NotPetya, ruski TSAR u svetu sajber ratovanja

Napad sposoban da ugasi državu za nekoliko minuta

May 26 / Denis Daničić

Ovo je priča o sajber napadu pod imenom NotPetya, i o događajima koje je taj napad prouzrokovao, u kasno proleće 2017. godine. Po magnitudi sa kojom je potresla svet, NotPetya se smatra TSAR bombom u svetu sajber ratovanja.

U to vreme, odnosi između SAD i Rusije bili su standardno nesigurni i napeti, ali i pomalo specifični u svetlu najskorijih političkih dešavanja. Donald Tramp je u januaru inaugurisan u predsednika Amerike, a znalo se da je Rusija imala veliki uticaj na takav, za celu planetu nezamisliv ishod.

Ruske obaveštajne službe okrivljene su za sistematično dezinformisanje kroz pažljivo planirane i temeljno sprovedene kampanje na društvenim mrežama, čime su dramatično uticale na polarizaciju glasačkog tela i neizvesnost američkih izbora. FBI je u međuvremenu optužio dvanaest ruskih obaveštajaca za hakovanje mejl servera Demokratskog nacionalnog komiteta (DNC), provalu u elektronsku poštu demokratskog kandidata Hilari Klinton i objavu osetljivih prepiski, što je sve zajedno kad se podvuče crta, imalo presudan uticaj na izbore 2016. godine.

Zbog kasnije blagonaklonosti Trampa prema Putinu, ostala je nerazjašnjena sumnja da li je ceo aranžman bio unapred dogovoren ili su se kockice naprasno same složile. U isto vreme, na kontinentu Evrope, bilo je sasvim jasno da Rusija i Ukrajina ulaze u ratni sukob.

Rusija i Ukrajina imaju dugu istoriju neslaganja i otvorenih sukoba oko različitih pitanja. Ukrajina od raspada SSSR-a teži ka ujedinjenju sa Evropskom Unijom, uz proračunato bežanje od ruskog uticaja, ali demografska struktura sa velikim procentom ruskog stanovništva istočno od Dnjepra to nikad nije dozvoljavala, čak ni po cenu rata. Kroz godine političkog previranja na početku 21. veka, na klackalici uticaja zapada i istoka, došlo je do prvih fizičkih sukoba i, nažalost, ljudskih žrtava.

Tenzije su eskalirale 2014. godine kada je Rusija anektirala ukrajinsko poluostrvo Krim. Ukrajina i većina međunarodne zajednice osudili su taj čin kao agresiju na suverenu državu, dok je Rusija to opravdala kroz referendum većinskog proruskog stanovništva na Krimu i istorijskim pravom na tu teritoriju. Paravojni sukobi u Donbasu, uz huškanje zapadnih sila i mahanje pridružnicom NATO paktu, vodili su do očekivane reakcije Rusije i otvorenog, konvencionalnog rata između bratskih naroda, koji traje i danas.

Ali, borbe na kopnu, moru i u vazduhu standardnim naoružanjem nije jedino čime Rusija raspolaže. Verujem da svi odmah pomisle na nuklearne bojeve glave i pretnju globalnim istrebljenjem, ali u ovom tekstu pričamo o drugoj vrsti taktičkog oružja, sposobnog da ugasi državu u roku od nekoliko minuta.

Crv (engl. Worm)

U kompjuterskoj terminologiji, crv je vrsta malicioznog softvera (malvera) čiji je primarni adut sposobnost da prelazi sa jednog na drugi računar u mreži, bez potrebe za ljudskom intervencijom.

Da bi to postigao, crv je unapred programiran da iskorištava ranjivosti unutar operativnog sistema i aplikacija, koje mu omogućavaju da sam sebe replicira i, u roku od nekoliko minuta, ili čak sekundi, zarazi celokupnu mrežu.

Ali, širenje nije jedini cilj. Kada zarazi računar, crv može da izvrši bilo koji zadatak – da ukrade podatke, instalira druge zlonamerne programe, špijunira korisnika ili u potpunosti onesposobi računar.

