Iz Rusije stižu nove cyber prijetnje

Kada je srušen Berlinski zid, 1989. godine, građani Sovjetskog saveza su bili svesni da je to i početak kraja njihove glomazne i neefikasne unije. Još sredinom osamdesetih, zvanična Moskva nije imala sredstava da finansira svoj tzv. daleki istok, zemlje članice u srednjoj Aziji. Kao rezultat toga, prekidi u snabdevanju električnom energijom su bili svakodnevnica – tamo gde je uopšte i bilo struje. Mnoga sela u dalekim regionima su bila praktično izolovana, do te mere da su mnogi još uvek mislili da je na vlasti Leonid Brežnjev (umro 1982. godine). Putevi su u ovom delu zemlje bilo retkost, a asfalt još ređi.

Ipak, ovako neefikasna zemlja, koja je uz to trošila i ogromne resurse na rat u Afganistanu, imala je izuzetno dobro razvijenu doušničku mrežu. Zapravo, imali su najviše saradnika službi na svetu, što i ne čudi, budući da je sam KGB imao najmanje 480.000 aktivnih pripadnika, a ako se tu dodaju i pripadnici Granične službe, koji su bili produžena ruka KGB-a, njihov broj je bio i čitavih 700.000. Brojni disidenti, kao i neki ruski novinari, i pre i posle raspada SSSR-a, su tvrdili da je KGB imao najmanje 2,8 miliona civilnih saradnika. Petar Grigorenko, poznati sovjetski disident, visoki oficir i vojni naučnik, tvrdio je do svoje smrti 1987. godine da KGB i druge sovjetske službe imaju gotovo osam miliona saradnika, te da se time bave i čitave porodice.

Paralelno, Sovjetski savez, a onda i Rusija je poslednjih pedesetak godina snažno razvijala naučni sektor, a posebno je nastojala stvoriti vrhunske matematičare, inženjere mašinstva i vazduhoplovstva, te računarske stručnjake, koji mogu da istraže rad bilo kog softvera ili uređaja (reverse engineering).

Gotovo u isto vreme, na zapadnoj granici Varšavskog pakta, odigravala se prava “špijunska drama”. Naime, u istočnom Berlinu, rukovodstvo obaveštajne službe Štazi (STASI, Shild und Schwert das Partie, Štit i mač komunističke partije) uzalud je pokušavao da uništi dokumenta. Milioni i milioni stranica, prikupljani više od 30 godina, jednostavno nisu mogli biti uništeni brzo. Oficiri bi napunili kamione, pa bi ih zapalili u obližnjim brdima. Ipak, nisu postigli mnogo – 15. januara 1990. godine, demonstranti iz celog Berlina okupili su se ispred zgrade u Lichtenbergu. Do jutra, zgrada je bila u rukama demonstranata.

Mesecima nakon toga, mnogi građani su uspeli da pronađu svoj dosije, a ispostavilo se da su ih pratili ili prijavljivali uglavnom prijatelji ili članovi porodice, a često se dešavalo i da roditelji špijuniraju i prijavljuju svoju decu. Štazi je imao najmanje 120.000 zaposlenih, uz još barem 200.000 saradnika službe. Erich Mielke, poslednji direktor Štazija, na suđenju je tvrdio da su čak 10 odsto odraslih u Istočnoj Nemačkoj bili saradnici njegove službe.

Sa ovakvim nasleđem širom Istočnog bloka, te pravom “paranojom” vojnih i političkih krugova u Rusiji početkom devedesetih, nije bilo veliko iznenađenje da se na političkoj sceni pojavi – bivši oficir KGB-a. Vladimir Putin, iskusni obaveštajac, koji je najduže službovao upravo u Istočnom Berlinu, postaće prvo premijer, a kasnije i predsednik Ruske Federacije.

Hakerska grupa postoji od dolaska Putina na vlast

“Fancy Bear” (Razigrani medved) je ime koje su stručnjaci za računare dali najvećoj ruskoj hakerskoj grupi. Zvanično, ova grupa ima kodno ime “APT 28” i povezana je sa vojnom obaveštajnom agencijom GRU. Američke službe “Fancy Bear” nazivaju “Jedinica 26165” i “Jedinica 74455”. Kako god se ova grupa zvala, ona postoji od 2000. godine, praktično od Putinovog dolaska na vlast, a specijalizovala se za napade na računare i mreže državnih organa, finansijskih institucija, ali i medija u zemljama NATO-a.

Najpoznatije aktivnosti ove grupe su cyber napad na nemački Bundestag, francusku medijsku kuću TV 5 Monde, a glavna je osumnjičena i za napad na Demokratsku stranku u vreme predsedničke kampanje 2016. godine u SAD-u, kao i predsedničku kampanju francuskog predsednika Emmanuela Macrona.

