Online reket širi se nezamislivom brzinom. Što je to uopšte?
Imate li zaštitu za web kameru i kad ste je zalijepili?
Ako ste poput većine običnih smrtnika, vjerojatno vam je zapela knedla u grlu kad je u inbox prvi put uklizao mail nepoznatog pošiljatelja koji otprilike počinje „I have a very bad news …“. Ili ste još puno ranije shvatili da je vrag odnio šalu čim i Mark Zuckerberg pozira (doduše, posve slučajno) s laptopom koji u vrhu ekrana krasi komadić bijele izolir-trake?
Za razliku od dobroćudnog nigerijskog princa, koji već desetljećima neumorno traži zainteresirane poslovne partnere bespućima interneta (ne tako davno pronašao je jednog u Đakovu!), ucjenjivački iliti ransomware mail zvuči neusporedivo zlokobnije. Šablona je dobro poznata, a primatelj naizgled nema baš previše izbora: ili će isplatiti nagradu u nekoj od kriptovaluta (kojima je poslije nemoguće ući u trag), ili slijedi – javno sramoćenje. Pomisao da bi svi vaši kontakti iz adresara mogli dobiti priliku vidjeti kako za ekranom… hm… kopate nos, zvuči uistinu zastrašujuće.
Srećom, inicijalni šok vrlo brzo zamjenjuje olakšanje jer nakon prvog, drugog ili petog teksta u tražilici koji nas uvjerava da nemamo nikakvog razloga za strah, priča zapravo završava spoznajom kako relativno novija, sextortion klasa mailova ne odudara previše od uobičajenog obrasca. Razlika je tek u pristupu – nigerijski princ traži ambiciozne i lucidne poduzetnike, dok sextortion pristup udara na posve drukčiji spektar emocija (predvođenih strahom). Priča u pravilu jednako završava, trakom preko kamere (za mikrofon manje-više), nakon čega samo treba biti strpljiv i pričekati kraj e-mail kampanje. Spammeri ionako djeluju organiziranije od hrvatskih teleoperatera i uspijete li odoljeti inicijalnom valu, netko od revnijih wannabe hakera mogao bi pored vašeg maila staviti crvenu kvačicu i lišiti vas učešća u nekoj budućoj kampanji.
Postoji i podmuklija verzija
Doduše, ransomware ponekad dolazi i u bitno podmuklijoj inačici, s attachmentom ili linkom, čija aktivacija bitno komplicira stvari. U tom slučaju više nema govora ni o kakvoj objavi navodno kompromitirajućeg materijala, već o kriptiranju svih (ili barem za korisnika ključnih) podataka i dokumenata, blokiranju pristupa i preuzimanju kontrole nad računalom. Srećom, maliciozni hakeri nemaju vremena za nasumične provale u tuđa računala; njihova je pažnja okrenuta ka (potencijalno) bitno unosnijim poslovima. Ili je barem do sada takvo objašnjenje zvučalo suvislo, a nakon recentnih događaja dobilo je i vrlo opipljivu podlogu.
Lani su američke firme potrošile 350 milijuna dolara na plaćanje online reketa
U korporativnom sektoru hakeri djeluju puno ozbiljnije i organiziranije, a kompanije su sve češće meta napada organiziranih skupina. Ransomware TaskForce navodi kako su samo tijekom 2020. godine razne američke kompanije i organizacije, žrtve ransomware operacija, potrošile oko 350 milijuna dolara, ili čak četiri puta više nego godinu ranije. Prema istom izvoru, prosječna je otkupnina iznosila nešto više od 300 tisuća dolara, a ransomware je postao unosan business koji tvori pravi mali ekosustav. Sve to, i puno više, otkrio je posljednji slučaj koji se iz rutinske ucjene (ako je ucjenu uopće moguće tako okarakterizirati) pretvorio u posvemašnji kaos.
Epilog tog kaosa, a to je zapravo najmanje zanimljiv dio priče, bio je rast maloprodajnih cijena benzina koje su, prvi put od druge polovice 2014. godine, na američkom tržištu preskočile barijeru od 3 dolara po galonu (benzin je tamo otprilike upola jeftiniji).
