Malware na državnim serverima – Istraga zaglavljena u tužilaštvu

Dve godine nakon sajber napada na Vladine servere državno tužilaštvo i policija još traže počionice, dok nadležni od javnosti kriju izveštaje partnerskih službi. Istraga i dalje tapka u mestu.

42
Malware na državnim serverima – Istraga zaglavljena u tužilaštvu
Photo: Cyber security hub
- Sponzor članka -hikvision srbija

Dve godine nakon velikog sajber (cyber) napada na kompletnu informacionu infrastrukturu Vlade Crne Gore, državno tužilaštvo još pokušava da pronađe direktnog počinioca napada.

U avgustu 2022. serveri Vlade Crne Gore pogođeni su ransomwareom, vrstom malicioznog softvera (malware) u kojem napadač zaključava i šifrira podatke i važne fajlove cilja, a zatim zahteva plaćanje kako bi otključao i dešifrovao podatke.

Nakon serije napada od 22. do 26. avgusta 2022. godine Ministarstvo javne uprave je upozorilo javna preduzeća koja pružaju usluge distribucije električne energije i vode, luke, aerodrome kao i pružaoce telekomunikacionih usluga da odmah podignu stepen informacione bezbednosti na najveći nivo.

Zbog sajber napada digitalna infrastruktura većeg dela crnogorske javne uprave bila je van funkcije, uključujući ministarstva, Upravu za imovinu, Upravu prihoda i carina i sudove zbog čega nije funkcionisalo izdavanje dokumenata i fiskalnih računa.

Na pitanje BIRN-a da li je pronađen organizator sajber napada iz Ministarstva javne uprave ponovili su da je “

Dve godine nakon velikog sajber (cyber) napada na kompletnu informacionu infrastrukturu Vlade Crne Gore, državno tužilaštvo još pokušava da pronađe direktnog počinioca napada.

U avgustu 2022. serveri Vlade Crne Gore pogođeni su ransomwareom, vrstom malicioznog softvera (malware) u kojem napadač zaključava i šifrira podatke i važne fajlove cilja, a zatim zahteva plaćanje kako bi otključao i dešifrovao podatke.

Nakon serije napada od 22. do 26. avgusta 2022. godine Ministarstvo javne uprave je upozorilo javna preduzeća koja pružaju usluge distribucije električne energije i vode, luke, aerodrome kao i pružaoce telekomunikacionih usluga da odmah podignu stepen informacione bezbednosti na najveći nivo.

Zbog sajber napada digitalna infrastruktura većeg dela crnogorske javne uprave bila je van funkcije, uključujući ministarstva, Upravu za imovinu, Upravu prihoda i carina i sudove zbog čega nije funkcionisalo izdavanje dokumenata i fiskalnih računa.

Na pitanje BIRN-a da li je pronađen organizator sajber napada iz Ministarstva javne uprave ponovili su da je „Cuba-Ransomwer“ grupa na svojoj web stranici preuzela odgovornost za napad. Iz ministarstva su kazali da su sve informacije o slučaju prosleđene državnom tužilaštvu.

Iz Osnovnog državnog tužilaštva u Podgorici kazali su BIRN-u da je slučaj sajber napada još u fazi izviđaja, kao i da je upućena urgencija za postupanje Upravi policije, Odseku za kriminalističko-obaveštajne poslove i Grupi za suzbijanje krivičnih dela visokotehnološkog kriminala.

„U Osnovnom državnom tužilaštvu u Podgorici je formiran predmet protiv, za sada, nepoznatog učinioca ili više njih, zbog krivičnog dela pravljenje i unošenje računarskih virusa, koji je u postupku izviđaja. U predmetu su do sada preduzete određene dokazne radnje“, kazao je rukovodilac tužilaštva u Podgorici, Duško Milanović.

Iz Uprave policije nisu odgovarali u kojoj fazi se nalazi istraga.

Pozivajući se na nezvanične izvore iz obaveštajnih krugova BIRN je u septembru 2022. objavio da je interna istraga pokazala da je do napada došlo tako što je malware direktno ubačen sa računara povezanog na vladin server. Iz Vlade nisu zvanično potvrdili ovu informaciju.

