INTERNET
Napadi hakerske grupe Lapsus$ na infrastrukturu svetskih kompanija
Lapsus$ tehničke bezbednosti
Nikola STOJIĆ
1. maj 2022.

Na tabeli „bingo” događaja za 2022. godinu, svakako niko nije imao napad na infrastrukturu tehnoloških giganata. Vanzemaljce? Možda. U jednom momentu tokom prethodnih nedelja, kao grom iz vedrog neba, osvanula je vest da je hakovana Nvidia. Bilo je nejasno šta se zapravo desilo, srazmer napada, kao i eventualne posledice. Napadači su saopštili da poseduju izvorni kôd za grafičke drajvere, kao i šematski prikazi grafičkih kartica, aktuelnih i onih u razvoju. Ovakvi profili napada najčešće su retki i tehnološki sofisticirani. Najveći napad ovakvog tipa dosada pogodio je kompletnu infrastrukturu kompanije Sony, kada su mnogi servisi, uključujući i Playstation Network bili offline više dana usled napada, navodno, iz Severne Koreje. Međutim, nakon Nvidie, usledio je napad na Microsoft, Samsung, Oktu i druge veće kompanije. Kasnije se ispostavilo da je ista grupa odgovorna za prošlogodišnji napad na EA. Kako je moguće da su se ovi napadi desili ispod žita i gde je napravljen propust u bezbednosti infrastrukture ovih kompanija? Koje su to bile slabe tačke koje su hakeri iz grupe Lapsus$ iskoristili?

Za nezvaničan početak aktivnosti ove grupe uzima se sredina 2021. godine. Međutim, taj period je verovatno i duži, jer bi vremenski prozor od nekoliko meseci bio isuviše kratak da bi se ovakav tip napada isplanirao i zatim sproveo u delo. Ogroman broj meta visokog profila i napadi u kratkim vremenskim razmacima govore o tome da su ovi podaci prikupljani tokom dužeg vremenskog perioda i da su se oni „osvežavali”, kako bi bili spremni u momentu napada. To znači da su hakeri iz ove grupe još mnogo ranije imali pristup ranjivim sistemima, te da se čekao pravi momenat kako bi se započelo sa akcijom. Zahvaljujući društvenom inženjeringu, sve je pribavljeno bez „ispaljenog metka”, odnosno, malvera. Naime, pripadnici ove grupe ciljali su zaposlene u kompanijama u čije sisteme su želeli da dobiju pristup, a zatim se polako infiltrirali u infrastrukturu, čekajući pravi momenat kada će ga iskoristiti. Poznato nam je to da su društveni inženjering koristili na dva načina: prvi da putem klasičnog phishing napada dođu do podataka zaposlenih kompanija koje su želeli da hakuju, a drugi je podrazumevao obećanje novčane naknade zaposlenima koji im pruže potrebne podatke u targetiranim kompanijama. Nakon što bi prikupili interne podatke, izvorni kôd i druge osetljive podatke, zapretili bi kompanijama da će putem torenta podatke učiniti dostupnim širokim narodnim masama ako se kompanije ne povinuju njihovim zahtevima. Sami zahtevi su se odnosili na plaćanje otkupa u bitkoinu, a sa druge strane, u slučaju kompanije Nvidia, bilo je traženo i da izbace deo kôda iz drajvera grafičkih kartica koji smanjuje efikasnost nove serije grafičkih kartica za „rudarenje” kriptovaluta, te da svoje drajvere objave kao softver slobodnog kôda. Zanimljivo je i to što njihov model napada ne koristi čak ni neki vid ransomwarea, što je tipično za ovakvu vrstu napada. Obično bi svaki haker, nakon što upadne u sistem, izvršio enkripciju podataka, zaključao računare, a zatim tražio od kompanija da mu usliše želje, kako bi mogli da ih ucenjuju sa potencijalnim brisanjem fajlova. Celokupan poduhvat Lapsus$a delovao je neozbiljno kada bi se uporedio sa hakovanjem Sonyja i drugim hakerskim grupama, što i nije tako neobično kada otkrijete da su vam hakeri tinejdžeri. Tokom februara i marta, uhapšeno je nekoliko pripadnika grupe iz Londona, a koji nisu imali više od 16 godina. Nakon što su saslušani pred policijom, pušteni su da se brane sa slobode. Mnogi na internetu krive britansko pravosuđe za pokazivanje popustljivosti prema počiniocima, bez obzira na njihove godine. Niz ovakvih događaja postavlja jedno pitanje svim kompanijama: šta se desilo sa kontrolom bezbednosti?

