IT kutak - IT ćoše jednog informatičara

Mala je verovatnoća da čitate ovaj tekst, a da su vam promakle vesti o skorašnjim Ransomware napadima. Ukoliko ste pratili izveštaje medija, verovatno znate da su #WannaCry i #Petya (kasnije preimenovan u NotPetya i GoldenEye) najnoviji u nizu ransomware napada koji su u mnogim zemljama pogodili neke od vitalnih institucija, organizacija, kompanija...

Ransomware, ukratko, predstavlja maliciozni program kojim se inficira računar žrtve. On enkriptuje/zaključa sve važne fajlove na računaru (dokumenta, slike, snimke, ...) čime ih učini nedostupnim korisniku, a potom zahteva izvesnu sumu novca kako bi te fajlove "otključao". Dakle, krajnji motiv je profit. Osim kada nije.

WannaCry "amaterizam"

WannaCry napad je počeo 12. maja 2017. godine i odmah dobio veliku pažnju u medijima i široj javnosti jer je jedna od žrtava bila britanska NHS (Nacionalna Zdravstvena Organizacija), što što su mediji poistovetili sa metom napada (iako to nije baš tačno). Postoji nekoliko stvari koje su ovaj napad već u startu izdvojile u odnosu na prethodne: 

• - Brzina širenja je bila mnogo veća od tipične za ovaj tip malvera, što je sugerisalo da negde postoji ozbiljan sistemski propust. To je ubrzo i potvrđeno kada je analiza otkrila da se za napad koristi "EternalBlue" propust za koji je Microsoft nekoliko meseci ranije izdao "zakrpu". Microsoft je sada još jednom reagovao i u roku od 24h dostavio ispravke i za XP sisteme, iako taj operativni sistem već neko vreme nema podršku.
• - Broj Bitcoin "novčanika" preko kojih su napadači zahtevali "otkupninu" je bio 3. Nije retkost da ovaj tip malvera za svaki zaraženi računar ima poseban novčanik, pa je svega 3 novčanika ukazivalo na jedan amaterski pristup svemu.
• - Analizom koda, brzo se došlo do takozvanog "kill switch-a", tj. domena i "komande" kojom je bilo lako zaustaviti taj prvi talas napada. Ukratko, u samom kodu programa, nalazila se veb adresa koju je program pokušavao da kontaktira. U slučaju da je adresa nedostupna, malver se aktivira. U slučaju da program uspe da ostavi konekciju sa tom adresom, malver miruje. Zanimljivo je bilo to da napadači nisu prethodno registrovali tu adresu, pa je taj propust omogućio jednom analitičaru da sam zaustavi dalje širenje ransomvera.

Prateći uplate koje su stizale u 3 Bitcoin novčanika, videlo se da je suma koju su napadači prikupili oko 20 000 dolara, što je za tako veliki broj infekcija mala suma. Čitava stihija je uglavnom pripisana amaterizmu, osim nekih glasova koji su se mogli čuti na stručnim blogovima i sajtovima, a ipak nisu došli do šireg dela javnosti.

#Petya ili #notPetya pitanje je sad

Mesec i po dana kasnije, 27. juna 2017. je otpočeo još jedan ransomware napad. U prvom talasu su pogođene velike kompanije (naftne, transportne, komunikacione), finansijske institucije (banke, osiguravajuća društva) pre svega locirane u Ukrajini i Rusiji, ali se "zaraza" brzo proširila i na druge zemlje.

U početku je Petya napad delovao strašnije od WannaCry. Pokazalo se, ipak, samo da je napad pažljivije "usmeren" ka nekim važnijim sektorima, što je podiglo veću prašinu u vestima. Međutim, i ovde je bilo nekih nelogičnosti koje nisu išle ruku pod ruku sa ozbiljnim namerama da se od napada zaradi. 

• - Žrtve su za kontakt sa napadačima, ukoliko žele da plate "otkupninu" i otključaju fajlove, morale da koriste mejl adresu. To nije neuobičajeno za maliciozne programe koji imaju mehanizam za dostavu alternativnih adresa ukoliko neka od njih bude ugašena. Ovaj nije imao, i ta jedna mejl adresa je ugašena vrlo brzo nakon što se za nju saznalo. Dakle, žrtve nisu imale način da otključaju svoje fajlove, što se brzo pročuje i dosta umanji broj uplata.
• - Petya je imala samo jedan Bitcoin novčanik za uplatu "otkupnine". To znači da je dovoljno pratiti samo jednu adresu i videti broj uplata, odakle uplate dolaze i gde eventualno idu, koji je iznos tih uplata, koji je iznos u novčaniku. To nije nešto što organizovaniji napadači najčešće žele.

