Zašto SAD traži ruskog hakera Vladimira Jureviča Kadariju?
Kadarija se tereti da stoji iza izuzetno velike i komplikovane mreže širenja opasnih kompjuterskih virusa kojima su ukradeni podaci desetaka miliona ljudi u SAD-u i EU-u.
Od početka ruske agresije na Ukrajinu pre dve i po godine, Kremlj je upotrebio praktično sva raspoloživa vojna sredstva, sa više nego polovičnim uspehom. Najave Vladimira Putina da će “specijalna vojna operacija trajati nekoliko nedelja do mesec dana” se pretvorila u mesece, a zatim i u godine.
Danas je jasno da je Kremlj značajno potcenio opremljenost, sposobnosti i odlučnost ukrajinskih snaga bezbednosti, što je demonstrirano u nedavnom upadu i zauzimanju ruske oblasti Kursk.
Nastavite čitati
list of 4 itemsBivši direktor CIA-e: Eksplozije pejdžera u Libanu su oblik terorizma
Obavještajci: Izrael je operaciju ‘Pejdžer’ pripremao 15 godina
SAD nagovijestio da će dopustiti Ukrajini udare duboko u Rusiju
Ruska agresija na Ukrajinu je i prvi veliki vojni sukob u svetu gde je ratovanje u sajber prostoru postalo jednako značajno kao i korišćenje dronova, avijacije i artiljerijskih snaga.
Hakeri, patriotizam i novac
Američka Tajna služba raspisala je nedavno jednu od najvećih nagrada do sada za informacije koje bi dovele do lociranja i hapšenja Vladimira Jureviča Kadarije. Nagrada je u iznosu od čak 2,5 miliona dolara, a Kadarija se tereti da stoji iza izuzetno velike i komplikovane mreže širenja opasnih kompjuterskih virusa (malware virus), te da je na taj način ugrozio kompjutere i podatke desetaka miliona ljudi u SAD-u i širom EU-a.
Kadarija i njegovi saradnici su takođe razvili i veliku mrežu “malvertising” širenja kompjuterskih virusa. Ova mreža je funkcionisala tako što bi korisnici dobili e-mail poruku, ili “pop-up” (iskačuće) prozore koji bi ih upozoravali da je “anti-virusni paket detektovao opasan virus na sistemu”.
Ove “malvertising” poruke su bile dizajnirane tako da djeluju kao i pravi antivirusni programi, i obično bi tražili od korisnika da klikne na link koji bi “omogućio čišćenje računara”. Ako bi korisnici kliknuli na link, zapravo bi preuzimali još jedan malware virus, koji je bio dizajniran da kopira lične i finansijske podatke.
Kadarija je također bio izuzetno aktivan na hakerskim forumima na “mračnom internetu” (dark web), dijelu interneta koji se ne može posjetiti standardnim web preglednicima, poput Chroma i Firefoxa, već je neophodan specijalni web, kao što je Tor. Kadarija je na ovim hakerskim forumima nudio i pristup kompromitiranim uređajima korisnika (kompjuterima i smartfonima) u zamenu za isplate u kriptovalutama (kao što je Bitcoin).
Kadarija i njegova mreža su radili u Rusiji, ali je na potjernicu stavljen kao državljanin Bjelorusije.
Zanimljivo je i da su gotovo svi hakerski napadi ove grupe koristili “Angler Exploit Kit”, u svijetu hakera poznat kao “švicarski nožić” za sajber napade i krađu podataka. Sam naziv “Exploit kit” (skup softvera za iskorištavanje propusta) govori da je riječ o posebno napisanoj grupi računarskih kodova, gdje svaki manji dio koda (code snippet) ima tačno određenu funkciju i koristi se za upad u određene operativne sisteme, napad na mrežne uređaje (rutere i svičeve), ili pak na tačno određenu konfiguraciju serverskog sistema.
