Opasna digitalna prepiska: Jeste li dobili e-mail od Putina

Poslednju deceniju, a naročito nakon početka ruske agresije na Ukrajinu pre tri godine, hakerski napadi koji su direktno organizovale države ili imaju njihovu podršku u stalnom su porastu. Gotovo da ne prođe dan bez vesti o velikim napadima na kompjuterske sisteme država širom sveta, njihovih ministarstava te vladinih agencija.

Mogućnosti za „sajber delovanje“ (eng. cyber capabilities) postale su u poslednjih pet godina jedno od glavnih pitanja odbrane, kako u zemljama članicama NATO-a, tako i za druge velike sile u svetu, poput Kine, Rusije i Indije. U trku za što bolje mogućnosti izvođenja sajber napada uključile su se i manje zemlje sa regionalnim ambicijama, poput Irana i Severne Koreje te i neke afričke zemlje poput Egipta, Tunisa i Nigerije.

Treba reći da sajber mogućnosti neke zemlje obuhvataju i defanzivne i ofanzivne aspekte – mogućnosti da se zaštiti domaća kompjuterska infrastruktura, telekomunikacijske mreže i sistemi za čuvanje podataka te da se, istovremeno, razvijaju mogućnosti za efikasne napade na iste takve sisteme protivnika.

Ovakvi sajber napadi su prevashodno usmereni na vojne komunikacije i razmenu podataka, ali sve su češće na meti i civilne telekomunikacione kompanije te provajderi interneta.

‘Legitimne mete’

U Ukrajini i u Pojasu Gaze civilni telekomunikacioni operatori su bili legitimne mete Rusije i Izraela, sa ciljem da se prekinu komunikacije civilnog stanovništva, a istovremeno i smanji mogućnost slanja podataka, slika i video snimaka sa samog terena i dokumentovanja napada na civilno stanovništvo i objekte.

Hakerske grupe koje imaju podršku svojih vlada ili obaveštajnih agencija se nazivaju APT (Advanced Persistent Threat, napredne stalne pretnje), a mogu biti sastavljene od civilnih stručnjaka za kompjuterske mreže i sisteme, samo vojnih snaga koje najčešće koriste sisteme za elektronsko i mrežno ometanje te, najčešće, kombinaciju ove dve grupe.

Nakon početka ruske agresije stvoreno je i nekoliko hakerskih grupa koje imaju međunarodno članstvo, tj. grupe IT-eksperata iz celog sveta koji pomažu Ukrajincima da odbrane svoju infrastrukturu.

Lažiranje e-maila

Među takvim grupama je „Sticky Werewolf“ koja je uspela da unapredi i dodatno razvije hakersku tehniku poznatu kao e-mail spoofing („lažiranje e-maila“). U suštini je reč o napadu na servere (velike računare za skladištenje podataka) koji upravljaju slanjem i primanjem elektronske pošte u nekoj državnoj ustanovi, instituciji ili, pak, kompanijama. Ti serveri, u zavisnosti od broja zaposlenih i drugih potreba, mogu upravljati sa nekoliko stotina do nekoliko hiljada naloga elektronske pošte.

Takvi nalozi najčešće imaju adresu korisnik@ime_institucije, a e-mail spoofing napadima hakeri mogu da promene glavni kanal za prijem i slanje poruka te, ne samo da mogu da čitaju kompletnu prepisku već mogu i da stvaraju nove e-mail naloge koji dolaze sa proverene adrese poznatog pošiljaoca, ali su – lažni.

E-mail spoofing tehnika se oslanja i na činjenicu da gotovo niko – čak ni većina tehnoloških profesionalaca – ne proverava tzv. digitalni otisak prsta e-mail poruke, gde je navedena kompletna putanja od pošiljaoca do primaoca. U većini e-mail klijenata ovaj digitalni potpis se može proveriti biranjem opcije show original iz menija primljene poruke. Najbitniji podatak u ovom potpisu je „ARC Message Signature“ (Authenticated Receive Chain, provereni lanac isporuke) gde se lako može utvrditi da li je e-mail poruku poslao stvarni, fizički server pošiljaoca, ili su hakeri bili posrednici u njenom slanju.

