Dušan DINGARAC

1. jul 2021.

Proteklih godina, od svih zlonamernih računarskih pošasti, najveću pažnju privukli su takozvani Ransomware. U pitanju su zlonamerni programi koji naprave štetu na računarskim sistemima tako što onemoguće pristup fajlovima i traže određenu sumu za „otkup”, kako bi vlasnik fajlova mogao ponovo da ih koristi. Dakle, u pitanju je klasičan kriminal inspirisan zaradom od otkupa kidnapovanih ljudi i motornih vozila.

Tokom više od tri decenije razvoja ove ideje u računarskom svetu, došlo se do veoma efikasne formule da se fajlovi ne kradu, već se šifruju na samim računarskim sistetmima na kojima se inače nalaze. Nakon završetka šifrovanja fajlova, žrtva dobija informaciju o iznosu otkupa i načinu plaćanja. Ujedno, žrtva pored slanja novca mora da pošalje i jedinstveni kôd koji mu se pojavio, kako bi napadač mogao da pošalje odgovarajući kôd i alat za dekripciju.

Vremenom je ovaj prefinjeni siledžijski sistem usavršavan, a pojava kriptovaluta, pre svega, bitkoina i njihova anonimnost omogućila je relativno bezbedno prikupljanje otkupa. S obzirom na to da se u ovakvim kriminalnim aktivnostima biraju žrtve prema ekonomskoj snazi, jer se srazmerno njoj određuje cena otkupa, ovakvi napadi su prestali da se lansiraju nad širokom populacijom, što je bio trend od 2012. godine. Sada se takvi napadi vrše ciljano i usmereni su ka određenim organizacijama i to tako što se prvo šifruju i onemoguće bekap sistemi, a zatim i produkcioni sistemi, a onda traži srazmerna otkupnina u elektronskim novčićima.

Žrtva ima dva izbora. Da plati otkupninu i da se nada da će dobiti kôd za dešifrovanje fajlova. U najvećem broju slučajeva kriminalci po dobijenom otkupu pošalju dekripcioni kôd, jer ipak je u pitanju biznis i ako se pročuje da plaćanje otkupa rešava problem, onda će buduće mušterije pre da se odluče da isplate otmičare. Naravno, postoji i drugi izbor, da se otkup ne plati i da žrtva sama vida svoje rane.

U javnosti su poznati slučajevi i kada su se žrtve odlučile da plate otkup, ali i da ga ne plate. Poznati su slučajevi napada na lokalne samouprave, razne firme. Verovatno postoji mnogo više slučajeva za koje javnost ne zna, jer nije baš najbolje po reputaciju neke firme da se hvalite da su vam bezbednosni sistemi probijeni i da ste morali da platite ucenjivačima. Naravno, i pored evolucije sistema zaštite i unapređivanje mera do granice da zaposleni ne mogu da obavljaju svoje redovne zadatke, ljudska glupost nema granice i uvek se nađe neko ko će da nasedne na prevaru... I onda kada čovek otškrine vrata branjenog zamka, zlonamerni program počne da se širi i krene tiha pozadinska enkripcija...

Međutim, šta ako se desi da je žrtva neka firma ili institucija čije nefunkcionisanje može da utiče na život većeg broja ljudi? Možda lokalna samouprava ili komunalno preduzeće? Da, ali to se dâ preživeti. Možda banka? Da, veliki problem, ali samo za njihove klijente. A neki sistem koji koristi svakodnevno veliki procenat stanovništva? Pa to se baš i nije dešavalo do početka maja.

