/ TL;DR

A 2025. szeptember-októberi időszak a kiberbiztonság területén paradigmaváltást hozott, ahol a támadások fókusza a mennyiségről a minőségre, a széles körű, alacsony hatásfokú próbálkozásokról a precízen célzott, rendszerszintű károkozásra helyeződött át. Két kulcsfontosságú esemény – a Collins Aerospace és a Jaguar Land Rover elleni támadások – demonstrálta, hogy az ellátási láncok sebezhetősége immár nem elméleti kockázat, hanem a nemzetgazdaságokat megbénítani képes fegyver. Ezek az incidensek elmosták a határt a pénzügyileg motivált kiberbűnözés és a nemzetbiztonsági fenyegetések között, mivel a következményeik állami szintű beavatkozást tettek szükségessé.

A geopolitikai feszültségek – különösen az orosz-ukrán, az iráni-izraeli és a kínai-nyugati konfliktusok – nyíltan manifesztálódtak a kibertérben. Állami szereplők és velük szövetséges hacktivista csoportok célzottan támadták az ellenségesnek tekintett országok kritikus infrastruktúráját és diplomáciai testületeit. Ezzel párhuzamosan a mesterséges intelligencia (MI) végérvényesen a kiberhadviselés mindkét oldalának alapvető eszközévé vált. Míg a támadók az MI-t a social engineering és a kártevők hatékonyságának növelésére használják, a védekező oldalon is megjelentek az MI-alapú detekciós és válaszadási mechanizmusok, ami egy új fegyverkezési versenyt indított el.

Magyarország mind a globális trendek, mind a specifikus támadások által közvetlenül érintett volt. A magyar diplomaták elleni kémkedési kampány és a budapesti repülőteret is sújtó fennakadások mellett a kiberbiztonság a belpolitikai küzdelmek színterévé is vált. Mindeközben a hazai vállalatoknak egy szigorodó szabályozói környezetnek, az uniós NIS2 irányelv átültetésének is meg kell felelniük, ami egyszerre jelent kihívást és lehetőséget a kiber-ellenállóképesség növelésére.

TL;DR /

Főbb trendek és statisztikák

Stabil volumen, növekvő súlyosság

A 2025. szeptemberi adatok a kiberfenyegetettségi tájkép összetett átalakulásáról tanúskodnak. A felszínen a globális támadási volumen látszólagos stabilitást mutatott: a Check Point adatai szerint egy szervezetet hetente átlagosan 1900 kibertámadás ért, ami 4%-os csökkenést jelent augusztushoz képest, és mindössze 1%-os növekedést az előző év azonos időszakához viszonyítva. Ez a statisztikai nyugalom azonban egy mélyebb, stratégiai elmozdulást takar. Ahelyett, hogy a támadók nagy mennyiségű, alacsony sikerességi rátájú támadással “zajonganának”, erőforrásaikat kevesebb, de sokkal jobban előkészített, magasabb megtérüléssel kecsegtető, rendszerszintű károkozásra képes műveletre összpontosítják. A cél már nem csupán egy-egy vállalat kompromittálása, hanem egy teljes iparág vagy ellátási lánc megbénítása a maximális pénzügyi és pszichológiai hatás érdekében.

Regionális és szektorális szinten a kép árnyaltabb. Az oktatási szektor továbbra is a leginkább célzott terület maradt, heti 4175 támadással szervezetenként, de a legnagyobb éves növekedést Észak-Amerika (+17%) és a telekommunikációs szektor (+6%) mutatta. Európában a heti támadások száma (1577) viszonylag stabil maradt, 1%-os csökkenést mutatva éves összevetésben.

A zsarolóvírusok visszatérése

A vizsgált időszak a zsarolóvírus-támadások reneszánszát hozta. A Check Point 46%-os növekedést regisztrált a nyilvánosan jelentett incidensek számában 2024 szeptemberéhez képest. A Cyble jelentése “példátlan szintre” emelkedő zsarolóvírus-kampányokról és 474 azonosított áldozatról számolt be csak szeptember hónapban. A legaktívabb csoportok között szerepelt az Akira, amely a jelentett esetek 7,3%-áért volt felelős, és már Windows, Linux, valamint ESXi virtualizációs platformokat is célzott.

