Prije nekoliko godina čitao sam, a sada se ne mogu sjetiti jesam li uspio pročitati “Odbrojavanje do nultog dana”, zanimljivu knjigu američke autorice i novinarke Wireda, Kim Zetter. U knjizi se detaljno opisuju aktivnosti oko razvoja i implementacije Stuxneta, oružja prvog ozbiljnog digitalnog napada koji bi se mogao okarakterizirati kao čin kibernetičkog ratovanja.

O karakteristikama Stuxneta sve je više-manje poznato pa mi je stoga zanimljiviji dio koji se bavi organizacijom razvojnih timova i procesom političkog odlučivanja upotrebe digitalnog oružja. Iako to niti danas nitko nije službeno potvrdio, u knjizi Kim Zetter argumentirano tvrdi kako je Stuxnet rezultat suradnje NSA i jedinice 8200 izraelske vojske.

Stuxnet je bio značajan jer je bio prvi, i jednom kad je bio otkriven, organizator napada izgubio je faktor iznenađenja i potrošio kôd za iskorištavanje prethodno nepoznatih ranjivosti u Windowsima. Zetter uspoređuje otkrivanje Stuxneta s otkrićem postojanja “nevidljivog” zrakoplova. O njemu se prije upotrebe pričalo, ali se američka vojska barem mogla praviti da ne postoji. No, jednom kad je korišten, više se nije imalo smisla pretvarati, baš kao i opovrgavati postojanje jedinica za cyber ratovanje nakon otkrivanja Stuxneta.

Kad je Stuxnet otkriven, NSA-u je bilo bolje šutjeti, tek da konkurenti znaju s kim imaju posla. No, konkurencija nikada ne spava pa smo malo pomalo, tijekom posljednjih nekoliko godina, mogli upoznati mogućnosti koje imaju i državne službe drugih zemalja.

Jedno od ozbiljnijih zemljopisnih područja na kojima se ratuje u stvarnom i digitalnom ratištu je Ukrajina. Od ruske aneksije Krima, ukrajinska strana izložena je zanimljivim digitalnim napadima koje nitko nije izravno pripisao Ruskoj Federaciji, ali se između redaka to svakako moglo pročitati.

Prvi veliki napad, u prosincu 2015., bio je na računala koja su upravljala opskrbom električne energije u nekim dijelovima zemlje. Napadači su uspješno probili obranu i prebrisali diskove radnih stanica koje su daljinski upravljale sklopkama. Softver koji se koristio za napad bio je vrlo jednostavan ali učinkovit pa su na stotine tisuća ljudi ostali bez struje, a tehničari su ručno uključivali električnu mrežu jer su sustavi daljinske kontrole bili onesposobljeni.

Od tada, slični napadi na ukrajinske tvrtke i državne organizacije nastavili su se nesmanjenim intenzitetom, uz poboljšanje kvalitete napadačkih alata i načina širenja unutar napadnutih mreža. Napadački alati tako su se razvili od rudimentarnih brisača diska do programa za kriptiranje podataka, koji se šire mrežama bez korisničke pomoći. Napadi su se uglavnom povezivali s grupom koju ekipa iz Kasperskog naziva BlackEnergy, a ekipa iz Eseta Telebots.

Vjerojatno je kako Telebotići stoje i iza najnovijeg velikog napada koji je krajem lipnja pogodio veliki broj organizacija u Ukrajini, ali i manji broj kompanija izvan Ukrajine. Od svih infekcija preko 75% zabilježeno je u Ukrajini, a ostale pogođene zemlje one su koje tradicionalno imaju dobre odnose s Ukrajinom kao Njemačka (9%), Poljska (5%) i susjedna Srbija (3%). Šuškalo se i o nekim uspješno napadnutim hrvatskim tvrtkama i dijelovima državne uprave. Pogođene organizacije izvan Ukrajine u trenutku napada bile su na neki način, bilo kroz VPN, bilo kroz zajednički softver i hardver, povezane s ukrajinskim internetskim prostorom.

U prvom trenutku izgledalo je kako se radi o napadu nove inačice ranije poznatog trojanca za enkripciju datoteka i prvih sektora diska Petya, prije svega prema poruci koja se prikazivala na napadnutim računalima. No, već prva analiza pokazala je da se radi o zlonamjernom programu koji je prema načinu širenja sličniji WannaCryu nego Petyi.

Novi trojanac širio se lokalnim mrežama iskorištavanjem ranjivosti koje su otkrivene u alatima koji, prema svemu sudeći, pripadaju NSA-u, a koje je hakerska grupa ShadowBrokers objavila na Internetu. No ovaj put, osim ranjivosti Eternalblue, iskorištavala se i ranjivost Eternalromance u SMB kôdu Windowsa.

Samo djelovanje novog trojanca bilo je sličnije destruktivnim programima za brisanje diska nego klasičnom ransomwareu koji korisnicima na kraju ipak omogućuje povrat datoteka u prvobitno stanje ako se uplati traženi iznos otkupnine. U ovom slučaju, napadači su vrlo naivno naveli email adresu za uplate, dobro znajući kako će ta adresa nestati ubrzo nakon otkrivanja napada.

Baš kao i kod WannaCrya, izvor infekcije nije u potpunosti poznat. U početku nije bilo jasno kako su napadači tako uspješno naciljali ukrajinske organizacije, ali ubrzo je postalo jasnije nakon što je pronađeno kako se kod mnogih organizacija trojanac pojavio nakon redovnog ažuriranja programa za razmjenu elektroničkih dokumenata M.E.Doc.

M.E.Doc je softver koji koriste gotovo sve tvrtke u Ukrajini, a koristi se između ostalog i za centralnu prijavu poreza, fakturiranje i digitalno potpisivanje ugovora. M.E.Doc već je jednom iskorišten za vrlo sličan napad manjeg intenziteta, krajem svibnja, i moguće je kako je taj prethodni napad bio samo proba za glavni čin.

Napadači su, prema svemu sudeći, upali u poslužitelj za ažuriranje M.E.Doc softvera i usadili novu inačicu, koja je sadržavala i manje poželjne elemente. Problem je da se do danas nije pojavio nitko tko je pronašao gdje se trojanac točno nalazi u datoteci za instalaciju nove inačice softvera nakon koje se dogodio napad.

Logično je, želite li napasti samo određenu zemlju, da je to najbolje učiniti preko programa koji se koristi isključivo u toj zemlji. Idealna je situacija kad korištenje određenog programa određuje javna uprava. Nadam se su ljudi odgovorni za sigurnost unutar APIS-a ili FINA-e svjesni privlačnosti svojih kompanija.

Za očekivati je da će se napadi na Ukrajinu nastaviti, i bit će zanimljivo vidjeti što Ukrajinci mogu napraviti kako bi na njih odgovorili. Sve u svemu, situacija u Ukrajini mogla bi biti dobar pokazatelj mračnije budućnosti, u kojoj se svakodnevno vode i digitalni ratovi. Eh, kad bi svi ratovi bili samo digitalni!

NAPOMENA: Ovaj tekst je izvorno objavljen u časopisu Mreža