Digitalni Levijatani: Anatomija državno sponzorisanih sajber napada

Feb 4 / Denis Daničić
U hrišćanskoj i jevrejskoj tradiciji, Levijatan je morsko čudovište - ogromna zmijolika ili zmajevita zver koja simbolizuje haos, neukrotivu prirodu i destruktivnu silu. Pominje se u Starom zavetu (Knjiga o Jovu, Psalmi, Isaija). U 17. veku Tomas Hobs koristi naziv Levijatan za svoju knjigu o državi i društvu. U njoj Levijatan više nije čudovište, već država kao ogroman mehanizam moći.

Sadržaj:

  • Mrak u decembru: Kada programski kod ugasi svetla
  • Operacija „Olimpijske igre“: Rođenje digitalnog oružja
  • Anatomija napada: Kako je Stuxnet funkcionisao
  • Ljudski faktor: Trag koji vodi do Holandije
  • Dva lica sajber pretnji
  • Evolucija digitalnog fronta: Decenija i po nakon Stuxneta
  • Zaključak: Svet posle Rubikona

Mrak u decembru: Kada programski kod ugasi svetla

Krajem decembra 2025. godine poljski energetski sektor bio je meta koordinisanog sajber napada koji je obuhvatio više vetro i solarnih farmi, jedno veliko kogeneraciono postrojenje i proizvodne kapacitete povezane sa energetikom. Incident je potvrdio poljski nacionalni CERT, a naknadne analize su ukazale na kombinaciju više slabosti - javno izložene VPN servise bez više faktora autentifikacije, reciklirane kredencijale i podrazumevane lozinke na industrijskim uređajima. Nakon inicijalnog pristupa, napadači su menjali firmver na RTU kontrolerima, brisali konfiguracije HMI panela i pokušali širu distribuciju destruktivnog malvera poznatog kao DynoWiper. Iako nije došlo do dugotrajnog prekida proizvodnje na nacionalnom nivou, događaj je pokazao kako osnovni bezbednosni propusti mogu da prerastu u operativni rizik za kritičnu infrastrukturu. Ali, ovo nije priča o osnovnoj sajber higijeni.

Bidgošč, Poljska

Ovaj događaj nije bio nasumični čin sajber kriminala, već proračunat napad na kritičnu infrastrukturu jedne države, izveden sa ciljem da se demonstrira sposobnost izazivanja haosa. Prema izveštajima istraživača, napad se povezuje sa grupom poznatom kao Sandworm, za koju se veruje da deluje u interesu ruskih državnih struktura. Poruka je nedvosmislena: digitalni prostor je postao legitiman domen za ispoljavanje državne moći, a kritična infrastruktura je njena primarna meta.

Ovakvi napadi, sa fokusom na izazivanje fizičkih posledica, direktni su potomci istorijskog presedana koji je zauvek promenio pravila igre. Pre nego što je gašenje struje postalo deo arsenala u geopolitičkim sukobima, odigrao se čin gde je digitalno oružje po prvi put prešlo granicu virtuelnog i izazvalo opipljivu štetu u stvarnom svetu. Bivši direktor CIA-e, Majkl Hejden, opisao je taj događaj rečima: „Ovo je prvi napad velikih razmera u kojem je sajber napad korišćen da izazove fizičko uništenje. Neko je prešao Rubikon.“ Taj prelazak dogodio se u tajnosti, duboko ispod iranske pustinje.
Rubikon je reka u severnoj Italiji. Sama po sebi nije velika ni dramatična i danas je to prilično skroman vodotok. Njena važnost je istorijska, ne geografska. U antičkom Rimu, Rubikon je predstavljao granicu između rimske teritorije i oblasti pod vojnom upravom.

Rimskim generalima bilo je zabranjeno da sa vojskom pređu tu granicu i uđu u Rim, jer bi to značilo vojni udar na sopstvenu državu.

Operacija „Olimpijske igre“: Rođenje digitalnog oružja

Početkom 2000-ih, međunarodna zajednica je sa zabrinutošću pratila napredak iranskog nuklearnog programa, sa posebnim fokusom na postrojenje za obogaćivanje uranijuma u Natanzu. Zvaničnici Sjedinjenih Američkih Država i Izraela strahovali su da Iran razvija kapacitete za vojnu primenu pod okriljem civilnog programa. Konvencionalni vojni udar nosio je preveliki rizik od eskalacije sukoba na Bliskom istoku. U tom kontekstu, pod administracijom predsednika Džordža V. Buša, pokrenuta je tajna operacija pod kodnim imenom „Olimpijske igre“.

