TEMA BROJA
Miloslav Rajković
Sajber bezbednost / Marijana Gobeljić, kompanija TeleGroup
I Srbija na meti sajber kriminalaca
Marijana Gobeljić |
Misija kompanije TeleGroup je da gotovo svim biznis liderima, bilo da dolaze iz zdravstva, energetike, finansijskih institucija ili ma kojeg sektora od suštinskog značaja za ekonomiju i bezbednost države, kontinuirano ukazuje na pretnje sa kojima se suočavaju na dnevnom nivou, da te pretnje razumeju i budu kadri da prepoznaju trendove u oblasti sajber bezbednosti kako bi donosili dobre poslovne odluke i adekvatne cybersecurity strategije i sveli rizike poslovanja na minimum, kaže Marijana Gobeljić, menadžer poslovnog razvoja ove naše ugledne IT kompanije.
I drugi naš sagovornik iz kompanije TeleGroup potvrđuje reči njenog suosnivača Diane Gligorijević da više niko nije siguran i da uvek postoji doza poslovnog rizika. “Ukoliko nam neko kaže da ima tehnološko rešenje koje može stoprocentno da zaštiti naše poslovanje, taj ne govori istinu“, kaže Marjana Gobeljić. „Nijedna tehnologija nije čarobni štapić. Svaka tehnologija do određenog nivoa može da doprinese smanjenju bezbednosnih rizika, ali ne može apsolutno da zaštiti nijednu organizaciju od sajber pretnji i hakerskih napada jer je najslabija karika u ovom procesu zapravo čovek.”
Marijana Gobeljić primećuje da se “u poslednjih godina popravio trend ulaganja u cybersecurity rešenja u našem regionu”, ali da su bezbednosne strategije ukoliko ih uopšte ima “pogotovo na našem tržištu, još uvek usredsređene na analizu i zaštitu unutrašnjeg IT eko-sistema, koja jeste kritična, ali ipak nedovoljna operacija za proaktivnu zaštitu i smanjenje rizika od sajber napada”. Zbog toga ukazuje na Cyber Threat Intelligence rešenja koja su zasnovana na shvatanju da je ispitivanje unutrašnjeg bezbednosnog statusa organizacije kritična, ali ipak samo delimična bezbednosna operacija, koja se mora proširiti kako bi se obuhvatio mnogo veći pejzaž pretnji i ovi sistemi “ranjivosti naše oragnizacije sagledavali očima hakera”.
Stoga je, prema njenim rečima, praktičan savet kompanije TeleGroup, o čijem poslovnom razvoju brine, svim firmama i državnim institucijama bez obzira kojom se delatnošću bave, a pogotovo onim u zdravstveniom sektoru kao delu kritične infrastrukture, da “preispitaju vlastitu cybersecurity strategiju i razmisle o uvođenju Cyber Threat Intelligence alata koji su kadri da u realnom vremenu analiziraju i detektuju sve strateške pretnje, koje dolaze sa svih slojeva interneta, uključujući i deep i dark web. Sajber kriminalci i različite hakerske grupe, ukradenim podacima od kompanija žrtava i fizičkih lica razmenjuju i trguju najčešće na dark vebu”.
Sajber kriminal na prvom mestu
Kompanija TeleGroup je sprovela opsežno istraživanje glavnih trendova u oblasti sajber bezbednosti, u poslednje dve godine. “Poredili smo 2023. i 2024. godinu da bismo razumeli ključne bezbednosne pretnje i trendove, koje se dinamične promene dešavaju u svetu sajber kriminala, koje vrste pretnji su najzastupljenije, koje hakerske grupe su prisutne na globalnom i lokalnom tržištu, koje tehnike i taktike koriste, šta su njihovi ciljevi, koji su njihovi motivi.”
Najveći broj napada u posmatranom periodu, 30% od ukupnog broja napada, trpeli su državni i tehnološki sektor. Kad je reč o motivima, sajber kriminal sa 50% od ukupnog broja napada drži i dalje prvo mesto. Reč je o napadima sa finansijskim ciljem. Hakeri, takođe, kao vektore za neovlašćeni upad u korporativne mreže, i državnih organa i kompanija, koriste tehničke nedostatke i ranjivosti samih IT sistema. “Oni (hakeri) su izuzetno tehnički potkovani da su kadri da iskoriste ranjivosti u nekom softveru ili hardveru za neovlašćeni upad u kompanijsku mrežu. Čim im to pođe za rukom, njima su dostupni kompanijski podaci, pa i oni vrlo senzitivni, koje mogu dalje da koriste za ucenu i u krajnjem cilju dobijanje otkupa, kada govorimo o ransomware vrsti napada.”
