Tržište sajber napada: Ko je haker, a ko sajber kriminalac?

Jan 29 / Denis Daničić

Pretpostavka kao
majka svih grešaka

Popularna kultura, pre svega kroz filmove i medije, decenijama gradi specifičan i postojan arhetip hakera. Uvek je to neki izolovani i neshvaćeni genije: figura sa margine društva, ali sa gotovo natprirodnom moći nad digitalnim svetom. U mračnoj sobi, okružen monitorima na kojima se tope zelena slova, jednim pritiskom tastera on ruši sisteme, korporacije i čitave države.

Slika hakera koju nam je usadila popularna kultura – dramatizovana i romantizovana, ali daleka od stvarnosti.

Ta slika, iako dramaturški efektna, postala je deo kolektivne svesti i, još banalnije, temelj na kojem marketing bezbednosnih proizvoda često gradi svoje narative. Kampanje koje upozoravaju na „sve sofisticiranije“ pretnje i elitne hakerske grupe nesvesno podržavaju taj mit, pa prosečnom korisniku ne preostaje ništa drugo do osećaja distance i nemoći. Problem u tome nije samo spontani otklon od realnosti, već psihološki efekat koji ovaj mit podstiče.

Kada se napadač percipira kao mitsko biće koje raspolaže natprirodnim tehničkim veštinama, prirodna reakcija je pasivnost. Ako verujemo da nas ugrožava entitet iz druge dimenzije, naša odgovornost se svodi na „šta se tu može“ i „valjda neće mene“. Bezbednost postaje pitanje sudbine ili sreće, a ne rezultat konkretnih odluka i adekvatnog ponašanja. Tu mit prestaje da bude samo pogrešna predstava i postaje aktivna prepreka u razumevanju rizika. Fokus se pomera sa svakodnevne higijene – jakih lozinki, redovnog ažuriranja i zdravog razuma – na apstraktne i udaljene pretnje od kojih, navodno, nema pomoći. Slikovitije, svi se nadaju da grom neće baš u njihovo dvorište.

Ironično, dok se plašimo genija, stvarnost je mnogo prizemnija. Istraživanja iz 2024. godine pokazuju da je ljudska greška, u nekom obliku, uzrok za čak 95% svih uspešnih sajber napada. Napadi najčešće ne počinju spektakularnim podvigom, već banalno: preko slabe lozinke, klikom na pogrešan link ili kroz neažuran softver.

Odlike čopora:
Realnost digitalnog podzemlja

Većina onih koji danas u digitalnom prostoru prave ozbiljnu štetu nisu ni nalik mitološkim bićima i digitalnim polubogovima. Zapravo, u pitanju su udružene grupe ljudi koji uče, beleže i eksperimentišu sa našim ranjivostima. Mnogi od njih imaju redovan posao, studiraju ili administriraju poslovne mreže. Razlika je samo u tome kako svoje znanje primenjuju kada ih niko ne gleda.

U tom smislu, maliciozni akter nije tip osobe, niti jedna osoba, već kolektivni izbor. Isti alati, isti resursi i ista dokumentacija stoje na raspolaganju i onima koji disciplinuju sopstvene sisteme i onima koji traže kako da ih zloupotrebe. Tehnologija je neutralna, ali etika nije. Savremeni sajber napadi nisu rezultat akcija neshvaćenih genija, već su deo šireg, uhodanog mehanizma za otimanje para. Pojedinac koji odluči da pređe granicu gotovo uvek se oslanja na postojeće resurse, tuđe alate i već izgrađenu, kriminalnu infrastrukturu.

Digitalna džungla u kojoj najpre strada onaj ko je izolovan od krda i nedovoljno svestan zakona prirode.