Ranjivost (engl. Vulnerability)

Verovatno ste barem jednom čuli kolege iz IT odeljenja kako pričaju o neophodnim ažuriranjima Windowsa i ostalih aplikacija. Pored unapređenja koja sa redovnim ažuriranjima dolaze, najbitniji razlog za kontinuirani update je rešavanje pitanja ranjivosti, tj. krpljenje rupa zakrpama (patch management).

Ranjivost je slaba tačka, greška ili propust u softveru, hardveru, procesima ili mrežnoj infrastrukturi koja može biti iskorišćena u toku sajber napada. Ranjivosti obično nastaju zbog grešaka u programiranju, nedovoljnih bezbednosnih mera ili slabe konfiguracije sistema zaštite i mogu predstavljati veliku opasnost ukoliko se ne saniraju na vreme.

Ranjivosti su, pored fišinga, jedan od glavnih pravaca širenja sajber pretnji jer se aktivno koriste u različitim fazama napada. Od servisa na Internetu koji se bave ovim problemom, treba navesti minimum dva:

CVE listu (Common Vulnerabilities and Exposures), koja beleži i kategorizuje sve poznate ranjivosti;

Exploit Database (Exploit-DB) listu ranjivosti koje se aktivno eksploatišu.

Osim utvrđenih ranjivosti za koje su zakrpe već kreirane, postoje i one sa “zero-day” prefiksom, za koje proizvođači ili javnost nisu obavešteni sve do trenutka kada se iskoriste u nekom sajber napadu.

Zero-day ranjivosti su posebno opasne jer od njih ne postoji odbrana ili zakrpa koja može da spreči eksploataciju, što napadačima daje značajnu prednost, a proizvođačima nula dana da isprave grešku.

Eksploit (engl. Exploit)

Eksploit je specifičan komad programskog koda ili niz komandi čija je uloga iskorištavanje određene ranjivosti sa ciljem uspešne eksploatacije sistema.

Kada otkriju zero-day ranjivost, hakeri obično razvijaju i eksploit koji dokazuje njihovu tvrdnju. Ukoliko su u pitanju dobri momci, ranjivost se prijavljuje proizvođaču koji obično nagrađuje pronalazača i izdaje zakrpu u razumnom roku, tj. što pre.

Ukoliko su loši momci u pitanju, dojava o ranjivosti i eksploit najčešće završavaju na crnom tržištu. Tamo ih čekaju bogati sajber kriminalci, obaveštajne službe sa neograničenim resursima i drugi državni i privatni entiteti spremni da plate za novo oružje u arsenalu. Svi oni su zainteresovani za alate koji omogućavaju neprimetan prodor u kompjuterske mreže, operativne sisteme, aplikacije, mobilne telefone, IoT uređaje, pametne automobile, ali i sisteme za nadzor i kontrolu industrijskih procesa i infrastrukture, kao što su energetske mreže, vodovodni i komunalni sistemi, transportni i proizvodni pogoni.

Cene se kreću u rasponu od 20 hiljada do 20 miliona dolara po eksploitu, zavisno od njegove upotrebne vrednosti.

Sajber oružje (engl. Cyber Weapon)

Sajber oružje može biti softverski ili hardverski alat, skup alata ili tehnika razvijenih sa ciljem sprovođenja sajber napada na neprijateljske sisteme, mreže ili infrastrukturu. Za razliku od konvencionalnog oružja, sajber oružje je često nevidljivo i nepredvidljivo i može se aktivirati sa bilo koje tačke na svetu, što ga čini izuzetno opasnim.

Sajber oružje može biti u obliku zlonamernog softvera kao što su crvi, trojanci, eksploiti ili ransomver, ili u obliku metoda kao što su DDoS napadi, fišing i socijalni inženjering. Cilj je da se nanese privremena ili trajna šteta, da se ometa rad ili pribave obaveštajne informacije od ciljanih subjekata. Može biti korišćeno od strane država, kriminalnih grupa, haktivista ili pojedinaca u različitim konfliktima i operacijama.