Nakon drugog talasa napada 26. avgusta 2022. godine, Agencija za nacionalnu bezbednost (ANB) optužila je ruske bezbednosne službe za vođenje „hibridnog rata“ protiv Crne Gore, navodeći da su napadi „dugo pripremani“.

„To je jako ozbiljna stvar, i ovo je jako ozbiljan napad. Pratimo situaciju, uključena je i Agencija za nacionalnu bezbednost, Uprava policije, Ministarstvo odbrane. Radi se po mom sudu o politički motivisanom napadu“, kazao je tadašnji premijer Dritan Abazović na konferenciji za medije 26. avgusta 2022.

Portparolka ruskog Ministarstva spoljnih poslova, Marija Zaharova, odbacila je tvrdnje Podgorice kao deo „kontinuirane politike raskidanja odnosa sa Moskvom u cilju udovoljavanja Sjedinjenim američkim državama (SAD).“

Diplomatski odnosi između Crne Gore i Rusije su pogoršani od 2014. godine, kada je Podgorica podržala sankcije Evropske unije uvedene Moskvi zbog aneksije Krima.

Ministar javne uprave Maraš Dukaj je 29. avgusta 2022. kazao da iza napada ne stoje individualci, nego prepoznata kriminalna grupa u sajber terorizmu Cuba Ransomware. Dukaj je tada za Javni servis kazao da je napad na vladine servere dugo planiran.

„Virus se ne može formirati za mesec. Oni su čekali određeno vreme, odnosno kada da izvrše ovakav napad. Kreiranje virusa je koštalo oko 10 miliona dolara i nigde do sada nije upotrebljen“, kazao je tada Dukaj.

Sajber grupa „Cuba Ransomware“ ima istorijat napada, a prema navodima američkog Federalnog istraživačkog biroa (FBI), do novembra 2021. godine, grupa je ciljala 49 organizacija, uključujući neke unutar vlade SAD. Napadi su bili raspoređeni na pet „kritičnih infrastruktura“, uključujući finansijski, zdravstveni, proizvodni i IT sektor. Prema navodima FBI napadači su tražili 76 miliona dolara u otkupninama, a dobili su najmanje 43,9 miliona dolara.

Nakon što je na svojoj stranici „Cuba Ransomware“ objavila da poseduje podatke koji pripadaju Odeljenju za odnose sa javnošću Skupštine Crne Gore, direktor vladinog Direktorata za informacionu bezbednost, infrastrukturu i digitalizaciju Dušan Polović je potvrdio da je oko 150 radnih stanica u 10 državnih institucija kompromitovano.

Na zahtev Vlade Crne Gore u septembru 2022. stručnjaci FBI i francuske Nacionalne agencije za bezbednost informacionih sistema (ANSSI) uključili su se u istragu napada.

Iz Uprave policije su u januaru 2023. kazali da im je FBI predao Izveštaj o sajber napadima na vladine servere, pojašnjavajući da je izveštaj sačinjen na osnovu značajnog obima prikupljenih podataka kroz mrežu Ministarstva javne uprave i kretanja podataka sa različitih sistema.

Izveštaj FBI nikad nije objavljen dok su iz Ministarstva unutrašnjih poslova odbili da ga dostave BIRN-u navodeći da se radi o poverljivom dokumentu.

Stručnjak za sajber bezbednost Aleksandar Obradović smatra da je zabrinjavajuće što rezultati istrage nikada nisu objavljeni.

„Da li je bilo šta od podataka kompromitovano, odnosno obrisano ili uništeno, neće znati niko osim osoba koje su bile uključene u istragu ili imaju pristup izveštajima. Naravno „Cuba Ransomware“ to isto zna, ali na njih nećemo moći da računamo da nam daju tačne informacije, šta su sve kompromitovali i šta je sve preuzeto od podataka“, kazao je Obradović BIRN-u.

„Javnost će biti upućena u obim nastale štete ukoliko dođe do curenja pomenutog izveštaja ili nakon isticanja zakonski predviđenog perioda koji se odnosi na održavanje tajnosti izveštaja“, dodao je Obradović.

