Mala je verovatnoća da Äitate ovaj tekst, a da su vam promakle vesti o skorašnjim Ransomware napadima. Ukoliko ste pratili izveštaje medija, verovatno znate da su #WannaCry i #Petya (kasnije preimenovan u NotPetya i GoldenEye) najnoviji u nizu ransomware napada koji su u mnogim zemljama pogodili neke od vitalnih institucija, organizacija, kompanija...
Ransomware, ukratko, predstavlja maliciozni program kojim se inficira raÄunar žrtve. On enkriptuje/zakljuÄa sve važne fajlove na raÄunaru (dokumenta, slike, snimke, ...) Äime ih uÄini nedostupnim korisniku, a potom zahteva izvesnu sumu novca kako bi te fajlove "otkljuÄao". Dakle, krajnji motiv je profit. Osim kada nije.
WannaCry napad je poÄeo 12. maja 2017. godine i odmah dobio veliku pažnju u medijima i široj javnosti jer je jedna od žrtava bila britanska NHS (Nacionalna Zdravstvena Organizacija), što što su mediji poistovetili sa metom napada (iako to nije baš taÄno). Postoji nekoliko stvari koje su ovaj napad već u startu izdvojile u odnosu na prethodne:
Prateći uplate koje su stizale u 3 Bitcoin novÄanika, videlo se da je suma koju su napadaÄi prikupili oko 20 000 dolara, što je za tako veliki broj infekcija mala suma. ÄŒitava stihija je uglavnom pripisana amaterizmu, osim nekih glasova koji su se mogli Äuti na struÄnim blogovima i sajtovima, a ipak nisu došli do šireg dela javnosti.
Mesec i po dana kasnije, 27. juna 2017. je otpoÄeo još jedan ransomware napad. U prvom talasu su pogoÄ‘ene velike kompanije (naftne, transportne, komunikacione), finansijske institucije (banke, osiguravajuća društva) pre svega locirane u Ukrajini i Rusiji, ali se "zaraza" brzo proširila i na druge zemlje.
U poÄetku je Petya napad delovao strašnije od WannaCry. Pokazalo se, ipak, samo da je napad pažljivije "usmeren" ka nekim važnijim sektorima, što je podiglo veću prašinu u vestima. MeÄ‘utim, i ovde je bilo nekih nelogiÄnosti koje nisu išle ruku pod ruku sa ozbiljnim namerama da se od napada zaradi.
Petya je ovu epizodu završila za nekih 24 sata, ukupna suma koja se slila u Bitcoin novÄanik u tom trenutku je bila ispod 10000 dolara. U svetu ransomver ekipa, to nije cifra za knjigu rekorda. Ni blizu. Vesti su utihnule. MeÄ‘utim, ostao je kod, a tu već svašta piše. Ono što je u poÄetku liÄilo na amaterizam, sada je pod velikim znakom pitanja.
PoÄnimo od tzv. EternalBlue propusta u Windows operativnom sistemu. On je široj javnosti postao poznat tako što je hakerska grupa "Shadow Brokers" javno objavila (april 2017.) sadržaj nakon hakovanja ameriÄke NSA. Microsoft je mesec dana ranije (mart 2017.) objavio "zakrpu" za ovaj propust, a WannaCry je pokazao da se malo ko potrudio da redovno ažurira svoje sisteme.
Iako se ovaj propust koristi u oba napada, naÄin na koji se koristi je drugaÄiji. Petya kod, koji cilja na ovaj propust, je dosta pažljivije pisan (i testiran), koristi neke od zanimljivijih tehnika maskiranja i izbegavanja detekcije. Ovaj deo koda je trenutno vrlo zanimljiv zbog procene da je pisan u februaru, tj. dva meseca pre nego što se znalo za postojanje propusta. To može da ukazuje na direktnu vezu izmeÄ‘u napadaÄa i "Shadow Brokers" grupe (koju neki povezuju sa Rusijom).
Kada je reÄ o maskiranju koda, Petya je najpre dobila ime po već postojećem malveru istog imena, jer je u poÄetku liÄila na njega. Analizom koda se utvrdilo da "nova" Petya (NotPetya) deli samo jedan deo koda sa originalnom Petyom, i da se uglavnom radi o novom malveru, koji je dodatno iskombinovan sa nekim "trojancima", "logerima", "lokerima"...
Daljom analizom se takoÄ‘e došlo do zakljuÄka da je "kljuÄ instalacije", po kojem bi napadaÄi trebalo da vas identifikuju i "otkljuÄaju" vam fajlove, zapravo samo nasumiÄni niz karaktera. To znaÄi da napadaÄi nikada nisu imali nameru da otkljuÄaju zakljuÄane fajlove. Ponavljam, vest da napadaÄi ne otkljuÄavaju fajlove nakon što im platite brzo izaÄ‘e na videlo, i to bitno umanji zaradu napadaÄa. Pa zašto bi onda neko to radio?