- Hakerima su vrlo privlačne tehničke ranjivosti u informacionim sistemima koji su široko zastupljeni na globalnom nivou. Napadači mogu iskoristiti ovakve ranjivosti pre nego što proizvođač softvera objavi ažuriranja i zakrpe. Navodi kao konkretan podatak da su na globalnom nivou najiskorišćenije ranjivosti u ovom vremenskom periodu bile MOVEit (fajl transfer aplikacija) zajedno sa 2 Ivanti Connect Secure zero-day ranjivosti. U drugom slučaju, u pitanju je VPN aplikacija koja omogućava zaposlenima da gde god se nalaze daljinski pristupe korporativnoj mreži i rade udaljeno. Zero-day ranjivosti su posebno opasne, jer pružaju mogućnost ciljanih napada, omogućujući neovlašćeni pristup osetljivim informacijama, kao što su podaci o korisnicima i mrežni resursi.
Istraživanje je pokazalo značajnu promenu na tržištu Infostealer malicioznih softvera. “To je vrsta malicioznog softvera koja se koristi za krađu svih podataka koje ostavimo u pretraživaču (pristupne kredencijale, finansijske i lične podatke...) i u 2024. identifikovali smo da je za 70% svih infekcija sistema korišćena ova metoda napada.”
- Dok su u 2023. godini u fokusu bili tehnološki i državni sektor, u 2024. broj napada na tehnološki sektor je pao za 50% i samim tim se državni sektor vinuo na prvo mesto, što se delimično može objasniti aktuelnim ratovima na Bliskom istoku i ruskom SVO u Ukrajini. Zanimljiv je podatak i da je u prošloj godini povećan broj napada na zdravstvene ustanove. Tome su doprineli ransomware napadi visokog profila na ovaj sektor u SAD. Naime, u februaru 2024. dve vrlo poznate policijskim krugovima ransomware grupe, Black Cat i Ransomhub, napale su američku Change Healthcare data processing kompaniju, koji je rezultirao curenjem podataka o pacijentima, prekidom medicinske nege i finansijskih transakcija, iako je organizacija platila preko 20 miliona dolara otkupnine.
Kradljivci platnih kartica
Marijana Gobeljić otkriva i zanimljive podatke vezane za trgovinu ukradenim podacima o platnim karticama izdatim u Srbiji. Često, kaže, i državne institucije i privatni sektor, pa čak i cybersecurity zajednica, upoznati sa svim ovim analizama i statistikama, smatraju da Srbija realno nije u fokusu sajber kriminalaca. “Podaci do kojih smo došli demantuju ta uverenja. Naravno, jedna Nemačka ili Švajcarska svakako jesu interesantnija tržišta, ali to ne znači da Srbija nije na meti hakera. Upravo smo hteli da, ne samo bankarskom sektoru i finansijskim institucijama ukažemo šta se na crnom tržištu dešava sa našim platnim karticama, nego i da osvestimo ljude bez obzira u kom sektoru rade i upozorimo ih na činjenicu da je Srbija i te kako na radaru sajber kriminalaca.”
- Uočili smo nekoliko popularnih Credit card foruma na kojima se prodaju ukradeni podaci o platnim karticama izdatim u Srbiji. Reč je o hakerskim grupama koje operišu i lokalno i globalno i specijalizovane su za trgovinu ukradenim platnim karticama na dark web-u. Najveći broj prodajnih oglasa o ukradnem srpskim platnim karticama, više od 81 posto, pojavio se na BidenCash i Eurodolars forumima.
- Ideja je da pratimo tokove novca, da znamo koja crna berza je najpopularnija u našoj regiji, da pratimo prodajne oglase kako bismo došli do informacija o kompromitovanim karticama i kako bismo preduzeli adekvatne mere za sanaciju štete i istovremeno poboljšali bezbednosne mehanizme i radili na proaktivnoj zaštiti naših IT resursa i poslovanja uopšte. Primenom tehnologije koju mi nudimo za proaktivnu zaštitu od ovakvih internet prevara i zloupotreba, sa velikom preciznošću otkrivamo crne berze i aktere, šta planiraju i koje metode i tehnike napada koriste i koje banke su im konkretno u fokusu. To znači da primenom ovakvih alata dolazimo do saznanja u realnom vremenu koja nam pomažu da zaštitimo korisničke naloge i preduzmemo dodatne mere zaštite pre nego što se incident desi, ali i da smanjimo finansijske i reputacione rizike na najmanju moguću meru.