Nuklearno postrojenje Natanz, Iran

Cilj je bio radikalan: iskoristiti sajber oružje kako bi se fizički oštetile Natanzove centrifuge za obogaćivanje uranijuma, bez direktnog vojnog napada. Operacija je, prema dostupnim informacijama, uključivala američke agencije NSA i CIA, uz saradnju izraelske obaveštajne jedinice 8200. Program je nastavljen i tokom mandata Baraka Obame, potvrđujući da se radi o dugoročnom strateškom projektu. Perjanica ove operacije bio je Stuxnet - ne kao klasičan malver, već kao precizno projektovan digitalni projektil, stvoren samo sa jednim ciljem: da sabotira iranski nuklearni program. Njegovo otkriće 2010. godine označilo je početak nove ere ratovanja.

Anatomija napada: Kako je Stuxnet funkcionisao

Stuxnet je bio složeno digitalno oružje. Njegova snaga nije bila u jednoj tehnici, već u kombinaciji preciznog ciljanja, tehničke sofisticiranosti i strpljenja. Postrojenje u Natanzu bilo je zaštićeno takozvanim „vazdušnim jazom“ (air gap), što znači da je sistem bio fizički izolovan od sveta. Zbog toga se pretpostavlja da je malver u mrežu unet fizički, najverovatnije putem zaraženih USB uređaja. Nakon fizičke infiltracije, širio se koristeći četiri do tada nepoznate ranjivosti (zero-day) u Windows operativnom sistemu, uz lažne digitalne sertifikate ukradene od legitimnih kompanija, kako bi zaobišao detekciju.

Stuxnet nije bio dizajniran da pravi štetu nasumično. Prvo bi proveravao da li je na računaru instaliran industrijski softver Siemens SIMATIC, a zatim bi tražio tačno određene modele PLC kontrolera i frekventne konvertore koji su se koristili u centrifugama. Aktivirao bi se tek kada bi prepoznao rad motora u vrlo uskom rasponu frekvencija, karakterističnom za postrojenja za obogaćivanje uranijuma. Ako uslovi nisu bili ispunjeni, ostajao je neaktivan.

Centrifuge za obogaćivanje uranijuma (ilustracija: ChatGPT) 

Kada bi pronašao metu, Stuxnet je menjao brzinu rotacije centrifuga, ubrzavajući ih iznad bezbednih granica, a zatim bi ih naglo usporavao. Ovakve oscilacije stvarale su mehanički stres koji je vremenom razarao centrifuge. Paralelno sa tim, Stuxnet je presretao podatke sa senzora i operaterima prikazivao ranije snimljene, normalne vrednosti. Na kontrolnim ekranima sve je delovalo stabilno.

Operacija je ostala tajna sve do leta 2010. godine, kada je zbog greške u kodu jedna od verzija Stuxneta procurila iz Natanza i počela da se širi internetom. Ubrzo ga je otkrila beloruska antivirusna kompanija VirusBlokAda. Iako nije u potpunosti zaustavio iranski program, procenjuje se da ga je usporio za najmanje dve godine i oštetio između 1.000 i 2.000 centrifuga.

Ljudski faktor: Trag koji vodi do Holandije

Godinama je najveća misterija Stuxneta bila kako je stigao u izolovano postrojenje. Odgovor se, po svemu sudeći, nije nalazio samo u programskom kodu, već i u klasičnoj špijunaži. U pojedinim istraživačkim i novinarskim rekonstrukcijama pominje se ime holandskog inženjera Erika van Sabena. Navodi se da je on, radeći za kompaniju koja je poslovala sa Iranom, bio regrutovan od strane holandske obaveštajne službe AIVD. Svesno ili nesvesno, on je uneo malver u Natanz. Ovi navodi nikada nisu zvanično potvrđeni, ali ukazuju na moguću kombinaciju tehničkih i obaveštajnih metoda iskorišćenih za inicijalnu infiltraciju.

Ta priča je dodatno dobila na težini zbog činjenice da je Van Saben početkom 2009. godine stradao u saobraćajnoj nesreći u Ujedinjenim Arapskim Emiratima, pod okolnostima koje su u medijima opisane kao misteriozne. Ono što su kasnije analize potvrdile jeste da Stuxnet verovatno nije ubačen samo jednom. Razvijan je i plasiran u više verzija, uz postepeno prilagođavanje ciljanom okruženju. Stuxnet se zato danas posmatra ne kao jedan napad, već kao dugotrajna, slojevita operacija, prepletena digitalnim i konvencionalnim delovanjem.