U petak, sedmog maja, kompanija Colonial Pipeline doživela je Ransomware napad. Ova kompanija ima cevovode za distribuciju naftinih derivate u dužini od 8900 kilometara na istočnoj obali SAD. Od Hjustona u Teksasu, sve do Lindena u Nju Džerziju, ova firma distribuira benzin, dizel i kerozin do maloprodajnih objekata, ali i aerodorma i manjih distributivnih lanaca. Čak 45 odsto celokupne potrošnje naftinih derivata u ovoj oblasti koja pokriva osamnaest saveznih država prolazi kroz cevovode ove firme, što je oko tri miliona barela dnevno. Usled napada, prekinuta je distribucija cevovodom i javnost je obaveštena o problemu, ali ne i o datumu kada će distribucija ponovo da proradi. Vlasti su brzo reagovale i ublažile stroga pravila distribucije naftnih derivata drumskim saobraćajem, a dozvoljeno je da se od Teksasa do Njujorka derivati prevoze tankerima. No, sve te mere nisu mogle da zamene gotovo polovinu distribucije koja je izbačena iz funkcije.

Naravno, svi vozači su pohrlili na pumpe da dopune rezervoare. Gorivo se sipalo i u kanistere, često i u otvorene kante, a vrhunac su, ipak, bili pokušaji da se gorivo sipa u plastične kese! Ko se seća devedesetih godina prošlog veka u Srbiji, unutar spoljnog zida sankcija, seća se šta se sve radilo sa švercovanim gorivom. Prodavalo se na ulicama u plastičnim flašama, bilo je i eksplozija povremeno, ali niko nikada nije sipao gorivo u plastičnu kesu! Čak je i Savezna komisija za bezbednost potrošača apelovala preko Tvitera da se to ne radi. Cene goriva su porasle, ispred pumpi su se otegli redovi, a onda je došlo i do nestašice goriva. Heš tag #GasShortage2021 na društvenim mrežama je postao popularan...

U ovakvim situacijama, FBI savetuje privatne kompanije da ne plaćaju otkupninu. Kolonijal je u prvim obraćanjima javnosti rekao da ne razmatra da platiti otkupninu. No, kada se stvari sagledavaju sa određene vremenske distance, neke istine lakše dolaze na videlo. Tog sedmog maja, rano ujutru, nešto pre pet sati, u kontrolnoj sobi pojavio se prvi ekran koji je zahtevao kriptovalutu za otkup. Već do 6:10 bio je završen process gašenja transporta derivata cevovodom. Tokom dana, čelnici kompanije konsultovali su se sa stručnjacima koji su već imali iskustva sa sličnim slučajevima. Doneta je odluka da se otkupnina plati, što je i učinjeno narednog dana. U pitanju je bio iznos od 75 bitkoina, po tadašnjem kursu, skoro 4,4 milona američkih dolara. Alat za dekripciju je dobijen, no, trebalo je vremena da se sistemi dešifruju, ali ni sam taj process nije jedino što je neophodno da se sve vrati u normalu. U ponedeljak uveče počeli su da funkcionišu prvi sistemi, ali je trebalo još nekoliko nedelja da nestašice u maloprodaji nestanu. Prema izveštajima, mnogi sistemi još uvek nisu u funkciji i šteta će biti više desetina miliona dolara.

Za napad je okrivljena grupa DarkSide. Na osnovu sajta ove grupe na DarkNetu, zaključuje se da ona radi kao dobro razvijeni biznis. Naime, članovi grupe razvijaju softver koji se širi mrežom napadnute organizacije, kopira deo podataka na servere van mreže organizacije i vrši šifrovanje podataka. Najnoviju verziju softvera izdali su tokom marta. Same napade na sisteme i ubacivanje tog softvera oni najčešće ne rade sami, već preko saradnika. Naime, pojedinci i grupe koji se bave probijanjem sistema, krađama lozinki i sličnim stvarima, mogu da u napadnute sisteme ubace softver koji je razvio DarkSide i da za tu uslugu plate DarkSideu procenat od naplaćenog otkupa. DarkSide se deklariše kao etička organizacija. Oni kažu da njihov softver neće biti korišćen za napade na medicinske i školske ustanove, neprofitne organizacije i vladin sektor. Oni obećavaju besplatnu dekripciju jednog test-fajla, a ukoliko žrtva plati otkup, garantuju da će poslati alatke za dešifrovanje kao i podršku u slučaju problema, ali i brisanje svih fajlova koji su ukradeni.

