Az Egyesült Államok pénzügyi rendszerének stabilitásáért felelős egyik kulcsfontosságú intézményét, a Valutaszabályozó Hivatalt (Office of the Comptroller of the Currency, OCC) súlyos kiber- és adatbiztonsági incidens érte. 1Ismeretlen támadók több mint egy éven keresztül hozzáférhettek a hivatal elektronikus levelezőrendszeréhez és ez idő alatt mintegy 150 000 e-mailt kompromittáltak. A első sikeres jogosulatlan bejutás 2023 május-június környékén történhetett, az incidenst azonban csak 2025 februárjában észlelték – vagyis az elkövetők közel 20 hónapon át rejtve maradtak.

A kompromittált levelezés érzékeny adatokat is tartalmazott, többek között olyan pénzügyi óriásokkal folytatott kommunikációt, mint a JPMorgan Chase vagy a BNY Mellon. A támadás nem zsarolóvírussal vagy romboló módszerekkel történt, hanem csendben, észrevétlenül, megfigyelés és adatgyűjtés céljával – éppen ez teszi különösen aggasztóvá egy olyan intézmény esetében, amely az amerikai bankszektor stabilitásának egyik alappillére.

Az eset túlmutat az OCC saját védelmi gyengeségein: kérdéseket vet fel a kormányzati szervek információvédelmének állapotáról, a beszállítói láncok biztonságáról és adott esetben a geopolitikai kockázatokkal összefüggő motivációkról is.

Az incidens részletei

A kiberbiztonsági incidensre 2025. február 11-én derült fény, amikor a Microsoft szakemberei gyanús tevékenységet észleltek az OCC levelezőrendszerében. Egy adminisztrátori fiók szokatlan módon kezdett hozzáférni felhasználói postafiókokhoz – ezt követően értesítették a Valutaszabályozó Hivatalt, amely belső vizsgálatot indított és másnap, február 12-én megerősítette a Microsoft által jelzett incidenst.

A feltárt adatok alapján a támadás az alábbiak szerint rekonstruálható:

• Behatolás kezdete: 2023 május–június – a támadók ekkor szerezhettek hozzáférést az OCC levelezőrendszeréhez.

• Észlelés és felderítés: 2025. február 11. – az OCC belső biztonsági mechanizmusainak működése szempontjából fontos kiemelni, hogy az incidenst nem az OCC, hanem a Microsoft észlelte.

• Támadási vektor: egy kompromittált rendszergazdai fiók, amely hozzáférést biztosított más postafiókokhoz.

• Érintett rendszer: az OCC on-premises (helyben üzemeltetett) Microsoft Exchange levelezőrendszere (nem a Microsoft 365 felhőszolgáltatás). Mindez arra utal, hogy a támadás nem azonos a korábban felhőalapú célpontokat támadó, ismert állami (kínai) hátterű műveletekkel.

• Érintett postafiókok, adatok: legalább 103 e-mail fiók, mintegy 150 000 e-mail, köztük felsővezetők és bizalmas információkat kezelő tisztviselők levelezése.

• Támadás jellege: passzív megfigyelés, információszerzés. Nem történt fájlok titkosítása, zsarolás vagy rendszerszintű rombolás.

A támadás jellege, hossza és az észlelés külső forrásból történő érkezése súlyos kérdéseket vet fel az OCC belső biztonsági monitorozásának hatékonyságáról és a támadások korai észlelésére való képességéről.

Az okozott kár mértéke

Az OCC által megerősített adatok szerint a támadók legalább 103 e-mail fiókhoz fértek hozzá, köztük vezető beosztású tisztviselők fiókjaihoz is.

Ezek közül több a szövetségi szintű pénzügyi intézmények felügyeletével kapcsolatos kommunikációt tartalmazott. Az e-mailek között szerepeltek olyan dokumentumok, amelyek a bankfelügyeleti ellenőrzések eredményeit, értékeléseket és egyes intézmények pénzügyi állapotára vonatkozó érzékeny információkat tartalmaztak.

A kompromittált levelezés több mint 150 000 e-mailt foglalt magában, és az érintettek között olyan szereplők is voltak, mint a JPMorgan Chase, a Bank of New York Mellon, vagy a PNC Bank.

