BIRN: KAKO SU HAKERI UPALI U SISTEM RGZ?
Virusi su upali u informacioni sistem Republičkog geodetskog zavoda (RGZ) mnogo pre nego što je to javnosti bilo saopšteno i osim virusa „Phobos“, računari RGZ bili su zaraženi sa bar još dva zlonamerna programa, pokazuje istraživanje BIRN-a.
Foto: Pixabay
Virusi su upali u informacioni sistem Republičkog geodetskog zavoda (RGZ) mnogo pre nego što je to javnosti bilo saopšteno i osim virusa „Phobos“, računari RGZ bili su zaraženi sa bar još dva zlonamerna programa, pokazuje istraživanje BIRN-a.
Krajem juna, nekoliko dana pošto je Republički geodetski zavod (RGZ) počeo da otvara baze podataka koje su devet dana bile blokirane usled hakerskog napada, novinar BIRN-a i autor ovog teksta primio je poruku sumnjivog sadržaja, koja je, kako se činilo, bila poslata sa zvaničnog maila jednog od službenika Zavoda i detaljnijom analizom ustanovljeno je da je mail bio zaražen, objavio je BIRN.
Uz pomoć više stručnjaka za informacionu bezbednost, programera i istraživača računarskih virusa, BIRN je utvrdio da se nije radilo samo o jednom, nego o najmanje tri zlonamerna programa i da je bar jedan od njih u server ušao putem mejl servera RGZ-a, odakle je istim putem pokušao da se dalje širi.
Tokom dvomesečnog istraživanja BIRN je došao do zaključka da hakeri nisu specifično ciljali Republički geodetski zavod, već da su „upali u sistem“ RGZ-a jer je neko od zaposlenih očigledno greškom klinuo na zaraženi mail, čime je pokrenuta lančana reakcija.
Serveri Republičkog geodetskog zavoda prestali su da rade 14. juna 2022. godine, kada je saopšteno da je katastar blokiran zbog hakerskog napada.
Nakon što su određeni sistemi Republičkog geodetskog zavoda proradili, na sajtu ustanove objavljeno je saopštenje u kome je pisalo da je računarska sabotaža izvedena iz inostranstva korišćenjem ransomware virusa pod nazivom „Phobos“, koji funkcionišu tako što zaključaju uređaj, diskove i baze podataka koji ponovo budu dostupni tek kada se hakerima plati odšteta.
Dok nadležni tvrde da hakeri nisu ugrozili privatne podatke građana Srbije, stručnjaci za informacionu bezbednost sa kojima je BIRN razgovarao, analizirajući dostupne podatke, tvrde da su zlonamerni programi, koji su bili ubačeni u sisteme Zavoda, mogli da ugroze lične podatke građana.
Mail je glasio na jednog službenika iz sektora za digitalnu transformaciju RGZ-a sa kojim su novinari BIRN-a prethodnih meseci bili u kontaktu.
Međutim, jedna stvar je bila odmah sumnjiva – tekst maila bio je napisan na holandskom jeziku.
Vladimir Cicović, stručnjak za sajber sigurnost, smatra da činjenica da je autor virusa mail napisao na stranom jeziku ukazuje da zlonamerni program vrlo verovatno nije bio namenjen Srbiji.
„Da je profesionalac ovo radio mejl bi bio na srpskom. Kampanja, ili šta već, nije bila namenjena Srbiji. Ovo me jako podseća na jako loše kampanje grupe početnika“, kaže Cicović.
Istraživanje BIRN-a pokazuje, međutim, da su sistemi Zavoda osim Ransomware Phobos i Qakbot-a, bili zaraženi sa bar još jednim zlonamernim programom.
Specijalni pretraživači, koji imaju mogućnost detektovanja sumnjivih aktivnosti, pokazali su da je zvanični mejl server službenika državnog katastra, koji je zaposlen u odeljenju za digitalnu transformaciju, po svoj prilici bio zaražen ozloglašenim Mirai botnet-om.
Izvor: Nova ekonomija