTINGS_MAX_CONCURRENT_STREAMS limitet gyakorlatilag a végtelenségig kijátszhatja, korlátlan számú, erőforrás-igényes kérést zúdítva a szerverre egyetlen TCP kapcsolaton keresztül.

Összehasonlító elemzés: „madeyoureset” vs. „rapid reset” (cve-2023-44487)

A „MadeYouReset” sebezhetőség megértéséhez elengedhetetlen összehasonlítani azt a 2023-ban felfedezett és széles körben kihasznált „Rapid Reset” (CVE-2023-44487) támadással. A „Rapid Reset” mechanizmusa egyszerűbb volt: a támadó kliens nagy számban nyitott meg streameket, majd szinte azonnal le is zárta azokat saját maga által küldött RST_STREAM keretekkel. Ez a gyors nyitás-zárás ciklus szintén a szerver erőforrásainak kimerítését célozta, kihasználva a stream lezárása és a háttérfeldolgozás leállítása közötti késleltetést.

Az iparág erre a fenyegetésre viszonylag gyorsan reagált, de sokan a legegyszerűbb, reaktív megoldást választották: a kliens által küldött RST_STREAM keretek számának vagy arányának korlátozását. Ez a megközelítés egyfajta „tüneti kezelés” volt, amely a támadás egy specifikus megnyilvánulását célozta, nem pedig a mögöttes logikai hibát.

A „MadeYouReset” egyértelműen a „Rapid Reset” elleni védekezések elemzéséből született evolúciós lépés. A támadók felismerték a kliensoldali korlátozások gyengeségét, és ahelyett, hogy maguk küldenék a resetet, a szervert „kényszerítik” annak generálására. Ezzel a kifinomult módszerrel a támadás teljesen megkerüli azokat az egyszerűsített védelmi mechanizmusokat, amelyek csupán a kliens viselkedését figyelik. Ez a támadás egy intellektuális ugrást képvisel: a stratégia a „több resetet küldeni” helyett az lett, hogy „a meglévő védelmet kihasználni önmaga ellen”.

Ipari hatás és érintett rendszerek jegyzéke

A sebezhetőség potenciális hatása óriási, tekintve, hogy a weboldalak több mint egyharmada használja a HTTP/2 protokollt a jobb teljesítmény érdekében. A felelős közzétételi folyamatnak köszönhetően a sebezhetőséget még a széles körű kihasználás előtt sikerült orvosolni, de a probléma számos, széles körben használt szoftvert és rendszert érintett. A koordinált bejelentés után több gyártó is megerősítette termékeinek sebezhetőségét, és kiadta a szükséges javításokat.

Az érintett rendszerek listája rávilágít a szoftverellátási lánc komplexitására, ahol egyetlen protokollimplementációs hiba több tucat, egymásra épülő termékben is megjelenhet. A CERT Coordination Center (CERT/CC) által közzétett lista alapján a sebezhetőség számos népszerű keretrendszert, szervert és hálózati eszközt érintett.

Védekezési és javítási stratégiák

A „MadeYouReset” sebezhetőség kezelése a kiberbiztonsági ökoszisztéma együttműködésének mintapéldája. A sebezhetőséget a Tel-Avivi Egyetem kutatói fedezték fel, és az Akamai bug bounty programján keresztül jelentették. Ezt követően az Akamai, a kutatók és a CERT/CC szorosan együttműködve, egy koordinált folyamat keretében értesítették az érintett gyártókat, lehetővé téve számukra, hogy a nyilvánosságra hozatal előtt kifejlesszék és kiadják a szükséges javításokat. Ez a proaktív megközelítés megakadályozta, hogy a sebezhetőséget a támadók széles körben kihasználhassák, ellentétben a „Rapid Reset” esettel, amelyet már aktív támadások során fedeztek fel.

Érdekes tanulság, hogy a „Rapid Reset” elleni korábbi védekezések hatékonysága nagyban befolyásolta a „MadeYouReset” elleni védettséget. Azok a gyártók, mint például az Akamai, amelyek a „Rapid Reset” ellen egy robusztusabb, a probléma gyökerét célzó megoldást implementáltak – ahelyett, hogy csupán a kliens által küldött reseteket számolták volna –, automatikusan védettek voltak a „MadeYouReset” támadással szemben is. Ez aláhúzza a mélyreható, a mögöttes logikai hibát orvosló javítások fontosságát a felületes, tüneti kezelésekkel szemben.

