Nevidljivi ratovi i digitalni pacovi

Praktično svaka vojska i služba sigurnosti u svijetu danas ima svoje djelomične ili čitave posebne organizacije koje se bave ‘ratovanjem u sajber prostoru’.

Stručnjaci smatraju da je dio 'Turla' RAT virusa sada u upotrebi u hakerskim grupama u Sjevernoj Koreji (REUTERS/Dado Ruvic/Illustration)

Iako obični korisnici internet danas koriste za različite vrste komunikacija i aktivnosti – društvene mreže, email, onlajn finansijske usluge, te zabavu poput igranja igrica i gledanja Netflixa i YouTubea, većim delom skriven od očiju svetske javnosti, besni i pravi ‘digitalni rat’.

Internet je još pre dve decenije postao još jedna od ‘zona interesa’ velikih sila kao i manjih zemalja, a praktično svaka vojska i služba bezbednosti u svetu danas ima svoj deo ili čitave posebne organizacije koje se bave ‘ratovanjem u sajber prostoru’ (cyber warfare).

Globalno podzemlje ukradenih podataka

I sam Internet je u početku bio projekat američkog Ministarstva odbrane – Pentagona, te njegove ‘tajne laboratorije’ pod imenom ‘DARPA’ (Agencija za napredne obrambene projekte). Projekat ‘ARPANET’ je pokrenut još sredinom šezdesetih godina, sa ciljem da se razviju tehnologije za povezivanja velikih računara Pentagona (mainframe) između velikih vojnih baza unutra SAD. Projekt je tokom godina razvio brojne tehnologije na kojima internet i globalna komunikacija počivaju i danas, poput Network Control Protocol, osnovu današnjeg TCP/IP standarda kojeg koriste sve računarske mreže. Nakon inicijalnog uspeha u SAD, slični projekti su počeli da se razvijaju u Evropi, poput francuskog projekta ‘Cyclades’ sedamdesetih godina, koji je postavio temelje velikim mrežama specijaliziranih kompjutera (serverima). Ovi projekti su bili i prethodnica FTP standardu (File Transfer Protocol, sistem za razmenu datoteka na Internetu), koji je u temelju današnjih ‘downloada’ fajlova.

Sa velikom popularnošću kućnih i ličnih računara osamdesetih godina (PC, personal computer) počelo je da raste i interesovanje korisnika za njihovo globalnog povezivanje. U početku su to bili BBS servisi (Bulletin Board System), neka vrsta ‘onlajn oglasnih tabli’, kao i direktno povezivanje dva računara za razmenu fajlova. Brzine prenosa podataka su bile veoma spore, budući da je većina korisnika koristila standardne telefonske linije i modeme (modulator-demodulator) za povezivanje svojih uređaja. Početkom devedesetih novi standard za korišćenje interneta, WWW (World Wide Web), koji je razvijen u institutu CERN u Ženevi, postaje dominantan, sa svojim mogućnostima grafičkog interfejsa, koji će kasnije biti poznat kao – web stranice. Veći rast broja korisnika interneta je značio i neminovni porast digitalnog kriminala (cyber crime), krađe podataka, te pojavu čitavog niza kompjuterskih virusa. Postoji čitav niz različitih vrsta ovih zlonamernih programa – boot virus (koji inficira sam prostor za skladištenje podataka i pokreće se sa operativnim sistemom), hijacker virus (otmičari, koji zamene delove softvera i pokreću se sa njima ili kradu podatke iz aplikacija), te malware (svi virusi namjenjeni uništavanju podataka na ciljnom računaru ili serverima).

Još jedna vrsta veoma opasnog kompjuterskog virusa je i RAT, ‘trojanski konj sa udaljenim pristupom’ (Remote Access Trojan). Reč ‘rat’ na engleskom jeziku znači ‘pacov’, a ovi virusi se upravo tako i ponašaju – teško ih je detektovati upravo zbog svoje ‘Trojan’ (Trojanski konj) komponente – oni se maskiraju kao delovi drugih velikih softverskih paketa, video ili audio fajlova, te u nekom slučajevima i kao sistemski fajlovi neophodni za funkcioniranje operativnog sistema. Poslednjih godina, glavni način (vektor prenosa) RAT kompjuterskih virusa su preuzimanja video igara. Budući da su nove video igre ‘teške’ desetine gigabajta, veoma je lako uz njih preuzeti i RAT virus koji je veličine stotinjak megabajta.