Upotreba sajber oružja odavno nije tabu tema i može imati ozbiljne posledice po nacionalnu bezbednost, ekonomiju ili privatnost korisnika. Primera radi, Stuxnet, sofisticirani crv razvijen od strane Amerike i Izraela za napad na iranske nuklearne centrifuge, izazvao je značajnu materijalnu štetu i bio prvi slučaj sajber oružja korišćenog za sabotiranje fizičkih sistema. BlackEnergy, malver korišćen za napad na kijevsku energetsku mrežu, pokazao je da je moguće paralisati glavni grad jedne suverene države bez ispaljenog metka.

Sajber oružja se razvijaju u tajnosti, a njihovi tvorci su državne agencije, nezavisni istraživači ili kriminalne grupe. Kada se napravi, testira se u kontrolisanim uslovima pre nego se pusti u upotrebu.

Globalne sile ulažu značajne resurse u razvoj i odbranu od sajber oružja, što uključuje kontinuirano praćenje razvoja pretnji, implementaciju bezbednosnih mera i obuku stručnjaka za ofanzivne i defanzivne aktivnosti u sajber prostoru.

Mimikatz je opštepriznati penetracioni softverski alat poznatog francuskog istraživača Benjamina Delpija, koji više od decenije stavlja Microsoft na ozbiljne muke jer eksploatiše očigledan propust u arhitekturi Windowsa, najprisutnijeg operativnog sistema na planeti.

U procesu širenja NotPetye, Mimikatz je omogućio napadačima da sa zaraženih računara prikupe korisnička imena, lozinke i druge autentifikacione podatke aktivnih korisnika i administratora, sa kojima bi se prijavljivali na ostale, nezaražene računare u mreži. Mimikatz je u napadu imao ogromnu ulogu jer je omogućio širenje infekcije čak i na one računare koji su imali zakrpu za izuzetno opasnu ranjivost pod kodnim imenom CVE-2017-0144, iliti u narodu poznatiju kao EternalBlue.

Za EternalBlue se može reći da je super mega eksploit, sa obzirom na njegove predispozicije. Prvobitno je razvijen od strane američke Nacionalne Sigurnosne Agencije (NSA), zadužene za praćenje i analiziranje obaveštajnih podataka i obezbeđivanje nacionalne bezbednosti kroz sajber operacije. Zbog njegove izuzetne virulentnosti i sposobnosti da bez autentifikacije pristupi i izvrši bilo šta na udaljenom računaru, NSA je EternalBlue dugo koristila u tajnosti, za potrebe špijunaže i visokoprofilne sajber napade.

Međutim, u avgustu 2016. godine, misteriozna hakerska grupa poznata kao The Shadow Brokers, izazvala je senzaciju na sajber sceni ponudivši na prodaju niz hakerskih alata za koje su tvrdili da su ukradeni od elitne NSA jedinice, poznate pod imenom Equation Group. Ponuda je privukla ogromnu pažnju i izazvala opštu zabrinutost u sajber zajednici. Među tim alatima bio je i EternalBlue.

Odjednom je postao dostupan svima, kada su The Shadow Brokers u aprilu 2017., nezadovoljni odzivom kupaca, odlučili da besplatno objave celokupan set ukradenih alata. Kako je sajber oružje pobeglo iz NSA nije do kraja razjašnjeno, ali da će biti dramatičnih posledica, svima je bilo jasno.

Kombinacijom Mimikatz-a i EternalBlue-a, NotPetya je postala digitalno čudovište, sposobno da preuzme potpunu kontrolu nad kompletnom mrežom za samo nekoliko minuta. Nakon toga je sledio finalni udarac – reset računara i zaključavanje najvažnijeg sektora na hard disku bez kojeg uređaj postaje neupotrebljiv.