Ucijenili najvećeg američkog operatera naftovoda
Priča na koju je doista teško ostati ravnodušan počinje u petak 7. svibnja kada su u kompaniji Colonial Pipeline, najvećem američkom operateru naftovoda za transport naftnih derivata, dobili obavijest o hakerskom napadu. Atak se odvio prema poznatom scenariju: sa servera Coloniala najprije je preseljeno oko 100 gigabajta podataka, a potom i onemogućen pristup dijelu sustava, uz nezaobilazan zahtjev za isplatu. Kompanija je obavijestila FBI, preventivno isključila terminale za distribuciju i objavila tek šturo priopćenje, očito zatečena aktualnim zbivanjima, odbijajući podijeliti saznanja o protagonistima koji stoje iza napada. U tom trenutku još nitko nije spominjao plaćanje otkupnine; FBI u pravilu žrtvama savjetuje da ignoriraju zahtjeve hakera, smatrajući takvo rješenje kontraproduktivnim. Međutim, izvori na koje se poziva Bloomberg otprilike tjedan dana kasnije potvrdili su kako je cifra od pet milijuna dolara plaćena već tog crnog petka. Konkretnije informacije od toga nema, ali plaćanje je sasvim sigurno izvršeno u nekoj od kriptovaluta (Dogecoin možda?).
Tijekom vikenda na površinu polako izlaze i detalji o napadačima – iza hakerske provale stoji grupa pod nazivom DarkSide koja, kako to obično biva, operira negdje s teritorija bivšeg komunističkog bloka (Rusije i susjedstva). Stoku sitnog zuba ili, u prijevodu, individualne korisnike, prema analizi Sophosa, najčešće napadaju sa servera u Vijetnamu, Brazilu, Argentini, Južnoj Koreji i Indiji; njihov APP model (ako prođe – prođe), napredniji tek u smislu korištenja klimavog hrvatskog jezika, u biti se ne razlikuje previše od modela bogatog rođaka koji uporno traži nasljednike.
Što je DarkSide?
DarkSide je nešto sasvim drugo – to nije tek obična skupina hakera, već zaokružen poslovni model, svojevrsna franšiza koja spremno iznajmljuje svoje intelektualno vlasništvo po RaaS principu (Ransomware-as-a-Service). Ukratko, DarkSide je primjer uzorne kriminalne organizacije. Uvjetno rečeno.
Kako navodi Mark Arena, direktor cybersecurity tvrtke Intel471, „predsjednici uprava najvećih američkih kompanija bili bi impresionirani učinkovitošću poslovnog modela“. Iz objektivnih je razloga, zbog činjenice da operira s onu stranu zakona, DarkSide teško etiketirati kao respektabilan business, ali je evidentno riječ o dobro uhodanom modelu, bitno naprednijem od amatera koji s vremena na vrijeme uskaču u inbox prosječnih korisnika. Organizacija nudi software, ali i korisničku podršku, kao i servere za privremenu pohranu otuđenih podataka, a valjda i vrijedni know-how i bogato iskustvo, koji su bitne stavke cijele priče.
Štoviše, DarkSide je svoje postojanje obznanio priopćenjem za javnost, otkrivajući svojedobno kako su se članovi grupe odlučili odreći pripadnosti različitim klanovima, osamostaliti i stvoriti savršen proizvod. Poput dobro uhodane franšize, DarkSide ne zapostavlja marketinške aktivnosti, što onda objašnjava i etički kodeks koji korisnicima usluga u prvome redu zabranjuje napade na teritoriju bivšeg SSSR-a (pa nije teško pogoditi unutar čijih granica vode svoje operacije). Štoviše, ta je zaštita ugrađena u sam kôd alata za kriptiranje (za one koji se kuže, GetSystemDefaultUILanguage i GetUserDefaultLanguageID parametri su navodno prava rijetkost u svijetu malicioznog kôda) i nemoguće ju je modificirati, što upućuje na to da možda ne žele zlorabiti gostoprimstvo domaćina.