Iz Ministarstva javne uprave kazali su BIRN-u da je izveštaj FBI pokazao koje su tehnike i maliciozne viruse koristili napadači, pojašnjavajući da su im dostavljeni i indikatori kompromitacije „koji im pomažu da preduzmu adekvatne aktivnosti na jačanju otpornosti Vladine infrastrukture i mreže državnih organa“.

Nakon sajber napada ojačava se sistem odbrane

Dve godine nakon sajber napada iz Ministarstva javne uprave tvrde da zahvaljujući „back up“ sistemima nije uništen nijedan podatak, niti je došlo do njihove kompromitacije. Iz tog vladinog resora pojasnili su da su podaci hakovani na pojedinačnim radnim stanicama, a ne informacionim sistemima.

Na pitanje zbog čega tokom napada nije korišćen Disaster recovery sajt (DRS) kojim se omogućava nesmetano funkcionisanje sistema, iz ministarstva su kazali da je taj sistem primenjiv isključivo za Vladinu informaciono-komunikacionu infrastrukturu. Disaster recovery sajt (DRS) je rezervna lokacija koja preuzima funkcionisanje sistema, bez gubljenja podataka i omogućava korisnicima da nesmetano koriste servise informacionih sistema bez zakašnjenja.

Iz ministarstva su kazali i da će do kraja 2024. biti omogućena dostupnost DRS servisa na Internetu u slučaju incidenata.

U decembru 2022. godine formirana je nova Direkcija za informacionu bezbednost koja je zadužena za zaštitu vladinih sistema kroz monitoring, prevenciju i otklanjanje posljedica od sajber pretnji i napada. Prema trenutnoj sistematizaciji u Direkciji je predviđeno 22 radnih mesta ali iz ministarstva nijesu odgovorili da li su sva radna mesta popunjena.

Vladin tim za odgovor na računarsko-bezbednosne incidente (Computer Incident Response Team-CIRT), koji je formiran 2012. godine, zadužen je za istraživanje, analize i odgovore na sajber incidente unutar mreže organa državne uprave. U CIRT-u je trenutno angažovano devet zaposlenih.

U decembru 2022. godine iz Vlade je najavljeno i formiranje Agencije za sajber bezbednost, zadužene da analizira primenu propisa, strategija i akcionih planova u oblasti informacione bezbjednosti i daje predloge i preporuke za njeno unapređenje.

Međutim, prvi uslov za formiranje Agencije još nije ispunjen, jer Skupština Crne Gore nije usvojila Zakon o informacionoj bezbjednosti koji definiše rad Agencije.

Obradović upozorava da je u Crnoj Gori niska svest o značaju sajber bezbjednosti u državnoj upravi. On je podsetio na zvanične podatke prema kojima je u državnoj upravi preko 52.250 zaposlenih, što je 23 odsto ukupnog broja zaposlenih u državi.

„Većina njih ima pristup kompjuterskim uređajima kao i samoj infrastrukturi. Znajući da je ljudski faktor najpodložniji manipulacijama dolazimo do zabrinjavajuće činjenice da imamo 52.250 potencijalnih vektora napada na državnu ICT infrasturkturu o kojoj maltene da niko aktivno ne vodi računa,“ tvrdi Obradović.

“ Gupa na svojoj web stranici preuzela odgovornost za napad. Iz ministarstva su kazali da su sve informacije o slučaju prosleđene državnom tužilaštvu.

Iz Osnovnog državnog tužilaštva u Podgorici kazali su BIRN-u da je slučaj sajber napada još u fazi izviđaja, kao i da je upućena urgencija za postupanje Upravi policije, Odseku za kriminalističko-obaveštajne poslove i Grupi za suzbijanje krivičnih dela visokotehnološkog kriminala.

„U Osnovnom državnom tužilaštvu u Podgorici je formiran predmet protiv, za sada, nepoznatog učinioca ili više njih, zbog krivičnog dela pravljenje i unošenje računarskih virusa, koji je u postupku izviđaja. U predmetu su do sada preduzete određene dokazne radnje“, kazao je rukovodilac tužilaštva u Podgorici, Duško Milanović.

Iz Uprave policije nisu odgovarali u kojoj fazi se nalazi istraga.