Új, kifinomult variánsok is megjelentek, mint például a KYBER, amely hibrid titkosítást (AES-256-CTR, X25519, Kyber1024 algoritmusok kombinációját) használ, és strukturált, adatvezérelt zsarolási műveleteket folytat, ami a csoport technikai és operatív érettségét mutatja. Az Európai Unió Kiberbiztonsági Ügynökségének (ENISA) 2025-ös jelentése megerősíti ezt a professzionalizálódási trendet. A bűnüldözői fellépésekre válaszul a zsarolóvírus-csoportok decentralizálták műveleteiket, agresszív kettős (adatlopás és titkosítás) és hármas (DDoS támadással kiegészített) zsarolási taktikákat alkalmaznak, és egyre gyakrabban használják ki a szabályozói megfelelési (pl. GDPR) félelmeket az áldozatok nyomás alá helyezésére.

Az identitás a fő célpont

A Microsoft jelentése szerint 2025 első felében 32%-kal nőttek az identitásalapú támadások. Ezen incidensek 97%-a jelszólopásra épült, ami aláhúzza, hogy a felhasználói fiókok továbbra is a védelem leggyengébb láncszemei. A legelterjedtebb technika a “password spraying”, amely során a támadók korábbi adatszivárgásokból származó, nyilvánosságra került felhasználónév-jelszó párosokat használnak tömeges bejelentkezési kísérletekhez.

A social engineering technikák is egyre kifinomultabbá válnak. A támadók már nemcsak egyszerű adathalász e-maileket küldenek, hanem IT helpdesk munkatársnak adják ki magukat, vagy olyan megbízhatónak tűnő, legális eszközöket használnak, mint a Microsoft Teams és a Windows Quick Assist a felhasználók megtévesztésére és a távoli hozzáférés megszerzésére.

A Mesterséges Intelligencia mint kiberfegyver

A mesterséges intelligencia (MI) végleg a kiberhadviselés mindkét oldalának alapvető eszközévé vált. Az MI “demokratizálta” a kiberbűnözést: alacsony képzettségű támadók is képesek hatékony adathalász csalásokat vagy zsarolóvírus-kódokat létrehozni generatív MI platformok segítségével. Az ENISA szerint 2025 elejére a social engineering támadások több mint 80%-a már valamilyen formában MI-támogatott volt. A támadók feltört (”jailbroken”) modelleket, szintetikus médiát (deepfake) és modellmérgezési technikákat alkalmaznak, hogy megkerüljék a biztonsági szűrőket.

A támadók a teljes támadási életciklusba beépítik az MI-t: a felderítéstől és áldozatprofilozástól a kártevőfejlesztésen át a zsarolásig és a pénzzé tételig. Az MI-generált adathalászat kiküszöböli a gyanút keltő helyesírási hibákat, így a megtévesztő üzenetek szinte megkülönböztethetetlenek a legitim kommunikációtól, jelentősen növelve a sikeres behatolás esélyét.

Geopolitikai konfliktusok a kibertérben

A geopolitikai feszültségek, különösen az orosz-ukrán háború, markánsan formálják az európai kiberfenyegetettségi tájképet, amely a kibertámadások elsődleges célpontjává vált. Orosz érdekeket szolgáló, államilag támogatott és hacktivista csoportok szisztematikusan támadják a nyugat- és közép-európai kormányzati szerveket és vállalatokat. Egy oroszpárti hacktivista csoport két és fél év alatt több mint 6600, 96%-ban európai célpontokat – köztük kormányzati oldalakat, reptereket és sajtóorgánumokat – érintő támadást vállalt magára.

Az ENISA jelentése megerősíti, hogy a hacktivista tevékenység dominálja a jelentett incidensek számát (közel 80%), bár ezek többnyire alacsony hatásfokú, a működést ritkán megzavaró elosztott szolgáltatásmegtagadási (DDoS) támadások. Ezzel párhuzamosan az állami kötődésű kémkedési kampányok sokkal kifinomultabb és célzottabb fenyegetést jelentenek, elsősorban a telekommunikációs, logisztikai és gyártási szektorokat célozva fejlett technikákkal, mint például az ellátási lánc kompromittálása és a lopakodó kártevők.