Incident se dogodio kada je motocikl van Sabena sleteo sa puta i prevrnuo se, usled čega je zadobio smrtonosni prelom vrata. (ilustracija: ChatGPT) 

Dva lica sajber pretnji

Da bi se pretnja poput Stuxneta u potpunosti razumela, važno je razlikovati državno sponzorisane operacije od organizovanog sajber kriminala. Iako ponekad koriste slične alate, razlika je pre svega u motivu i resursima. Sajber kriminal je u najvećem broju slučajeva vođen novcem. Ciljevi su krađa podataka, prevare i iznude preko malvera kao što je ransomver. Mete se biraju oportunistički, na osnovu ranjivosti i verovatnoće brze zarade, a primarni fokus je profit.

Slične metode, ali različite ambicije. (ilustracija: ChatGPT) 

Državno sponzorisane operacije, sa druge strane, predstavljaju produženu ruku državne strategije. Ciljevi su špijunaža, sabotaža infrastrukture ili politički uticaj. Mete se biraju planski - vladine institucije, energetski sektor, vojne organizacije. Takve operacije traju dugo, često mesecima ili godinama, i karakteriše ih visoka prikrivenost i nemogućnost konkretne atribucije. Grupe koje stoje iza tih napada raspolažu resursima državnim resursima, što im omogućava razvoj sopstvenih alata i korišćenje ranjivosti koje nisu javno poznate. Stuxnet je primer operacije koja je zahtevala upravo takav nivo finansiranja, obaveštajnih podataka i tehničke ekspertize. Iako se granice povremeno zamagljuju, osnovna razlika ostaje: jedni deluju zbog novca, drugi zbog strateškog uticaja.

Evolucija digitalnog fronta: Decenija i po nakon Stuxneta

Stuxnet je bio prelomna tačka, ali ne i početak. Već 2007. godine, talas koordinisanih DDoS napada (Distributed Denial-of-Service) paralisao je Estoniju. Državne institucije, banke i mediji bili su danima nedostupni, pokazujući koliko je moderna država zavisna od digitalne infrastrukture. Nakon Stuxneta, napadi su postali destruktivniji. Pored napada na elektro mrežu u Ukrajini 2015. i 2016. godine, 2017. se pojavio NotPetya. Na prvi pogled ransomver, u suštini je bio destruktivni malver (wiper) čija svrha nije bila otkup, već trajno uništavanje podataka. Iako je primarno gađao Ukrajinu, brzo je izmakao kontroli i naneo milijarde dolara štete kompanijama širom sveta, uključujući i ruski Rosnjeft.

U godinama koje su usledile, sajber prostor je postao arena za ostvarivanje različitih ciljeva. Finansijski motivisane operacije, poput napada na banke i kripto-platforme, postale su način za zaobilaženje ekonomskih sankcija. Istovremeno, otkriće da su komunikacije tadašnje nemačke kancelarke Angele Merkel bile predmet obaveštajnog nadzora od strane saveznika, pokazalo je da digitalna špijunaža ne zna ni za moralne granice. Pitanje poverenja među državama dobilo je novu, digitalnu dimenziju.

Estonija – DDoS napadi (2007)

Višenedeljni talas koordinisanih DDoS napada oborio je državne portale, banke i medije, ozbiljno poremetivši digitalne usluge čitave države bez fizičke štete.
Napad se pripisuje se ruskim pro-državnim hakerskim grupama (formalna atribucija nikada zvanično dokazana).

Operation Aurora (2009–2010)

Napadi na tehnološke kompanije, uključujući Google, Adobe i Yahoo, sa ciljem krađe izvornog koda i podataka o korisnicima.
Najčešće pripisivano kineskim APT akterima (atribucija zasnovana na bezbednosnim analizama).

APT1 / Comment Crew (2013)

Sistematska industrijska špijunaža zapadnih kompanija u sektorima tehnologije, energetike i proizvodnje.
Najčešće pripisivano jedinici PLA Unit 61398 (prema javnim izveštajima bezbednosnih firmi).

