Magyarország első országos előválasztása indult el szeptember 18-án, interneten keresztül is lehetett szavazni. A netes felületet azonban már az első nap „erősödő terheléses támadások” érték a szervezők szerint, a szavazást le is kellett állítani.
A támadások mellett is biztonságos működést két nappal későbbre sikerült megoldani, az előválasztást ezért meghosszabbították két nappal. A támadással a szervezők Kínát és a kormánypártokat gyanúsították, de bizonyítékot nem mutattak fel ennek alátámasztására. A Fidesz pedig az ellenzéket okolta.
A szervezők Frész Ferencet, a Kürt Zrt. Biztonsági Intelligencia Központjának volt vezetőjét kérték fel a támadás kivizsgálására. A jelentés hétfőn lett nyilvános (itt letöltheti), e szerint
- túlterheléses támadás történt, a rendszer megnövekedett forgalom miatt állt le;
- de az előválasztási rendszer alulméretezett volt, és nem volt kellően védve a hasonló támadások ellen;
- adatvesztés vagy jogosulatlan adathozzáférés nem történhetett;
- a támadások egy része felismerhető mintázatokhoz, jól ismert bothálózatokhoz kötődött, amelyekkel nem leállítani, feltörni akarták a rendszert.
Hasonló botnetes támadásoknál elég nehéz utólag eldönteni, ki állt mögötte, kellő pénzből ugyanis bárki vásárolhat magának ilyen illegális szolgáltatást.
Az viszont kiderült a támadó gépek forráscímeit elemezve, hogy ismert, korábban például az amerikai választásokat is támadó botnettevékenység is kimutatható volt.
„A távoli bejelentkezést célzó bruteforce-kérések a jól ismert CobaltStrike, Trickbot, Lockibotnetek forgalma, amik az elmúlt öt évben szerepet játszottak az amerikai és európai választásokat befolyásoló, valamint a legutóbbi zsarolóvírus-támadásokban is” – áll az értékelésben.
Emellett az is látszott, hogy a botnetforgalom jó része az előválasztási rendszer lehetséges sérülékenységének letapogatására, támadás-előkészítésre használt forgalom volt. A jelentés szerint kimutatható volt a legújabb, Linux-alapú virtualizációs sérülékenységeket kereső botnetforgalom is.
A rendszer feltörésére irányuló botnetes támadás jellemzően brazil és kínai IP-című gépekről érkezett. A legnagyobb nem szabványos terhelés viszont európai IP-címekről jött a támadás során.
Az előválasztás szervező aHang közleményében elismerte a saját felelősségét, "jobban is készülhettek volna" hasonló támadások ellen. hozzátéve, hogy más kiemelt közéleti témáknál eddig mindig megtudták védeni az infrastruktúrájukat, azóta pedig már átköltöztették a rendszert.
Frész Ferenc ellenszolgáltatás nélkül készített jelentését a szervezők elküldték a nyomozó hatóságoknak is.