Petya je ovu epizodu završila za nekih 24 sata, ukupna suma koja se slila u Bitcoin novčanik u tom trenutku je bila ispod 10000 dolara. U svetu ransomver ekipa, to nije cifra za knjigu rekorda. Ni blizu. Vesti su utihnule. Međutim, ostao je kod, a tu već svašta piše. Ono što je u početku ličilo na amaterizam, sada je pod velikim znakom pitanja.

Šta sve ne znamo?

Počnimo od tzv. EternalBlue propusta u Windows operativnom sistemu. On je široj javnosti postao poznat tako što je hakerska grupa "Shadow Brokers" javno objavila (april 2017.) sadržaj nakon hakovanja američke NSA. Microsoft je mesec dana ranije (mart 2017.) objavio "zakrpu" za ovaj propust, a WannaCry je pokazao da se malo ko potrudio da redovno ažurira svoje sisteme. 

Iako se ovaj propust koristi u oba napada, način na koji se koristi je drugačiji. Petya kod, koji cilja na ovaj propust, je dosta pažljivije pisan (i testiran), koristi neke od zanimljivijih tehnika maskiranja i izbegavanja detekcije. Ovaj deo koda je trenutno vrlo zanimljiv zbog procene da je pisan u februaru, tj. dva meseca pre nego što se znalo za postojanje propusta. To može da ukazuje na direktnu vezu između napadača i "Shadow Brokers" grupe (koju neki povezuju sa Rusijom).

Kada je reč o maskiranju koda, Petya je najpre dobila ime po već postojećem malveru istog imena, jer je u početku ličila na njega. Analizom koda se utvrdilo da "nova" Petya (NotPetya) deli samo jedan deo koda sa originalnom Petyom, i da se uglavnom radi o novom malveru, koji je dodatno iskombinovan sa nekim "trojancima", "logerima", "lokerima"...

Daljom analizom se takođe došlo do zaključka da je "ključ instalacije", po kojem bi napadači trebalo da vas identifikuju i "otključaju" vam fajlove, zapravo samo nasumični niz karaktera. To znači da napadači nikada nisu imali nameru da otključaju zaključane fajlove. Ponavljam, vest da napadači ne otključavaju fajlove nakon što im platite brzo izađe na videlo, i to bitno umanji zaradu napadača. Pa zašto bi onda neko to radio?

Nije sve u parama

Iako ova dva napada najverovatnije imaju različite autore, deo su istog trenda koji postaje sve vidljiviji u poslednje vreme. U septembru 2016. godine, analitičar Bruce Schneier je objavio tekst pod naslovom "Neko uči kako da sruši Internet", o tome kako sve češće primećuje napade koji su usmereni ka kritičnoj Internet infrastrukturi. Samo mesec dana kasnije, Mirai malver je bio zaslužan za najveći DDoS napad zabeležen do tada, tokom kojeg je bitan deo Internet infrastrukture bio na ozbiljnom testu.

U decembru 2015. godine je izvršen napad na ukrajinski energetski sistem zbog kojeg je deo Ukrajine ostao bez struje. Analize govore da se zapravo radilo samo o "vežbi" i ispipavanju terena, tj. Ukrajina je iskorišćena kao poligon za testiranje, a kod i tehnika su lako prilagodljivi za napade na druge zemlje. U julu 2017. godine je na videlo izašlo još nekoliko upozorenja. Sa jedne strane okeana, FBI je upozoravao na pokušaje da se ugrozi sigurnost energetskog sektora, sa druge strane - GCHQ je tvrdio kako je njihov energetski sektor verovatno već ugrožen. Kakve veze sve to ima sa WannaCry i NotPetya?