A szervezetek számára a védekezés elsődleges és legfontosabb lépése a sebezhető szoftverek azonosítása és a gyártók által kiadott javítások azonnali telepítése. Azokban az esetekben, ahol a javítás azonnal nem lehetséges, átmeneti enyhítő intézkedések alkalmazhatók:

• Szerveroldali RST_STREAM korlátozása: A szerver által egy kapcsolaton belül küldött RST_STREAM keretek számának vagy arányának korlátozása ideiglenes védelmet nyújthat.

• Protokollszabályok szigorítása: A webszerverek és a hálózati védelmi eszközök (pl. WAF) konfigurálása a protokoll anomáliáinak szigorúbb ellenőrzésére. A hibás vezérlőkeretek (pl. nullás növekményű WINDOW_UPDATE) fogadásakor a kapcsolat azonnali bontása hatékonyan megakadályozhatja a támadást.

A „MadeYouReset” sebezhetőség rávilágított, hogy a digitális infrastruktúránk technikai alapjai továbbra is rejtenek olyan logikai hibákat, amelyek kihasználása rendszerszintű kockázatot jelent. A támadás kifinomultsága, amely a szerver saját hibakezelési mechanizmusát fordítja fegyverré, egyértelműen jelzi a támadási technikák evolúcióját.

• A célzott vertikálisok a NATO tagállamaiban, Ukrajnában és nemzetközi szervezeteknél találhatók, és magukban foglalják:

• Védelmi ipar

• Szállítás és Szállítási Központok (kikötők, repülőterek stb.)

• Tengeri

• Légi Forgalom Irányítás

• IT Szolgáltatások

• A támadási életciklus során az egység 26165-ös egységének szereplői azonosítottak és célzottan követtek további, az elsődleges célponttal üzleti kapcsolatban álló entitásokat a szállítási szektorban, kihasználva a bizalmi kapcsolatokat a további hozzáférés megszerzésére [T1199].

• Reconnaissance tevékenységet végeztek legalább egy vasúti irányítási ipari vezérlőrendszer (ICS) alkatrészek gyártásával foglalkozó entitás ellen is, bár a sikeres kompromittálást nem erősítették meg [TA0043].

• A célzott entitásokkal rendelkező országok közé tartozik többek között Bulgária, Csehország, Franciaország, Németország, Görögország, Olaszország, Moldova, Hollandia, Lengyelország, Románia, Szlovákia, Ukrajna és az Egyesült Államok.

• Az IP kamerák célzása részeként a támadók RTSP (Real Time Streaming Protocol) szervereket próbáltak enumerálni és hozzáférést szerezni a kamerák stream-jeihez. A DESCRIBE kérések Base64-kódolt hitelesítő adatokat tartalmaztak, gyakran publikusan dokumentált alapértelmezett vagy valószínűleg brute force-olt jelszavakat. A megcélzott kamerák több mint 80%-a Ukrajnában volt, a maradék többsége pedig a szomszédos országokban (Románia, Lengyelország, Magyarország, Szlovákia).

Az internetes biztonsági környezet dinamikus fejlődése újabb mérföldkőhöz érkezett. A CA/Browser Fórum, az iparág meghatározó szabályozó testülete, döntést hozott az SSL/TLS tanúsítványok maximális érvényességi idejének szignifikáns csökkentéséről. Ez a lépés alapvető változásokat vetít előre a webhelyek üzemeltetésében…

Read more

Az alábbi jelentés rövid, audió összefoglalója:

Két évnyi összehangolt nyomozás és nemzetközi bűnüldözői együttműködés eredményeként 2025. március 11-én sikeresen felszámolták a világ egyik legnagyobb gyermekpornográf platformját, a „Kidflix”-et. A műveletet a német Bajor Bűnügyi Rendőrség és a Bajor Kiberbűnözés Elleni Központi Ügyészség vezette, az Europol koordiná…

Read more

2025 március 26-án nyilvánosságra került, hogy illetéktelenek hozzáfértek a Tehetségkapu rendszer egyik központi adatbázisához és onnan jelentős mennyiségű felhasználói adatot szivárogtattak ki. Az incidens tényét az Oktatási Hivatal – mint a rendszer fenntartója – hivatalos közleményben még aznap megerősítette1.

