Web portal Direktno.rs koristi kolačiće i Google analitiku u svrhu merenja i prikazivanja oglasa koji su prilagođeni vama. Kliknite na dugme Prihvatam kako biste pristali na ove postupke i zadržali korisničko iskustvo koje je prilagođeno vama. Saznaj više

Društvo i ekonomija

[ Izvor: BIRN ]

21. 09. 2022. 15:48 1

Hakeri imali pristup mejlovima zaposlenih u Katastru

Krajem juna, nekoliko dana pošto je Republički geodetski zavod (RGZ) počeo da otvara baze podataka koje su devet dana bile blokirane usled hakerskog napada, novinar BIRN-a primio je poruku sumnjivog sadržaja, koja je, kako se činilo, bila poslata sa zvaničnog maila jednog od službenika Zavoda. Detaljnijom analizom ustanovljeno je da je mejl bio zaražen.

Uz pomoć više stručnjaka za informacionu bezbednost, programera i istraživača računarskih virusa, BIRN je došao do podataka šta se krilo iza zaraženog mejla, na koji način su bili zaraženi serveri RGZ-a i da dokaže da su problemi sa zlonamernim programima počeli mnogo pre nego što to javnosti bilo saopšteno.

Ovaj portal je takođe utvrdio da se nije radilo samo o jednom, nego o najmanje tri zlonamerna programa i da je bar jedan od njih u server ušao putem mejl servera RGZ-a, odakle je istim putem pokušao da se dalje širi.

Tokom dvomesečnog istraživanja BIRN je došao do zaključka da hakeri nisu specifično ciljali Republički geodetski zavod, već da su "upali u sistem" RGZ-a jer je neko od zaposlenih očigledno greškom klinuo na zaraženi mail, čime je pokrenuta lančana reakcija.

Serveri Republičkog geodetskog zavoda prestali su da rade 14. juna 2022. godine, kada je saopšteno da je izvršen hakerski napad. Zbog toga je rukovodstvo, kako je rečeno, iz preventivnih razloga zaključalo celokupni sistem čime je bilo onemogućeno korišćenje servisa ove ustanove, uključujući i RGZ katastar. Pojedini servisi katastra su aktivirani 20. juna, mejl serveri su pušteni u rad 7. jula, a katastar vodova četiri dana kasnije.

Nakon što su određeni sistemi Republičkog geodetskog zavoda proradili, na sajtu ustanove objavljeno je saopštenje u kome je pisalo da je računarska sabotaža izvedena iz inostranstva korišćenjem ransomware virusa pod nazivom "Phobos", koji funkcionišu tako što zaključaju uređaj, diskove i baze podataka koji ponovo budu dostupni tek kada se hakerima plati odšteta. Međutim, iz RGZ su saopštili da "za sada nije identifikovana poruka sa zahtevom za otkup".

Dok nadležni tvrde da hakeri nisu ugrozili privatne podatke građana Srbije, stručnjaci za informacionu bezbednost, analizirajući dostupne podatke, tvrde da su zlonamerni programi, koji su bili ubačeni u sisteme zavoda, mogli da ugroze lične podatke građana.

Ugroženi lični podaci pohranjeni u Republičkom geodetskom zavodu

- Dobro jutro, šaljem vam neophodnu dokumentaciju uoči našeg sastanka, kao što smo se nedavno dogovorili. Pogledajte informacije na sledećem linku - glasio je mejl koji je 28. juna ove godine stigao na poslovni nalog novinara BIRN-a. U nastavku mejla nalazio se link na koji je trebalo da se klikne, kao i kontakt telefon.

Mejl je glasio na jednog službenika iz sektora za digitalnu transformaciju RGZ-a sa kojim su novinari ovog medija prethodnih meseci bili u kontaktu. Naslov mejla, kao i ostali detalji, činili su da sve izgleda kao nastavak prepiske, koju su zvaničnik zavoda i novinar BIRN-a imali u oktobru 2021. godine.

Međutim, jedna stvar je bila odmah sumnjiva - tekst mejla bio je napisan na holandskom jeziku. Detaljnijom analizom IP-adrese i same email adrese postalo je jasno da se radi o malicioznoj nameri hakera.