Ukoliko žrtva ne plati otkup, DarkSide garantuje da će objaviti sve ukradene fajlove javno na period od najmanje šest meseci, da će o upadu i curenju podataka obavestiti medije, partnere i klijente napadnute kompanije i da nikada neće dati alatke za dešifrovanje. Ovaj „biznis koncept”, bezbednosne kompanije počele su da nazivaju Ransomware as a Service (RaaS), ali i Ransomware as a Corporation (RaaC), jer DarkSide nije jedina grupa koja ovako funkcioniše.

DarkSide je odmah povezan sa Istočnom Evropom i Rusijom. Prema nekim navodima, njihov softver ne napada organizacije u bivšim sovjetskim državama, a prema drugim, ne šifruje fajlove na računarima koji imaju setovanu lokalizaciju na ruski jezik. Kako to biva, zvaničnici FBI i SAD počeli su da prozivaju Rusiju, no, sam DarkSide je tokom vikenda nakon napada izdao saopštenje da njihovo delovanje ne treba povezivati sa politikom i da im je cilj da „zarade” novac, a ne da naprave probleme društvu.

S obzirom na to da je od početka slučaja bio uključen i FBI, ali i neke firme za sajber bezbednost, smatra se da je upad u Colonial izvršen preko nekog naloga za daljinski pristup sistemima, koji je neko vreme bio raspoloživ za kupovinu na DarkNetu. Prvi upadi detektovani su u logovima od 29. aprila. Nekoliko dana nakon plaćanja otkupnine, FBI je „zarobio” servere na kojima su bili iskopirani podaci, detektovan je bitkoin račun na koji je plaćen procenat sa onog na koji je Colonial poslao novac. DarkSide je tada počistio bitkoin naloge i otišao u ilegalu. Procene kažu da je od avgusta prošle godine, kada je DarkSide počeo sa radom, prihodovao nekih 90 miliona dolara (ta cifra uključuje ukupan novac prikjupljen od ucena podeljen između DarkSide i saradnika).

I time bi se ovaj slučaj završio da nije bilo spektakularnog povraćaja većeg dela bitkoina koji su plaćeni kao otkup. Naime, 21. juna, u Severnoj Kaliforniji, FBI je zaplenio 63,7 bitkoina. To mu taman dođe ostatak kada se plati 15 odsto provizije DarkSideu. Kako je FBI došao do „kredencijala” za taj digitalni novčanik, nije objavljeno i zašto je to obavljeno u Severnoj Kaliforniji, na kraju krajeva, nije ni bitno. Time je FBI poslao poruku da ovakve stvari u budućnosti neće moći da prođu nekažnjeno.

No, baš zbog toga što transakcije u bitkoinima u blokčejn tehnologiji ostavljaju zapise svih transakcija, mnoge grupe izbegavaju da primaju otkup u ovoj kriptovaluti. Oni biraju monero, projekat koji je nasto 2014. godine i koji ne ostavlja digitalne tragove prilikom transakcija. Ova kriptovaluta ima najviše aktivnih developera nakon bitkoina i eterijuma i njena tržišna kapitalizacija je tek oko pet milijardi dolara (naspram bitkoina, koji ima kapitalizaciju od preko pet stotina milijardi dolara). Tako je grupa REvila nedavno naplatila od mesne industrije JBS jedanaest miliona dolara u moneru.

I pored „etike” ovih grupa da ne napadaju određene sektore, nedavno se desio napad na Univerzitetsku bolnicu u Diseldorfu, zbog čega je posredno jedna žena izgubila život. Nedavno je napadnuta policija Vašingtona, iako spada u vladin sektor. Primera je mnogo i sigurno će ih biti i u budućnosti. Da li je uspeh FBI-a ovoga puta proizvod puke sreće ili novorazrađene taktite, ostaje da se vidi, posebno jer prelazak na kriptovalute, poput monera, može dodatno da onemogući napore vlasti da uzvrate udarac. Ransomware napadi sada se već ubrajaju u ozbiljne pretnje svetskoj ekonomiji, a kada se napad desi, onda neposredno ili posredno utiče na život običnih ljudi.