Közel-Kelet: Az Irán-Izrael kiberháború eszkalációja

A Microsoft 2025-ös Digital Defense Reportja szerint Izrael a világ harmadik leginkább támadott országa az Amerikai Egyesült Államok és az Egyesült Királyság után, a globális incidensek 3,5%-át elszenvedve. A támadások fő forrása Irán, amely az izraeli célpontok elleni kibertevékenységek 64%-áért felelős. A támadások célja sokrétű: információgyűjtés, kritikus szolgáltatások megzavarása, valamint a katonai konfrontáció nélküli megtorlás. Ez a tevékenység egy nyílt kiberháború része, amely a két ország stratégiai rivalizálásának egyik legfontosabb frontjává vált.

Kína stratégiai előkészületei és kémkedési műveletei

Kína kiberstratégiája jelentős elmozdulást mutat. Az USA kritikus infrastruktúrája (energia, víz, telekommunikáció, közlekedés) ellen irányuló, “Typhoon” néven azonosított kínai kiberműveletek a korábbi kémkedésről a jövőbeli konfliktusok során bevethető, nagyszabású zavarkeltés aktív előkészítésére helyezték át a fókuszt.

Ezzel párhuzamosan az UNC6384 nevű, kínai állami kötődésű hekkercsoport egy aktív kiberkémkedési kampányt folytatott európai diplomaták ellen. A támadás szeptemberben indult és októberben is tartott, magyar, belga, szerb, olasz és holland célpontokkal. A támadók egy Windows parancsikonfájlokat érintő, korábban azonosított sérülékenységet (ZDI-CAN-25373) használtak ki. Célzott, az Európai Bizottságtól érkezőnek látszó adathalász e-maileket küldtek, amelyek egy PlugX nevű trójai programot telepítettek a diplomaták gépeire, távoli hozzáférést biztosítva a támadóknak. Különösen aggasztó, hogy a magyar célpontoknak küldött csali egy valós, szeptember 26-i brüsszeli bizottsági megbeszélés napirendjét tartalmazta (”Agenda_Meeting 26 Sep Brussels”), ami a támadók alapos előkészítő munkájára és a célpontok mély ismeretére utal. Ez a módszer a csoport taktikai fejlődését mutatja, amelynek TTP-i (taktikák, technikák és eljárások) átfedést mutatnak a Mustang Panda (más néven Bronze President, TA416) nevű, szintén kínai kötődésű csoporttal.

Kritikus infrastruktúra és ellátási láncok elleni támadások

A 2025. szeptember-októberi időszak két, rendszerszintű hatással bíró incidense rávilágított arra, hogy a pénzügyileg motivált kiberbűnözés elérte azt a szintet, ahol a hatása már nemzetgazdasági szintű. Egy jól célzott támadás egy kritikus ellátási lánc elem ellen ugyanolyan vagy még nagyobb gazdasági károkat okozhat, mint egy hagyományos katonai vagy terrorcselekmény. A kiberbűnözés így de facto gazdasági hadviselési eszközzé vált, függetlenül a támadók eredeti motivációjától.

Az Európai Légiközlekedés Megbénítása: A Collins Aerospace Incidens

2015. szeptember 19-én egy zsarolóvírus-támadás érte a Collins Aerospace-t, az európai repülőterek által széles körben használt MUSE (Multi-User System Environment) utasfelvételi és beszállítási szoftver szolgáltatóját. Az ENISA megerősítette, hogy zsarolóvírus-támadás történt, a jelentések szerint a HardBit variáns titkosította a cég domain vezérlőit, megbénítva a repülőtéri kioszkokat, poggyászkezelő és beszállítókapu-rendszereket. A HardBit csoport arról ismert, hogy a váltságdíj összegét az áldozat kiberbiztosítási fedezetéhez igazítja, ami a támadások üzleti modelljének kifinomultságát jelzi.