Umesto zvanične mejl adrese "rgz.gov.rs", hakeri su koristili email adresu sa nastavkom "strumlineco.com". Sajtovi za analizu virusa prepoznali su mejl i IP adresu, registrovane na nemačkom serveru, kao grupu Qakbot zlonamernih programa, koji radi tako što učestvuje u komunikaciji između zaraženog email klijenta i njegovih kontakata.

Qakbot koristi lične podatke zaraženog korisnika i šalje mejl dalje svim kontaktima sa linkom koji može da inficira njihove računare. Određenom vrstom mimikrije skriva svoj identitet i lažno se predstavljajući povećava šanse za većim zaražavanjem drugih korisnika.

- Po ovome što može da se vidi iz tog maila, ovaj virus se širio. To mu je primarni zadatak. Ne znamo šta mu je bila meta - kaže Vladimir Cicović, stručnjak za sajber sigurnost.

Vladimir Cicović smatra da činjenica da je autor virusa mejl napisao na stranom jeziku ukazuje da zlonamerni program vrlo verovatno nije bio namenjen Srbiji.

- Da je profesionalac ovo radio, mejl bi bio na srpskom. Kampanja, ili šta već, nije bila namenjena Srbiji. Ovo me jako podseća na jako loše kampanje grupe početnika - kaže Cicović.

On kaže da zaraženi mejl ima direktne veze sa hakerskim napadom na Republički geodetski zavod jer jasno pokazuje da je ranija prepiska između službenika RGZ i novinara procurela i da se sada nalazi u rukama hakera.

- Prepiska novinara BIRN-a sa službenikom RGZ je u nečijim rukama. Haker ove podatke može prodati, dati, objaviti, ali je činjenica da su podaci ukradeni. Mejl koji je dobio novinar je sasvim dovoljan dokaz za tako nešto. Moguće je da su i druge informacije takođe dostupne - kaže sagovornik navodeći da ovo jasno pokazuje da je postojala pretnja ugrožavanja privatnih podataka.

On navodi i da postoji mogućnost da su hakeri iskoristili Qakbot kako bi u sistem Republičkog geodetskog zavoda ubacili Ransomware Phobos virus.

- Jedna grupa prodaje pristup, a druga upada. Saradnja više grupa nije isključena. U zavodu su tragali za ovim Ransomware Phobos, a nisu gledali na koji način je on ušao, odnosno ko ih je otvorio - objašnjava Cicović.

Nije poznato da li je još neko od građana primio sličan maliciozni mejl. Pitanja su oviim povodom poslata kancelariji Poverenika za zaštitu informacija od javnog značaja iz koje su odgovorili da zaraženi mejl nije dokaz da su lični podaci ugroženi i da, kao takav, nema veze sa hakerskim napadom na RGZ.

Pitanja su poslata i Zavodu, a iz kabineta direktora stigao je odgovor da je potrebno obratiti se Tužilaštvu za visokotehnološki kriminal. Iz tužilaštva do dana objavljivanja ovog teksta nije stigao odgovor, piše BIRN, čiji ceo tekst možete pročitati na ovom linku.

Dragi čitaoci, da biste nas lakše pratili i bili u toku preuzmite našu aplikaciju za Android ili Iphone.

Komentari 1

ostavi komentar

Ostavi komentar

Da biste komentarisali vesti pod Vašim imenom

Ulogujte se
Pravila komentarisanja
Prednost u objavljivanju komentara imaće registrovani korisnici i kvalitetniji komentari.
Direktno.rs zadržava pravo izbora, brisanja komentara, ili modifikacije komentara koji će biti objavljeni.
Zabranjeno je objavljivanje ideja, informacija i mišljenja kojima se podstiče diskriminacija, mržnja ili nasilje protiv lica ili grupe lica zbog njihovog pripadanja ili nepripadanja nekoj rasi, veri, naciji, etničkoj grupi, polu ili zbog njihove seksualne opredeljenosti, bez obzira na to da li je objavljivanjem učinjeno krivično delo. Komentari koji sadrže govor mržnje i psovke, takodje neće biti objavljeni.
Sadržaj objavljenih komentara ne predstavlja stavove redakcije, već samo autora komentara.


Čekajući košavu

Zoran Živković [28.11.2022.]




Anketa

Hoće li Srbija proći u osminu finala Mundijala?

Rezultati

Video dana

Dođi da se slikamo