Vršljaju li ruski hakeri i po Balkanu?

Uporedo sa borbama na prvoj liniji fronta, transformacijom privrednih i energetskih tokova, pre svega u Evropi, besni i najveći sajber rat u istoriji. Stručnjaci i analitičari napominju da je rat u Ukrajini verovatno i prvi pravi sajber-sukob velikih razmera u istoriji.

Sajber napadi ruskih hakera nisu nikakva novost u poslednjih godinu dana. Oni su, zapravo, počeli još pre praktično jedne decenije, u vreme Majdanskih protesta u Kijevu. Ruske sajber operacije (Cyber Ops, C-SIGINT, vojno i obaveštajno delovanje u online prostoru) su praktično od svojih najranijih dana bile usmerene i vođene kao „produžena ruka“ informacionog ratovanja i propagande iz Kremlja. Takođe, ruskim hakerima u Ukrajini je jedan od glavnih ciljeva bio i energetski sistem, tj. računari koji upravljaju prenosom električne energije.

Iako je bilo manjih sajber napada na nekoliko sajtova ukrajinske Vlade i njenih ministarstava još krajem 2011. i početkom 2012. godine, pravi sukob na internetu počinje 2013. Tada su američke kompanije za digitalnu bezbednost upozorile zvaničnike u Kijevu na „veoma čudno ponašanje njihovih servera i mrežnih sistema“. U pitanju je bio računarski virus (malware) koji se prenosio phishing metodom – zaposleni u državnim službama su dobijali „zaražene“ Office dokumente, koji su u sebi imali i virus. Računarski kod ovog virusa je bio tako napisan da bi odmah po otvaranju dokumenta sebe iskopirao na sve druge Office dokumente u računaru, ali i počeo da „razgleda“ po računarskoj mreži, tražeći rutere i servere. Na ovaj način je za kratko vreme bilo zaraženo gotovo14.000 državnih računara. Sem daljeg širenja, ovaj malware, kojeg su stručnjaci kasnije nazvali „Armageddon“, nije pričinjivao veću štetu.

Državna bezbednost Ukrajine (SBU) je nakon dva meseca otkrila da se radi o tzv. place holder virusu (kod koji drži „otvorena vrata” za druge, opasnije viruse). Samo godinu i po dana kasnije, saznaće se i kome je „Armageddon“ držao otvorena vrata.

Početkom 2015. godine, ukrajinski sistem za distribuciju električne energije je počeo da pokazuje znake eksternog uticaja, a sistemi za nadzor napona u mreži bi se bez razloga kvarili ili pokazivali netačne vrednosti. U mnogim slučajevima su bili u pitanju potpuno novi uređaji i računari, bez ikakvih znakova grešaka. U nekim slučajevima, sistemi bi jednostavno „odbili poslušnost“, a računari u elektro kompanijama bi iznenada prestajali sa radom, uz gubitke podataka. Posle tri meseca istrage, i uz pomoć nekoliko velikih evropskih kompanija za sajber bezbednost, Kijev je otkrio postojanje naprednog virusa nazvanog „Black Energy“. U pitanju je bila čitava „porodica virusa“, sa alatima za hakovanje različitih operativnih sistema (root access toolkit). „Black Energy“ je sprovodio nekoliko tipova napada, na prvom mestu UDP Scan, HTTP Flood i TCP SYN Flood. Svi ovi napadi bi rezultirali „preopterećenjem mreže“, te bi računari u elektranama imali problema sa slanjem i primanjem podataka. Takođe, virus je mogao da napada i različite SCADA uređaje (uređaji koji obavljaju razne uloge u industrijskim procesima i imaju male računare koji njima upravljaju), a kompanija Kaspersky je to nazvala prvim primerom „velikog APT napada“.

Hakerske grupe pod ‘državnim sponzorstvom’

Sam naziv APT (Active Persistent Threat, aktivna i stalna opasnost od određene grupe) je i nastao početkom ’90-ih u američkoj obaveštajnoj zajednici kao zajednički naziv za ruske, kineske, iranske i druge slične hakerske grupe pod „državnim sponzorstvom“. Rusija ima čitav niz ovakvih grupa, najčešće povezanih sa bezbednosnim službama, pre svega FSB-om i GRU-om. U svetskoj javnosti je verovatno najpoznatija „Fancy Bear“, najveća i verovatno najstarija hakerska grupa. Američka Agencija za sajber bezbednost (CISA) je naziva APT-28, a ta grupa ima i svoja „odeljenja“, koja se u sajber prostoru predstavljaju kao „Pawnstorm“, „Tsar Team“ i „Strontium“. Grupa je tesno povezana sa ruskom vojnom obaveštajnom službom GRU, iako nisu svi njeni pripadnici istovremeno i oficiri.

Pentagon je još 2019. saopštio da je „Fancy Bear“ (i druge podgrupe raznih naziva) zapravo samo „online ime“ za odeljenje unutar GRU-a pod imenom „Jedinica 26165“. U okviru nje se razvijaju metode za različite vrste sajber napada, čak i za specifične uređaje i mrežne sisteme, te napredni kompjuterski kod i razne vrste virusa – zero day exploit, malware i spear phishing. Oni su autori i jednog od najopasnijih računarskih virusa ikada, pod imenom „Sofacy“, a stručnjaci smatraju i da je to neka vrsta njihove „vizit karte“ – bear (medved) u nazivu označava da grupa radi iz Rusije dok je sofacy igra reči od fancy (eng. srećan, razigran).

