Jedan od najopasnijih računarskih virusa svih vremena – ‘Cobalt’, potekao je iz Rusije, načinio štetu od nekoliko milijardi dolara, a njegovi kreatori do danas nisu otkriveni.
Iako je većina računarskih virusa i njihovih podvrsta dizajnirana da nanese štetu računarskim mrežama ili serverima, postoji i čitav niz zlonamernih softvera koji imaju za cilj krađu podataka ili njihovu ‘otmicu’.
Ovakvi virusi posebno ciljaju banke, finansijske institucije i državne agencije, a cilj hakera je dobijanje otkupa u novcu ili, češće, digitalnim valutama poput bitkoina. Poslednjih godina, u gotovo svim velikim napadima se traži Bitcoin ili Ethereum digitalni novac, jer im je u praksi gotovo nemoguće ući u trag.
Virus sedam godina na internetu
Iako se za većinu računarskih virusa nađe i zakrpa (eng. patch) za manje od godinu dana od njihovog registrovanja, Emotet virus se čitavih sedam godina kretao putem interneta. Glavni cilj napada su bile banke širom Evropske unije, kao i nekoliko berzanskih i brokerskih kuća. Ovaj virus je unapređena verzija starog malware virusa ‘Heodo.32’ (Cobalt.32) koji je imao i osobine trojanca. To znači da ovakvi virusi koriste druge datoteke, poput tekstualnih dokumenata, PDF fajlova, ili audio i video fajlova, kako bi se poput ‘trojanskog konja’ infiltrirali na ciljani računar ili server. Nove verzije trojanaca imaju i ‘backdoor’ funkciju, te ostavljaju otvorenu internet konekciju ka napadačima, koji mogu da kasnije preuzmu i potpunu kontrolu putem interneta.
Emotet virus je prvi put otkriven 2014. godine na serverima jedne nemačke banke. Analizom je utvrđeno da virus pokušava da se poveže na mrežu sastavljenu od više servera (Botnet). Jedan od servera je bio u Kijevu, u Ukrajini, dok su druga dva bila u Rusiji, u predgrađu Moskve. Virus se na računare banke proširio kao dodatak (attachment) e-mail poruke. Kada bi zaposleni kliknuli da preuzmu dodatak, on bi preuzeo i sam virus, ali bi se i iskopirao unutar lokalne mreže računara. Inače, ovo je najčešći oblik širenja malicioznog softvera unutar kompanija ili ustanova – zaposleni, obično bez mnogo razmišljanja, preuzmu fajl ili dokument koji stiže iz imejla (obično takvi mejlovi imaju naznaku Hitno ili Važno). Ne znajući, na taj način oni zaražavaju ne samo svoj računar, već i druge računare u kompaniji, kao i sve vrste prenosnih memorijskih uređaja (fleš drajvovi, memorijske kartice i slično).
Nemanja Tasić, IT stručnjak, kaže da je kultura digitalne bezbednosti na izuzetno niskom nivou širom regiona.
“Vrlo je čest slučaj kod nas, ali i u okruženju, da zaposleni, naročito u državnim službama i ustanovama, na posao donose svoje memorijske uređaje ili čak i lične laptopove, te ih konektuju na mrežu firme. Mnoge strane ili privatne kompanije imaju stroga pravila kada je IT sigurnost u pitanju, dok je u državnim službama to na daleko nižem nivou”, navodi.
“Pre nekoliko nedelja ste imali i slučaj velikog ‘phishing’ hakerskog napada na Republički geodetski zavod, pa je bilo nemoguće dobiti razna dokumenta o nekretninama. Iako ništa nije zvanično saopšteno, najverovatnije se radi o ‘ransomware’ napadu, gde hakeri enkriptuju podatke na ciljanim računarima, te kasnije traže otkup u bitkoinima. Na sreću, nadležni u RGZ su imali rezervnu kopiju svih podataka, što je redak slučaj u drugim institucijama“, objašnjava Tasić.
Milionske štete od hakerskih napada
Emotet virus je od 2014. do 2019. godine detektovan na više od 180.000 računara širom sveta, te najmanje 14.000 servera u zemljama EU. Ovakvi napadi ne samo da određeno vreme zaustavljaju rad kompanije ili banke već su i veoma skupi – potrebno je zameniti sve memorijske uređaje (hard i SSD diskove) unutar sistema, ponovo instalirati veliku količinu, često veoma skupog softvera i aplikacija, te zameniti mrežnu infrastrukturu.
