Obstajata dva načina, kako kriminalne združbe vdirajo v računalniške sisteme podjetij, pojasnjuje etični heker Milan Gabor. Meni, da je šlo v primeru POP TV za klasični izsiljevalski napad in da je bila komercialna televizija naključna in ne naklepna tarča. Direktor SI-CERT Gorazd Božič opozarja, da je tarča takšnih napadov lahko skorajda vsak, in dodaja, da to ni delo hekerjev, ampak kriminalnih združb.
V torek so iz podjetja Pro Plus sporočili, da so bili tarča kibernetskega napada. Njihove spletne strani so dosegljive v omejenem obsegu, do nadaljnjega ne bodo mogli prenašati oddaj in športnih tekem v živo ter nalagati novih in zamujenih vsebin v videoteko. Napadalci naj bi po poročanju Radia Slovenija od medijske hiše zahtevali denarno odškodnino za vzpostavitev normalnega stanja. Kot so nam sporočili iz podjetja, od torka obnavljajo poslovanje, ki je bilo moteno zaradi napada, celotnega napada pa še ne morejo oceniti.
Dva napada v dveh dneh. Sta povezana?
Le dan po napadu na Pro Plus so hekerji napadli tudi A1 Hrvaška. Napadalci po poročanju medijev zahtevajo 500 tisoč dolarjev (437 tisoč evrov) v kriptovalutah, ogroženi pa so osebni podatki njihovih uporabnikov.
Po mnenju etičnega hekerja Milana Gaborja, ki ga podjetja najemajo, da odkriva varnostne pomanjkljivosti v njihovih sistemih, primera sicer nista povezana, ker gre za dve različni metodi: “Po mojem razumevanju je bila na Hrvaškem odtujena cela baza podatkov, v primeru Pro Plus pa je bil sistem zaklenjen.”
“Verjetno je bil POP TV naključna in ne naklepna tarča”
Gabor pojasnjuje, da obstajata dva glavna vektorja (načina) za vdor v sisteme. In sicer prek priponk v elektronski pošti ali pa sistemov in aplikacij, ki so odprte na internet. Pri teh je pogosto dovolj eno samo geslo, da se virus lahko razširi po celotnem sistemu.
Potrdimo lahko, da @sicert sodeluje pri razreševanju incidenta, drugih podrobnosti ta trenutek ne moremo razkriti. https://t.co/wdiBRbvzB7 https://t.co/g9e8edSLDV
— SI-CERT (@sicert) February 8, 2022
Glede na trenutno znane informacije je v primeru POP TV – tako Gabor – šlo za klasični napad z namenom finančnega izsiljevanja.
Kako se je škodljiva datoteka zagnala ali prišla v sistem, še ni znano. Gabor sicer meni, da kriminalci niso načrtno napadli POP TV, ampak je šlo po vsej verjetnosti za napad naključne vrste.
To pomeni, da so poskušali vdreti v več podjetij, med katerimi se je znašel tudi Pro Plus.
A kot dodaja, bo za podrobnosti napada treba počakati na analizo dogodkov. Čeprav pravi, da nihče ne more biti 100-odstotno varen pred takšnimi napadi, obstajajo načini za preventivno zaščito.
Investicije v varnost še vedno predstavljajo premajhen delež, so pa nujne, poudarja Gabor.
“Podjetja po navadi investirajo v varnost šele, ko se že zgodi incident,” dodaja. Delež teh investicij se v tujini giblje med tremi in petimi odstotki. Vdorni testi in simulacije vdorov so dober način za preverjanje vzdržljivosti sistemov, pojasnjuje. Ob tem poudarja, da so “klasični kriptovirusi (izsiljevalski virusi, op. a.) najlažji način, kako iztisniti denar.”
Prvi izsiljevalski virusi so se začeli pojavljati leta 2012, razcvet so doživeli v letih 2016 in 2017, pojasnjuje direktor SI-CERT Gorazd Božič, ki sodeluje tudi pri razreševanju incidenta na Pro Plusu.
Če so bili sprva tarča posamezniki – tako Božič – so kriminalne združbe kmalu spremenile poslovni model in začele napadati multinacionalke, kjer so lahko izsiljevale precej višje vsote denarja, tudi do nekaj milijonov evrov. V zadnjem času pa so se osredotočile na srednja podjetja.
Moderne viruse je težko razbiti
Moderni virusi temeljijo na sodobnih matematičnih kriptografskih algoritmih, ki nimajo neke “bližnjice” in se jih ne da razbiti z neko magično metodo, pojasnjuje Božič. Storilci se v zadnjem obdobju tudi pogosto odločijo na omrežju tarče poiskati baze podatkov, potem pa grozijo z javno objavo občutljivih podatkov. Cene odkupnin so različno visoke. Od nekaj 10 000 evrov, do več milijonov v velikih multinacionalkah. Podjetja se sama odločijo, ali bodo plačala, velikokrat na podlagi razmisleka, kaj jih bo več stalo.
Eden bolj znanih napadov lani je bil napad na ameriško družbo Colonial Pipeline, zaradi katerega je bila ponekod po ZDA motena dobava z gorivom. Podjetje je napadalcem plačalo 4,4 milijona dolarjev odkupnine. Razlog za vdor je bilo eno samo geslo.
Napačno bi bilo misliti, da se napadi lahko zgodijo samo v nezaščitenih sistemih, opozarja Božič. Če pogledamo seznam znanih žrtev po svetu, med katerimi so francosko pravosodno ministrstvo, irski javni zdravstveni sistem ali Colonial Pipeline, ne moremo reči, da so to “bedaki, ki ne znajo poskrbeti za svoje sisteme. Lahko se zgodi komurkoli.”
Varnostne kopije arhivov omogočajo ponovno vzpostavitev delovanja sistemov, a tudi to zahteva čas, še dodaja Božič. Poslovna škoda je lahko tudi v tem primeru visoka.
Lekarna Ljubljana ni plačala
V javnem zavodu Lekarne Ljubljana, kjer po vdoru izsiljevalskega virusa leta 2019 niso razmišljali o plačilu, saj so imeli varnostne kopije, so škodo zaradi izpada poslovanja in ponovnega vzpostavljanja sistema ocenili na več kot 2 milijona evrov.
Po besedah Milana Gaborja redno izvajanje simulacij varnostnih napadov dviguje raven varnosti, saj tako lahko odkrijejo možne nove vektorje napadov. Zaščiti se je mogoče na naslednje načine:
– simulacije vdorov, z natančnimi scenariji, s katerimi se testira, do kod se lahko pride v primeru potencialnega vdora
– posodobljeni varnostni sistemi, požarni zidovi itd.
– izobraževanje zaposlenih
– preventiva: sistemi za oddaljene dostope, kot je VPN, in močna gesla, ki jih je težko uganiti in ne vsebujejo osebnih imen ali priimkov, vsebujejo najmanj 12 znakov, velike in male črke, vsaj en znak)
Sledi pogosto vodijo v tujino
Da zadnje čase preiskujejo primere izsiljevalskih virusov pri posameznikih in podjetji, so potrdili tudi na policiji. Lani so zabeležili 191 kaznivih dejanj s področja kibernetske kriminalitete, preiskali so jih 21,5 odstotka.
Kot so zapisali, tovrstna kriminaliteta zahteva ustrezna finančna sredstva, visoko usposobljenost strokovnjakov in nenehen razvoj metod, postopkov in orodij. Pri preiskovanju pa jih sledi pogosto vodijo v tujino, zato je pridobivanje dokazov dolgotrajno.
Kakšno je tvoje mnenje o tem?
Sodeluj v razpravi ali preberi komentarje