Aktivna stalna prijetnja: Hakerske grupe postaju kompanije

Tehnološka dostignuća u protekloj godini su obeležila dva velika trenda. Iako na prvi pogled nepovezani, oni zapravo predstavljaju dva lica iste pojave – sve većeg uticaja tehnologije na živote ljudi, čak i onih koji nisu na internetu, ili uopšte ne koriste smartfone i računare.

I dok se proteklih godina svet nazivao “globalnim selom”, usled sve veće povezanosti ljudi, kompanija i usluga putem interneta, danas je to “selo” postalo “dvorište”, koje se sve više smanjuje.

Činjenica je i da danas naši podaci, fotografije i komunikacija sa porodicom i prijateljima zavise od velikih računarskih centara preko okeana, a često i širom sveta.

Kompjuteri kao taoci

Jedan od najnovijih primera uticaja sajber bezbednosti na živote običnih ljudi stiže iz Srbije.

Naime, kako su izvestili gotovo svi mediji u regionu, te svetski portali posvećeni sajber bezbednosti, nacionalna kompanija Elektoprivreda Srbije (EPS) bila je žrtva napada malware računarskim virusom. Ovaj izuzetno napredni malware je zapravo “virus za iznudu”, takozvani ransomware (igra reči na engleskom, a znači otprilike “držanje računara i podataka kao taoca za otkup”). Ovaj incident nadležni još uvek istražuju, a za sada stručnjaci napominju da je ransomware virus pod imenom “Qilin” do sada upotrebljen u još najmanje 12 zemalja širom sveta (američki izvori navode čak i 15 zemalja).

“Qilin” malware, kao i svi drugi ransom računarski virusi, funkcioniše tako što neko od zaposlenih dobije naizgled “zvanično” email poruku, koja sadrži dodatak ili prilog, obično dokument, unutar koga je virus. Samim klikom na preuzimanje dokumenata, virus se aktivira te (najčešće za nekoliko minuta) može da zarazi sve računare u okviru kompanije, pa čak i celu unutrašnju i eksternu računarsku mrežu ako ona nije adekvatno zaštićena.

Ovakvi mailovi se nazivaju phishing email (eng. pecanje), jer uspevaju da “upecaju” korisnike. Nakon aktiviranja, ransomware virus izvodi enkripciju (šifrovanje) svih podataka, koji postaju neupotrebljivi ako se ne plati “otkup” hakerima, najčešće u kriptovalutama poput bitcoina.

Koliko su hakeri “napredovali” poslednjih godina, pokazuje i to što što je “Qilin” napisan u veoma kompleksnom programskom jeziku Rust, što dodatno otežava njegovu analizu i uklanjanje sa “računara taoca”. Sam “izvršni fajl” virusa (Windows Portable Executable, WPE) je napisan u programskom jeziku Go i kompatibilan je sa 64-bitnim operativnim sistemima, verovatno kako bi zarazio što više računara za kratko vreme.

Neki od stručnjaka navode da iza ovog virusa stoji hakerska grupa “Agenda”, o kojoj ima veoma malo podataka, a veruje se da ona deluje iz Rusije ili šireg prostora Istočne Evrope (moguće i iz Ukrajine ili Belorusije). U svim dosadašnjim napadima “Qilinom”, napadnute kompanije su dobijale “personalizovanu” poruku na koji način treba da plate “otkup” za svoje podatke, što pokazuje da se ne radi o hakerima koji žele da stvore što više štete, već o organiziranoj kriminalnoj grupi koji radi veoma ciljano i planirano unapred.

Do sada su na meti “Qilin” napada bili i računarski sistemi u Indoneziji, Saudijskoj Arabiji, Južnoj Africi i na Tajlandu.

Hakerske grupe postaju kompanije

Primer “Qilina” ukazuje i na opšti trend u svetu sajber bezbednosti poslednjih godina, a to je sve češća pojava “hakiranja kao usluge” hacking as a service). Hakerske grupe više nisu “tinejdžeri u kapuljačama i mračnim podrumima”, već su u pitanju IT eksperti sa očigledno ogromnim znanjem, tolikim da često iznenade i najveće tehnološke gigante širom sveta. Microsoft, Google, Amazon, kao i američka obaveštajna zajednica, ovakve grupe naziva “aktivnom stalnom pretnjom” (Active Persistent Threat, APT).