Iako je poruka na monitoru obećavala otključavanje nakon plaćene otkupnine, stručnjaci za sajber bezbednost ubrzo su ustanovili da od toga nema ništa. NotPetya je imala jasnu namenu: da onesposobi što više računara u Ukrajini.

Shvatate kuda ovo vodi? Ako hakeri spakuju crva u paket za ažuriranje MeDoc-a i proslede ga svim korisnicima, napad će proći nezapaženo i pogoditi većinu kompanija u Ukrajini. Tako je i urađeno. U junu 2017. godine, uz pomoć mita ili ucene, preuzeta je kontrola nad serverom za ažuriranje MeDoc-a.

Dok su se Ukrajinci pripremali za proslavu Dana ustavnosti i nezavisnosti od majke Rusije, NotPetya je započela najrazorniji sajber napad koji je svet ikada video. Za samo nekoliko sati, zarazila je računarske mreže u više od 65 država širom planete.

Ni napadači nisu očekivali fallout koji je NotPetya napravila. Nisu stradale samo ukrajinske kompanije, već i većina inostranih koje su poslovale u toj zemlji, uključujući i ruski In Vitro, Evraz i Rosnjeft.

Sve to pomalo podseća na radnju serije Černobilj, gde podređenost partiji, neodgovornost i nepoimanje stvarne opasnosti dovode do katastrofe globalnih razmera. Navodna priča je da su namerno hteli da kazne sve koji na bilo koji način sarađuju sa Ukrajinom, ali se ipak čini da je manjak svesti o potencijalu sajber oružja kojim raspolažu, rezultirao razornim posledicama koje su nadmašile i najgore prognoze.

Forenzički analitičari i stručnjaci za sajber bezbednost suočili su se sa haosom na terenu. Jedna od prvih žrtava bila je Nacionalna banka, gde je skoro cela mreža bila pogođena. Ubrzo je ustanovljeno da NotPetya nije uobičajna ransomver pretnja. Iako je poruka na ekranu tražila otkupninu u Bitcoin-ima, postalo je jasno da su podaci nepovratno izgubljeni, čak i ako bi otkup bio plaćen.

Napad je bio toliko sveobuhvatan da je čak i Černobiljska nuklearna elektrana doživela blackout. Ostala je bez automatskog nadzora za zračenje koji je bio postavljen na Windows mašinama. Ovo je dodatno pojačalo osećaj nesigurnosti i strepnje i podsetilo mnoge na katastrofalne posledice nuklearne nesreće, ne tako davne.

Crv je temeljno divljao kroz mreže, koristeći pokradene naloge i fatalnu ranjivost starog SMB protokola, još uvek u širokoj upotrebi. Banke, pošte, bolnice i druge vitalne institucije, bile su odsečene od sveta. Terminali zamrznuti, poslovanje zaustavljeno. Kupci i zaposleni uznemireni i dezorijentisani, bez ikakvog nagoveštaja kada će se stvari vratiti u normalu.

NotPetya se nije ograničila samo na Ukrajinu. Ubrzo je prešla granice, zahvatajući računarske mreže širom sveta. Svuda gde je bio instaliran MeDoc, crv je našao put. Stotine kompanija, uključujući i velike multinacionalne korporacije, pogođene su ovim napadom. Svaki računar koji nije isključen na vreme, bio je zaražen i trajno onesposobljen.

Lična iskustva stanovnika Ukrajine bila su zastrašujuća. Odjednom su se suočili sa svetom gde ništa ne funkcioniše. Benzinske pumpe opkoljene uplašenim narodom, platne kartice ne rade, telekomunikacija u prekidima, ulična signalizacija bez kontrole, javni prevoz u haosu. Za osnovne potrebe ljudi su se oslanjali na gotovinu, a čekanje u redovima pred bankomatima postala je svakodnevica.

Osećaj bespomoćnosti širio se poput poplavnog talasa kroz zajednicu. Hoće li biti struje i vode, ima li novca i hrane za sledeću nedelju, da li će biti neophodnih lekova i kako stići na posao, postala su najvažnija pitanja. NotPetya je pokazala koliko je moderno društvo krhko i ranjivo.