Budući da je veoma “koristan” hakerskim grupama, ovakav računarski kod se na “mračnom internetu” prodaje za velike sume – od nekoliko desetaka do nekoliko stotina hiljada dolara. Iako različiti u svojoj nameni, svi ti softveri imaju tri odlike – prvo skeniraju ciljani kompjuterski sistem u potrazi za propustima, nakon čega izvršavaju maliciozni kod. Često su ovakvi virusi u stanju da se samostalno unapređuju (upgrade) sa posebnih web-servera sakrivenih na dark webu, preuzimaju dodatne viruse ili novu verziju “exploit” koda za specifični kompjuter.
Kalinka u cyber prostoru
Američka agencija za sajber bezbednost CISA navodi da ruske hakerske grupe, koje imaju ili direktnu podršku Kremlja, ili pak rade preko posrednika, obaveštajnih službe FSB i vojne službe GRU, “Angler Exploit” porodicu štetnog koda koriste u svojim napadima još od 2014. Vremenom su delovi ovog koda evoluirali u nove sajber alate, kao što su “Qakbot” i “Agent Tesla”.
“Qakbot” je takođe porodica štetnog kompjuterskog koda, ali unapređenog i odmah upotrebljivog. Ovo stručnjaci nazivaju i “click exploit” (napad jednim klikom), što omogućava da sajber napade vrše ne samo kompjuterski eksperti i dugogodišnji hakeri, već i obični agenti unutar obaveštajnih i državnih struktura. Kompanija Google i njen tim za sprečavanje sajber napada navodi da je “Qakbot” malware obično u pratnji drugih, još opasnijih vektora napada, poput “Basta” virusa. “Qakbot” je naročito efikasan za tzv. “social engineering” napade, gde se može isporučiti na tačno određeni računar unutar velikih organizacija ili kompanija, sa personaliziranim emailom, koji na prvi pogled deluje potpuno legitimno, kao da poslat od poznatog saradnika ili spoljne kompanije.
Kada osoba koja je targetirana klikne na link unutar emaila, pokreće se preuzimanje virusa i malwarea koji za kratko vreme mogu zaraziti čitavu kompjutersku mrežu unutar cele organizacije ili kompanije.
“Agent Tesla” je, pak, nešto drugačiji u svom funkcionisanju. U pitanju je tzv. “pacov” (RAT, Remote Access Trojan, virus koji se predstavlja kao neka druga vrsta softvera). Ruski hakeri ga koriste još od 2012, a prvi veliki napadi su njime izvršeni 2014. “Agent Tesla” je napisan u programskom jeziku “.NET”, koji u svojoj osnovi ima jezik “C#” i veoma je čest u serverskim i mrežnim okruženjima koja počivaju na Microsoft Windows operativnim sistemima. Tako “Agent Tesla” može u realnom vremenu da menja svoj kod (dynamic code switching) kako bi se na ciljanom sistemu “predstavio” kao datoteka koja je neophodna za neki od instaliranih softverskih paketa. Kada se paket ili program pokrene, aktivira se i virus “Agent Tesla”, koji potom traži administratorske ključeve (admin keys) za kompjutere u mreži ili same servere koji njome upravljaju.
Verovatno najpoznatija ruska hakerska grupa ‘Nobelium’, čiji su pripadnici deo i grupe ‘Cozy Bear’ od početka agresije na Ukrajinu razvila je i niz novih alata za napad na industrijske sisteme za prenos električne energije (BURNTBatter, Spicybeat), te različite telekom operatere (GammaSteel, Rootsaw). Google navodi da je više nego izvesno da je grupa “APT-29” od 2023. godine pod direktnom komandom Spoljne obaveštajne službe Ruske federacije (SVR), te da su se specijalizovali za krađu diplomatskih dokumenata i “phishing” napade na ambasade i konzultate, na prvom mestu unutar Evropske unije.
Google veruje i da je jedan od novih malware virusa (Wineloader) korišćen početkom ove godine za targetiranje nemačkih parlamentarnih stranaka. Zaražene email poruke su masovno slane na prvom mestu na adrese stranke CDU (Hrišćansko-demokratske unije), na pravilnom nemačkom jeziku. E-mail je od primaoca tražio da preuzme naizgled originalni stranački dokument, unutar kojeg se nalazio maliciozni link, koji bi preuzeo malware i inficirao kompjutere.