Za Rusiju se bore i ‘zombi’ računari
Ruska obavještajna služba GRU je najvjerovatnije koristila malware virus ‘Cyclops Blink’ kako bi zarazila veliki broj računara i napravila globalnu ‘botnet’ mrežu.
Otkriće velike međunarodne mreže za cyber špijunažu pod kontrolom ruske obaveštajne službe GRU pokazuje da se ratovi danas ne vode samo avionima, tenkovima i bombama, te propagandom u medijima, već i na internetu i društvenim mrežama.
Sudovi u američkim saveznim državama Pensilvanija i Kalifornija su nedavno tajno ovlastili američke agencije na čelu sa FBI-jem za rušenje velike međunarodne mreže za sajber špijunažu.
Zanimljivo je i da se većina “zombi” računara korišćenih od strane ruske službe GRU zapravo nalazila – u Evropi i Americi.
Ova novootkrivena mreža je zapravo jedna vrsta botnet sistema. Sam termin botnet obuhvata sve velike računarske mreže, koje se putem interneta koriste za izvršenje nekog napada ili aktivnosti u sajber prostoru. U današnje vreme to više ne moraju biti samo računari (desktop, laptop ili serveri), već i smartfoni, tableti, pametni uređaji, smart TV, zapravo – sva elektronika (internet of things, IoT) koja se na neki način u svom radu povezuje na internet.
Zombi računari i pravi špijuni
Ove mreže “zombi uređaja”, čiji vlasnici gotovo po pravilu i ne primećuju čudne aktivnosti dok ih koriste, mogu sadržati od desetak računara, pa sve do velikih mreža sa desetinama hiljada zaraženih uređaja. Hakeri obično dobijaju kontrolu nad udaljenim uređajima tako što pošalju mail na koji korisnik klikne, a potom se u pozadini preuzima maliciozni softver koji “umrežuje” uređaj u botnet sistem.
Često je ovaj maliciozni kod deo aplikacija ili raznih igrica, a neretko i audio i video fajlova koji se preuzimaju sa mreže. Takođe, i neki od računarskih malware virusa takođe sadrže sopstvenu botnet komponentu, koju koriste za krađu finansijskih podataka, ličnih podataka i raznih dokumenata.
Velike botnet mreže obično imaju i nekoliko “administratora”, baš kao i kada su u pitanju regularne računarske mreže. Glavni administrator (u ovom slučaju pripadnici ruske službe GRU) imaju naziv bot herder (gonič botova, pastir) te mogu sa jedne lokacije kontrolisati desetine hiljade računara širom sveta.
Ipak, zbog svoje S-C (server i klijent) arhitekture, administrator botnet mreže mora stalno biti na nju povezan, pa se obično ovakve mreže koriste u kraćem vremenskom periodu, te za izvođenje tačno određenih vrsta cyber napada. Najnovije vrste botnet mreža funkcionišu kao P2P (peer to peer), bez glavnog administratora, već su “zombi” računari programirani putem malware virusa da sami vrše određene aktivnosti u zadatom vremenskom okviru.
Najveća dosad poznata botnet mreža je bila “Mirai”. Otkriven 2016. godine, Mirai Botnet je u jednom trenutku kontrolisao više od 200.000 uređaja u više od 120 zemalja sveta. Koristeći napredni malware virus, koji se internetom širio putem standardnog TCP/IP protokola, Mirai je stigao i do velikog broja servera u velikim kompanijama, nadzornih kamera povezanih na internet, pa čak i industrijskih mašina sa kompjuterskom kontrolom.
Masovnom širenju Mirai malwarea je značajno doprinela i činjenica da većina korisnika uređaja povezanih na internet (rutera, kamera, zvučnika, audio-video uređaja, pametnih displeja) gotovo nikada ne menja fabrička podešavanja za korisnički pristup. Tako je Mirai uspeo da za samo nedelju dana zarazi više od 50.000 uređaja, te da se “klonira” na barem još 30.000 računara.
Čak iako korisnici koriste jake šifre i antivirus softver na svom laptopu ili smartfonu, često se zaboravlja i pravilna konfiguracija uređaja sa kojih internet zapravo i stiže – kablovskih ili wireless modema, rutera i mrežnih switcheva.