Napad bio je jasna demonstracija sile. NotPetya nije bila prva, već kulminacija serije sajber napada koji su pogađali Ukrajinu godinama unazad. Ipak, po efikasnosti i destruktivnosti postavila je novi standard. NotPetya nije bila upozorenje samo za Ukrajinu, već i za čitav svet – sajber rat nije naučna fantastika već stvarnost koja može da pogodi bilo koju zemlju, bilo kada.

Na putu za Celje, po zatamnjenom staklu autobusa oslikavali su se piktoresni predeli Slovenije, jedan za drugim, od rustično uređenih dvorišta do blistavo belih vrhova u daljini.

Pažnju mi je privukla teretna kompozicija koja se probijala kroz tek probuđenu prirodu. Na vagonima su putovali metalni kontejneri sa velikim natpisom “Maersk” na sebi. Nekome ko nije iz transportne industrije, ovo ime ne znači puno. Ali, te 2017. svi koji se bave međunarodnom trgovinom osetili su, ili barem čuli za pakao kroz koji je prošla kompanija koja drži petinu brodskog saobraćaja na svetu.

Sve je počelo sa prvim zaraženim računarom u Odesi, ukrajinskom lučkom gradu na obali Crnog mora. Bila je to ulazna tačka za infekciju, dovoljno malu da promakne pažnji i dovoljno snažnu da izazove lančanu reakciju i potpuni haos. Maerskova globalno povezana računarska mreža, koja omogućava neprekidan tok informacija i savršeno preciznu logistiku, postala je idealno okruženje za ubrzano širenje NotPetye.

U roku od samo nekoliko minuta, kompanija je doživela potpuni kolaps. Lučke operacije su stale, brodovi ostali zarobljeni pod neklasifikovanim tovarom, na hiljade kamiona čekalo je robu u kilometarskim kolonama, dok se logistika svela na papir i olovku. Maersk je bio poput ribe na suvom, u borbi za svaki dah, dok je svet nemo posmatrao kako pomorski kolos tone pod teretom nemilosrdnog sajber napada.

Formiran je krizni štab u Majdenhejnu, u Velikoj Britaniji. Na hiljade zaposlenih u centrali i širom sveta neprekidno su radili na oporavku posrnulog informacionog sistema.

Zaraženi računari su konfiskovani, a na njihova mesta postavljeni su novi, spremni za instalaciju najosnovnijih servisa. U žurbi da svoju mrežu obnovi, Maersk je ispraznio prodavnice računara, kupujući svaki dostupan laptop u Ujedinjenom Kraljevstvu. Cene su naglo skočile, pa je i nabavka opreme postala izazov. U procesu oporavka, za nepunih dva meseca, reinstalirano je oko 50.000 radnih stanica i servera.

Prelomni momenat je nastupio kada su shvatili da nemaju zdravu kopiju domen kontrolera, servera ključnog za autentifikaciju na mreži. Domen kontroleri su srce i kičma svake Windows mreže jer upravljaju najvažnijim mehanizmima za pristup i proveru korisnika i računara. Maersk je u tom trenutku imao oko 150 redudantnih domen kontrolera širom sveta, ali svi do jednog su već bili inficirani.

Spas je došao iz neočekivanog izvora – jedini netaknuti domen kontroler pronađen je u Gani, gde je zbog čestih nestanaka struje server bio isključen u toku napada. Ova sreća u nesreći je značila da Maersk ne mora ponovo da rekonfiguriše celu mrežu, što bi dodatno produžilo vreme oporavka za kompaniju kojoj svi dišu za vratom. Zbog loše Internet veze i nemogućnosti da se podaci prebace preko Interneta, preživeli server je spakovan na avion i poslat za London.

Sanacija napada bila je dugotrajan i skup proces. Kompanija je objavila da su ukupni troškovi i gubici premašili 300 miliona dolara, što zvuči podcenjeno. Za povratak osnovnih funkcionalnosti, Maersku je trebalo devet dana, a za potpuni oporavak i rekonstrukciju sistema, više od dva meseca.