Pozivajući se na nezvanične izvore iz obaveštajnih krugova BIRN je u septembru 2022. objavio da je interna istraga pokazala da je do napada došlo tako što je malware direktno ubačen sa računara povezanog na vladin server. Iz Vlade nisu zvanično potvrdili ovu informaciju.

Sjednica Vijeća za nacionalnu bezbijednost nakon sajber napada 2022. Foto: Vlada Crne Gore
Seednica Veća za nacionalnu bezbednost nakon sajber napada 2022. Foto: Vlada Crne Gore (Izvor Birn

Od hibridnog rata do sajber kriminalaca

Nakon drugog talasa napada 26. avgusta 2022. godine, Agencija za nacionalnu bezbednost (ANB) optužila je ruske bezbednosne službe za vođenje „hibridnog rata“ protiv Crne Gore, navodeći da su napadi „dugo pripremani“.

„To je jako ozbiljna stvar, i ovo je jako ozbiljan napad. Pratimo situaciju, uključena je i Agencija za nacionalnu bezbednost, Uprava policije, Ministarstvo odbrane. Radi se po mom sudu o politički motivisanom napadu“, kazao je tadašnji premijer Dritan Abazović na konferenciji za medije 26. avgusta 2022.

Portparolka ruskog Ministarstva vanjskih poslova, Marija Zaharova, odbacila je tvrdnje Podgorice kao deo „kontinuirane politike raskidanja odnosa sa Moskvom u cilju udovoljavanja Sjedinjenim američkim državama (SAD).“

Diplomatski odnosi između Crne Gore i Rusije su pogoršani od 2014. godine, kada je Podgorica podržala sankcije Evropske unije uvedene Moskvi zbog aneksije Krima.

Ministar javne uprave Maraš Dukaj je 29. avgusta 2022. kazao da iza napada ne stoje individualci, nego prepoznata kriminalna grupa u sajber terorizmu Cuba Ransomware. Dukaj je tada za Javni servis kazao da je napad na vladine servere dugo planiran.

„Virus se ne može formirati za mesec. Oni su čekali određeno vreme, odnosno kada da izvrše ovakav napad. Kreiranje virusa je koštalo oko 10 miliona dolara i nigde do sada nije upotrebljen“, kazao je tada Dukaj.

Sajber grupa „Cuba Ransomware“ ima istorijat napada, a prema navodima američkog Federalnog istraživačkog biroa (FBI), do novembra 2021. godine, grupa je ciljala 49 organizacija, uključujući neke unutar vlade SAD. Napadi su bili raspoređeni na pet „kritičnih infrastruktura“, uključujući finansijski, zdravstveni, proizvodni i IT sektor. Prema navodima FBI napadači su tražili 76 miliona dolara u otkupninama, a dobili su najmanje 43,9 miliona dolara.

Nakon što je na svojoj stranici „Cuba Ransomware“ objavila da poseduje podatke koji pripadaju Odeljenju za odnose sa javnošću Skupštine Crne Gore, direktor vladinog Direktorata za informacionu bezbednost, infrastrukturu i digitalizaciju Dušan Polović je potvrdio da je oko 150 radnih stanica u 10 državnih institucija kompromitovano.

Na zahtev Vlade Crne Gore u septembru 2022. stručnjaci FBI i francuske Nacionalne agencije za bezbednost informacionih sistema (ANSSI) uključili su se u istragu napada.

Iz Uprave policije su u januaru 2023. kazali da im je FBI predao Izveštaj o sajber napadima na vladine servere, pojašnjavajući da je izveštaj sačinjen na osnovu značajnog obima prikupljenih podataka kroz mrežu Ministarstva javne uprave i kretanja podataka sa različitih sistema.

Izveštaj FBI nikad nije objavljen dok su iz Ministarstva unutrašnjih poslova odbili da ga dostave BIRN-u navodeći da se radi o poverljivom dokumentu.

Stručnjak za sajber bezbednost Aleksandar Obradović smatra da je zabrinjavajuće što rezultati istrage nikada nisu objavljeni.