Svaki tim zadužen za bezbednost u kompanijama koje su bile meta napada, morao bi da se suoči sa posledicama, zbog propusta koji je doveo do ovakve vrste napada i lakoće izvršenja. Pre svega, potrebno je da se svi bezbednosni standardi implementiraju, ne samo na papiru, već i u praksi. Iako je neka lozinka lakša za pamćenje ili je određeni način čuvanja lozinki lakši za povraćaj i potrebe kompanije, to je, pre svega, loša bezbednosna praksa. Posedovanje ISO standarda, pogotovo ISO 27001 i 27002 i implementacija ISMS (informaciono-bezbednosnog sistema upravljanja), za mnoge kompanije je preduslov za saradnju na visokom nivou. Ovo se posebno odnosi na telekomunikacione kompanije i kompanije koje upravljaju ogromnom količinom podataka trećih lica. U slučaju hrvatskog A1, mogli smo da vidimo koliko znači posedovanje standarda bez njegove implementacije u praksi. Što se manje pažnje obraća na osnove bezbednosti, vrlo lako će i osobe koje nemaju neko posebno hakersko znanje, u narodu poznati kao „script kiddies”, koji koriste već gotove programe, bilo za eksploataciju ili onemogućavanja pristupa sajtu (DDOS), moći da ugroze sisteme ogromnih kompanija. Kako bi se ovako nešto sprečilo, ključ se nalazi u edukaciji kadrova.

Naime, kako se IT sektor razvijao, postepeno se razvijala i infrastruktura, a istovremeno povećavao broj korisnika na samom internetu. Nekada su sistemi u ogromnim kompanijama bili izolovani od interneta, a interno umreženi preko nekog oblika intraneta, gde su svi bili međusobno povezani i gde se razmena podataka odvijala unutar jedne mreže. Takođe, internet u periodu od, na primer, 2000-2012. godine, više je korišćen kao dodatak poslovanju, ali ne kao i ključna karika u funkcionisanju neke kompanije. Mnoge stvari se danas skladište na AWS i drugim cloud sistemima, a koje su se nekad skladištile interno na serverima u okviru same kompanije. U pitanju su stvari kao što su šeme za novi proizvod, izvorni kôd, poverljiva dokumenta i slično. Broj napada pre prelaska na oblak bio je ograničen u smislu dostupnih načina; bilo je potrebno poprilično znanje i poznavanje infrastrukture i samog sistema kako bi se formulisao napad. Zaposleni su ranije imali ograničen pristup osetljivim podacima, posebno zbog toga što se sve nalazilo na računarima kompanije, odnosno, na laptopima koje bi zaposleni koristili i nosili van prostorija kompanije. Najviši rizik po bezbednost tada je predstavljalo donošenje sopstvenog uređaja, njegova upotreba u poslovne svrhe ili gubitak poslovnog laptopa. Kako je svet polako selio svoju infrastrukturu na internet, tako je, istovremeno, postao otvoreniji za online vrstu napada.

Društveni inženjering, kao oblik napada, za malo uloženog vremena postao je poprilično isplativ. U osnovi socijalnog inženjeringa jeste da se oslanja na poverenje žrtve, odnosno, njeno pridobijanje. Jedna od najpopularnijih metoda društvenog inženjeringa zasniva se na distribuciji phishing sajtova, kako bi se došlo da podataka žrtve. U većini slučajeva napadač i žrtva nemaju direktan kontakt, već je on posredan, gde je sama žrtva broj, još jedna osoba koja se „upecala” na klopku i ostavila svoje podatke. Princip ovog nivoa socijalnog inženjeringa jeste da se oslanja na naivnost osobe, odnosno, da kada joj neko pošalje link u poruci, da ona neće obratiti pažnju, već kliknuti na link, pomisliti da je u pitanju legitiman sajt i zatim uneti svoje podatke. Ipak, uspeh ovog nivoa oslanja se na znanje žrtve i na to da ništa ne bude sumnjivo i očigledno. Ukoliko dobijete poruku na engleskom od Milorada, koji ne zna ni reč engleskog, logično je da ogroman broj ljudi neće kliknuti na link i da će pomisliti da je hakovan ili da je „navukao” neki virus koji šalje poruke. Sledeći način, odnosno pristup, jeste slanje mejlova koji se kreiraju tako da izgledaju kao pravi, a domen, odnosno e-mail adresa pošiljaoca se spoofuje. Bez provere e-mail headera i dovoljno treninga zaposlenih, ovakva vrsta napada imaće mnogo veći uspeh. Primera radi, službenici NBS poverovali su da su dobili e-mail od službenika banke Bangladeša, gde su, zatim, prebacili određenu svotu novca na račun hakera. Upravo iz ovog primera vidimo da je veoma važno da se sprovede tehnički trening sa zaposlenima o svim vrstama napada, kako da prepoznaju napad i kome da se obrate. Posebno je potrebno unaprediti e-mail infrastrukturu, kako bi prepoznala validnost dolazećih poruka i postavljala ih u Trash/Spam. Sledeći nivo je direktna upotreba socijalnog inženjeringa uz ili bez upotrebe phishinga. Naime, napadač se sprijateljuje sa žrtvom, bilo da rade u istoj kompaniji ili na neki drugi način kroz neku od zajedničkih aktivnosti. Kroz prijateljstvo, polako se sprovodi istraživanje ličnosti, zatim se postepeno dolazi do pristupa podacima žrtve pre nego što se krene u napad. Druga opcija jeste da se napadač i „žrtva” uopšte ne poznaju, već da je „žrtva” nezadovoljna svojim radom u kompaniji i da želi da se osveti na neki način. Ova opcija je korišćena prilikom napada Lapsus$a, s obzirom na to da su nudili zaposlenima u različitim kompanijama novac u zamenu za pristupne šifre ili omogućavanje pristupa infrastrukturi, kako bi mogli da dođu do podataka. Nije nezamislivo da su ponuđeni novac i zaista mogli da isplate, posebno ako se uzme u obzir da je verovatno došlo do krađe kriptovaluta i novca sa kartica i drugih računa širom sveta, što bi im omogućilo da imaju spreman novčanik kako bi platili sve što je potrebno. Čitavo objašnjenje zvuči poput nekog Džejms Bond romana za tinejdžere koji bi bio popularan tokom 2000-ih, umesto na to kako bi neko pomislio na radnju filma „Hacker”, „Antitrust” i sličnih.