Iako ova dva napada najverovatnije imaju razliÄite autore, deo su istog trenda koji postaje sve vidljiviji u poslednje vreme. U septembru 2016. godine, analitiÄar Bruce Schneier je objavio tekst pod naslovom "Neko uÄi kako da sruši Internet", o tome kako sve ÄešÄ‡e primećuje napade koji su usmereni ka kritiÄnoj Internet infrastrukturi. Samo mesec dana kasnije, Mirai malver je bio zaslužan za najveći DDoS napad zabeležen do tada, tokom kojeg je bitan deo Internet infrastrukture bio na ozbiljnom testu.
U decembru 2015. godine je izvršen napad na ukrajinski energetski sistem zbog kojeg je deo Ukrajine ostao bez struje. Analize govore da se zapravo radilo samo o "vežbi" i ispipavanju terena, tj. Ukrajina je iskorišÄ‡ena kao poligon za testiranje, a kod i tehnika su lako prilagodljivi za napade na druge zemlje. U julu 2017. godine je na videlo izašlo još nekoliko upozorenja. Sa jedne strane okeana, FBI je upozoravao na pokušaje da se ugrozi sigurnost energetskog sektora, sa druge strane - GCHQ je tvrdio kako je njihov energetski sektor verovatno već ugrožen. Kakve veze sve to ima sa WannaCry i NotPetya?
Sada je već jasno da WannaCry i NotPetya, najblaže reÄeno, nisu klasiÄni ransomware programi i da profit nije bio u prvom planu. Na primer, Bitcoin uplate koje su se slile u novÄanike, do današnjeg dana nisu taknute i pomerene na druge "raÄune" što je u suprotnosti sa obiÄajem da se iskoriste servisi za "pranje Bitcoina", kako bi im se teže ušlo u trag. NotPetya posebno više liÄi na "wiper" (program Äija je svrha da obriše/uništi podatke), nije posedovao pouzdan mehanizam za otkljuÄavanje, što navodi na zakljuÄak da se ciljalo na štetu. Ali zašto?
Šteta radi štete najverovatnije nije razlog jer ne bi bio uložen toliki trud da se sve zamaskira u ransomver napad. Jedan mogući razlog je prikrivanje tragova, i dok svi jure da reše problem enkripcije fajlova, malo ko se fokurisao na ono što je "nestalo" u prvom talasu. Drugi mogući razlog je jednostavno testiranje. Testiranje koliko je zapravo infrastruktura ranjiva, ali i kakav je odgovor na napade, koliko je vremena potrebno za reagovanje, ko je sve ukljuÄen u rešavanje problema, itd. Moj zakljuÄak je da smo na tom testu pali.
Prvi nalet je pokazao da ogroman broj sistema nije redovno ažuriran, Äak i kada su u pitanju kritiÄni propusti kod vitalnih sistema. Da cela stvar bude "smešnija", prvi talas WannaCry napada je otkrio malver koji je već koristio isti propust u sistemima i bio neprimećen. I onda kao po pravilu "svaka vest za tri dana", sve utihne. Do novog naleta, koji opet otkrije da mnogi nisu nauÄili lekcije iz prethodnog napada.
Lekcije su priliÄno jasne. Na naplatu dolazi sve ono što je u prethodnom periodu gurano pod tepih. Infrastruktura projektovana i postavljena u "neko drugo vreme" ne hvata korak sa trendovima. Bezbednost informacija je samo deklarativno prioritet dok pojedine zemlje ozbiljno ulažu u kapacitete za "sajber ratovanje" ili bar otvoreno dopuštaju "nezavisnim" igraÄima da se "igraju" sa neprijateljima. Neke zemlje su (nezvaniÄno) postale igralište za isprobavanje novih tehnika. U celom tom haosu, najviše mogu da "stradaju" obiÄni graÄ‘ani jer će upravo njihovi ureÄ‘aji i sistemi sve ÄešÄ‡e biti pokusni kunići.
Kada je reÄ o savetima, vraćamo se na poÄetak:
25.07.2017. 20:02
Dobar tekst, puno zanimljivosti i korisnih informacija. Znao sam za jedani broj ransomware napada, dok su mi neki od navedenih promakli. Dodao bih da za proseÄnog korisnika raÄunara ipak sve ovo što ste napisali predstavlja "španska sela", ali dobro, jednog dana u dalekoj budućnosti bićemo gotovo svi IT osvešÄ‡eni. :)
Autor ovog bloga je zaljubljenik u informacione tehnologije i njihovu primenu u svakodnevnom životu. Zastupnik pozitivne strane priče. Samostalni aktivista u poslu sa zmajevima. Ne lovi ih, komunicira sa njima. Ne boji se vetrenjača jer zna kako rade. Jednom rečju - Techtivist. Za sve ostale informacije i pitanja, tu su kontakt podaci.
Facebook: /ITkutak Twitter: @ITkutak Mail: ITkutak.com@gmail.com
Sta Vi mislite?