BIRN: Hakeri imali pristup mejlovima zaposlenih u katastru Srbije, virus vrlo verovatno nije bio namenjen Srbiji 1Foto: Shutterstock

Krajem juna, nekoliko dana pošto je Republički geodetski zavod (RGZ) počeo da otvara baze podataka koje su devet dana bile blokirane usled hakerskog napada, novinar BIRN-a i autor ovog teksta primio je poruku sumnjivog sadržaja, koja je, kako se činilo, bila poslata sa zvaničnog maila jednog od službenika Zavoda. Detaljnijom analizom ustanovljeno je da je mail bio zaražen.

Uz pomoć više stručnjaka za informacionu bezbednost, programera i istraživača računarskih virusa, BIRN je uspeo da sazna šta se krilo iza zaraženom maila koji smo dobili, na koji način su bili zaraženi serveri RGZ-a i da dokaže da su problemi sa zlonamernim programima počeli mnogo pre nego što to javnosti bilo saopšteno.

BIRN je takođe utvrdio da se nije radilo samo o jednom, nego o najmanje tri zlonamerna programa i da je bar jedan od njih u server ušao putem mejl servera RGZ-a, odakle je istim putem pokušao da se dalje širi.

Tokom dvomesečnog istraživanja BIRN je došao do zaključka da hakeri nisu specifično ciljali Republički geodetski zavod, već da su “upali u sistem” RGZ-a jer je neko od zaposlenih očigledno greškom klinuo na zaraženi mail, čime je pokrenuta lančana reakcija.

Serveri Republičkog geodetskog zavoda prestali su da rade 14. juna 2022. godine, kada je saopšteno da je izvršen hakerski napad. Zbog toga je rukovodstvo, kako je rečeno, iz preventivnih razloga zaključalo celokupni sistem čime je bilo onemogućeno korišćenje servisa ove ustanove, uključujući i RGZ katastar. Pojedini servisi katastra su aktivirani 20. juna, mejl serveri su pušteni u rad 7. jula, a katastar vodova četiri dana kasnije.

Nakon što su određeni sistemi Republičkog geodetskog zavoda proradili, na sajtu ustanove objavljeno je saopštenje u kome je pisalo da je računarska sabotaža izvedena iz inostranstva korišćenjem ransomware virusa pod nazivom “Phobos”, koji funkcionišu tako što zaključaju uređaj, diskove i baze podataka koji ponovo budu dostupni tek kada se hakerima plati odšteta. Međutim, iz RGZ su saopštili da “za sada nije identifikovana poruka sa zahtevom za otkup”.

Dok nadležni tvrde da hakeri nisu ugrozili privatne podatke građana Srbije, stručnjaci za informacionu bezbednost sa kojima je BIRN razgovarao, analizirajući dostupne podatke, tvrde da su zlonamerni programi, koji su bili ubačeni u sisteme zavoda, mogli da ugroze lične podatke građana.

Ugroženi lični podaci pohranjeni u Republičkom geodetskom zavodu

“Dobro jutro, šaljem vam neophodnu dokumentaciju uoči našeg sastanka, kao što smo se nedavno dogovorili. Pogledajte informacije na sledećem linku,” glasio je mail koji je 28. juna ove godine stigao na poslovni nalog novinara BIRN-a. U nastavku maila nalazio se link na koji je trebalo da se klikne, kao i kontakt telefon.

Mail je glasio na jednog službenika iz sektora za digitalnu transformaciju RGZ-a sa kojim su novinari BIRN-a prethodnih meseci bili u kontaktu. Naslov maila, kao i ostali detalji, činili su da sve izgleda kao nastavak prepiske, koju su zvaničnik zavoda i novinar BIRN-a imali u oktobru 2021. godine.

Međutim, jedna stvar je bila odmah sumnjiva – tekst maila bio je napisan na holandskom jeziku. Detaljnijom analizom IP-adrese i same email adrese postalo je jasno da se radi o malicioznoj nameri hakera.

Umesto zvanične mejl adrese “rgz.gov.rs”, hakeri su koristili email adresu sa nastavkom “strumlineco.com”. Sajtovi za analizu virusa prepoznali su mejl i IP adresu, registrovane na nemačkom serveru, kao grupu Qakbot zlonamernih programa, koji radi tako što učestvuje u komunikaciji između zaraženog email klijenta i njegovih kontakata.

Qakbot koristi lične podatke zaraženog korisnika i šalje mejl dalje svim kontaktima sa linkom koji može da inficira njihove računare. Određenom vrstom mimikrije skriva svoj identitet i lažno se predstavljajući povećava šanse za većim zaražavanjem drugih korisnika.

“Po ovome što može da se vidi iz tog maila, ovaj virus se širio. To mu je primarni zadatak. Ne znamo šta mu je bila meta”, kaže za BIRN Vladimir Cicović, stručnjak za sajber sigurnost.

Vladimir Cicović, stručnjak za sajber sigurnost, smatra da činjenica da je autor virusa mail napisao na stranom jeziku ukazuje da zlonamerni program vrlo verovatno nije bio namenjen Srbiji.

“Da je profesionalac ovo radio mejl bi bio na srpskom. Kampanja, ili šta već, nije bila namenjena Srbiji. Ovo me jako podseća na jako loše kampanje grupe početnika”, kaže Cicović.

On kaže da zaraženi mail, koji je dobio novinar BIRN-a, ima direktne veze sa hakerskim napadom na Republički geodetski zavod jer jasno pokazuje da je ranija prepiska između službenika RGZ i novinara BIRN-a procurela i da se sada nalazi u rukama hakera.

Detaljnije o ovom slučaju pročitajte na sajtu BIRN-a na ovom linku.

Pratite nas na našoj Facebook i Instagram stranici, ali i na Twitter nalogu. Pretplatite se na PDF izdanje lista Danas.