Hrvatska se posljednjih dana našla na meti kibernetičkih napada. Hakeri su u srijedu prvo napali državne institucije, među kojima je Ministarstvo financija, Porezna uprava, Hrvatska narodna banka i Zagrebačka burza, a u četvrtak su napali i Kliničko bolnički centar Zagreb. Ruska zloglasna hakerska grupa NoName057(16) preuzela je odgovornost za kibernetičke napade na financijske institucije, ali ne i za napad na KBC Zagreb.
Iako su hakerski napadi prisutni u cijelom svijetu, od malih tvrtki do međunarodnih korporacija, te od malih računalnih sustava na razini gradova, do napada na sustave vlada i ministarstava, nakon početka ruske agresije na Ukrajinu 2022. godine, broj takvih napada je u porastu.
Zapravo, izraz 'u porastu' nije primjeren - događa se prava 'eksplozija' kibernetičkih napada, krađa osobnih podataka na internetu (eng. identity theft), pa čak i napada na ključnu međunarodnu internetsku infrastrukturu.
Gdje su hakeri? Svugdje!
Početkom travnja 2015. godine, točnije u sumrak 8. travnja, novinari i voditelji francuske kuće 'TV5 Monde' pripremali su večernje vijesti, kao i inače svakog dana. No, nekoliko novinara primijetilo je da odjednom ne mogu pristupiti internetu i internoj mreži za razmjenu podataka u redakciji. Ništa neobično - prekidi i 'pucanja' u pristupu Internetu danas su normalna pojava čak iu najrazvijenijim zemljama. No, nekoliko sati kasnije postalo je jasno da se ne radi o običnim tehničkim problemima.
Cijela redakcija nije mogla pristupiti internetu, a brojna su računala postala praktički neupotrebljiva. Istovremeno je došlo do prekida prijenosa programa u digitalnom sustavu i prema satelitima (DVB, Digital Video Broadcast). Već je tada bilo jasno da se radi o ciljanom cyber napadu - internetski sustavi u okolnim zgradama i tvrtkama funkcionirali su potpuno normalno. Stručnjaci za televiziju su nakon nekog vremena primijetili da su mnoge video datoteke za emitiranje (broadcast video server) neupotrebljive, odnosno, nije ih bilo moguće reproducirati zbog pogrešaka s datotekama (oštećeni podaci). Borba za vraćanje programa i sustava trajala je cijelu noć, a jedan od kanala nije radio do pet ujutro.
Sljedećeg dana na internetu se pojavila informacija da je odgovornost za oba napada preuzela hakerska skupina 'Cyber Caliphate', s navodnim vezama s terorističkom organizacijom 'ISIS'. Samo – to nije bila istina. U tjednima nakon ovog incidenta francuske sigurnosne službe i istražitelji došli su do saznanja da su 'islamski hakeri' zapravo iskoristili najave 'ISIS-a' kako bi zavarali trag, a da iza njih najvjerojatnije stoje ruski hakeri iz grupe 'APT-28' napad. Sam termin 'APT' - Active Persistent Threat, aktivna trajna prijetnja u cyber prostoru, posljednjih je godina sve češći u izvješćima o cyber napadima.
Američka agencija za kibernetičku sigurnost 'CISA' navodi da su 'APT-ovi' hakerske skupine, u stvarnosti, zapravo dijelovi državnog obavještajnog aparata, ili (rijetko) skupine civilnih informatičkih stručnjaka koji rade za 'račun' svoje Vlade ili neke od njezinih službi. 'APT-28' su 'stari znanci' NATO-a u Bruxellesu, te američke obavještajne zajednice.
Riječ je o grupi hakera koja se godinama u raznim cyber napadima predstavljala kao 'Fancy Bear', 'Strontium', 'Tsar Team' (kada rade s 'kolegama' iz Bjelorusije), a zadnjih par godina uglavnom kao 'Šumska mećava'. Američka obavještajna zajednica vjeruje da je 'APT-28' zapravo dio ruske vojne obavještajne službe GRU, službeno poznate kao 'Jedinica 26165'.
