Hakeri iz izolovane zemlje

Svakoga dana se obori i više od 30.000 web stranica, a njih gotovo 5.000 pretrpi krađu korisničkih podataka. Hakeri “vole” popularne stranice – prvih 300 po posećenosti u svetu su žrtve više od 80 odsto cyber napada. Samo se u martu prošle godine dogodilo više od 20 miliona slučajeva neovlašćenog pristupa podacima i krađe identiteta. Dnevno se instalira i više od 150.000 štetnih i malicioznih mobilnih aplikacija, od kojih je većina namenjena Android platformi.

Koliko je važna edukacija korisnika računara i smartfona o bezbednosti na internetu, svedoče i podaci američkih vladinih agencija: u više od 95 odsto slučajeva zaraze računara i računarskih mreža opasnim virusima (malware), odgovoran je korisnik koji je kliknuo na zaraženu email poruku. U korporativnom okruženju, i u državnim službama, taj procenat je gotovo 99 odsto.

Visoka politika i visoka tehnologija

Kada je britanski Foreign Office (Ministarstvo spoljnih poslova) 2014. godine upozorio građane koji putuju u Severnu Koreju da sa sobom ne nose nikakve memorijske uređaje – USB diskove, memorijske kartice ili eksterne drajvove, bilo je jasno da se u najizolovanijoj zemlji na planeti dešava nešto čudno.

I zaista je tako bilo – američke i evropske službe su imale informacije o razvoju veoma specifičnog računarskog virusa, posebno dizajniranog da se neopaženo iskopira na razne vrste memorija.

Prilikom ulaska u Severnu Koreju svi uređaji za snimanje, pa čak i DVD ili BluRay diskovi, privremeno se oduzimaju, kako bi se proverio njihov sadržaj. Bilo kakvo snimanje javnih zgrada, ustanova, škola, pa čak i saobraćaja se smatra neprijateljskom aktivnošću, te čak i strani turisti mogu završiti u pritvoru.

Ovaj specijalni virus je bio nazvan “Dongnipegin” što znači “Pokret otpora”, a ime je dobio po stvarnom pokretu otpora u (tada ujedinjenoj) Koreji u periodu između dva svetska rata, protiv japanske okupacije. Virus je bio dizajniran kao “back door” – jednom kada bi memorijski uređaj bio ponovo priključen na računar, virus bi se sam iskopirao, te počeo da “zove kući”, omogućavajući na taj način hakerima direktan pristup zaraženom računaru.

Mnogi pogrešno veruju da Severna Koreja, koja je gotovo pola veka pod raznim vrstama međunarodnih sankcija, nema razvijen IT sektor, a da je pristup internetu prava retkost. Istina je da je internet (iako dosta spor i nepouzdan) dostupan većini građana, ali je istovremeno i u potpunosti kontrolisan od države, te veoma skup za prosečnu porodicu.

Još početkom 2000-ih, kineski provajder ‘China Unicom’ je imao nekoliko direktnih internetskih veza ka svom susedu, ali su one bile korišćene isključivo za potrebe vlade Severne Koreje i državnih službi.

U periodu od 2004. do 2009. postojala je i satelitska veza ka internet provajderu u Nemačkoj, ali je nakon zabrane Evropske unije ovaj pristup obustavljen. Početkom 2010. godine, severnokorejski PTC (telekom provajder u vlasništvu države) i provajder ‘Locley Pacific’ sa Tajlanda formirali su novu kompaniju nazvanu ‘Star Venture’, za pružanje internet i mobilnih usluga.

Drugi najveći mobilni provajder je ‘Koryolink’, koji je takođe zajednička kompanija između već pomenutog PTC-a i Orascom Telecoma. Zbog međunarodnih sankcija na uvoz opreme, mobilni internet je ograničen na sporiju verziju 3G standarda, iako postoje neki planovi o uvođenju 4G mreža.

Većina SIM kartica je tako programirana da su pozivi mogući samo između brojeva u istoj mreži, i samo unutar Severne Koreje, iako postoje i “klonirane” kartice, koje omogućavaju i korišćenje kineskih operatera i mreža u pograničnim područjima, te pozivanje međunarodnih brojeva u inostranstvu.