Uporno padamo na kontrolnom testu

Sada je već jasno da WannaCry i NotPetya, najblaže rečeno, nisu klasični ransomware programi i da profit nije bio u prvom planu. Na primer, Bitcoin uplate koje su se slile u novčanike, do današnjeg dana nisu taknute i pomerene na druge "račune" što je u suprotnosti sa običajem da se iskoriste servisi za "pranje Bitcoina", kako bi im se teže ušlo u trag. NotPetya posebno više liči na "wiper" (program čija je svrha da obriše/uništi podatke), nije posedovao pouzdan mehanizam za otključavanje, što navodi na zaključak da se ciljalo na štetu. Ali zašto?

Šteta radi štete najverovatnije nije razlog jer ne bi bio uložen toliki trud da se sve zamaskira u ransomver napad. Jedan mogući razlog je prikrivanje tragova, i dok svi jure da reše problem enkripcije fajlova, malo ko se fokurisao na ono što je "nestalo" u prvom talasu. Drugi mogući razlog je jednostavno testiranje. Testiranje koliko je zapravo infrastruktura ranjiva, ali i kakav je odgovor na napade, koliko je vremena potrebno za reagovanje, ko je sve uključen u rešavanje problema, itd. Moj zaključak je da smo na tom testu pali. 

Prvi nalet je pokazao da ogroman broj sistema nije redovno ažuriran, čak i kada su u pitanju kritični propusti kod vitalnih sistema. Da cela stvar bude "smešnija", prvi talas WannaCry napada je otkrio malver koji je već koristio isti propust u sistemima i bio neprimećen. I onda kao po pravilu "svaka vest za tri dana", sve utihne. Do novog naleta, koji opet otkrije da mnogi nisu naučili lekcije iz prethodnog napada. 

Lekcije

Lekcije su prilično jasne. Na naplatu dolazi sve ono što je u prethodnom periodu gurano pod tepih. Infrastruktura projektovana i postavljena u "neko drugo vreme" ne hvata korak sa trendovima. Bezbednost informacija je samo deklarativno prioritet dok pojedine zemlje ozbiljno ulažu u kapacitete za "sajber ratovanje" ili bar otvoreno dopuštaju "nezavisnim" igračima da se "igraju" sa neprijateljima. Neke zemlje su (nezvanično) postale igralište za isprobavanje novih tehnika. U celom tom haosu, najviše mogu da "stradaju" obični građani jer će upravo njihovi uređaji i sistemi sve češće biti pokusni kunići.

Kada je reč o savetima, vraćamo se na početak:

• - Redovno ažurirajte svoje sisteme
• - Koristite anti-virus i ostale anti-malware alate. Ne zapostavljajte ažuriranje definicija kako bi alati uvek imali najsvežije podatke o najnovijim štetnim programima. Od izbijanja napada, do pojave novih definicija najčešće ne prođe duže od nekoliko sati. Iskoristite to
• - Backup - Ako niste do sada, definitivno je vreme da razmislite o tome koji su podaci vama najbitniji. Da li su to dokumenta, slike, snimci? Da li imate rezervnu kopiju u slučaju da ona na vašem računaru nestane? U slučaju da ste pogođeni ransomware programom, šanse da povratite podatke na svoju ruku su jako male - skoro nikakve. Čak i ukoliko rešite da platite otkupninu (što se ne preporučuje), poslednji napadi pokazuju da svejedno nećete dobiti ključ za dekripciju. Jedini spas u tom scenariju je rezervna kopija podataka. Razmislite koji su vam podaci najbitniji, osmislite backup strategiju, redovno bekapujte podatke.
• - Šifre - trudite se da vam šifre budu dovoljno jake. Ne koristite istu šifru za sve naloge, pogotovu za poštu i društvene mreže. Ukoliko ste u prilici, koristite neki od password manager servisa i gde god je moguće koristite 2-Factor Authentication (2-FA). Ovaj deo podjednako štiti i vas i vaše kontakte, jer će u slučaju gubitka naloga - prvi na meti biti vaši kontakti.
• - Razmislite pre nego što otvorite neki mejl, link, attachment - Još uvek se veliki broj malicioznih programa širi putem mejla. Nije dovoljno pravilo "ne otvarajte poštu nepoznatih pošiljioca" jer postoji verovatnoća da je mejl adresa vaših prijatelja kompromitovana. Razmislite da li ta poruka deluje kao tipična poruka koju dobijate.
• - Najveći broj napada ne bira između "velikih" i "malih" što znači da ste definitivno meta. Nemojte da se ušuškavate u priču "neće to mene".