Neke od podvarijanti Emotet/Cobalt.32 virusa su u stanju da se pritaje u memoriji mrežnih uređaja, poput rutera, odakle ih je praktično nemoguće obrisati, te je potrebno zameniti ceo uređaj. Nakon početka pandemije 2020, kada je veliki deo bankarskih klijenata prešao na onlajn usluge, Emotet/Cobalt.32 je evoluirao u TrickBot/Qbot malware viruse, koji su u pozadini mogli da ukradu brojeve bankarskih kartica i šifre korisnika. Cobalt.32 Striker verzija je mogla da ukrade i digitalne ‘otiske prsta’ u vidu posebnih QR kodova, te da se na bankarski sistem prijavi kao potpuno autentični korisnik.
Evropska komisija procenjuje da je šteta od ovog virusa oko 2,5 milijardi evra, te da je virus u nekom obliku i dalje prisutan na još oko milion i po računara. Takođe, bankarski sektor je pretrpeo štetu od najmanje 83 miliona evra.
Krajem 2020. i početkom 2021, hakerska grupa, koja stoji iza ovih virusa, je otišla i korak dalje – korisnik bi dobio naizgled autentični imejl od svoje banke, uz dokument ‘Form(ime_banke).doc’ ili ‘Invoice (ime_banke).doc’. Samo preuzimanje ovih dokumenata bi zarazilo računar pomenutim malwareom, ali bi takođe računar pretvorilo u ‘zombi računar’ – deo mreže koja dalje širi ovaj maliciozni softver (botnet).
Sredinom 2021, ova botnet mreža je bila kontrolisana sa velikog broja ‘parkiranih domena’ čije su IP adrese bile širom Rusije (parkirani domen je zakupljen prostor na internetu na kome još uvek nema postavljene aktivne web prezentacije). Jedna grupa ovih domena se zvala ‘Epoch 1’, dok je druga nosila ime ‘Epoch Milenium’. I upravo je ovo ime za botnet mrežu stručnjacima otkrilo moguće ‘autore’. Naime, ova imena za interne servere je godinama koristila hakerska grupa ‘Mummy Spider’, sa članovima širom Ukrajine i Rusije. Veruje se da su članovi grupe nekadašnji ili još uvek aktivni pripadnici ruskih obaveštajnih službi, te nekih rodova vojske. Takođe, ima i bivših pripadnika ukrajinskih bezbednosnih službi, specijalizovanih za sajber ratovanje, koji su na ‘drugu stranu’ prešli iz finansijskih razloga. Američke agencije ovu grupu nazivaju ‘APT-542’, i smatraju da poseduje čvrste veze sa ruskim ‘veteranima’ u svetu sajber napada, grupom ‘Fancy Bear’, koju čine pripadnici i saradnici ruske obaveštajne službe FSB, te APT-29 ‘Nobelium’.
Globalna akcija protiv hakera
Evropska agencija Europol naziva Emotet i njegove podvarijante ‘najopasnijim računarskim virusom na svetu’. U novembru prošle godine, velika akcija, koju je koordinisao Europol, uz učešće službi iz Holandije, Nemačke, SAD-a, Velike Britanije, Francuske, Litvanije, Kanade i Ukrajine je uspešno oborila veliki broj servera koji su bili temelj za širenje Emotet malware virusa. Nekoliko policijskih uprava unutar EU je pokrenulo i specijalni onlajn softver pod nazivom ‘Emocheck’, putem kojeg su korisnici mogli da provere da li su njihovi podaci kompromitovani.
Europol upozorava da je Emotet i dalje prisutan u sajber prostoru, te da korisnici nikada ne bi trebalo da bez prethodne provere preuzimaju tekstualne datoteke ili arhive (.zip i .rar) od nepoznatih ili sumnjivih pošiljalaca. Takođe, savetuje se da se nikada ne odgovara ili preuzima bilo šta sa e-mail poruka koje sadrže naslov ‘Hitno’ i traže da se preuzme neka datoteka ili sadrže link ka nekoj web adresi.
Od početka ruske intervencije u Ukrajini i sami hakeri su ‘promenili taktiku’. Na hakerskim forumima na internetu se sada Emotet/Cobalt.32 nudi kao ‘usluga’ (SaS, Software as Service). Hakeri nude ‘uslugu’ napada ovim virusom na razne ustanove, po ceni od pet bitkoina (oko 120.000 eura). Nekoliko ukrajinskih državnih agencija je već bilo napadnuto na ovaj način, kao i dve kompanije u Letoniji.