Nadzor komunikacija evropskih lidera (2013)

Objave o masovnom nadzoru otkrile su da su komunikacije visokih zvaničnika bile predmet prisluškivanja, što je pokrenulo diplomatske tenzije.
Najčešće pripisivano američkoj agenciji NSA.

Ukrajinska elektroenergetska mreža (2015–2016)

Napadači su preuzeli kontrolu nad distributivnim sistemima i privremeno isključili struju stotinama hiljada potrošača - prvi javno potvrđen sajber napad sa direktnim fizičkim posledicama.
Najčešće pripisivano grupi Sandworm / GRU (Rusija).

Pljačka bangladeške banke preko SWIFT sistema (2016)

Napadači su pokušali krađu od gotovo milijardu dolara. Deo sredstava, više od 100 miliona, uspešno je preusmeren pre nego što je prevara otkrivena.
Najčešće pripisivano Lazarus grupi (Severna Koreja)

Pegasus – NSO Group (2016–)

Špijunski softver za kompromitaciju mobilnih telefona novinara, aktivista i političara. Omogućava potpuni nadzor uređaja.
Komercijalni alat izraelske firme NSO Group, korišćen od strane različitih državnih aktera.

Uticaj na izbore u SAD (2016)

Curanje podataka, kampanje dezinformacija i koordinisane aktivnosti na društvenim mrežama sa ciljem uticaja na javno mnjenje.
Najčešće pripisivano ruskim grupama APT28 (Fancy Bear) i APT29 (Cozy Bear).

NotPetya (2017)

Malver maskiran kao ransomver zapravo je brisao podatke; napad se iz Ukrajine proširio globalno i izazvao milijarde dolara gubitaka.
Najčešće pripisivano grupi Sandworm / GRU (Rusija).

WannaCry (2017)

Globalni ransomver talas pogodio je bolnice, fabrike i državne sisteme. Napad se širio samostalno i za nekoliko sati zarazio je više od 300.000 računara u preko 150 zemalja.
Najčešće pripisivano Lazarus grupi (Severna Koreja)

Project Raven (2019)

Bivši NSA obaveštajci angažovani su za digitalni nadzor aktivista, diplomata i novinara, prema svedočenjima i medijskim istragama.
Najčešće pripisivano operacijama povezanih struktura u Ujedinjenim Arapskim Emiratima.

SolarWinds (2020)

Kompromitovano ažuriranje popularnog softvera omogućilo je neprimetan pristup mrežama hiljada organizacija, uključujući državne agencije.
Najčešće pripisivano ruskoj obaveštajnoj službi SVR (grupa APT29 / Cozy Bear)
Druga polovina 2010-ih donela je i pokušaje uticaja na izborne procese putem curenja podataka i koordinisanih kampanja dezinformacijama. Cilj više nije bio samo gašenje sistema, već oblikovanje javnog mnjenja i podrivanje poverenja u institucije. Paralelno sa tim, napredni alati za nadzor sve češće su korišćeni za praćenje aktivista i novinara, pomerajući fokus sa infrastrukture na pojedinca. Obrazac je postao jasan: digitalni napadi su evoluirali - od špijunaže i ometanja državnih sajtova, preko operacija koje utiču na energetiku, ekonomiju i politiku, sve do otvorenih pritisaka na demokratiju i slobodu govora.

Zaključak: Svet posle Rubikona

Atomska bomba bačena na Hirošimu nije samo uništila grad i pobila desetine hiljada ljudi u trenutku; promenila je percepciju granica mogućeg u konvencionalnom ratovanju. Stuxnet možda nije imao bljesak ni smrtonosni udarni talas, ali je učinio isto za digitalni svet. Pokazao je da programski kod može da nanese fizičku štetu i zaustavi ključne procese jedne države.

Posledice se danas ne mere brojem žrtava, jer čovek je odavno jeftina roba. Meri se efekat ugašenih sistema, zaustavljenog napretka i poremećenog poverenja. Savremeni svet je nepovratno zavisan od digitalnog sveta i u takvom okruženju, organizovanim napadima na infrastrukturu, struju, vodu, bolnice, logistiku, medije i izbore - državni akteri imaju moć da oblikuju stvarnost, zavisno od toga šta im je u interesu i kako su raspoloženi.
Sa Stuxnetom granica je jednom pređena. I posle toga, kao ni posle Little Boya, nema nazad. I da se razumemo - u ratovima nema nevinih. Pobednici su oni koji su preživeli.
Kreirano pomoću