Malo tko se želi izjasniti kao žrtva ucjene
Do popisa stradalnika nemoguće je doći jer se (iz razumljivih razloga) nijedna kompanija nije voljna identificirati kao žrtva ucjene, ali spomenuti etički kodeks na popisu zaštićenih meta spominje još i bolnice, škole, sveučilišta, neprofitne organizacije i javne ustanove. Sve je to, naravno, samo dobar politički PR, baš kao i tvrdnje o donacijama namijenjenima nekolicini humanitarnih organizacija, ali također pokazuje koliko je njihov RaaS model dobro posložen. To onda dijelom objašnjava i relativno skroman zahtjev za otkupninom. „Dvostruka ucjena“ (krađa i kriptiranje podataka) termin je koji za ovakve situacije koriste stručnjaci, i većina brojku od pet milijuna dolara smatra – neuobičajeno niskom. Riječ je o prokušanom receptu, za slučaj da žrtva nekim čudom uspije pomoću backupa normalizirati poslovanje; odbijanje plaćanja reketa tada (uz nezaobilazne DDoS napade) automatski povlači za sobom objavu ukradenih podataka (i nezaobilaznu dojavu medijima, u PR svrhe), bilo da je riječ o osobnim detaljima zaposlenih, ili pak o strogo čuvanim poslovnim tajnama.
Za kompanije ove veličine uobičajena cifra je navodno 25 do 35 milijuna dolara, no udar na stratešku infrastrukturu uvukao je u priču FBI, a vjerojatno i NSA, skrenuvši (neželjenu!) pozornost cijele obavještajne zajednice. Otuda i nova, pomirljiva objava početkom tjedna, u kojoj DarkSide (kad će natječaj za glasnogovornika?!) zapravo izražava žaljenje zbog napada, tvrdeći kako iza svega stoje neozbiljni i neodgovorni partneri. „DarkSide je apolitičan; naš interes je da zaradimo i ne stvaramo društvu probleme“, stoji u objavljenom priopćenju, uz obećanje kako će skupina ubuduće pažljivo birati partnere s kojima surađuje, ali i njihove potencijalne mete, kako bi „izbjegli ozbiljnije posljedice za društvo“. Sad bar znamo kome ide ovogodišnja nagrada za „društveno odgovorno poslovanje“ u kategoriji ilegalnih organizacija i kriminalnih skupina. Nastave li (se) ovako (odgovorno ponašati), mogli bi konkurirati za kakav ESG rejting.
Etika kineskih Trijada
Poput McDonaldsa, i DarkSide želi surađivati s pouzdanim partnerima solidne reputacije (kriteriji su, između ostaloga, prijašnje aktivnosti, područja interesa i profitabilnost), primjenjujući etiku kineskih Trijada koje, ako je vjerovati legendi, ni na koji način ne žele ugroziti lokalnu ekonomiju. Iz te perspektive posve razumno zvuči ideja o pažljivom odabiru potencijalnih žrtava čije zatvaranje neće privući interes enormnog vojno-obavještajnog aparata, niti će baciti ekonomiju na koljena. Potencijalni partneri za početak trebaju deponirati 20 bitcoina (trenutno oko milijun dolara), a u slučaju naplate reketa, trebaju se odreći 20 do 30% iznuđene cifre, na ime provizije za korištenje RaaS usluge.
No ovoga puta netko je očito bio prebrz na obaraču i zeznuo stvar, propustivši temeljitije istražiti moguće implikacije napada na Colonial. Pokušajem iznude dirnuli su u osinje gnijezdo, a prema najnovijim informacijama, operacija se već u idućih nekoliko dana počela raspadati. Ne samo da je server za objavu ukradenih informacija srušen (navodno je stavljen pod kontrolu represivnog aparata tko zna koje zemlje), već su američke službe navodno ugrabile i isplaćenu otkupninu. U poruci koju je presreo Intel471 DarkSide objašnjava kako je „zbog američkog pritiska program suradnje s partnerima – ugašen“, pa je za pretpostaviti kako će se članovi ekipe na neko vrijeme primiriti.
No njihovo će mjesto sigurno popuniti netko drugi, i to iz barem dva razloga. Za početak, oni inovativniji će tražiti mogućnost širenja palete dostupnih usluga. Već je DarkSide reklamirao opciju krađe bitnih podataka koji bi se mogli iskoristiti kao povod za burzovne špekulacije, a prikladnih financijskih instrumenata sigurno ne nedostaje, pa ni u slučaju Coloniala koji ne kotira na burzi. Insajderske informacije uvijek su bile vrlo tražena roba.