MODUS OPERANDI RANSOMVER BANDI |
Šta je ransomver napad? To je vrsta hakerskog napada koja podrazumeva korišćenje ransomver malicioznog softvera za neovlašćeni upad u mrežu kompanije žrtve. Taj maliciozni softver automatski šifruje naše podatke, menja ekstenzije fajlovima, plastično rečeno, zaključa naše podatke i mi više ne možemo da im pristupimo. Zauzvrat, hakerska grupa od kompanije žrtve traži otkup, uz uobičajenu ucenu da će, ukoliko ne plate otkup, podatke objaviti na dark vebu. |
Među najvažnijim rezultatima ovog istraživanja je i priča o čuvenim ransomver(ransomware) grupama (engl. ransom = otkup) i njihovim napadima. Ovi napadi su tokom 2024. godine doživeli rast oko 40 posto na globalnom nivou i ovaj trend se nastavlja, naročito u sektoru kritične infrastrukture pa samim tim i zdravstvu, čime postaje jedna od najvećih pretnji za ove organizacije. Najveći uzrok tog ogromnog rasta broja ransomver napada i na globalnom i na lokalnom nivou je novi poslovni model koji su hakeri osmislili, nazvan Ransomwar-as-a-Service (RaaS). U pitanju je poslovni model koji podrazumeva da ransomver grupe nude besplatno svojim saradnicima, dakle mreži poslovnih partnera, ransomver maliciozni softver koji im omogućava da neovlašćeno uđu u kompanijske sisteme, a da zauzvrat od otkupa koji dobiju od kompanija žrtava dele profit. RaaS poslovni model zadao je velike glavobolje nadležnim organima, jer se u ovom slučaju ransomver zajednici priključuju i manje vični hakeri koji na taj način dobijaju gotov alat za upad u sisteme. Ovo je ogroman problem na svetskom nivou i nažalost ovaj trend će nastaviti da raste i u 2025. godini.Pejzaž ransomver pretnji pretrpeo je mnoge promene u poslednje dve godine, pokazujući visok nivo dinamike. “Naša analiza pokazuje da, barem u ovom trenutku godine, postoji godišnji rast u broju aktivnih grupa koje deluju u ovoj oblasti. Obračun nadležnih organa sa vodećim ransomver grupama sa ruskog govornog područja, LockBit i BlackCat, kada su im pogašeni serveri i uništena infrastruktura, su stvorile utisak vakuuma u ransomver areni, može da objasni pojavu velikog broja novih grupa u 2024. godini. Tokom aprila meseca iste godine nastalo je pet novih grupa koje su ostvarile značajan broj uspešnih napada i etablirale se na međunarodnoj ransomver sceni.”
Ransomver napad na EPS
To znači ne samo da su neovlašćeno ušli u kompanijsku mrežu nego i da su uspeli da se naplate od kompanija žrtava. Te grupe u svojim poslovnim krugovima objavljuju svoje rezultate, kao što i firme objavljuju svoje finansijske izveštaje, na primer, koliko su kompanija žrtava uspeli da obrade i od njih dobiju otkup. Samim tim njihov rejting u tim krugovima raste, oni međusobno počinju da sarađuju, a sve to povećava glavobolju nadležnim organima.
Krajem 2023. godine desio se klaster ransomver napad na kritičnu infrastrukturu na Balkanu. U Sloveniji su u novembru 2023. godine elektroprivreda i još neke firme doživele ransomver napad. Elektroprivreda Srbije je 19. decembra 2023. objavila da su se našli na meti ,,nezapamćenog hakerskog napada”. Odgovornost je preuzela ransomver grupa Qilin, koja je aktivna od jula 2022. “Grupa je za manje od dve godine stekla reputaciju kao jedna od efikasnijih sajber kriminalnih organizacija ovog tipa, kroz napade na razne organizacije u Australiji, Evropi, Severnoj Americi i Aziji. Da ne ulazimo u detalje kako se to okončalo, iznosim samo javno dostupan podatak da je TeleGroup kada su dokumenti, uključujući i račune građana za struju za novembar te godine, bili na dark vebu, istog sekunda imala tu informaciju. Sva sreća je da nisu imali nameru da onesposobe distribuciju električne energije. Cilj im je bio finansijska dobit. Ovo je jedan od dva primera velikog ransomver napada na srpsku kritičnu infrastrukturu. Drugi je napad RansomHub grupe na PSG Banatski Dvor koji se desio u maju 2024.”
Što se najkorišćenijih tehnika, taktika i procedura napada tiče, u 2024. godini je došlo do rasta fišing (phishing) napada. Pretpostavlja se da ja za to zaslužan razvoj generativne veštačke inteligencije, zahvaljujući kojoj i nevični i neiskusni hakeri mogu da izvode kompleksne napade. “Verujemo da su promene u tehnikama napada uslovljene i povećanim delovanjem haktivista, koji najčešće iskorišćavaju Public facing aplikacije, što je najverovatnije posledica geopolitičkih dešavanja u Evropi i na Bliskom istoku. Koriste se najčešće za website defacement napade kako bi dobili pristup sajtovima i web aplikacijama i objavljivali sopstvene sadržaje.”