A nyilvá…

Read more

A social engineering, vagyis az emberi viselkedés manipulálására építő támadási technikák a kezdetek óta jelen vannak a kiberfenyegetések eszköztárában. Az elmúlt időszakban azonban egyre gyakoribb, hogy a kiberbűnözők már nem elégszenek meg az egyszerű adathalász e-mailekkel és kattintásokkal, hanem elmozdultak az inte…

Read more

Fontos kiemelni, hogy míg 2023-ról 2024-re 36 százalékkal csökkent a banki ügyfelek ellen elkövetett csalások száma, addig a vállalatok elleni kibercsalások száma megháromszorozódott. Különösen aggasztó, hogy a 18-29 éves korosztály tagjai, a digitális bennszülöttek, a legveszélyeztetettebbek az online csalások szempontjából, annak ellenére, hogy ők magukat tartják a legfelkészültebbnek.

A kormány és a hatóságok fellépése

A magyar kormány és a hatóságok számos intézkedést hoztak az online csalások elleni küzdelemben. A legtöbb támadás a közszolgáltatásokat, a szállítmányozást és a pénzügyi ágazatokat érte. A közszolgáltatásokat ért támadások 35%-a pszichológiai manipuláción alapuló adathalászat volt.

A kormány célja, hogy felgyorsítsa a bűncselekmények felderítését és az eljárások lefolytatását, valamint hogy minimalizálja a családokat ért károkat. Ennek érdekében 2024 augusztusában új törvénycsomag lépett életbe, amelynek legfontosabb elemei a következők:

• Bankok közötti információcsere felgyorsítása: A bankok gyorsabban megoszthatják egymással az információkat az elcsalt összegekről, ami segít a csalók azonosításában és a pénzek befagyasztásában.

• Gyorsabb információszerzés a rendőrség számára: A rendőrség gyorsabban hozzáférhet a szükséges információkhoz, ami felgyorsítja a nyomozást.

• Online piacterek bevonása a csalások elleni küzdelembe: Az online piactereknek intézkedniük kell a csalásokra használt felhasználói fiókok törléséről.

• Ügyteher elosztása a bíróságok között: A bíróságok az általános illetékesség alapján járhatnak el az online csalások ügyében, nincs szükség speciális szakértelemre.

• Nyomozó hatóságok adatlekérési jogosultságának bővítése: A nyomozó hatóság ügyészi engedély nélkül kérhet le bizonyos banki és telekommunikációs adatokat, ami gyorsabbá teszi a személyek azonosítását.

A rendőrség 2023 októberében 300 fős országos kibernyomozói hálózatot hozott létre a Mátrix Projekt keretében, amelynek célja az online csalások visszaszorítása. A projekt keretében a rendőrség folyamatosan figyeli az online teret, és fellép a csalók ellen.

A kormányzati intézkedések mellett fontos szerepe van a KiberPajzs programnak is, amely a pénzügyi fogyasztók védelmében jött létre. A program keretében a pénzügyi szektor szereplői, a bűnüldöző szervek és a hatóságok együttműködnek az online csalások megelőzése érdekében. A KiberPajzs honlapján naprakész információk és tanácsok találhatók az online csalásokról és a megelőzés lehetőségeiről.

Jógyakorlatok az online csalások elkerülésére

A bemutatott statisztikák és csalási módszerek ismeretében fontos, hogy tisztában legyünk azzal, hogyan védhetjük meg magunkat.

• Legyen óvatos az adatai megadásával: Soha ne adja meg a bankkártya adatait vagy az internetbanki belépési adatait e-mailben, SMS-ben vagy telefonon keresztül. A bankok és a megbízható webáruházak sosem kérnek ilyen információkat.

• Ellenőrizze a weboldalakat: Mielőtt online vásárolna vagy megadna bármilyen személyes adatot, ellenőrizze a weboldal címét a böngésző címsorában, és győződjön meg arról, hogy biztonságos (https). A https azt jelzi, hogy az oldal titkosított kapcsolaton keresztül kommunikál, így adatai védve vannak. Fontos hogy ellenőrizze, hogy valóban a szolgáltató weboldalának címe olvasható a böngésző címsorában és nem egy hamisított cím.