Prijenos u dijelovima

Ono što je veoma opasnog kod ovakvih vrsta virusa je, za razliku od malware i adware virusa kojima je potreban ‘domaćin’ tj. već postojeći program i podaci na ciljanom kompjuteru ili smartfonu, RAT se prenosi u ‘delovima’, pa čak i ako se on obriše sa ciljanog sistema, napadači mogu lako da putem ‘C&C’ (Command and Control protokola) vrate nedostajuće fajlove. Upravo zbog ovakvog načina funkcionisanja ovi virusi se nazivaju ‘remote access’ (pristup i kontrola sa udaljene lokacije).

Ovakve RAT trojanske viruse najčešće koriste Ruske i Beloruske hakerske grupe, poput ‘Cozy Bear’, ‘Sandworm’, ‘Killnet’ i ‘Turla’. One  su ovakve vrste napada počele da koriste još 2008, sa ciljem krađe važnih diplomatskih podataka, ili pak krađe finansijskih podataka. ‘Uroboros’ je vrsta trojanskog virusa koji se vremenom razvio u čitavu ‘porodicu’ RAT virusa, pod okriljem ruske ‘Jedinice 74455’ unutar vojne obaveštajne službe GRU. Vremenom su virusi iz ove porodice zajedno nazvani ‘Turla’, po hakerskog grupi koja ih najviše koristi. Ova grupa je naročito aktivna od početka ruske agresije na Ukrajinu, te sajber napade danas vrši i novom vrstom ‘hibridnog’ virusa ‘Capibar’, a razvili su i čitav niz ‘zadnjih vrata’ (backdoor) za upade na velike distribuirane kompjuterske sisteme. Stručnjaci smatraju da su ovim novim vrstama RAT virusa ruski hakeri prošle godine izvršili napade na ukrajinske SCADA sisteme za prenos električne energije, te na provajdere interneta i telekom operatere.

Biblijske reference i visoka tehnologija

Stručnjaci smatraju i da je deo ‘Turla’ RAT virusa sada u upotrebi u hakerskim grupama u Severnoj Koreji. Vladimir Putin i lider Severne Koreje Kim Jong-Un su sredinom godine dogovorili ‘strateško partnerstvo’, a Kremlj je do sada kupio i preko pet miliona artiljerijskih granata. Zato i ne čudi da hakerska grupa ‘Lazarus’, poznata i kao ‘Hidden Cobra’ i ‘WhoIs Team’ sarađuje sa svojim ‘kolegama’ u Moskvi. Grupa je deo Glavnog obaveštajnog direktorata armije Severne Koreje, i broji najmanje 1400 izuzetno talentovanih stručnjaka za kompjuterske mreže, matematičara i eksperata za različite elektronske sisteme. Grupa je ime preuzela od lika iz Biblije, ‘Lazarusa od Betanije’, kojeg je Isus vratio u život posle smrti. Ime grupe simbolizira ‘neuništivost’, a američka obaveštajna zajednica ovakve grupe naziva ‘APT’ (Active Persistent Threat, Aktivna stalna pretnja)

Američki obaveštajci su nedavno upozorili i na novu vrstu RAT virusa iz Severne Koreje pod nazivom ‘Moon Peak’, koji je ‘evolucija’ već poznatog ‘Xeno RAT’. Oba virusa u osnovi imaju RAT kompjuterski kod ruskog ‘Turla’ virusa. U novoj verziji, ovaj virus može da vrši izmenu kompjuterskog koda bez detekcije (code inject), te da preuzme kontrolu nad mrežnom infrastrukturom. Sama priroda RAT zlonamernog koda je da je on skoro uvek deo nekog drugog, većeg i legitimnog fajla ili dela softvera, te ih je u praksi, kada vladine agencije iili velike korporacije u svojim sistemima dnevno prime i pošalju desetine hiljada fajlova, veoma teško detektovati i ukloniti. Najnovija saznanja američke Agencije za sajber bezbednost (CISA) govore da je u Pjongjangu formirana i posebna hakerska grupa pod imenom ‘Kimsuky’ (Thallium), specijalizirana isključivo za napade RAT virusima, a mete su obično velike korporacije ili kompjuterskim sistemi velikih zapadnih zemalja. Postoje i podaci da je ‘Kimsuky’ uspeo da stvori tzv. ‘RftRAT’ virus pod imenom ‘Amadey’, sposoban da se samostalno neograničeno ‘popravlja’ u slučaju da bude detektovan. Prava odbrana protiv RAT virusa nove generacije, bilo da su oni delo ruskih ili severno-korejskih hakera, ne postoji. Jedini potpuno bezbedni sistemi su tzv. ‘air-gapped’ serveri, bez ikakvih mrežnih uređaja i pristupa spoljnom internetu, što u suštini nema svrhe – serveri i postoje da bi im se pristupalo putem mreža.

Izvor: Al Jazeera

Reklama