A támadás nyomán több pénzintézet ideiglenesen korlátozta az érzékeny adatok megosztását az OCC-val, ami jól jelzi a szabályozó hatóság iránti bizalom megingását.

Bár az OCC és az amerikai Pénzügyminisztérium hangsúlyozták, hogy az incidensnek nem volt közvetlen hatása a pénzügyi rendszer működésére, a kompromittált adatok mennyisége és jellege miatt a támadás hosszú távú kockázatot jelenthet.

Az érzékeny információk potenciális kiszivárgása nemcsak reputációs károkat okozhat, hanem támadási lehetőségeket is teremthet a jövőben – például célzott adathalász vagy pénzügyi manipulációs kampányok formájában.

Az incidens felfedezése és kezelése

A támadást 2025. február 11-én a Microsoft jelezte az OCC felé, miután szokatlan hozzáférési mintázatot észleltek egy rendszergazdai fiók és több felhasználói postafiók között. Az OCC másnap, február 12-én megerősítette az illetéktelen hozzáférést és azonnal letiltotta a kompromittált fiókot.

A hatóság a következő lépéseket tette:

• Fiókletiltás: a kompromittált adminisztrátori hozzáférés azonnali blokkolása.

• Független vizsgálat: külső digitális forenzikus csapatot vontak be az incidens kivizsgálására.

• CISA értesítése: az OCC jelentette az esetet az amerikai Kiberbiztonsági és Infrastruktúra-védelmi Ügynökségnek (CISA), a törvényi előírásoknak megfelelően.

• Kongresszusi tájékoztatás: 2025. március végén hivatalosan is jelentették az esetet a Kongresszusnak, „jelentős incidensként” kategorizálva, mivel nem nyilvános, kontrollált besorolású és személyes azonosításra alkalmas adatokat is érintett.

A vizsgálat idején sem az újonnan kinevezett megbízott valutaellenőr, sem a nyilvánosság nem rendelkezett pontos információkkal az elkövetés időtartamáról vagy az érintett e-mailek tartalmáról. A részletek fokozatosan derültek ki a forenzikus vizsgálat előrehaladtával.

Az OCC szóvivője közölte: az intézmény elkötelezett a biztonsági hiányosságok feltárása, a belső felelősség megállapítása és az érintett rendszerek megerősítése mellett. Ez utóbbi különösen fontos, mivel az eset rávilágított a szervezet belső észlelési és válaszadási képességeinek hiányosságaira.

Geopolitikai kitekintés

Bár az OCC elleni támadás elkövetőjét hivatalosan nem azonosították, az eset geopolitikai jelentősége sem hagyható figyelmen kívül. Az elmúlt években több hasonló módszerrel végrehajtott behatolás is történt amerikai kormányzati és pénzügyi intézmények elektronikus levelezőrendszereibe, amelyeket jellemzően kínai állami támogatású hackercsoportokhoz kötöttek.

A támadások közös jellemzője, hogy nem a működés megbénítására, hanem hosszú távú információgyűjtésre irányulnak. Ezek a csendes, célzott akciók gyakran stratégiai célokat szolgálnak: politikai vagy gazdasági előnyszerzésre irányuló kiberkémkedésről van szó.

Az OCC-hez hasonló támadások esetében gyakran felmerül a Salt Typhoon (más néven APT40) és más kínai hátterű csoportok neve, amelyek korábban az amerikai állami intézmények, védelmi iparvállalatok és kritikus infrastruktúrák ellen hajtottak végre hasonló profilú akciókat. A Microsoft és más biztonsági cégek 2023–2024-ben is több ilyen műveletet dokumentáltak, köztük a Microsoft 365 környezetben észlelt kormányzati szintű megfigyeléseket.

Fontos hangsúlyozni, hogy az OCC esetében a jelenlegi információk alapján nincs hivatalosan megerősített elkövető, így bármilyen állami kötődésre utaló következtetés csak mintázati alapon, más támadásokkal való összevetés révén vethető fel.