Anatomija kriminalne infrastrukture

U klasičnom kriminalu, infrastruktura podrazumeva ljude, logistiku i teren gde organizacija operiše. U digitalnom prostoru ta logika se ne menja, ali je sveukupni rizik drastično manji, a doseg globalan. Kriminalci se ne kriju iza lažnih dokumenata, već iza servisa koji razdvajaju onlajn aktivnosti od stvarnog identiteta. Znanje cirkuliše kroz forume, zatvorene zajednice i digitalna tržišta na kojima se razmenjuju iskustva, alati i metode napada. Infrastruktura tako postaje samoodrživ mehanizam, u kojem svako ima svoju ulogu.

Tehnologije anonimnosti

Da bi se razumelo kako kriminalna infrastruktura funkcioniše, potrebno je sagledati tehnologije koje čine njen temelj.

VPN (Virtual Private Network)

VPN je jedan od stubova oslonaca savremene kriminalne infrastrukture. Ne zato što je egzotična tehnologija, već upravo suprotno – zato što je postao deo svakodnevice. Njegova osnovna funkcija je razdvajanje onlajn aktivnosti od fizičke lokacije korisnika. U kriminalnom kontekstu, ista tehnologija omogućava stvaranje distance između aktivnosti i identiteta prestupnika. Snaga VPN-a nije u potpunoj anonimnosti, već u otežavanju atribucije. On je temeljni sloj na koji se nadograđuju ostali mehanizmi.

Tor mreža

Dok VPN uvodi jednu posredničku tačku, Tor problemu pristupa drugačije i razlaže komunikaciju na više koraka. Saobraćaj prolazi kroz nekoliko nezavisnih servera (čvorišta) u lancu. Svako čvorište zna samo od koga je primilo podatke i kome ih prosleđuje. Nijedno nema potpunu sliku. U odnosu na VPN, razlika je u modelu poverenja. VPN zahteva poverenje u provajdera servisa. Tor to poverenje razlaže na više nezavisnih tačaka, od kojih nijedna sama ne može da rekonstruiše celinu.

Dark Web

Dark Web je deo interneta dostupan preko Tor mreže, koji omogućava anoniman pristup prikrivenim sajtovima. U kontekstu sajber kriminala, on funkcioniše kao operativni resurs i pijaca ilegalne robe. Na forumima se mogu pronaći baze kompromitovanih naloga, ukradeni kredencijali, pristupi sistemima potencijalnih žrtava, kao i alati za napade. Reč je o prostoru u kojem se kriminalne aktivnosti ne planiraju apstraktno, već krajnje operativno. Tu su i sajtovi za objavu ukradenih podataka, koji služe za ucenu, ali i kao javna potvrda uspeha, čime se gradi reputacija unutar kriminalnog ekosistema.

Ideja je da se sakrijete, da niko ne zna gde ste pošli i odakle dolazite.

Arsenal napadača:
Bez alata nema zanata

Jedna od najvećih zabluda jeste scenario gde neko upada u mrežu i veštom improvizacijom hakuje ceo sistem. U praksi, većina ozbiljnih incidenata ima prepoznatljiv obrazac. Alati koji se pritom koriste nisu nikakva egzotika. Većinom su javno dostupni, dobro dokumentovani i razvijani za legitimne potrebe: administraciju sistema i testiranje bezbednosti. Razlika leži u nameri.
  • Nmap: Služi za mapiranje mreže. Napadaču omogućava da, jednom kada uđe, napravi popis svih uređaja i servisa, tražeći slabe tačke.
  • Metasploit: Objedinjuje poznate ranjivosti i gotove scenarije za njihovo iskorišćavanje. Kriminalac ne mora sam da pronalazi rupe; dovoljno je da sazna koji softver se koristi i okine već pripremljen napad.
  • Cobalt Strike: Alat za simulaciju napada, ali često zloupotrebljen. Omogućava skriveno prisustvo, neprimetno kretanje kroz mrežu i strpljivo čekanje pravog trenutka za akciju.
  • Mimikatz: Specijalizovan za izvlačenje lozinki i drugih kredencijala iz memorije računara. Omogućava napadaču da na jednoj kompromitovanoj mašini pronađe ključeve za dalje širenje po mreži.
  • Burp Suite: Omogućava presretanje i analizu komunikacije između pregledača i veb servera. Napadač traži mesta gde aplikacija veruje korisniku umesto da ga proverava, kako bi zaobišao bezbednosna ograničenja.
  • Hydra: Alat za automatizovano pogađanje lozinki. Sistematski isprobava hiljade kombinacija na servisima koji ne ograničavaju broj pokušaja, tražeći slabe ili reciklirane lozinke.
  • Kali Linux: Operativni sistem koji objedinjuje desetine ovakvih alata. To je švajcarski nož koji spušta tehnički prag za ulazak u svet sajber kriminala, jer nudi gotovo sve što je potrebno na jednom mestu.