Do leta 2017. Maersk je održavao bezbednosne standarde po ugledu na kompanije iz branše, ništa više i ništa manje, već koliko se činilo dovoljnim. Međutim, NotPetya je došla kao gorka opomena da kompaniju ne čine samo luke i brodovi na moru, već i bezbednost informacione infrastrukture bez koje savremenog poslovanja nema.

Naš narod ume da kaže “ko zna zašto je to dobro” i NotPetya jeste naterala Maersk da preispita svoje metode i uradi sve da se isto nikad ne ponovi. Napad je pokazao da preživljavanje u digitalnom svetu ponekad može da bude izazovno i neizvesno koliko i plovidba kroz najopasnije vode na planeti.

Šta je o tome imao da kaže Andrew Powell iz Maerska, koji je na CISO poziciju došao nakon napada, pogledajte na sledećem snimku:

Maerskove brojke prikazuju samo delić štete koju je NotPetya napravila. Logističke kompanije zavisne od terminala su takođe pretrpele ogromne gubitke, kao i drumski i železnički transport koji je izgubio na desetine miliona dolara. Širu sliku poremećaja u globalnom lancu snabdevanja teško je i zamisliti, a ne izmeriti.

Maersk svakako nije bio jedina žrtva. Farmaceutska kompanija Merck prijavila je štetu od 870 miliona. TNT Express, FedEx-ova pridružnica u Evropi, bio je onesposobljen mesecima, uz gubitak od 400 miliona. Francuski građevinski gigant Saint-Gobain izgubio je 380 miliona. Reckitt Benckiser, 129 miliona. Mondelēz, 188 miliona. Procene su da je NotPetya ukupno koštala svet 10 milijardi dolara.

Računajte da je veliki broj kompanija svoje gubitke prebrojao u tajnosti, ne prijavljujući štetu zbog potencijalnih problema sa vlastima, deoničarima, korisnicima i lošom reputacijom. Tek kada se zamisle iste paralize, iste krize i isti iscrpljujući oporavci koje su prebrodile stotine kompanija širom sveta, može se približno sagledati razmera destrukcije koju je NotPetya sa sobom donela.

Nedelju dana nakon izbijanja napada, ukrajinska policija je pod punom ratnom opremom upala u prostorije kompanije Linkos Group, postrojila sve zaposlene i konfiskovala opremu zaslužnu za distribuciju najdestruktivnijeg sajber napada u modernoj istoriji.

Od NotPetye na ovamo, stručnjaci zastupaju tezu da je cilj napada bio ne samo uništenje, već i brisanje tragova špijunaže i izviđanja za buduće sabotaže. Crv tih kapaciteta mogao je da se koristi za bilo šta. Dok se većina žrtava i dalje smatra kolateralnom štetom, mnogi tvrde da su Rusi bili apsolutno svesni mogućih posledica.

Ali, svi se slažu sa zaključkom da bi događaj ove magnitude mogao da se ponovi, još opasniji, kompleksniji i destruktivniji. Previše smo umreženi, informaciona bezbednost je previše složena, a branjena teritorija previše široka. Pitanje je trenutka kada će se neka hakerska velesila, bilo sa istoka ili zapada, odlučiti na ovakav potez, sličan ili gori od NotPetye.

U digitalnoj realnosti, samo jedna ranjivost i sponzorisani sajber napad može izazvati haos u društvu, u institucijama, kompanijama, na ulicama, u domovima, pa i u našim glavama, jer smo postali preterano zavisni od stalnog protoka informacija. U odnosu na lokalne ratove rasute po planeti, daleke od očiju i srca, globalni sajber sukobi mogu uticati na svaku jedinku, beskrajno zapletenu u Mrežu u kojoj živimo.

Zakažite razgovor

Želite da se raspitate u vezi in-house obuka? Unesite vašu e-mejl adresu i javićemo vam se uskoro.