Za hakerske grupe, poput Anonimousa i drugih, delovanje Lapsus$a je ispod njihovog nivoa i van njihove „umetnosti”. Kompanije poput Microsofta, Nvidie i Samsunga moraće ozbiljno da porade na svojoj infrastrukturi, bezbednosnoj obuci zaposlenih, kao i na zadovoljstvu zaposlenih. Vreme je, takođe, da se postavi ozbiljno pitanje rada revizora i načina izdavanja ISO standarda i koliko se oni zaista primenjuju, a koliko su postali samo mrtvo slovo na papiru. Rad sa zaposlenima mora da ide od edukacije do unapređenje uslova rada. Svaki zaposleni bilo koje firme je poput zupčanika u mašini ili satu. Ukoliko jedan zupčanik otkaže, uzročno-posledična veza dovešće do propadanja ostalih zupčanika i raspada sistema. Internet je ne samo globalna mreža znanja, već i oružje u rukama svakog od nas, koje nudi mnogo veću moć da se napravi razlika, čuje svaki glas i skrene pažnja. Što je meta veća i pokušaj pogodaka je veći. I, kao što kaže narodna (moderna?) izreka, koju bi kompanije u pogledu bezbednosti morale da usvoje: Uz veliku moć, dolazi velika odgovornost.


PRETHODNI TEKST
SLEDEĆI TEKST
Najčitanije
Igre
Telefoni
Hardver
Softver
Nauka
Aktuelno štampano izdanje
NOVEMBAR 2023
Counter Strike 2
Stari, dobri Kanter u osveženom ruhu je više veliki update, nego puna nova igra...
Intel Core i9-14900K i Core i7-14700K
Nema zime uz Intelove mašine
Da li je Raptor Lake Refresh samo još vrelija i neznatno brža verzija prethodne generacije?
Apple iPhone 15, iPhone 15 Pro i iPhone 15 Pro Max
Petrovača, ajdared i zlatni delišes
iPhone 15 je „prepakovana” verzija modela 14 Pro, sa Appleovim čipsetom A16 Bionic „ispod haube”...
High tech igračke i razvoj naučnog razmišljanja
M’mera mpoyamba
Visokokvalitetne, a povoljne edukativne igračke postoje za svaku sferu interesovanja vašeg deteta...
Dell Alienware AW2724DM
Ponos na vašem stolu
Odličan monitor. Vrhunski! Međutim, kao što verovatno znate, Alienware je neka vrsta statusnog simbola...
Hisense 43A7KQ
VIDAA sa više smisla
Neobičan brak pametnog i tradicionalnog televizora, koji se lako koristi i bez ijedne napredne opcije za gledanje TV programa...
Finansijske tehnologije
Turbulencije ne prestaju
Da li nas očekuje recesija ili „meko prizemljenje”? Ključne kompanije sektora finansijskih tehnologija ne čekaju previše...
EmulationStation Desktop Edition 2.1.1
Vizuelna strana emulacije
Emulation-Station je frontend za emulatore, koji donosi mogućnost kastomizacije prikaza sadržaja...
Super Mario Bros. Wonder
Super Mario Bros. Wonder je dragulj u serijalu 2D Mario platformera, na koji se čekalo više od tri decenije...
Assassin’s Creed Mirage
Igra ima fokusiranu, vrlo linearnu priču kakvu su imali prvi naslovi u serijalu...
Forza Motorsport
Pre trka nije moguće voziti kvalifikacije, već sami birate startno mesto na gridu...
Marvel’s Spider-Man 2
Akciona komponenta Marvel’s Spider-Mana 2 je stravično dobra, mada su Majls i Piter previše slični...
© 2023 Svet kompjutera. Sva prava zadrzana.
Novi broj - Arhiva - Forum - O nama