Promjene korisničkih podataka
Godine 2018. je otkrivena i nova verzija ovoga malwarea, nazvan Mirai Evo (evolucija). Ova unapređena verzija je napadala tzv. ARC procesore (Argonaut RISC Core), koji rade pod E-Linux operativnim sistemima. ARC procesori se nalaze u najmanje 1,2 milijarde uređaja u upotrebi širom sveta – prenosnim SSD diskovima, konzolama za igrice, uređajima u automobilima, WiFi ruterima, itd.
Godinu kasnije se pojavila i treća verzija, nazvana Mirai Masuta, koja je napadala prvenstveno mrežne uređaje kompanija Cisco i D-Link. Krajem iste godine, FBI i Interpol su identifikovali računarskog stručnjaka Daniela Kayea, koji je bio optužen da je “koristio Mirai botnet mrežu kako bi napao finansijske kompanije Barclays i Lloyds of London”. Kaye je izručen Velikoj Britaniji iz Nemačke, a kasnije je priznao i da je kontrolisao ogromnu botnet mrežu “sastavljenu od više od pola miliona internet rutera i modema kompanije Deutsche Telekom”.
Dušan Savić, IT stručnjak, kaže da svi korisnici treba da obrate pažnju na sigurnost svojih uređaja povezanih na internet.
“Najveći broj korisnika ne konfiguriše zaštitu na svojim uređajima, naročito na routerima koje dobiju od internet provajdera. Najveći broj samo postavi šifru za pristup WiFi signalu, što u praksi nije nikakva zaštita. Treba zato promeniti korisničke podatke ta pristup samom uređaju (username), te konfigurisati opcije ‘firewall’ zaštite, ako ih uređaj ima. Dalje, na računarima u kući je poželjno imati poseban korisnički nalog za svakog od korisnika (ukućana). Time se i štedi vreme, i izbegavaju razni problemi – od toga ‘ko mi je obrisao igricu’ do gubitka poslovnih podataka”, objašnjava Savić.
“Uvek treba praviti i kopije važnih podataka, pa čak i nekih ličnih fajlova (slika ili videa). USB diskovi su danas izuzetno jeftini i uz to sasvim dovoljnog kapaciteta za pravljenje sigurnosnih kopija i po nekoliko godina. Još jedna veoma bitna stvar, a koja je po mom iskustvu izuzetno čest problem na ovim prostorima, je i korišćenje službenih računara u kući, ali i obrnuto – korišćenje ličnih uređaja na poslu. U mnogim stranim kompanijama je ovo strogo regulisano internim pravilima, ali sličnih ograničenja gotovo i da nema kada su u pitanju javna preduzeća i ustanove”.
Kad zombiji progovore ruski
Ruska obaveštajna služba GRU je najverovatnije koristila malware virus nazvan “Cyclops Blink” kako bi zarazila veliki broj računara i napravila globalnu botnet mrežu. Ovaj malware je specifično napisan za napade na mrežne uređaje, naročito rutere kompanije Asus, kao i hardverske firewall uređaje kompanije Watch Guard. “Cyclops Blink” je prva otkrila britanska Agencija za cyber sigurnost (NCSC), a kasnije je analizom američkih agencija NSA i CISA potvrđeno “rusko državljanstvo” ovog malware virusa.
Vrh američke agencija NSA, kao i Bela kuća, smatraju da je ova globalna botnet mreža kontrolisana od strane nekoliko visokih oficira službe GRU, okupljenih u ono što NSA naziva “Grupa Sandworm”. Ova grupa elitnih ruskih hakera se takođe povezuje i sa napadom iz 2019. godine, nazvanim “VPN Filter”, koji je funkcionisao na sličan način kao i “Cyclops”, i takođe je tada napadao mrežene uređaje i računare u Evropi, pre svega Ukrajini, Letoniji i Estoniji.
Iako mnogi stručnjaci za cyber sigurnost nazivaju grupu “Sandworm” takođe i “Iron Viking”, u praksi je ipak reč o dve odvojene grupe – i tehnički, i organizaciono (u okviru hijerarhije same službe GRU). “Sandworm” ima svog “glavnog administratora”, kao i njegovog prvog zamenika, a oboje odgovaraju vrhu službe GRU, i dalje Kremlju.
Američko Ministarstvo pravde je navelo i da “ovakve operacije ruskih službi, kao u slučaju ‘Cyclops Blink’ mreže, pokazuju namere Kremlja da nanese štetu ne samo sistemima zemalja koje smatra protivnicima, već i privatnom biznis sektoru, kao i privatnim korisnicima”.