A geopolitikai feszültségek – különösen az USA és Kína között – fokozottan áthelyeződnek a kibertérbe, ahol a hagyományos diplomáciai eszközök helyett információs műveletek és célzott adatlopások dominálnak. Az OCC esete jól illeszkedik ebbe a trendbe: ha valóban külföldi állami szereplő állt a háttérben, a cél minden bizonnyal a pénzügyi szabályozás működésének megértése és befolyásolása lehetett.

Tanulságok és ajánlások

Az OCC elleni támadás nem csupán egy szabályozó hatóságot ért biztonsági incidens, hanem egy sor rendszerszintű gyengeségre hívta fel a figyelmet.

A tanulságok és ajánlások nem kizárólag pénzügyi felügyeleti szervek számára relevánsak: minden olyan szervezet érintett lehet, amely érzékeny adatokat kezel vagy kritikus infrastruktúrát üzemeltet.

Tanulságok

A belső észlelés hiánya súlyos biztonsági kockázat

• A támadás felfedezése nem belső, hanem külső partner (Microsoft) révén történt.

• A közel 20 hónapig tartó rejtett jelenlét a detekciós képességek elégtelenségét mutatja.

Privilegizált hozzáférések kontrollja nem megfelelő

• A támadás során kompromittált rendszergazdai fiók széles körű hozzáférést biztosított.

• A hozzáféréskezelés és jogosultságmenedzsment hiányosságai rendszerszintű problémára utalnak.

A biztonsági hiányosságok gyakran szervezeti eredetűek

• A megbízott valutaellenőr szerint az eset „régóta fennálló” szerkezeti gyengeségeket is felszínre hozott.

• A technikai adósság és az elmaradt fejlesztések növelik a támadási felületet.

Kommunikációs és válaszadási folyamatok fejlesztésre szorulnak

• Az eset minősítésének módosítása és a tájékoztatás ütemezése azt mutatja, hogy nincs jól működő, előre kialakított incidenskommunikációs gyakorlat.

Ajánlások kritikus adatokat kezelő szervezetek számára

Privilegizált hozzáférések védelmének megerősítése (PAM)

• Többfaktoros hitelesítés, legkisebb jogosultság elve, időkorlátos hozzáférések, munkamenet-naplózás és rendszeres auditálás alkalmazása.

Fejlett észlelési és reagálási képességek kiépítése

• Olyan megoldások bevezetése és fejlesztése, mint:

  • SIEM (biztonsági információ- és eseménykezelés),

  • EDR (végponti észlelés és reagálás),

  • NDR (hálózati észlelés),

  • viselkedésalapú észlelés és automatizált korai riasztás.

Zero Trust alapú hálózati modell alkalmazása

• Az implicit bizalom minimalizálása minden hozzáférési szinten;

• folyamatos hitelesítés és hozzáférés-kontroll a szervezeten belül és kívül is.

Átlátható incidenskommunikációs protokollok kialakítása

• Előre definiált eljárások az incidensek kezelésére és az érintettek, valamint a nyilvánosság tájékoztatására;

• egységes minősítési rendszer és belső felelősségi körök kijelölése.

Szervezeti kiberbiztonsági kultúra fejlesztése

• A vezetői felelősségvállalás megerősítése, erőforrás-allokáció és tudatosítási programok integrálása a napi működésbe.

Kommunikációs csatornák biztonságának felülvizsgálata

• Rendkívül érzékeny információk esetén dedikált, titkosított és auditált csatornák alkalmazása az általános e-mail kommunikáció helyett.

Az OCC elleni kibertámadás az elmúlt évek egyik legsúlyosabb incidense az amerikai szabályozó hatóságok történetében.

Az eset nemcsak a folyamatosan fejlődő kiberfenyegetések természetét világítja meg, hanem rávilágít a belső biztonsági rendszerek és folyamatok sérülékenységére is. Emellett felveti a nemzetállami szereplők lehetséges érdeklődését a pénzügyi szabályozással kapcsolatos érzékeny adatok iránt.

A tanulságok világosak: a technikai, szervezeti és kulturális védekezési képességek megerősítése nem halasztható tovább. Az ilyen típusú, hosszú ideig rejtve maradó támadások megelőzése érdekében elengedhetetlen a biztonsági gyakorlatok folyamatos felülvizsgálata és korszerűsítése – különösen ott, ahol a nemzeti vagy globális pénzügyi stabilitás a tét.