• Ne kattintson gyanús linkekre: Ne kattintson olyan linkekre, amelyeket e-mailben vagy SMS-ben kapott, ha nem biztos a feladóban. Ha egy link gyanúsnak tűnik, inkább írja be manuálisan a weboldal címét a böngészőbe.

• Használjon erős jelszavakat: Használjon erős és egyedi jelszavakat az online fiókjaihoz. A jelszó legalább 12 karakter hosszú legyen, és tartalmazzon kis- és nagybetűket, számokat és speciális karaktereket.

• Legyen naprakész a biztonsági frissítésekkel: Rendszeresen frissítse az operációs rendszerét és a szoftvereit a legújabb biztonsági frissítésekkel. A frissítések gyakran tartalmaznak olyan javításokat, amelyek biztonsági réseket zárnak be.

• Használjon víruskeresőt: Telepítsen víruskeresőt a számítógépére, és rendszeresen frissítse. A víruskereső segít megvédeni a számítógépet a kártékony programoktól.

• Legyen gyanakvó: Ha egy ajánlat túl jónak tűnik ahhoz, hogy igaz legyen, valószínűleg átverés. A csalók gyakran irreálisan magas hozamot vagy nyereményt ígérnek, hogy becsapják az áldozatokat.

(A videót az invideo AI generatív videó készítő használatával Frész Ferenc készítette)

Kapcsolódó bejegyzésünk:

Felhasznált források:

https://index.hu/belfold/2023/12/16/online-csalas-rendorseg/

https://www.police.hu/hu/hirek-es-informaciok/bunmegelozes/internet-biztonsag/csalasok-az-online-terben

https://tudastar.money.hu/hir/20240816/legy-okosabb-a-csaloknal-igy-vedd-meg-magad-az-online-csalasoktol/

https://support.microsoft.com/hu-hu/office/v%C3%A9dekez%C3%A9s-az-online-csal%C3%A1sok-%C3%A9s-t%C3%A1mad%C3%A1sok-ellen-0109ae3f-fe61-4262-8dce-2ee3cd43bac7

https://www.erstebank.hu/hu/ebh-nyito/biztonsagi-kozpont/tippek/igy-vedekezhetsz-a-telefonos-csalasok-ellen

https://24.hu/fn/gazdasag/2024/09/17/csalok-havi-3-milliardot-lopnak-banki-ugyfelektol/

https://www.portfolio.hu/bank/20250220/csatlakozott-a-mastercard-a-nagy-magyar-banki-kibervedelmi-egyuttmukodeshez-742765

https://telex.hu/techtud/2025/02/20/kiberpajzs-kiberbiztonsag-kiberbunozes-mastercard-jelentes-nki-bankszovetseg-rendorseg

https://www.otpbank.hu/portal/hu/adathalaszat

https://www.police.hu/hu/hirek-es-informaciok/bunmegelozes/internet-biztonsag/csalasok-a-kiberterben

https://hirlevel.egov.hu/2024/07/21/uj-torveny-lep-eletbe-augusztus-elsejetol-az-online-csalasok-ellen/

https://www.police.hu/hu/hirek-es-informaciok/bunmegelozes/aktualis/megint-egy-lepessel-elorebb-az-online-csalasok

2025 február 6-án a kiberbiztonság világát megrázta egy hacker bejelentése: állítása szerint több mint 20 millió OpenAI felhasználó adataihoz fért hozzá. A bejelentés gyorsan elterjedt a ChatGPT felhasználók körében is, és sokan attól tartottak, hogy az OpenAI rendszereit feltörték. Azonban az első vizsgálatok hamar tis…

Read more

Főbb pontok

• Azonnali reagálás: A gyors és pontos kommunikáció kritikus az első órákban

• Érintettek azonosítása: Minden érintett fél (ügyfelek, partnerek, hatóságok) időben történő értesítése

• Transzparencia: Őszinte és átlátható kommunikáció a bizalom megőrzése érdekében

• Folyamatos tájékoztatás: Rendszeres frissítések a helyzet alakulásáról

Kommunikációs csatornák

• Belső kommunikációs platformok

• Hivatalos közlemények

• Sajtókapcsolatok

• Közösségi média

Teendők

• Kommunikációs protokoll kidolgozása

• Válságkommunikációs csapat összeállítása

• Sablonok és folyamatok előkészítése

• Kapcsolattartók kijelölése

Tehát a kibertámadások során a gyors és pontos kommunikáció kulcsfontosságú, érintettek azonosítása és transzparens tájékoztatás szükséges. Kommunikációs protokoll kidolgozása és válságkommunikációs csapat felállítása elengedhetetlen a hatékony válaszadáshoz.