Spoofing je naročtio opasan jer se putem e-mail poruka koje su zaražene virusima ili malwareom može izvesti čitav niz malicioznih napada, te u većini slučajeva i u potpunost preuzeti kontrola nad ciljanim kompjuterima pojedinaca, pa čak i celih institucija.

Takođe, spoofing napadi obično obuhvataju i phishing napad (pecanje), nakon čega se mogu ukrasti ili kompromitovati i stvarne, zvanične adrese državnika ili državnih institucija.

Putinovo nepovjerenje prema internetu

Upravo to se desilo u nekoliko napada grupe „Sticky Werewolf“ od kraja 2023. do početka ove godine. Ukrajinski hakeri su uspeli da kompromituju e-mail servere Kremlja i Ministarstva privrede Ruske Federacije, nakon čega su slanjem sa naizgled zvaničnih adresa uspeli da aktiviraju malware virus poznat kao Ozone. On je u stanju da kopira sve dokumente na ciljnom računaru, da ih enkriptuje (šifruje), te da ih pošalje samim napadačima.

Ukrajinci su na taj način došli do vrednih informacija o planovima za povećanje proizvodnje u ruskim vojnim fabrikama, te do preporuka iz Kremlja da se radi ubrzanja proizvodnje angažuju i zatvorenici koji imaju iskustva u ovim industrijama.

„Sticky Werewolf“ je na hakerskim forumima na mračnom internetu (dark web) nakon izvršenih napada objavio i da su mogli da iskoriste i same e-mail servere u Kremlju, sve do najviših državnih službenika, te čak i kabineta samog Vladimira Putina.

Dobro je poznato da Putin veoma retko (ako i uopšte) koristi internet, te da ima izuzetno malo poverenja u informacije sa globalne mreže. Prema brojnim tvrdnjama nekadašnjih pripadnika uskog kruga oko Putina, ruski predsednik ne koristi ni smartfon, te smatra internet u celini – „američkim projektom za špijunažu“.

Napade ne izvode samo velike grupe

E-mail spoofing tehnika napada nije rezervisana samo za napade velikih hakerskih grupa. Na već pomenutom mračnom internetu, delu svetske mreže kome se može pristupiti samo putem specijalnih internetskih pretraživala (kao što je TOR), relativno lako se mogu naći softveri i programske skripte koje stvaraju lažne IP adrese te kreiraju e-mail naloge koji su na prvi pogled legitimni, ali zapravo služe za krađu podataka i digitalnog identiteta.

Takođe, oslanjajući se na činjenicu da većina primalaca „ne proverava dvaput“ da li je e-mail stigao sa stvarne adrese, uz pomoć pomenutih softvera može se stvoriti sopstveni e-mail server sa koga se mogu slati poruke. Na primer, ako je pravo ime (internet domen) pošiljaoca „Institucija123“ ili „Kompanija123“, prostom zamenom ili dodavanjem reči – „DirektorInstitucija123“ ili „MarketingKompanija123“ može se kod primaoca stvoriti utisak da je e-mail poruka bezopasna.

U najvećem broju ovakvih sajber napada čak i kada se posumnja na validnost e-maila, te se upotrebi pomenuta opcija show original, već je kasno. Većina kompjuterskih virusa i malwarea danas spada u grupu „1Click“ – čim se email otvori, već je pokrenuto preuzimanje virusa, koji se dalje može proširiti na čitavu mrežu u kojoj se targetirani kompjuter nalazi.

Prava zaštita od ovakvih napada ne postoji, a u institucijama i kompanijama u koje dnevno stignu stotine mailova, to je gotovo i nemoguće.

Još jednu opasnost predstavlja i činjenica da hakeri mogu ukradenim digitalnim sertifikatima potpisati e-mailove tako da oni prođu provere anti-spam i anti-virus sistema i izgledaju kao da dolaze od kolega iz iste kompanije ili iz istih državnih službi. Jedan od dobrih vidova zaštite je tzv. secure sandbox ili two e-mail secure inbox (dva sigurna prijemna naloga), na posebnom e-mail serveru koji je odvojen od drugih mreža, a na kome se prvo „u sigurnom okruženju“ automatski otvaraju e-mail poruke te tek nakon toga prosleđuju primaocu. Ipak, ovo zahteva i značajna ulaganja te posebna IT-znanja i obuku svih zaposlenih, za koje većina institucija i kompanija u svetu (a naročito u regionu) nema sredstava.