Ovakve modifikovane SIM kartice su izuzetno skupe i tražene na severnokorejskom crnom tržištu.

Internet kontroliše država

Pristup internetu, ipak, ostaje strogo kontrolisan od strane države. Za bilo kakvo korišćenje internet priključka potrebno je odobrenje nekoliko državnih službi, i nakon detaljnih provera, daje se dozvola za pristup internetu.

Kao i u susednoj Kini, spisak sajtova i usluga koje se mogu koristiti je prilično ograničen. Nema Google usluga, nema Yahooa, zapravo – nema nijednog zapadnog sajta. I za razliku od Kine, gde je ipak moguće (putem VPN usluga) gledati strane video sadržaje ili slušati muziku, u Severnoj Koreji je i to kažnjivo zakonom.

Država je naročito “osetljiva” na filmske i audio sadržaje, kao i web stranice sa vestima iz Južne Koreje. Nedavno je grupa koja je distribuirala južnokorejske filmove i serije na USB diskovima, osuđena na 20 godina zatvora. Širenje i kopiranje južnokorejskih vesti ili političkih saopštenja može građane koštati i doživotnog zatvora.

Stručnjaci takođe veruju, a nekoliko disidenata je i potvrdilo, da sav internet pristup ide preko samo nekoliko hiljada IP adresa, te da se email poruke, kao i objave na online forumima pregleda državna cenzorska agencija.

Ovo nije preterano čudno budući da mnogo veća (i mnogo bogatija i razvijenija) NR Kina ima čak nekoliko državnih cenzorskih institucija, te automatizovane servere i posebne softvere za pregledanje i nadzor sadržaja, zajednički nazvanih “velikim internet zidom” (Fa Nghuo Changcheng).

Zanimljivo je i da na Tehnološkom univerzitetu u Pjongjangu postoji “slobodna soba”, računarski centar sa gotovo neograničenim pristupom internetu. Odabrani studenti i profesori preuzimaju posebno odabrane informacije i podatke iz sveta, koji se kasnije prevode i prezentuju na domaćim web stranicama.

Hakerska grupa ‘Lazarus’

Ipak, i u ovako tehnološki “ograničenoj” sredini, redovno se pojavljuju mladi ljudi sa velikim talentom za elektroniku i programiranje. Oni obično dobijaju državnu stipendiju, a mnogo češće se nakon vojne obuke, priključuju jednoj od nekoliko državnih hakerskih grupa, koje se vode i funkcionišu kao delovi regularnih vojnih jedinica.

Najpoznatija je svakako ona sa kodnim imenom “Lazarus”. Zapadne službe ovu grupu nazivaju APT 38 (Active Persistent Threat, aktivna i neprekidna pretnja), a sami hakeri sebe nazivaju i ZINC, a od 2019. godine – “Hidden Cobra”. Pri napadu na servere kompanije Microsoft 2015. i 2018. godine, nazivali su se i “Guardians of Peace” (Čuvari mira).

“Lazarus” je hakerska grupa koja se najčešće služi SVHG napadima (small volume, high gain – mali broj napada, velika načinjena šteta). Većina ovih napada je DDoS tipa, kada se ciljni serveri ili cela računarska mreža preopterete, te dolazi do pada celog sistema.

Takođe, “Lazarus” ovakve napade kombinuje sa “wiper” računarskim malwareom, koji nakon preuzimanja podataka, u potpunosti briše sve drajvove na ciljnim računarima. Ovo dalje znatno otežava i forenziku, jer je praktično nemoguće utvrditi koje podatke su hakeri preuzeli. U martu 2011. godine se u Seulu desio upravo ovakav napad – na meti su bile medijske kuće, banke, trgovine i vladine agencije, a smatra se da je tom prilikom trajno onesposobljeno više od 12.000 računara, većina su bili deo kritične informatičke infrastrukture.

Početkom 2016. godine, nekoliko kompanija za internet sigurnost je analizom ovog “wiper” malwarea došlo do zaključka da je još barem 40.000 računara u Južnoj Koreji godinama bilo zaraženo, te neprimećeno slalo podatke hakerima.

