Napadač unutar IZIS neopaženo boravio čak 11 mjeseci

Inicijalni pristup hakera IZIS sistemu, koji je oboren pred Novu godinu, desio se još u februaru 2023. godine, otkriva Srpskainfo.

Republika Srpska 05.01.2024 | 22:28

Kako tvrde naši izvori, malver (zlonamjerni softver) pod nazivom “Racoon” je isporučen i pokrenut na računaru osobe koja je mogla da bude izvršilac posla, član tima za implementaciju ili testni korisnik/zaposlenik FZO RS, koja je u tom trenutku imala pristup serveru testauth.izisrs.org prilikom čega su operateri ovog malvera došli u posjed pristupnih kredencijala IZIS i tako ostvarili inicijalni pristup.

“Racoon” pripada porodici tzv. infostealer malvera, tj. služi za prikupljanje lozinki, korisničkih imena, “kolačica” i uopšte osjetljivih podataka sa računara žrtve, ali njegovi operateri se ne bave “ransomver” napadima jer im je kriminalni poslovni model preprodaja tih pristupnih kredencijala.

– Teško je utvrditi način isporuke jer se “Racoon” po dosadašnjoj praksi isporučuje na tri načina: a) kao trojanizovan legitimni sofver koji se nalazi na piratskim sajtovima, b) kao dio phishing kampanje, tj. “dropper” se nalazi u prilogu imejl poruke, najčešće MS Office dokumenta koji se aktivira klikom i omogućavanjem makroa, i c) kao exploit kit u drive-by-download scenarijima gdje žrtva posjećuje inficirani sajt prilikom čega se iskorištava ranjivost veb pretraživača za njegovu neprimjećenu instalaciju na žrtvin računar. Šta se tačno desilo je manje važno, ali naša je pretpostavka da je u pitanju phishing, jer iziskuje najmanje napora, odnosno resursa – otkrivaju sagovornici Srpskainfo.

U periodu od februara do 24. novembra 2023. dešavalo se njegovo kretanje po mreži. Na darkweb marketima se postepeno pojavljuju različiti parovi korisničnih imena i lozinki za dva hosta unutar IZIS mreže (testauth.izisrs.org i auth.izisrs.org). To znači da se napadači koji su u međuvremenu otkupili ili na drugi način došli u posjed inicijalnih pristupnih kredencijala u ovom periodu neprimjećeno kreću po internoj mreži IZIS i “proširuju” korisničke privilegije do nivoa administratora u potrazi za podacima koji će biti enkriptovani u finalnoj fazi, odnosno ransomver napadu.

“RussianMarket” je tzv. autoshop marketplace zatvorenog tipa za kriminalne grupe koji se na darkwebu bave kupoprodajom pristupnih podataka. Na njemu su objavljivani i oni za IZIS.

A onda se 30. i 30. decembra dešava finalni napad.

Napadači, odnosno ransomver operateri prvo eksfiltriraju (prenose na servere pod svojom kontrolom) podatke koji su tokom prethodnog perioda identifikovali kao vrijedne i koji će biti predmet ucjene, a zatim pokreću malver koji ih enkriptuje (šifrira) simetričnim ključem.

– Prilikom enkripcije, malver u svakom direktorijumu ostavlja .txt fajl u kojem se nalazi poruka napadača sa instrukcijom za povrat ključa za dekripciju u zamjenu za novčani iznos u kripto valuti koji žrtva mora da uplati ili rizikuje objavu na svom “name and shame” darkweb blogu. Ova taktika je poznata i kao “dupla iznuda” (double extortion), jer povrat ključa ne garantuje povrat podataka, odnosno žrtva nikada ne može biti sigurna da je napadač uklonio ukradene podatke sa svoje infrastrukture, čak i ako se prihvati iznuda i plati traženi iznos – tvrdi naš izvor.

Kako kaže, vrstu, prirodu i počinioca ransomver napada bez tehničkih detalja sprovedene forenzičke analize je nemoguće znati. Međutim, ključna pitanja su:

Da li je po otkrivanju incidenta sprovedena forenzička analiza i ako jeste ko ju je obavljao?

Da li su u funkciji bile mjere prevencije i zaštite poput Intrusion Detection i Intrusion Prevention sistema, s obzirom da je neovlašteni pristup ostvaren prije 11 mjeseci i da je sve vrijeme napadač boravio neopažen unutar IZIS?

Da li je na hostovima unutar IZIS mreže funkcionisao endpoint softver za zaštitu (Antivirus/EDR/XDR)? Ovaj softver je mogao prepoznati i spriječiti pokretanje i izvršenje ransomvera jer je njegov “potpis” morao biti poznat u prijašnjim sličnim slučajevima i kao takav služi za zaštitu.

Zatim, da li je u upotrebi bio bilo koji od SIEM/SOAR sistema kojim se nadzire protok podataka i interni/eksterni pristup korisnika?

– Ovaj nivo zaštite je morao biti implementiran kada se radi o najosjetljivijim podacima – zdravstvenim. Naše informacije upućuju da u FZO, kao i u novoosnovanoj Agenciji za IT nemaju predstavu o obimu, tehnici ni posljedicama napada. Što je najgore, forenzička analiza, kako se saznaje, nije uopšte rađena niti postoji bezbjednosni protokol za ovakve situacije – tvrdi odlično upućen izvor Srpskainfo.

(Srpskainfo) Foto: IZIS