A támadás láncreakciót indított el Európa-szerte. Olyan kulcsfontosságú repülőtereken okozott súlyos fennakadásokat, járatkéséseket és -törléseket, mint a londoni Heathrow, Brüsszel, Berlin és Dublin. A repülőterek kénytelenek voltak manuális, papír alapú utasfelvételre visszaállni, ami óriási káoszt eredményezett. A budapesti Liszt Ferenc Repülőtér is érintett volt, bár a helyzetet “kezelhetőnek” minősítették, ami arra utal, hogy léteztek manuális vészhelyzeti eljárások. A teljes iparági kár becslések szerint meghaladhatja a 150 millió eurót. Az incidens drámaian rávilágított az ellátási láncban rejlő “egyetlen meghibásodási pont” (single point of failure) óriási kockázatára: egyetlen, központosított szolgáltató kompromittálása egy egész kontinentális iparágat képes megbénítani.

Az autóipar leállása: A Jaguar Land Rover és a Stellantis esetei

Szeptember elején egy kibertámadás miatt a Jaguar Land Rover (JLR) kénytelen volt leállítani a termelést a világ összes gyárában, hetekre megbénítva a működést. A felelősséget a Scattered Spider (más néven UNC3944) nevű, angol anyanyelvű, pénzügyileg motivált csoport vállalta. Ez a csoport a social engineering mestere, gyakran adja ki magát IT helpdesknek, és olyan technikákat alkalmaz, mint a vishing (hangalapú adathalászat), a SIM-kártya csere és az MFA-elfárasztásos támadások (MFA fatigue) a bejutáshoz.

A támadás pénzügyi következményei katasztrofálisak voltak. A brit gazdaságnak becslések szerint 1,9 milliárd fontba (2,5 milliárd dollárba) került, több mint 5000 szervezetet érintve a beszállítói láncban. Ez volt az Egyesült Királyságot valaha ért, gazdaságilag legkárosabb kiberincidens. A kár mértéke olyan súlyos volt, hogy állami beavatkozást tett szükségessé: a brit kormány 1,5 milliárd fontos hitelgaranciát nyújtott a beszállítói lánc összeomlásának megakadályozására.

Ugyanebben az időszakban a Stellantis, a világ ötödik legnagyobb autógyártója is támadás áldozata lett. 18 millió ügyfélszolgálati adatot loptak el egy harmadik feles, Salesforce API-kat használó SaaS (Software-as-a-Service) integráción keresztül. Bár a kár (alapvető kapcsolattartási adatok) kisebbnek tűnik, ez az eset a külső, gyengén felügyelt SaaS-függőségekben rejlő, egyre növekvő kockázatot illusztrálja.

Magyarországi helyzetkép

A vizsgált időszakban Magyarországot több jelentős kiberbiztonsági esemény is érintette, amelyek a globális trendeket tükrözték. A legjelentősebb, Magyarországot közvetlenül célzó állami kiberkémkedési művelet a magyar diplomaták elleni, UNC6384 csoporthoz köthető támadás volt. A Collins Aerospace elleni támadás a budapesti repülőteret is érintette, bár a hatóságok szerint a helyzet kezelhető maradt, ami arra utal, hogy léteztek manuális vészhelyzeti eljárások.

Október elején egy állítólagos adatszivárgás és kibertámadás került a politikai vita középpontjába a Tisza Párt “Tisza Világ” nevű mobilalkalmazása kapcsán. A kormánypárti média adatlopásról és ukrán fejlesztői háttérről cikkezett, míg a párt tagadta a szivárgást és orosz titkosszolgálati támadásról beszélt. Ez az eset rávilágított arra, hogy Magyarországon a kiberbiztonság kilépett a tisztán technikai vagy üzleti kockázati keretből, és a belpolitikai küzdelem aktív színterévé vált. Egy kiberincidens vagy annak gyanúja ma már nemcsak a megtámadott szervezet reputációját és működését veszélyezteti, hanem azonnal politikai tőkét vagy fegyvert is jelent a szembenálló felek számára. Ez a jelenség új típusú kockázatot teremt a politikai és civil szervezetek számára, ahol a kommunikációs válságkezelés legalább olyan fontossá válik, mint a technikai incidenskezelés.