Vrijednost cyber polica osiguranja dosegla pet milijardi dolara
Drugi je razlog rastući segment cyber osiguranja: Standard & Poor's procjenjuje kako je ukupna vrijednost cyber polica osiguranja na američkom tržištu dosegla pet milijardi dolara i očekuje se da će u bližoj budućnosti rasti po godišnjim stopama od 20 do 30%. Kompanija koja se na taj način osigurala od hakerskih napada sklona je bez previše otezanja platiti otkupninu (koju će potom osiguranje refundirati). Osim ako hakeri ne naprave kardinalnu grešku kakvu je ranije počinio upravo DarkSide, obznanivši u studenome prošle godine zakup servera (za objavu ukradenih podataka) u – Iranu. Time su sebi pucali u nogu jer zbog američkih sankcija bilo kakav odnos s Iranom podliježe progonu pravosudnih vlasti.
Ucijenjenim je kompanijama tako oduzeta mogućnost izbora: bolje i izgubljeni podaci, nego da im za vratom sjede FBI i ministarstvo pravosuđa zbog „ugrožavanja nacionalne sigurnosti“. Koliko god paradoksalno zvučalo, relativno je jednostavno (čak i legalno, putem registriranih posrednika!) platiti reket ruskim hakerima, ali ako i najmanji dio tog specifičnog ekosustava, koji obuhvaća još i horde kojekakvih cyber-security stručnjaka i posrednika, a potom i neophodnu infrastrukturu (servere), ima bilo kakve veze s Iranom, stvar pada u vodu. Naravno, DarkSide je tu grešku ispravio, odabravši drugu lokaciju za svoj data leak storage system, a svi ostali akteri su izvukli vrijednu pouku.
Druga se greška pokazala kobnom i outsourcing ih je u ovom slučaju došao glave. Ili barem ozbiljno naštetio ugledu i natjerao na uzmak. Da i ne spominjemo ozbiljnu mrlju na reputaciji uslijed činjenice da je alat za dekriptiranje koji su ustupili Colonialu bio užasno spor i gotovo beskoristan (trebalo je punih pet dana da naftovod nanovo proradi). Ako već teže besprijekornoj egzekuciji, čini se da će i na tom segmentu poslovanja morati još malo poraditi.
Posljedica hakerskog napada – kolona auta koji čekaju u redu na benzin
Premda početak uzlaznog trenda cijena benzina datira još od drugog kvartala prošle godine (u međuvremenu se gotovo – udvostručila), kaos u čijem se središtu našao Colonial Pipeline nedvojbeno je poslužio kao katalizator pozitivnog trenda uvjetovanog ubrzanim tempom cijepljenja i postupnim povratkom iz novog u staro normalno. I više od toga, jer Colonial prema krajnjim korisnicima u normalnim okolnostima putem gotovo devet tisuća kilometara cijevi otprema oko 2.5 milijuna barela dnevno. Ilustracije radi, Bloomberg navodi kako ta brojka nadmašuje cjelokupnu dnevnu potrošnju u Njemačkoj. Kako tvrde mediji, čak tri četvrtine benzinskih postaja na jugu zemlje ostale su bez kapi zaliha, dok su iz Washingtona i New Jerseya dolazili prizori dugih kolona automobila koji su čekali u redu za benzin, pristižući iz susjednih saveznih država.
Za to vrijeme je pokrenuta logistička operacija impozantnih razmjera koja svjedoči o ozbiljnosti situacije i najbolje pokazuje u kojoj je mjeri bila ugrožena redovita opskrba. Umjesto da se prepusti rutini i pričeka da se stvari slegnu, kako to obično biva u nekim državama, državna administracija primila se posla, pokušavajući na različite načine ublažiti krizu. Iz Bijele kuće je stigla uredba kojom se za vozače cisterni za opskrbu benzinom u 17 saveznih država iznimno ublažavaju postojeća ograničenja sigurnosti na cesti (maksimalno vrijeme za volanom i najviša dopuštena količina tereta).
Ministarstvo domovinske sigurnosti obznanilo je kako će udovoljiti svakom opravdanom zahtjevu za transport benzina između američkih luka brodovima pod stranom zastavom (Jones Act je star cijelo jedno stoljeće), dok je Agencija za zaštitu okoliša (EPA) ublažila propise koji definiraju minimalnu kvalitetu benzina u maloprodaji. Za to vrijeme ni špekulanti nisu stajali skrštenih ruku – trgovci naftnim derivatima odlučili su preusmjeriti određeni broj tankera s Bliskog istoka i iz Azije u smjeru američke istočne obale, računajući na neočekivanu premiju uslijed nestašice. Zastoji u opskrbi mogli bi potrajati još neko vrijeme, ali vrhunac krize je, čini se, prošao.
Index
