Kako su ruski hakeri uspjeli ući i u kompjutere na Balkanu

Kompanija Netscout smatra da je ruska hakerska grupa ‘NoName057’, za koju se vjeruje da stoji iza cyber-napada u Hrvatskoj, zapravo grupa ‘starih’ hakera koji su i ranije koristili DDoS napade.

Hakerski napadi s teritorije Ruske Federacije više nisu nikakva novost, nego su postali uobičajeni (Getty Images)

Poslednji hakerski napadi na kompjuterske sisteme i mreže u Hrvatskoj ponovo su aktuelizovali pitanje više puta postavljano u javnosti, kao i u stručnim krugovima – koliko su, zapravo, sistemi za skladištenje podataka građana, internet provajderi i, na kraju, sami telekom-operateri širom Balkana u stanju da se odupru takvoj vrsti napada?

Zvaničnici u Zagrebu su već potvrdili da se „radi na forenzičkoj obradi samog hakerskog napada“, a na nekim nalozima na aplikaciji Telegram su se pojavile i tvrdnje da iza napada stoji do sada malo poznata hakerska grupa „NoName057“ iz Rusije te da je u pitanju bio tzv. DDoS napad.

Hakerski napadi sa teritorije Ruske Federacije više nisu nikakva novost – štaviše, gotovo i da su postali uobičajeni. Američka Agencija za cyber-bezbednost (CISA) navodi da se proteklih godina Kremlj odlučio na „hakersku diplomatiju“ te da je većina ruskih hakerskih grupa povezana sa jednom ili sve tri najveće ruske obaveštajne agencije – vojnom GRU, civilnom FSB te spoljnopolitičkom (nekada nazivanom i diplomatskom) obaveštajnom službom SVR.

Kremlj voli hakere

Od početka ruske agresije na Ukrajinu broj cyber-napada širom sveta se gotovo utrostručio, a najveći broj njih potiče, očekivano, iz Rusije. Američki tehnološki gigant, kompanija Google, je još prošle godine upozorila na „do sada neviđeni porast broja zlonamernih cyber-napada, krađa podataka korisnika te napade na velike korporacijske kompjuterske sisteme“.

Kremlj hakerske napade u Ukrajini koristi „ravnopravno“ s napadima artiljerije i korišćenjem balističkih raketa, a procenjuje se da su od početka agresije građani Ukrajine pretrpeli više od 200.000 cyber-napada. Neki od njih su pokrenuti kao MtA napadi (Multiple targets Allocated) koji imaju za cilj onesposobljavanje pristupa internetu ili određenim uslugama za stotine hiljada ili čak milione ljudi. To se postiže cyber-napadima na velike serverske sisteme koji upravljaju mobilnim komunikacijama, protokom interneta ka velikim stranim provajderima („spoljnom“ internetu) te sistemima za prenos podataka u velikim gradovima, kao što je Kijev.

Ako cyber-napadi ne uspeju, ili nisu dovoljno efikasni, ostaje i drugo rešenje – napadi raketama i dronovima, kao što je to bio slučaj krajem marta ove godine, kada je upotrebljeno više od 150 dronova i raketa protiv elektrocentrala i sistema za upravljanje telekomunikacijama u Ukrajini, nakon čega je više od 1,5 miliona ljudi ostalo bez električne energije i pristupa internetu.

Niz visokotehnoloških alata

Ruske hakerske grupe koriste celi niz visokotehnoloških alata u svojim napadima, ali su u protekle dve godine dva postala dominantna – napadi malware i ransomware računarskim virusima te DDoS napadi. Napadi malware virusima u najvećem delu podrazumevaju prikriveni upad u kompjuterske mreže i sisteme, bile one privatne, korporacijske ili državne.

