Crna Gora na meti sajber špijuna i kriminalaca: Iz Rusije sa virusom
Nije poznato da li je tom prilikom došlo do krađe ili uništavanja podataka, ali tri ugledne međunarodne kompanije koje se bave informacionim tehnologijama kažu da su istragom utvrdile kako su mejlovi došli od hakerske grupe APT28, poznate i kao Fensi Ber (u slobodnom prevodu – Moderni medvjed), koju sponzoriše ruska država
Izgledalo je to kao uobičajena elektronska razmjena pisama između crnogorskog Ministarstva odbrane i NATO-a, ali nije bila.
Mejl sa naslovom „Dokument o tajnom sastanku NATO-a“ (“NATO_secretary_meeting.doc”) stigao je u Ministarstvo odbrane u januaru 2017. godine. U sebi je nosio takozvani maliciozni virus koji se bez znanja korisnika instalira na kompjuteru, a služi za krađu podataka ili njihovo uništavanje.
Tog dana, kako navode vladini izvori CIN-CG/BIRN-a, vlasti u Podgorici su dobile još dva slična mejla.
U naslovu jednog je pisalo „Nacrt rasporeda za posjetu britanskih vojnih grupa Crnoj Gori“.
Naslov drugog bio je „Raspored za evropski program vojnog transfera“.
Nije poznato da li je tom prilikom došlo do krađe ili uništavanja podataka, ali tri ugledne međunarodne kompanije koje se bave informacionim tehnologijama kažu da su istragom utvrdile kako su mejlovi došli od hakerske grupe APT28, poznate i kao Fensi Ber (u slobodnom prevodu – Moderni medvjed), koju sponzoriše ruska država. Američki obavještajni podaci dodatno kažu da je ova grupa povezana sa ruskom vojnom obavještajnom službom GRU.
Novi napad na crnogorske institucije uslijedio je u junu 2017. godine, prema riječima zvaničnika Evropske unije, a pripisuje se takođe grupi Fensi Ber.
Tokom posljednje dvije godine, pokazuje istraživanje CIN-CG/BIRN, crnogorske vlasti su zabilježile snažan rast broja sajber napada, koji uglavnom targetiraju državne ustanove i medije.
Od 22 takva incidenta 2013. godine, za samo devet mjeseci 2017. zabilježeno je gotovo 400 napada.
Iako nijesu svi incidenti vezani za napade na državne institucije i ne mogu svi biti pripisani Fensi Ber grupi, za mnoge se vjeruje da su povezani sa odlukom Crne Gore da se priključi NATO-u, što je razbješnjelo tradicionalnog saveznika Rusiju.
Otkako su učestali napadi, Crna Gora je pooštrila mjere odbrane i formirala je specijalizovanu policijsku radnu grupu za borbu protiv sajber kriminala. Sa ograničenim sredstvima, mali tim se značajno oslanja na pomoć NATO-a i drugih zemalja Zapada.
Viši policijski inspektor, iz kriminalističke policije, koji je želio da ostane anoniman, kaže: „Nakon niza napada početkom 2017. godine, potražili smo pomoć NATO-a i Velike Britanije da bismo se tome suprotstavili. Uspjeli smo da smanjimo štetu i da se odbranimo od dva napada krajem 2017. godine“. On je odbio da otkrije detalje vezane za ove napade.
Istraživanje pokazuje da se porast u sajber napadima poklopio sa konačnom fazom pristupnih pregovora Crne Gore NATO-u krajem 2016. godine.
„Moderni medvjed“ ostavlja trag
Tri poznate međunarodne bezbjednosne kompanije, Fajer aj, Trend mikro i ESET su saglasni da je Fensi Ber stajao bar iza tri posebna hakerska napada u januaru, februaru i junu 2017. godine.
Takozvane „udice“ – mejlovi poznati kao spearphishing, to jest pecanje – su uobičajena taktika koju koriste hakerske grupe da targetiraju žrtve koje povjeruju poruci i kliknu na link, ili neki dokument i tako preuzmu virus.
Ben Rid, iz Fajer aja, kaže za da su mejlovi poslati crnogorskom Ministarstvu odbrane u januaru 2017. godine osmišljeni da izazovu haos.
„Ako se otvore, oni instaliraju virus Gejm fiš na sistem žrtve. To je malver (zlonamjerni program) koji je karakterističan za APT28“, objašnjava Rid.