Od početka agresije na Ukrajinu, još jedna slična ruska hakerska skupina 'Unit 74455', poznata pod imenima 'IRIDIUM' i 'Iron Viking', pojačala je svoje djelovanje. Vjeruje se da je negdje 2017. ili 2018. godine 'top staff' iz 'APT-28' prebačen u ovu jedinicu, gdje rade s 'mladim nadama', novom generacijom hakera aktivnih nakon 2000. godine. 'Iron Viking' najpoznatiji je po stvaranju iznimno opasnog virusa 'Not Petya', a prošle godine ukrajinske sigurnosne službe uspjele su čak locirati 'sjedište' ove hakerske skupine - staru zgradu na adresi 'Kirova 22' u predgrađu Moskva, Khimki.
Tko je ugasio svjetla u Kijevu?
Sam računalni virus 'Petya' (i njegove podvarijante, kao što je 'Not Petya') izuzetno su sofisticirani i teško ih je ukloniti s napadnutih računala i mrežnih sustava. Osmišljeni su da zaraze 'MBR' (Master Boot Record) u računalima, zapravo 'podatkovni temelj' na kojem počivaju sami operativni sustavi, a kasnije i softver koji se na njima koristi. Budući da se 'MBR' nikada ne briše, već ga računalo 'čita' prije dizanja operativnog sustava, iznimno ga je teško detektirati i ukloniti, a najčešće se računala i uređaji za pohranu podataka zaraženi ovom 'obitelji' virusa potpuno uklone iz sustava i kasnije uništiti.
Sam virus ima nekoliko 'vektora napada' - najčešće stiže putem zaraženih privitaka e-pošte - u većini slučajeva dovoljno je da korisnik, kojem se e-mail poruka i priložene datoteke čine potpuno legitimnim i sigurnim - samo klikne na poruka e-pošte ili preuzimanje privitaka - preuzete datoteke ne moraju se niti otvarati na lokalnom računalu. 'Petya' je također poznata po tome koji ima 'vremensko varijabilno izvršenje' - ne mora raditi nikakvu štetu mjesecima, već 'čeka u pozadini' da se hakerska naredba aktivira.
Općenito se vjeruje da je 'Petya' aktivna od 2014. te da je prvi put korištena u krajem prosinca 2015. godine u Ukrajini, kada je došlo do velikog cyber napada na sustave upravljanja distribucijom električne energije (SCADA Power Management), a tijekom kojeg je više od 300 tisuća Ukrajinaca danima bilo bez struje. U lipnju 2017. dogodio se još jedan veliki napad na ukrajinske računalne sustave, u kojem su napadnute vladine agencije, korporacije, mediji i – opet – elektrodistribucijska poduzeća.
Putin ima poruku iz Washingtona
Američka obavještajna zajednica svjesna je prijetnje koju predstavljaju ruske 'APT' hakerske skupine više od desetljeća. Dmitrij Sergejevič Badin nalazi se na crvenoj tjeralici FBI-a od 2018. Sumnjiči se da je pripadnik GRU-a i Jedinica 26165' sudjelovao u brojnim hakerskim napadima, kako u Europi, tako i tijekom predsjedničkih izbora u SAD-u 2016. godine, kada su napadnuti sustavi Demokratske stranke, te ukradeni mailovi bivše državne tajnice Hillary Clinton.
Njegov kolega iz iste službe Aleksej Potemkin, koji se smatra 'mozgom' iza algoritama i računalnog koda, je također traženi mnogi računalni virusi i malware koje koriste ruski hakeri. Opasnosti od takvih skupina, koje očito djeluju po nalogu (i zaštiti) Kremlja, svjesni su i u glavnoj službi za pitanja kibernetičke obrane u Velikoj Britaniji, Government Communication Headquarters (GHCQ).
Nema naznaka da će Putin i njegov najuži krug savjetnika uskoro odustati od taktike korištenja kibernetičkih napada kao svojevrsnog 'diplomatskog džokera' u partiji političkog pokera s drugim velikim svjetskim silama, prvenstveno zemljama članicama NATO-a. Tako Kremlj poručuje 'da, tu smo - puno bliže nego što mislite'.
Njemačka ministrica vanjskih poslova Annalena Baerbock nedavno je izravno optužila (što je presedan u svijetu diplomacije) Moskvu i Kremlj za 'cyber napade na računalne sustave Socijaldemokratske stranke (SPD) u Njemačkoj'.
"Sada možemo jasno pripisati napad ruskoj skupini APT-28, koju kontrolira ruska vojna obavještajna služba GRU", rekla je Baerbock na tiskovnoj konferenciji u svibnju ove godine.
POGLEDAJTE VIDEO: Sigurnosni stručnjak: 'Ovaj napad je samo srušio servise i nije ništa posebno prouzročio'