Lista sajber napada za koje se „Fancy Bear“ sumnjiči je izuzetno duga, a neki od najpoznatijih napada su, pored onih na infrastrukturu Ukrajine, Gruzije i zemalja Baltika, i napad na kompaniju Academy, blisko povezanu sa Pentagonom (nekadašnji Black Water), te kompaniju za napredna naučna i vojna istraživanja SAIC (u kojoj najvećim delom rade bivši naučnici i zvaničnici američke mornarice, te vojno-industrijskog kompleksa).

Za razliku od „Srećnog mede“, hakerska grupa „FIN-7“ je sačinjena uglavnom od „civila“, ali ima i veza sa službom FSB. Američko ministarstvo pravde je još 2018. raspisalo poternice za članovima ove grupe, nazivajući ih „sajber kriminalcima“, odgovornim za napade na kompanije Arby’s, Saks, Omni i Red Robin.

Na poternicama američkih agencija zbog sajber napada, na prvom mestu FBI-ja, se nalazi veliki broj ruskih državljana. Mihail Mihailovič Gavrilov se smatra jednim od ključnih ljudi u ruskom „hakerskom aparatu“, a FBI navodi da je on deo „Centra 16“ (Jedinica 71330), posebne jedinice „državnih hakera“ unutar službe FSB.

Pored Gavrilova, kao „šefovi“ ove grupe se navode i Pavel Aleksandrovič Akulov, te Marat Valerejevič Tijokov. Njima se na teret stavljaju sajber napadi na više od stotinu američkih kompanija, pre svega iz sektora energetike, te napadi na još oko 380 kompanija u više od 135 zemalja širom sveta, uključujući i Albaniju, Hrvatsku, Mađarsku, Slovačku, Švajcarsku i Veliku Britaniju.

Verovatno najtraženiji ruski haker je pukovnik Sergej Vladimirovič Detistov, oficir u službi GRU, „Jedinica 74455“. Grupa pod njegovom komandom se sumnjiči za razvoj opasnog virusa NotPetya, sajber napad na Zimske olimpijske igre 2018, napad na predsedničku kampanju Emmanuela Macrona 2017, te brojne napade na računarsku infrastrukturu u Ukrajini. Jedinica na čijem se čelu nalazi Detistov poznata je i kao „Voodoo Bear“, „Iron Viking“ i „Sandworm“. Zvaničnici federalnog programa „Rewards for Justice“ (Nagrade za pravdu) navode da su Detistov i njegov tim hakera odgovorni i za najmanje milijardu dolara gubitka američkih kompanija usled sajber napada. Svi oni su optuženi po zakonu CFAA (Computer Fraud and Abuse Act), a ponuđena je nagrada od čak deset miliona dolara za informacije koje bi dovele do njihovog privođenja pravdi.

Hoda li ‘Srećni medo’ i po balkanskim brdima?

Nedavno je Ambasada Sjedinjenih Američkih Država u Podgorici postavila bilborde na kojima se oglašava „nagrada za informacije koje bi dovele do identifikacije ili lokacije osoba odgovornih za sajber napade“. Slično slučaju Detistova i „Iron Vikinga“, i u Podgorici je ponuđena nagrada do deset miliona dolara, a sam tekst na bilbordima je na crnogorskom i ruskom jeziku. Posebno je istaknuto da je isplata moguća i u kriptovalutama, čime se ukazuje na potencijalnu anonimnost čitavog postupka.

U pitanju su verovatno jedni od najvećih sajber napada na Balkanu i u celoj Jugoistočnoj Evropi ikad, a počeli su u avgustu prošle godine. Tada su sofisticiranim sajber napadima bile napadnute brojne institucije u Crnoj Gori, njihove web prezentacije, email sistemi i sami podaci. Između ostalog, tada su bili napadnuti i Uprava prihoda, Carina, katastri, sudovi i tužilaštva. Pre godinu dana je i FBI izrazio spremnost da pomogne vlastima u Crnoj Gori.

Iako se na bilbordima američke ambasade eksplicitno ne navodi mogućnost da se radi o potencijalno ruskim sajber napadima, napomena je da su u pitanju „ransomware napadi“, uz prvu polovinu bilborda na ruskom jeziku.

Stručnjaci u SAD-u, kao i unutar Evropske unije, upozoravaju da će se broj sajber napada u narednom periodu samo povećavati. Do sada je samo u Ukrajini u proteklih godinu dana izvršeno više od 4.000 sajber napada, što je u proseku desetak svakog dana. Očekuje se da će se u slučaju intenziviranja sukoba, ovaj broj povećati najmanje tri puta.

Takođe, od početka ove godine su otkrivene i aktivnosti novih hakerskih grupa iz Rusije. „Saint Bear“ (Sveti medved), te „Lorec53“ su nove grupe sa „starim navikama“. Iako su i one izvodile napade na energetske sisteme, njihov cilj je sada potpuno onemogućavanje daljeg rada elektrana i sistema za prenos struje. Stručnjaci veruju da su u pitanju nekadašnji pripadnici grupa „Sandworm“ i „Telebots“, koji su se organizovali „na novi način i sa novom tehničkom infrastrukturom“.

Još jedna nova grupa je i „Gamaredon“ za koju se takođe veruje da je povezana sa ruskom obaveštajnom zajednicom. Neki od stručnjaka za sajber bezbednost, pak, navode da je „Gamaredon“ nove ime za stari „Actinium“, grupu povezanu sa FSB-om. „Actinium“ je u prošlosti bio odgovoran za kreiranje i širenje izuzetno zlonamernih virusa, poput Power Punch, Dilong i Pterodo. Takođe, hakeri iz ove grupe su poznati i po uništavanju više hiljada računara, servera i mrežne infrastrukture u najmanje 15 evropskih zemalja. Zbog ovakvog „načina rada“, kompanija Microsoft ih je nazvala „Primitive Bears“ (Medvedi primitivci), prenosi Al Džazira.