On kaže da stručnjaci iz Fajer aja vjeruju kako su motivi hakera bili duboko nezadovoljstvo Rusije povodom pristupanja Crne Gore NATO-u, te da sajber napadi čine dio šireg plana da se zemlja destabilizuje.
U januaru 2017. godine, Fajer aj je objavio izvještaj u kom tvrdi da Fensi Ber, prvenstveno targetira pravna lica u Americi, Evropi i zemljama bivšeg Sovjetskog Saveza, uključujući državne i vojne ciljeve, uz ministarstva odbrane, medije i političke disidente ili ličnosti koja se protive ruskoj vladi.
„Rusija napada ove vlade korišćenjem i tradicionalnih sredstava i sajber napadima,“ dodaje Rid.
Na dan izbora u oktobru 2016. godine, mnogo vebsajtova u Crnoj Gori je iznenada oboreno takozvanim DDoS napadima, u kojima nekoliko kompromitovanih kompjuterskih sistema napada vebsajtove.
Međutim, vlasti nikada nijesu objelodanile šta se zapravo desilo tog dana, iako su najavile detaljnu istragu, nagovještavajući ulogu Rusije u internet incidentu velikih razmjera.
Četiri dana nakon izbora, 20. oktobra 2016. godine, novi napad, ali ovog puta mejlovima koji su nosili viruse, izveden je na Skupštinu Crne Gore. Procjena specijalista iz firme Trend mikro je da je Fensi Ber stajao iza toga.
Ali, izvori iz Vlade kažu za CIN-CG/BIRN da je ovaj napad targetirao „pogrešnu lokaciju“, parlament koji nema povjerljive podatke.
„To je bio pucanj u prazno“, rekao je zvaničnik koji je insistirao da ostane anoniman.
Veći napad, koji crnogorska Vlada opisuje kao intenzivniji od onog u oktobru 2016. godine, počeo je 15. februara 2017. godine i doživio vrhunac narednih dana, rekli su izvori u Vladi za CIN-CG/BIRN.
Ovog puta, vebsajtovi vladinih i državnih institucija, kao i nekih prodržavnih medija, pretrpjeli su talas sajber napada.
„Obim i raznolikost napada, i činjenica da su oni bili preduzeti na profesionalnom nivou ukazuje da je ovo bila sinhronizovana akcija“, rekao je jedan izvor.
Sljedeći napad, koji se pripisuje ruskom izvoru, desio se u junu 2017. godine.
Pjerluiđi Paganini, član Agencije za mrežnu i informacionu bezbjednost Evropske unije ENISA, rekao je za CIN-CG/BIRN da je crnogorsku infrastrukturu opet targetirao APT28 ili Fensi Ber.
„U junu 2017. godine nakon što je Crna Gora zvanično pristupila NATO-u, napadi su se nastavili; stručnjaci u bezbjednosnoj firmi Fajer aj koji su analizirali prikupljene dokaze potvrdili su umiješanost ruskog APT-a“, kaže Paganini.
On je dodao da dokazi uključuju artefakte, malver, mamce u vidu dokumenata i kodove za eksploatisanje.
Iako je najteži dio forenzičke istrage utvrditi ko stoji iza napada, Paganini kaže da u ovom slučaju informacije koje su prikupljene, „ukazuju direktno na rusku APT28 grupu“.
Rusko Ministarstvo inostranih poslova je odbilo da odgovori na pitanja CIN-CG/BIRN o mogućim vezama sa grupom koja napada Crnu Goru.
U pismenom odgovoru stoji da je „rusko Ministarstvo spoljnih poslova više puta komentarisalo pomenuta pitanja“.
Rusija oštro poriče da njena vlada igra bilo kakvu ulogu u hakerskim napadima na vlade, medije ili da se miješa u izbore širom svijeta.
Ruski predsjednik Vladimir Putin rekao je novinarima u junu 2017. godine da grupe hakera, kao i umjetnici, sami obavljaju svoje poslove.
„Hakeri kao i umjetnici biraju koga će da targetiraju, u zavisnosti od toga kako se osjećaju kada se probude ujutro. Nikakvi takvi napadi ne mogu promijeniti rezultate izbora u Evropi, Americi ili drugdje“, rekao je Putin novinarima.
Jeftin način za špijunažu
Američke službe se ne slažu sa Putinom. U izvještaju objavljenom 29. decembra 2016. godine, američko Ministarstvo za unutrašnju bezbjednost DHS i FBI insistiraju da Kremlj sponzoriše Fensi Ber.
Grupa je targetirala mnoge važne međunarodne grupe i pojedince.