OSINT: Ne moraju da vas hakuju da bi znali sve o vama

Pre bilo kakvog tehničkog napada, kriminalci biraju žrtve. Ta početna faza, nazvana Open-Source Intelligence (OSINT), svodi se na prikupljanje i analizu informacija iz javno dostupnih izvora. To nije hakovanje. To je veština pronalaženja, povezivanja i tumačenja podataka koje su organizacije i pojedinci sami učinili dostupnima – kroz sajtove, društvene mreže, dokumente i digitalne tragove koje svakodnevno ostavljaju.

Količina takvih podataka je ogromna, a specijalizovani OSINT alati omogućavaju da se oni sistematizuju i pretvore u operativnu sliku potencijalne mete. Sve se odvija tiho, bez alarmiranja zaštite. Uspeh ove faze ne zavisi od slabosti infrastrukture, već od kolektivne nepažnje i nedostatka kontrole nad digitalnim otiskom kompanije.

Arsenal za OSINT je širok i uglavnom javno dostupan:
  • Skeniranje interneta: Alati poput Shodana i Censysa pretražuju internet u potrazi za izloženim uređajima, otkrivajući servere, kamere i industrijske sisteme dostupne svima.
  • Povezivanje podataka: Maltego vizuelizuje odnose između domena, IP adresa, imejlova i profila zaposlenih, pretvarajući nepovezane fragmente u smislenu celinu.
  • Automatizovano prikupljanje: TheHarvester, Recon-ng i SpiderFoot automatski pretražuju desetine izvora i prikupljaju imejl adrese, imena, poddomene i tehničke detalje.
  • Napredne pretrage: Korišćenje specifičnih upita na pretraživačima (tzv. Google Dorks) može otkriti interne dokumente, konfiguracione fajlove i pristupne tačke koje su greškom ostale javne.
  • Analiza metapodataka: Alati kao što su ExifTool, FOCA i Metagoofil izvlače skrivene podatke (korisnička imena, verzije softvera, lokacije) iz javno objavljenih dokumenata i slika.
  • Pretraga korisničkih imena: Namechk i Sherlock proveravaju dostupnost korisničkog imena na stotinama platformi, gradeći mapu nečijeg digitalnog identiteta.
  • OSINT okviri: Platforme kao što su OSINT Framework i OSINTCombine funkcionišu kao mape, grupišući stotine alata i izvora podataka po kategorijama.
Sa završetkom OSINT-a, napadač ima dovoljno informacija da odluči da li će dalje nastaviti sam – ili će taj posao prepustiti organizovanom sajber kriminalu, kroz model koji ga je uzdigao na nivo globalne industrije.

Industrijalizacija kriminala: RaaS, IAB i PhaaS modeli

Dostupnost alata sama po sebi ne stvara kriminalca. Pravi preokret nastao je kada su ti alati uklopljeni u organizovan, profitno orijentisan poslovni model. Sajber kriminal je postao industrija.

Industrija sajber kriminala utiče na sve, od pojedinca do globalnih kompanija

Ransomware-as-a-Service (RaaS): Kriminal kao franšiza

RaaS funkcioniše po principu franšize. Jedna grupa, operatori, razvija i održava maliciozni softver (ransomver), infrastrukturu za napade i portale za komunikaciju sa žrtvama. Oni sami ne sprovode napade. Umesto toga, regrutuju saradnike (afilijate) koji koriste njihovu platformu da bi napadali organizacije. Afilijati dele prihod sa operatorima, ali zauzvrat dobijaju gotov sistem, uputstva i podršku.