Sledeći važan trend je krađa pristupnih kredencijala (korisničko ime i lozinka). Infostiler je najčešće korišćen metod za krađu pristupnih kredencijala za pristup korporativnim mrežama jer ovaj maliciozni softver uzima sve podatke koje mi unosimo u pretraživač.
|
NATION STATE HAKERSKE GRUPE |
Postoje nation-state hakerske grupe koje sponzorišu države i njihove operacije podupiru odeđene geopolitičke ciljeve. Ove grupe se razlikuju od haktivista ili sajberkriminalaca jer ih organizuje država (nacionalne vlade) za razne vidove sajber napada (špijunaža, sabotaža, propaganda ili kontrola informacija, presecanje podvodnih kablova) protiv drugih država. Poznati su slučajevi špijuniranja građana različitih država od strane američkih obaveštajnih agencija koje je otkrio Edvard Snouden ili prisluškivanje mobilnog telefona Angele Merkel, nemačke kancelarke, u vreme Obamine administracije. Merkelova je američku agenciju NSA uporedila sa istočnonemačkom tajnom službom Štazi.
Najpoznatji zabeleženi primeri sajber napada na druge države su: na Estoniju 2007, na Južnu Osetiju, Gruziju, Azerbejdžan 2008 (smatraju se delom ruskih tajnih službi). Iran je bio nekoliko puta žrtva i predator sajber ratovanja (poslednji put u junu, u aktuelnom sukobu sa Izraelom). |
- Sedam infostilera su najčešće korišćena i globalno, ali i na Balkanu. Najpopularniji su bili: Racoon, Vidar, Redline. U dve posmatrane godine došlo je do promena. Tri pomenuta, ranije najpopularnija infostiler malvera odlaze u senku, a javljaju se novi, ističe Marjana Gobeljić. Jedan od razloga kojim se objašnjava zašto je Rakun, koji je bio najkorišćeniji infostiler malver, otišao u zapećak, naglašava, jeste da su hakeri koji su razvili taj maliciozni softver bili uhapšeni. Glavni ideolog (razvojni inženjer) Rakun hakerske grupe Mark Sokolovski poreklom iz Ukrajine, uhapšen je 2022. u Holandiji i isporučen SAD, i ceo njegov tim se sakrio od policije. Rakun je tako nestao sa tržišta. Slično priči sa ransomver grupama, stvoren je prostor za nove infostiler grupe.
Ekspanzija infostilera
Koji trendovi karakterišu prvu polovinu 2025? Pre svega, Ransomware-as-a-Service biznis model nastavlja da pravi glavobolje i nadležnim organima i organizacijama.
- To je prvi trend u 2025 - navodi Marjana Gobeljić. - Trend broj dva: ekspanzija infostilera će se nastaviti, oni ostaju ključni alat za inicijalni pristup kompanijskim mrežama kroz ukradene korisničke kredencijale. Treći trend je da će eksploatacija ranjivosti u široko korišćenim sistemima biti još intenzivnija. Četvrti trend je, zbog svih geopolitičkih tenzija koje traju godinama, povećanje aktivnosti haktivističkih grupa. I peti trend predstavljaju napredni napadi zloupotrebom veštačke inteligencije za neovlašćeni upad u naše mreže. I manje vični hakeri koristiće veštačku inteligenciju da nam zadaju glavobolju.
Ne postoji savršena tehnologija, niti ijedna tehnologija koja može da nas stopostotno zaštiti. Treba kontinualno obrazovati zaposlene i biznis lidere o bezbednosnim izazovima i dati im jasne i praktične smernice kako da postupaju u određenim situacijama i da naročito vode računa o email komunikaciji, jer jedan pogrešan klik može da napravi razliku i ugrozi poslovanje kompanije na mnogo nivoa. Zadatak cybersecurity službi i stručnjaka je da pored primene tehnologije vrše edukaciju zaposlenih i da primenom relevantnih bezbednosnih politika i procedura dodatno smanje rizike poslovanja. Savet je da se kompanije, kada im se napad desi, obrate i službama za visokotehnološki criminal, zaključuje menadžer razvoja kompanije TeleGroup Marjana Gobeljić.
Miloslav Rajković
Kompletni tekstove sa slikama i prilozima potražite u magazinu
"PLANETA" - štampano izdanje ili u ON LINE prodaji Elektronskog izdanja
"Novinarnica"
|