„Da li je bilo šta od podataka kompromitovano, odnosno obrisano ili uništeno, neće znati niko osim osoba koje su bile uključene u istragu ili imaju pristup izveštajima. Naravno „Cuba Ransomware“ to isto zna, ali na njih nećemo moći da računamo da nam daju tačne informacije, šta su sve kompromitovali i šta je sve preuzeto od podataka“, kazao je Obradović BIRN-u.

„Javnost će biti upućena u obim nastale štete ukoliko dođe do curenja pomenutog izveštaja ili nakon isticanja zakonski predviđenog perioda koji se odnosi na održavanje tajnosti izveštaja“, dodao je Obradović.

Iz Ministarstva javne uprave kazali su BIRN-u da je izveštaj FBI pokazao koje su tehnike i maliciozne viruse koristili napadači, pojašnjavajući da su im dostavljeni i indikatori kompromitacije „koji im pomažu da preduzmu adekvatne aktivnosti na jačanju otpornosti Vladine infrastrukture i mreže državnih organa“.

Nakon sajber napada ojačava se sistem odbrane

Dve godine nakon sajber napada iz Ministarstva javne uprave tvrde da zahvaljujući „back up“ sistemima nije uništen nijedan podatak, niti je došlo do njihove kompromitacije. Iz tog vladinog resora pojasnili su da su podaci hakovani na pojedinačnim radnim stanicama, a ne informacionim sistemima.

Na pitanje zbog čega tokom napada nije korišćen Disaster recovery sajt (DRS) kojim se omogućava nesmetano funkcionisanje sistema, iz ministarstva su kazali da je taj sistem primenjiv isključivo za Vladinu informaciono-komunikacionu infrastrukturu. Disaster recovery sajt (DRS) je rezervna lokacija koja preuzima funkcionisanje sistema, bez gubljenja podataka i omogućava korisnicima da nesmetano koriste servise informacionih sistema bez zakašnjenja.

Iz ministarstva su kazali i da će do kraja 2024. biti omogućena dostupnost DRS servisa na Internetu u slučaju incidenata.

U decembru 2022. godine formirana je nova Direkcija za informacionu bezbednost koja je zadužena za zaštitu vladinih sistema kroz monitoring, prevenciju i otklanjanje posljedica od sajber pretnji i napada. Prema trenutnoj sistematizaciji u Direkciji je predviđeno 22 radnih mesta ali iz ministarstva nisu odgovorili da li su sva radna mesta popunjena.

Vladin tim za odgovor na računarsko-bezbednosne incidente (Computer Incident Response Team-CIRT), koji je formiran 2012. godine, zadužen je za istraživanje, analize i odgovore na sajber incidente unutar mreže organa državne uprave. U CIRT-u je trenutno angažovano devet zaposlenih.

U decembru 2022. godine iz Vlade je najavljeno i formiranje Agencije za sajber bezbednost, zadužene da analizira primenu propisa, strategija i akcionih planova u oblasti informacione bezbjednosti i daje predloge i preporuke za njeno unapređenje.

Međutim, prvi uslov za formiranje Agencije još nije ispunjen, jer Skupština Crne Gore nije usvojila Zakon o informacionoj bezbjednosti koji definiše rad Agencije.

Obradović upozorava da je u Crnoj Gori niska svest o značaju sajber bezbjednosti u državnoj upravi. On je podsetio na zvanične podatke prema kojima je u državnoj upravi preko 52.250 zaposlenih, što je 23 odsto ukupnog broja zaposlenih u državi.

„Većina njih ima pristup kompjuterskim uređajima kao i samoj infrastrukturi. Znajući da je ljudski faktor najpodložniji manipulacijama dolazimo do zabrinjavajuće činjenice da imamo 52.250 potencijalnih vektora napada na državnu ICT infrasturkturu o kojoj maltene da niko aktivno ne vodi računa,“ tvrdi Obradović.

5/5 - (2 votes)
AUTORBIRN
Prethodni članak„Žene u sektoru bezbjednosti“: Podgorica kao središte važnog dijaloga
Sledeći članakSAJAM BEZBEDNOSTI NA EVROPSKI NAČIN – BALKAN SECURITY EXPO 2025, 28–29. MAJ