Grupe poput LockBit i ALPHV/BlackCat dovele su ovaj model do nivoa korporativne efikasnosti. LockBit je, uprkos međunarodnoj policijskoj akciji „Operation Cronos“ u februaru 2024. koja im je privremeno srušila infrastrukturu, pokazao zapanjujuću otpornost. Vratio se novom verzijom platforme za manje od nedelju dana. S druge strane, ALPHV/BlackCat je postao poznat po izuzetno darežljivom modelu podele profita, nudeći afilijatima čak 80-90% otkupnine. Njihov napad na Change Healthcare, deo UnitedHealth grupe, u februaru 2024. izazvao je haos u američkom zdravstvenom sistemu i rezultirao isplatom otkupnine od 22 miliona dolara, pre nego što je grupa izvela tzv. exit scam. Prevarili su sopstvene afilijate i nestali sa novcem.

Curenje internih prepiski grupe Conti 2022. godine otkrilo je organizaciju koja podseća na legitimnu IT firmu: sa programerima, testerima, administratorima, pa čak i kadrovskim odeljenjem koje je objavljivalo oglase za posao.

Initial Access Brokers (IAB):
Što da se mučim kad mogu da kupim

Napad retko počinje od nule. Initial Access Brokers (IAB) su specijalizovane grupe ili pojedinci čiji je jedini posao da ostvare inicijalni ulaz u mreže organizacija. Oni koriste phishing, slabe lozinke ili tehničke ranjivosti da bi upali u sistem, a zatim taj pristup prodaju dalje – najčešće RaaS afilijatima.

Cene su iznenađujuće niske. Prema izveštajima za 2024. i 2025. godinu, pristup korporativnoj mreži se na crnom tržištu može kupiti po ceni od 500 do 3.000 dolara. Dok je ranije dominirao pristup preko RDP protokola, analize pokazuju da je u 2024. pristup preko VPN-a postao gotovo jednako tražen, čineći oko 33% svih ponuda. Lozinka procurela pre nekoliko godina sa zaboravljenog foruma, danas može biti ključ za upad u poslovnu mrežu.

Phishing-as-a-Service (PhaaS):
Prevara na klik

Pored tržišta za pristup i ucenu, razvio se i treći, verovatno najrasprostranjeniji model sajber kriminala: Phishing-as-a-Service (PhaaS). Ako je RaaS franšiza za otmicu podataka, a IAB agencija za reklamiranje potencijalnih žrtava, PhaaS je servis za masovnu proizvodnju i distribuciju prevara. Njegov cilj nije da probije mrežu, već da kroz socijalni inženjering ubedi korisnike da sami predaju ključeve svog carstva, tj. svoja korisnička imena i lozinke.

Vi ne morate ništa da brinete, mi radimo sve za vas

PhaaS platforme nude kompletan paket za izvođenje fišing napada, po principu ključ u ruke. Korisnik (napadač) ne mora da zna ništa o programiranju ili hostingu. Za mesečnu pretplatu ili jednokratnu naknadu, dobija pristup sledećem:
  • Phishing kitovima: Gotovim šablonima lažnih stranica koje savršeno imitiraju legitimne sajtove banaka, društvenih mreža, imejl servisa i korporativnih portala.
  • Distribuciji: Alatima za masovno slanje imejlova ili SMS poruka.
  • Infrastrukturi: Hostingu za lažne stranice i mehanizmima za zaobilaženje spam filtera.
  • Kontrolnoj tabli: Grafičkom interfejsu gde napadač u realnom vremenu prati ko je kliknuo na link, a ko je uneo osetljive podatke
Neke platforme, poput nekada popularnog "Caffeine", nudile su čak i korisničku podršku svojim "klijentima".