To u praksi znači da hakerske grupe funkcionišu kao firme ili “hakerski sindikati” (hacker syndicate). U velikom broju slučajeva, američke službe su uspele da dođu do podataka o članovima ovih grupa upravo od “krtica” (eng. hacker mole), hakera nezadovoljnih “položajem” unutar grupe ili svojim delom novca od različitih aktivnosti.

Američka Agencija za sajber bezbednost (CISA) upozorava i na aktivnosti najvećeg “hakerskog sindikata u svetu” pod imenom “LockBit 3”. Ova grupa postoji od 2019, te vrši napade izuzetno naprednim malware virusom. Ono što je takođe zanimljivo je i da “LockBit 3” funkcioniše kao “Affiliate RaaS” (Ransomware as a Service) u ime drugih hakerskih grupa. To znači da će oni za deo “zarade” napasti odabranu metu (kompaniju, državne agencije, pa čak i istaknute pojedince) “u ime” druge grupe ili zainteresovane strane.

Jedan od prvih primera “RaaS” napada je bio onaj na kampanju tadašnjeg kandidata, a danas predsednika Francuske Emmanuela Macrona sredinom 2017. godine. Napad je tada izvela hakerska grupa “Pawn Storm”, što je zapravo ime za “konglomerat” nekoliko ruskih hakerskih grupa, uključujući i poznatu “Cozy Bear”, koja ima bliske kontakte sa vojnom  obaveštajnom službom GRU.

Bivši obavještajci kao hakeri

“Kill Net” je još jedan od velikih ruskih “hakerskih sindikata”, a sastoji se uglavnom od bivših pripadnika obaveštajnih službi i IT eksperata koji su u nekom trenutku radili za rusku vladu. Pored širenja malware virusa, “Kill Net” je najpoznatiji po velikim “DDoS” napadima na računarske sisteme i servere. Američka obaveštajna zajednica ih je u aprilu 2022. godine proglasila za “najopasniji hakerski entetit u Rusiji”, te “Government backed APT”, što znači da poput grupa “Fancy Bear”, “Cozy Bear” i “Strontium”, kao i “Kill Net”, u dobrom delu uživaju podršku Kremlja.

“Desorden” (španski: nestabilnost) je relativno nova hakerska grupa, aktivna u poslednjih godinu dana. Grupa je “specijalizovana” za napade na finansijske institucije, uglavnom širom Azije. Grupa je, uprkos španskom nazivu, sastavljena od hakera i eksperata širom Evrope, a među njima su i nekadašnji ruski i ukrajinski hakeri, danas imigranti širom zemalja Evropske unije. Grupa se čak i aktivno “reklamira” na “mračnom internetu” (dark web), gde “uživa veliko poštovanje” drugih hakera za svoje sposobnosti. “Desorden” je najpoznatiji po svojim napadima na tajvanskog proizvođača računara Acer, te nekoliko velikih logističkih i prevozničkih kompanija u Maleziji i na Tajlandu.

ALPHV ili “Black Cat” je još jedan od velikih ruskih hakerskih sindikata, ali za razliku od “Strontiuma”, koji insistira na ruskom patriotizmu, voli da sarađuje i “razmenjuje znanje” i sa hakerima širom sveta.

Ono što nas vraća na početak ove priče je i to da ALPHV sve svoje malware i ransomware viruse piše u programskom jeziku Rust, baš kao što je to urađeno sa “Qilinom”. Ovi virusi pored računara sa operativnim sistemom Windows, mogu da zaraze i Linux računare (operativni sistem koji se najčešće koristi na kompanijskim serverima) ako oni poseduju tzv. wine komponente za izvršavanje Windows programa.

“ALPHV/Black Cat” mreža se nedavno našla i na udaru američkog Ministarstva pravde, koje je u međunarodnoj akciji sa agencijom FBI uspelo da u značajnoj meri onemogući delovanje njihovog ransomware virusa. Američke službe su saopštile i da su akciji zaustavljeni napadi na više od hiljadu različitih targetiranih računarskih sistema, te da je grupa u proteklom periodu došla do stotina miliona dolara koji su joj isplaćeni za otkup podataka i vraćanje kontrole nad računarskim mrežama.