Sporne USB-ključke kupilo kar okoli 20 državnih ustanov, stopnja kibernetske ogroženosti povečana

Potem ko so se v javnosti pojavile informacije, da so v javni upravi naročili večje število USB-ključkov, ki so okuženi s škodljivo programsko opremo, se je danes dopoldne sestal sekretariat sveta za nacionalno varnost. Ta je sklenil, da morajo državni organi zaradi nacionalne varnosti takoj umakniti sporne USB-ključke.

Kot je dejal direktor urada za informacijsko varnost Uroš Svete, je preiskava pokazala, da so v USB-ključkih nameščeni črvi starejšega tipa, ki bi jih bilo mogoče aktivirati na daljavo. Črve je protivirusni program sicer prepoznal in za zdaj naj do varnostnega incidenta ne bi prišlo.

A ti črvi bi po besedah Sveteta lahko predstavljali osnovo za nadaljnje nalaganje programske opreme na daljavo, ki bi zbirala podatke iz računalnikov v slovenski javni upravi. "Črvi so pomemben izziv in grožnja kibernetski varnosti. Tehnično gledano so predpriprava na izvedbo kibernetskega napada," je dejal Svete.

Policija preverja, kje je bila na ključke nameščena škodljiva programska oprema

Uradnega podatka, koliko teh USB-ključkov je v uporabi v javni upravi, za zdaj še ni. Svete je dejal, da so zadevo prijavili policiji in da bo ta ugotovila, komu vse je Extra Lux prodajal okužene ključke. Po neuradnih informacijah naj bi okužene USB-ključke kupilo kar okoli 20 različnih različnih državnih ustanov, med drugim tudi ministrstva in agencije.

Kot je poudaril Svete, so se sporni USB-ključki prodali v velikih količinah, zato obstaja možnost, da se bodo pojavili tudi kje drugje. Po njegovih besedah so jih kupovala tudi podjetja, ki niso del javne uprave. Na deklaraciji piše, da je podjetje Extra Lux proizvajalec USB-ključkov, njihovo poreklo pa je kitajsko.

Na policiji so za N1 pojasnili, da konkretni primer še preverjajo in zbirajo obvestila. "Podrobnosti o tem zaradi varovanja interesa preiskave, ki poteka, ne moremo pojasnjevati," so dodali.

Po naših informacijah pa policija že preverja, kako so bili USB-ključki nabavljeni in kje je bila nanje naložena zlonamerna programska oprema – ali že na Kitajskem, na poti do Slovenije ali v Sloveniji.

Povečana stopnja kibernetske ogroženosti in umik spornih USB-ključkov

Kot je dejal Svete, so bili zlorabljeni novi USB-ključki uporabljeni na računskem sodišču, vendar pa so tam pravočasno ukrepali in zadevo prijavili na urad za informacijsko varnost.

"Na uradu smo nato naredili tehnično analizo. Delili smo tehnične podatke z ostalimi organi kibernetske obrambe, v portal za izmenjavo izkušenj smo vnesli zlonamerno kodo in podali prijavo na policijo skladno z zakonom o informacijski varnosti. Po naši oceni lahko v tem primeru pride do medpodročnih vplivov," je poudaril.

Zaradi števila ključkov, pa tudi zaradi narave same grožnje, so se v uradu odločili, da bodo po petkovem opozorilu danes razglasili še stanje povečane kibernetske ogroženosti, ki traja do preklica. Vsi državni organi, ki so zavezani po zakonu o informacijski varnosti, in vsi izvajalci bistvenih bistvenih storitev bodo dobili odločbe, da takoj prenehajo z uporabo ključkov in jih umaknejo.

Na uradu uporabnikom ob tem priporočajo, da uporabljajo varnejše metode za prenos datotek, kot so šifriranje datotek pred prenosom, uporabo varnih kanalov za prenašanje podatkov, oblačne storitve z večjo stopnjo zaščite, digitalni podpis za zagotavljanje avtentičnosti pošiljatelja in integritete datoteke ter redno posodabljanje sistema in programske opreme.

Za branjene pred škodljivo kodo tipa črv pa svetujejo segmentacijo omrežij, redno posodabljanje, sisteme zaznavanja in odzivanja končne točke ter pristop ničelnega zaupanja, ki preprečuje nenadzorovano širjenje znotraj omrežja.

"Okužena naprava je bolj ranljiva za kasnejše napade"

Svete je poudaril, da je črve v primeru, ko jih protivirusni program zazna, še mogoče odpraviti, ko se že naselijo v informacijski sistem, pa je njihova identifikacija težja: "Takrat je mogoče samo prek obnašanja naprav in skozi omrežni promet ugotoviti, ali je sistem morda okužen."

Kot je pojasnil, črvi sami po sebi sicer ne uničujejo podatkov in jih ne kriptirajo, vendar pa potencialnim napadalcem dajejo možnost za kasnejše napade. "Sama koda nima destruktivnega delovanja, je pa okužena naprava bolj ranljiva za kasnejše napade," je navedel Svete in dodal, da so podobno grožnjo z zlonamerno kodo, ki je nameščena na USB-ključke, videli že pred leti.

Prav zaradi tega je po njegovih navedbah zelo pomembno, da so na vseh sistemih nameščene posodobljene različice antivirusnih programov, ki tovrstne grožnje hitro zaznajo: "Tudi če imamo nove naprave, je nujno, da na slepo ne verjamemo v njihovo brezhibnost. Mora obstajati trohica dvoma."

Na uradu so takoj po prejeti prijavi računskega sodišča o okuženih USB-ključkih kontaktirali tudi podjetje Extra Lux, vendar pa njihovih odgovorov niso prejeli. "Kaj pomeni napis na deklaraciji, da je ljubljansko podjetje proizvajalec, poreklo pa je kitajsko, bo moralo pojasniti podjetje. Z vidika dobavne verige bo vsekakor zelo pomembno, v kateri fazi samega proizvodnega procesa je prišlo do okužbe," je pojasnil Svete.

Črv v sistemu zunanjega ministrstva, električni števci ...

Spomnimo: slovensko zunanje ministrstvo je bilo leta 2023 tarča napada Kitajske. Takrat je kitajskim hekerjem v sistem zunanjega ministrstva uspelo vgraditi virus, za katerega je po informacijah N1 obstajal sum, da brska za informacijami o poteku slovenske kandidature za Varnostni svet Združenih narodov.

Omenjeni virus – prav tako naj bi šlo za črva – naj bi bil tako sofisticiran, da je, ko so ga zaznali, izginil. Po nekaterih informacijah še danes ni nedvoumno jasno, ali je kljub menjavi informacijske opreme po napadu kitajskih hekerjev še vedno prisoten v sistemu zunanjega ministrstva.

Prav tako je Kitajska lani enemu od državnih elektrodistributerjev skušala prodati kitajske električne števce, za katere je prav tako obstajal dvom, da bi lahko bili okuženi. Na koncu do posla ni prišlo, razlog pa je bila tudi tedaj nacionalna varnost.