Neke od njih su njemački vladajući Hrišćanski demokratski savez, CDU, njemački Bundestag, NATO, svjetska Anti-doping agencija, američko Demokratsko nacionalno vijeće, bivši zvaničnik Bijele kuće Džon Podesta, američka Komisija za kongresnu kampanju demokrata i druge. https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf
Kristofer Bing, saradnik-urednik u Sajberskupu, američkom vebsajtu koji piše o sajber bezbjednosti, saglasan je da je Fensi Ber podvrgnuo i Crnu Goru i Balkan intenzivnoj kampanji sajber špijunaže. https://www.cyberscoop.com/apt28-targeted-montenegros-government-joined-nato-researchers-say/
„Ove aktivnosti uglavnom služe kao jeftin i efikasan način za prikupljanje obavještajnih podataka sa udaljene lokacije i prikriveno – a da vas ne uhvate“, rekao je za CIN-CG/BIRN.
Bing je objasnio da je APT28 politički motivisana grupa za prijetnje koja je poznata po tome što targetira geopolitičke rivale Kremlja.
„U sklopu obrasca targetiranja, Balkan predstavlja teritoriju gdje Rusija ostaje zainteresovana za kontrolu i uspostavljanje prevlasti“, objasnio je Bing.
U kompaniji ESET, poznatoj po svojim antivirusnim i fajervol proizvodima, takođe su potvrdili da je Fensi Ber imao aktivne manevre na Balkanu tokom ljeta 2017. godine.
Napadi i sa drugih adresa
Nova analiza sajber prijetnji po Crnu Goru Ministarstva javne uprave ukazala je da je broj hakerskih napada skočio u 2017. godini. Napadi su takođe „ozbiljniji i sofisticiraniji“, rekli su u ministarstvu.
U 2017. godini bilo je više od 380 prijavljenih incidenata, koji su uključivali napade na vebsajtove i državne ustanove, ali i onlajn prevare i zloupotrebu ličnih bankovnih računa.
Radi poređenja, u 2012. godini bilo je samo šest napada. Vlasti su obećale da će istražiti pozadinu svih ovih napada.
„Ozbiljnost i sofisticiranost sajber napada koji su se ticali Crne Gore u 2017. godini ogledaju se u povećanom broju identifikovanih napada na infrastrukturu i slučajeva sajber špijunaže, kao i kroz kampanje pecanja koji targetiraju državne službenike“, stoji u izvještaju ministarstva.
Ovi napadi su uhvatili Crnu Goru nespremnu, pošto njen mali tim za sajber bezbjednost nije imao iskustvo sa napadima takvih razmjera. Tim zapošljava samo dvanaest ljudi, koje obučavaju sajber stručnjaci iz Amerike i Velike Britanije.
„Ne bave se oni samo ruskim hakerima. Mali, nedovoljno opremljen tim se takođe bavi porastom onlajn bankarskih prevara i drugim napadima koji nemaju političku pozadinu“, rekao je vladin funkcioner.
Idu opet izbori
Pred predsjedničke izbore u Crnoj Gori, zakazane za 15. april, eksperti upozoravaju da se zemlja može suočiti sa više sajber prijetnji.
„Rusija se jako protivi procesu pristupanja Crne Gore NATO-u, tako da će vjerovatno nastaviti da koristi svoje sajber mogućnosti da podriva ulogu Crne Gore u Alijansi“, upozorava Pjerluiđi Paganini, iz agencije ENISA.
Juriš preko Fejsbuka
Na dan opštih izbora u Crnoj Gori, 16. oktobra 2016. godine građani su bili zasuti velikim brojem antivladinih poruka, koje su stizale od nepoznatih pošiljalaca preko društvene mreže Fejsbuk, i aplikacija Vajber i Vatsap.
Vlada je tražila i dobila dozvolu od Višeg suda u Podgorici da tog dana na dva sata blokira Vajber i Vatsap i zahtijevala je istragu o sajber napadu
Od Fejsbuka je Vlada tražila da utvrdi porijeklo tih poruka. Fejsbuk je detektovao incident u svom Izvještaju o transparentnosti pod nazivom „Internet poremećaji“.
„Upoznati smo sa poremećajem koji je uticao na pristup Fejsbuk proizvodima i uslugama u Crnoj Gori koji se desio tokom oktobra 2016. godine. Ovaj poremećaj je uticao na usluge za poruke i poklopio se sa parlamentarnim izborima u ovoj zemlji“, pisalo je u izvještaju.
( Dušica Tomović, Maja Živanović )