Podcast epizódunk az ElevenLabs voice generatív AI rendszerével készült.

A támadók a megszokott malware terjesztési módszerek helyett most a fejlesztői közösség által gyakran használt ML modelleket használják fel kártékony kódjuk terjesztésére.

A Hugging Face egy széles körben használt platform, ahol fejlesztők és kutatók gépi tanulási modelleket oszthatnak meg egymással. A platform népszerűsége és nyílt jellege miatt ideális célponttá vált a rosszindulatú szereplők számára. A támadók kihasználták azt a tényt, hogy a fejlesztői közösség általában megbízik a platformon megosztott tartalmakban, és gyakran további ellenőrzés nélkül használják fel azokat projektjeikben.

Részletes elemzésünket itt olvashatod:

Részletes elemzésünket itt olvashatod:

A GRU digitális karma: A Fancy Bear műveletei a kibertérben

A podcast epizód az ElevenLabs hangalapú generatív AI eszköz használatával készült.

A támadás elleni védekezés legfontosabb elemei: csak hivatalos forrásból történő letöltés, megbízható vírusirtó használata, és a túl csábító ajánlatok kerülése. Ha valaki áldozattá válik, azonnal változtassa meg jelszavait, ellenőrizze bankszámláját, és jelentse az esetet az illetékes hatóságoknak.

Mi történik pontosan?

Csalók olyan YouTube videókat tesznek közzé, amelyek leírásában vonzó linkeket helyeznek el. Ezek általában:

• Ingyenes játék skineket ígérnek

• Különleges játékbeli előnyöket kínálnak

• Cheat kódokat vagy módosítókat reklámoznak

• Exclusive tartalmakat ajánlanak fel

Miért veszélyes ez?

Amikor a gyanútlan felhasználó rákattint ezekre a linkekre, több veszélynek is kiteszi magát:

• Kártékony programok települhetnek a számítógépére

• Ellophatják a játékfiókja bejelentkezési adatait

• Személyes és bankkártya adatai kerülhetnek illetéktelen kezekbe

• Zsarolóvírus áldozatává válhat

Hogyan ismerheted fel a csalást?

Figyelj az alábbi figyelmeztető jelekre:

• Túl jó, hogy igaz legyen ajánlatok

• Sürgető üzenetek, mint például "Csak ma!" vagy "Utolsó lehetőség!"

• Gyanúsan sok pozitív komment ugyanolyan stílusban írva

• Hivatalos játékfejlesztői oldaltól eltérő domain nevek

Hogyan védekezhetsz?

A biztonságod érdekében kövesd ezeket a tanácsokat:

• Csak hivatalos forrásból (játék áruházakból, fejlesztői oldalakról) tölts le tartalmakat

• Használj megbízható vírusirtót és tartsd naprakészen

• Ne add meg személyes vagy bankkártya adataidat ismeretlen oldalakon

• Ha kétséged van, kérdezz rá a játékos közösségekben, mielőtt bármire rákattintanál

Mit tegyél, ha már áldozattá váltál?

Ha úgy gondolod, hogy már áldozatul estél egy ilyen támadásnak:

• Azonnal változtasd meg minden érintett fiókod jelszavát

• Ellenőrizd a bankszámládat gyanús tevékenységek után kutatva

• Futtass teljes víruskeresést a számítógépeden

• Jelentsd az esetet a platform üzemeltetőjének és a hatóságoknak

A játékélmény fontos, de a biztonságod még fontosabb. Légy óvatos és gondolkodj, mielőtt kattintasz!

Emlékeztető: A hivatalos játékfejlesztők soha nem kérnek pénzt vagy személyes adatokat YouTube videók kommentszekciójában vagy külső oldalakon keresztül.

Felhasznált forrás: https://www.forbes.com/sites/daveywinder/2025/02/02/critical-youtube-hack-warning-cod-fortnite-minecraft-gamers-at-risk/