Ovaj model je direktan uzrok eksplozije fišing napada. On spušta tehnički prag na nulu i pretvara prevaru u igru velikih brojeva. Napadaču je dovoljno da pošalje desetine ili stotine hiljada imejlova, znajući da će statistički neko sigurno da nasedne.

Moderni PhaaS servisi idu i korak dalje, nudeći rešenja za zaobilaženje višefaktorske autentifikacije (MFA) kroz tzv. "Adversary-in-the-Middle" (AitM) napade. Korisnik misli da unosi kod sa svog telefona na pravi sajt, a zapravo ga predaje posredniku koji ga u istom trenutku koristi da se uloguje umesto njega. PhaaS je savršen primer kako se ljudska greška, onih 95% sa početka priče, monetizuje na industrijskom nivou.

Kriptovalute: Pogonsko gorivo digitalnog podzemlja

Sve je počelo sa plemenitom idejom o slobodi. Bitcoin je stvoren kao odgovor na bankarski monopol – decentralizovana, anonimna valuta koja pripada ljudima, a ne institucijama. Ali, kao i svaki moćan alat, brzo je pronašao svoju mračnu stranu. Prvi pravi bum vrednosti kriptovalute nisu doživele na Wall Streetu, već na digitalnim pijacama Dark Weba poput ozloglašenog Silk Roada. Tamo je kripto postao jedina priznata valuta za kupovinu svega onoga što je ilegalno, čime je prvi put dokazana njegova upotrebna vrednost u sivoj zoni.

Tehnologija je neutralna, etika nije

Zašto su danas kriptovalute omiljeni alat kriminalaca? Odgovor je jednostavan: jer su uklonile najveću prepreku u svetu kriminala – trag novca. Tradicionalne banke moraju da znaju ko ste, dok kripto novčanici ne zahtevaju ličnu kartu. Uz tehnike poput „miksera“ koji dodatno zamagljuju poreklo sredstava, isplate otkupnina u RaaS napadima postaju gotovo neuhvatljive za organe reda. Upravo je ova mogućnost brzog, sigurnog i anonimnog prebacivanja ogromnih suma novca preko granica bio vetar u leđa koji je pretvorio sporadične napade u globalnu, industrijalizovanu ekonomiju sajber kriminala koju danas vidimo. Bez kripta, ransomver bi bio samo teoretska pretnja. Sa njim, postao je sila sa trećim BDP-om na svetu, iza Amerike i Kine.

Geopolitički okvir i operacije sa državnim predznakom

Iako je fokus članka na ekonomski motivisanom kriminalu, važno je napraviti razliku u odnosu na napade koje sprovode ili sponzorišu države. Reč je o tzv. nation-state operacijama, koje funkcionišu po drugačijoj logici. Ovde finansijska dobit nije primarni motiv. Državni akteri koriste sajber prostor za špijunažu, politički pritisak, krađu intelektualne svojine i sabotažu. Mete su usko definisane: državne institucije, kritična infrastruktura, vojni sistemi, novinari, aktivisti i sve druge pretnje po nacionalnu sigurnost.

Državne operacije zahtevaju ogromne resurse, često nedostupne sajber kriminalnim grupama

Primer NotPetya napada iz 2017. godine najbolje osvetljava ovu granicu. Iako je u početku delovao kao ransomver, ubrzo je postalo jasno da je imao destruktivnu logiku bez realnog mehanizma za oporavak podataka. Napad, koji je počeo kroz kompromitovan finansijski softver u Ukrajini, nekontrolisano se proširio globalno, nanevši milijarde dolara štete. Ovaj slučaj pokazuje kako alati razvijeni u okviru državnih kapaciteta mogu da pobegnu iz planiranog opsega i proizvedu posledice pandemijskih razmera. Ipak, za većinu kompanija, svakodnevnu realnost i dalje oblikuje ekonomski motivisan sajber kriminal.

I dobro, ko nas na kraju napada?