Pre godinu dana, u SAD se dogodio najveći hakerski napad u istoriji. Napad je prvo izveden preko softvera energetske kompanije SolarWinds, koji se koristi za kontrolu velikih računarskih sistema u kompanijama i organizacijama koje imaju na stotine, a neke i više hiljada računara, često i na različitim lokacijama. Ovakav napad se naziva “supply chain attack”, a hakeri su uspeli da u ovaj softver ubace posebno napisan program (trojanac), koji se “predstavljao” kao redovna nadogradnja sistema.

SolarWinds (solarni vetar) ima više od 18.000 korisnika, uključujući većinu državnih agencija SAD-a, tehnološke kompanije, pa čak i male lokalne privrednike. Kada je ovaj sistem kompromitovan, hakeri su mogli da pristupaju celim računarskim mrežama, prave kopije podataka, pa čak i menjaju postavke na povezanim uređajima. Koliko je ovaj “trojanac” opasan, najbolje pokazuje i da je jedna od pogođenih kompanija – IT gigant Microsoft.

Kad se hakeri plaše – hakera

Sada je otkriveno da je iza ovog napada stajala do sada praktično nepoznata ruska hakerska grupa, pod imenom “Void Balaur”. Kompanija za računarsku bezbednost Trend Micro je objavila istraživanje o načinu rada ove grupe, a stručnjaci ove kompanije su prvo smatrali da je Balaur zapravo deo vojne grupe “APT 28”, ali se kasnije ispostavilo da je reč o daleko naprednijim hakerima.

Balaur je izvršio najmanje 200 napada u 43 zemlje, a žrtve su bile velike i male kompanije, centri za čuvanje podataka, ali i – diplomate i ambasade. Od 2017. godine članovi ove grupe su osnovali i nove podorganizacije, pod imenima Probiv, Tenec i Dark Money. Inače, “Void Balaur” je ime pesme jednog hevi-metal benda, o vitezu koji “ne može biti ubijen”.

U napad na SolarWinds je takođe bila uključena i još jedna ruska hakerska grupa, pod imenom “Nobelium”. I sama kompanija Microsoft upozorila je da je “Nobelium jedna od trenutno najvećih pretnji na internetu”.

Ovakve hakerske grupe se još nazivaju “advanved persistent threat” i imaju mogućnosti ne samo da ukradu podatke pojedinaca i kompanija (ransomware, kidnapovani podaci), već i da napadnu čitave baze podataka desetina milijuna korisnika (cloud storage). Microsoft je takođe upozorio da je poslednja velika aktivnost ove grupe bila u maju ove godine, kad je napadnuto najmanje 140 kompanija, koje imaju 71,3 miliona korisnika. Pored Microsofta i SolarWindsa, bili su napadnuti i američka federalna agencija DHS, te obaveštajna agencija CIA.

Ugroženi podaci svih korisnika

IT stručnjak Milan Stamenković kaže da su na ovaj način ugroženi podaci svih korisnika, bez obzira odakle oni dolaze.

“Vaši podaci – email, dokumenti, audio i video fajlovi, slike na društvenim mrežama – putuju preko stotina servera širom sveta. Iako većina korisnika misli da su njihovi podaci ‘negde blizu’, ili u SAD-u, kada su u pitanju društvene mreže, u stvarnosti svaki delić podataka putuje kroz desetine zemalja, i čuva se u barem sedam ili osam različitih zemalja”, objašnjava Stamenković.

Najveći data centri u svetu su u SAD-u, Kanadi i Irskoj ali, u zavisnosti od tipa fajla i kompanije, njih ima i u Velikoj Britaniji, Nemačkoj, Italiji, kao i u drugim zemljama EU.

“Ako koristite usluge velikih azijskih kompanija, vaši podaci, barem delimično, prolaze i kroz Kinu, a naročito Indiju koja je takođe jedna od velikih svetskih data centara”, dodaje Stamenković.

Ono što je veoma karakteristično za Nobelium i Void Balaur je i to da se oni služe tehnikom “reciklaže računarskog koda”. To znači da oni uzimaju već gotove računarske viruse ili malware alate, te ih modifikuju za njihove specifične namene ili konkretne mete napada. Budući da svi ovi virusi imaju “digitalni otisak prsta”, stručnjaci na Zapadu često pripisuju napade pogrešnoj – ili poznatijoj – hakerskoj grupi.

Jedan od stručnjaka za cyber bezbednost, Charles Carmakal navodi da ove grupe takođe mogu i da napadnu preko legitimnih softvera. “Napad na SolarWinds je izveden tako što je virus bio ubačen u inače normalan softver, koji se koristio svakodnevno. Postoji sumnja da iza ovih grupa, barem delimično, stoje i ruske državne službe”, naveo je Carmak.