“Lazarus” je stekao međunarodnu “slavu” 2014. godine, napadom na kompaniju Sony i njene filmske studije. Hakeri su ukrali tada još neobjavljeni film The Interview i kasnije ga postavili na internet forume. Sam film je komedija, koja kritički govori o životu u Severnoj Koreji. Kasnije su američke službe otkrile i prave razmere ovog napada – hakeri su kompromitovali ili u potpunosti preuzeli lične podatke više od 40.000 građana SAD-a, zaposlenih u kompaniji Sony, ali i njihovih članova porodice. Takođe je ukradeno i barem 47.000 SSN brojeva (social security number) što je praktično potpuna krađa identiteta.

Dve godine kasnije, “Lazarus” je uspeo da ukrade gotovo milijardu dolara napadom na računarske sisteme koji upravljaju bankarskim SWIFT transakcijama. Nacionalna banka Bangladeša je putem 35 SWIFT instrukcija pokušala da povuče 940 miliona dolara, koji su se nalazili deponovani u američkim Federalnim rezervama u Njujorku. Kada su u banci u Bangladešu primetili ovu neuobičajeno veliku transakciju, već je bilo kasno – pet od 35 SWIFT instrukcija je već bilo realizovano, čime je preuzeto 104 miliona dolara. Od ove sume, 80 miliona dolara je dalje prebačeno na račune na Filipinima, a 24 miliona na račune u Šri Lanci. Ostalih 30 SWIFT naloga su blokirale Federalne rezerve. Iako je deo novca vraćen, za 68 miliona dolara se do danas gubi svaki trag, a cyber napad na Banku Bangladeša ostaje najveći ovakav napad do sada.

IT stručnjak Dejan Tomić kaže da i korisnici na Balkanu treba da obrate pažnju na svoje transakcije u virtuelnom prostoru.

“Gotovo svi imamo neku vrstu bankarskih kartica, a sve su popularnije i bankarske aplikacije, ‘mBanking’. Zbog pandemije i novog načina rada banaka sve više ljudi novac prebacuje putem svog računara ili smartfona, smatrajući ih dovoljno sigurnim”, objašnjava Tomić.

Dodaje i kako svi noviji smartfoni imaju i neku vrstu “digitalnog novčanika” u kome se mogu držati elektronske verzije platnih kartica. Zbog toga, napominje, treba obratiti pažnju na aplikacije koje instaliramo na smartfon, kao i na antivirus softver na računaru gde uvek treba preuzeti najnoviju bezbednosnu “zakrpu” za internet pregledač.

“Takođe, nikada nemojte slati bankovne podatke, brojeve računa i šifre putem aplikacija za dopisivanje, niti ih držite zapisane na ovakvim aplikacijama”, ukazuje Tomić.

Neko nas posmatra

Stručnjaci smatraju “Lazarus” za primer novog talasa “državnih hakera”, koji se sve češće pojavljuju širom sveta. Ovakve grupe imaju dva cilja: nanošenje štete računarskim mrežama, ali sve češće i krađe novca i digitalnih identiteta.

Tako Iranska revolucionarna garda ima grupu “Parastoo”, Kina ima nekoliko ovakvih jedinica i grupa, poput “Jedinice 61398”, dok ruske službe i vojska imaju “Fancy Bear” i “Sofacy”. Stručnjaci procenjuju i da kineska “Jedinica 61398” broji čak oko 50.000 pripadnika. “Lazarus”, sudeći po sofisticiranosti napada i znanju njenih pripadnika, broji između osam i 11 hiljada članova.

Ipak, ono što ih čini možda i najopasnijim hakerskom grupom je potpuno nekonvencionalni način delovanja. Tako su u poslednje dve godine oni uspeli da ukradu više od 100 miliona dolara u raznim kriptovalutama, sa kriptoberzi širom sveta. Napadi su bili toliko napredni da ih većina kriptoberzi nije ni  primetila barem šest meseci.

Takođe, primećeno je da “Lazarus” ima i način da unapredi već poznate kompjuterske viruse. Tako su novom verzijom virusa “WannaCry” u periodu od 2017. do 2019. uspešno napali više od 400 ciljeva u 150 zemalja, među kojima su i kompanija Boeing, više od 50 univerziteta, kao i Nacionalnu zdravstvenu službu Velike Britanije (NHS), što se smatra i za najveći međunarodni hakerski napad ikada.