Veliku ulogu u širenju ovakvih virusa ima tzv. phishing (eng. pecanje), kada korisnici (privatni, poslovni ili zaposlenici u državnim službama i agencijama) dobiju u potpunosti „verodostojnu“ email poruku, koja u najvećem broju slučajeva ima i prilog (attachment) u vidu tekstualnog dokumenta (obično u doc, xls ili pdf formatu), a ređe multimedijalnog fajla (poput mp3 ili mp4 formata). Takođe, ovakvi emailovi u svom naslovu najčešće imaju reč „hitno“ ili „važno“, kako bi se korisnik naveo da email otvori i preuzme dodatak koji je, u terminu hakera, zapravo piggyback (eng. nositi nekoga na ramenima ili leđima). U najvećem broju slučajeva, samim preuzimanjem dodatka aktivira se i malware virus koji je u svom kompjuterskom kodu dizajniran da zarazi što više računara na mreži u što kraćem vremenu.

Sve češće je reč i o ransomware virusu koji vrši enkripciju (šifrovanje) svih bitnih fajlova na celoj računarskoj mreži (npr. u kompaniji ili državnoj upravi), nakon čega hakeri obično traže „otkup“, plaćanje u kriptovalutama (poput bitcoina), kako bi dostavili tzv. public key (ključ za vraćanje šifrovanih podataka).

Šta je potrebno za DDoS napad?

U poređenju sa malware i ransomware napadima, DDoS napadi zahtevaju daleko veće hardverske resurse, duže vreme za sam napad te veći broj iskusnih hakera sa visokim nivoom znanja o cyber-zaštiti, mrežnim sistemima i velikom broju različitih uređaja koji se koriste u centrima za skladištenje podataka (data centrima).

Sam termin DDoS je skraćenica od Distributed Denial of Service (odbijanje rada internet servisa), poput pristupa bazama podataka, online uslugama državnih službi ili pristupa nekom bitnom web sajtu. U suštini, DDoS napad se izvodi tako što hakeri „preopterete“ ciljanu web adresu, kompjutersku mrežu ili sistem velikom količinom podataka ili mrežnog saobraćaja, nakon čega ona prestaje s radom.

Ovakvi napadi mogu biti i „volumetrijski“, kada haker ili hakerska grupa preuzmu celi mogući internetski podatkovni protok (eng. bandwith) ka nekoj internet lokaciji ili mreži.

Kompanija za upravljanje internet saobraćajem Cloudflare navodi da je za uspešno odbijanje DDoS napada potrebno veliko znanje i iskustvo zaposlenih te određeni hardverski i mrežni resursi, kako bi sprečilo „iznenadno preopterećenje“ mreže, te samih online usluga.

Stari hakeri pod novim imenom

Internet kompanija Netscout je u svojim analizama došla do podataka da je ruska hakerska grupa „NoName057“, za koju se veruje da stoji iza cyber-napada u Hrvatskoj, zapravo grupa „starih“ hakera koji su se i ranije služili DDoS napadima. Sa time se slaže i kompanija za cyber-bezbednost Avast, koja u svom izveštaju navodi da su isti hakeri već koristili slične strategije cyber-napada protiv sistema u Ukrajini još u septembru 2022. godine.

Britanski Nacionalni centar za cyber-bezbednost (NCSC) je odmah po početku agresije na Ukrajinu registrovao veći broj DDoS napada, koji su svi koristili slične softverske alate (zajedno nazvane DDOSIA). Bela kuća je još pre dve godine upozorila da Kremlj namerava da koristi hakerske napade na veliki broj meta, kako u Ukrajini, tako i u SAD-u i EU-u.

Stručnjaci veruju da je „NoName057“ zapravo nekoliko hakera koji su deo mnogo veće (i opasnije) hakerske grupe „Killnet“. Ta grupa je do sada preuzela odgovornost za veći broj cyber-napada u SAD-u i Evropi, poput napada na zdravstvene ustanove te napada na web-stranice i usluge EU-a u novembru 2022.

Za grupu „Killnet“ je gotovo izvesno da je povezana sa vojnom obaveštajnom službom GRU, baš kao i njihove „popularnije kolege“ iz hakerskih grupa „Fancy Bear“, „Strontium“ i „Iridium“.

Izvor: Al Jazeera