Posle svih slojeva – infrastrukture, alata i poslovnih modela – ostaje ključno pitanje: ko je taj koji pritiska okidač?

Kada se marketing i mitovi sklone u stranu, odgovor je jednostavniji nego što mislimo. Većinu organizacija ne napadaju državne službe ili elitni hakeri. Napada ih tržište. Napada ih ekosistem u kojem su alati dostupni, procedure standardizovane, a pristup se prodaje kao na pijaci. Napadač je najčešće poslednja karika u lancu – operativac koji koristi gotove resurse i prati uputstva. Na starom LockBit sajtu za objavu podataka nalazilo se preko 2000 kompanija, od pekare u Peruu do kliničkog centra negde u Evropi. Za napadače, svi smo mi potencijalna meta.

Kada se pogleda profil tih ljudi, razlika između mita i stvarnosti postaje još očiglednija. Finansijska dobit je dominantan pokretač. U regionima sa slabijom ekonomijom i niskim platama, sajber kriminal postaje racionalna alternativa. Istočna Evropa, uključujući i naš region, često se navodi kao žarište, ne zato što su ovde ljudi skloniji kriminalu, već zbog spoja tehničkog znanja i slabijih mehanizama pravnog gonjenja. Prema izveštajima, sajber kriminal u Srbiji je u porastu, sa sve češćim ransomver napadima.

Psihološki profil takođe odstupa od stereotipa. To najčešće nisu socijalno izolovani pojedinci, već tehnički radoznali ljudi koji postepeno ulaze u svet sajber kriminala. Alati za anonimizaciju stvaraju distancu, posledice deluju apstraktno, a etička granica se pomera sve dok ne nestane. Napadač nije anomalija; on je proizvod konteksta u kojem je rizik daleko manji od potencijalne nagrade.

I za kraj, reč dve o pravim hakerima

Priču ćemo zatvoriti odgovorom na pitanje ko je haker, jer sad znamo ko je sajber kriminalac.

Pravi hakeri i dalje postoje. Njihova uloga nikada nije bila destrukcija, već razumevanje kako sistemi rade, gde greše i zašto. Za razliku od kriminalnog ekosistema koji se u poslednjoj deceniji oslanja na industrijalizaciju, pravi i dalje hakeri deluju iz radoznalosti i potrebe da se tehnologija učini boljom.

Danas ti ljudi više nisu nužno na marginama digitalnog društva. Njihova uloga je institucionalizovana. Bug bounty programi, koje organizuju velike tehnološke kompanije, omogućavaju da se znanje kanališe u konstruktivan angažman. Istraživači bezbednosti legalno testiraju sisteme i bivaju nagrađeni za pronalazak ranjivosti.

Istraživači danas više ne moraju da se plaše reakcije kompanija na otkrivene propuste u njihovim proizvodima. Sada ih nagrađuju i javno promovišu njihova dostignuća.

Kompanije poput Googla, Tesle i Microsofta isplaćuju značajne nagrade za prijavljene propuste. Meta (Facebook) je, na primer, samo u 2024. godini isplatila preko 2.3 miliona dolara istraživačima širom sveta. Platforme kao što su HackerOne i Bugcrowd postale su globalna tržišta za etičko hakovanje.

Zato je važno napraviti jasnu razliku. Savremeni sajber kriminal ne pokreću genijalci, već tržište. Sa njime ne upravljaju pioniri tehnologija, već operativci koji koriste tuđa dostignuća u pogrešne svrhe. Pravi hakeri stoje na drugoj strani – kao korektiv, protuteža i podsetnik da se bezbednost ne podrazumeva.

U tom smislu, oni nisu romantični izuzetak. Pravi hakeri su jedan od razloga zašto digitalno društvo, uprkos svemu, i dalje napreduje. I zašto odbrana od sajber kriminala nije samo pitanje alata i procedura, već i kulture, znanja i spremnosti da se suočimo sa sopstvenim, često banalnim ranjivostima.

Kreirano pomoću