Нападач унутар ИЗИС неопажено боравио чак 11 мјесеци
Иницијални приступ хакера ИЗИС систему, који је оборен пред Нову годину, десио се још у фебруару 2023. године, открива Српскаинфо.
Република Српска 05.01.2024 | 22:28Како тврде наши извори, малвер (злонамјерни софтвер) под називом “Рацоон” је испоручен и покренут на рачунару особе која је могла да буде извршилац посла, члан тима за имплементацију или тестни корисник/запосленик ФЗО РС, која је у том тренутку имала приступ серверу тестаутх.изисрс.орг приликом чега су оператери овог малвера дошли у посјед приступних креденцијала ИЗИС и тако остварили иницијални приступ.
“Рацоон” припада породици тзв. инфостеалер малвера, тј. служи за прикупљање лозинки, корисничких имена, “колачица” и уопште осјетљивих података са рачунара жртве, али његови оператери се не баве “рансомвер” нападима јер им је криминални пословни модел препродаја тих приступних креденцијала.
– Тешко је утврдити начин испоруке јер се “Рацоон” по досадашњој пракси испоручује на три начина: а) као тројанизован легитимни софвер који се налази на пиратским сајтовима, б) као дио пхисхинг кампање, тј. “дроппер” се налази у прилогу имејл поруке, најчешће МС Оффице документа који се активира кликом и омогућавањем макроа, и ц) као еxплоит кит у дриве-бy-доwнлоад сценаријима гдје жртва посјећује инфицирани сајт приликом чега се искориштава рањивост веб претраживача за његову непримјећену инсталацију на жртвин рачунар. Шта се тачно десило је мање важно, али наша је претпоставка да је у питању пхисхинг, јер изискује најмање напора, односно ресурса – откривају саговорници Српскаинфо.
У периоду од фебруара до 24. новембра 2023. дешавало се његово кретање по мрежи. На даркwеб маркетима се постепено појављују различити парови корисничних имена и лозинки за два хоста унутар ИЗИС мреже (тестаутх.изисрс.орг и аутх.изисрс.орг). То значи да се нападачи који су у међувремену откупили или на други начин дошли у посјед иницијалних приступних креденцијала у овом периоду непримјећено крећу по интерној мрежи ИЗИС и “проширују” корисничке привилегије до нивоа администратора у потрази за подацима који ће бити енкриптовани у финалној фази, односно рансомвер нападу.
“РуссианМаркет” је тзв. аутосхоп маркетплаце затвореног типа за криминалне групе који се на даркwебу баве купопродајом приступних података. На њему су објављивани и они за ИЗИС.
А онда се 30. и 30. децембра дешава финални напад.
Нападачи, односно рансомвер оператери прво ексфилтрирају (преносе на сервере под својом контролом) податке који су током претходног периода идентификовали као вриједне и који ће бити предмет уцјене, а затим покрећу малвер који их енкриптује (шифрира) симетричним кључем.
– Приликом енкрипције, малвер у сваком директоријуму оставља .тxт фајл у којем се налази порука нападача са инструкцијом за поврат кључа за декрипцију у замјену за новчани износ у крипто валути који жртва мора да уплати или ризикује објаву на свом “наме анд схаме” даркwеб блогу. Ова тактика је позната и као “дупла изнуда” (доубле еxтортион), јер поврат кључа не гарантује поврат података, односно жртва никада не може бити сигурна да је нападач уклонио украдене податке са своје инфраструктуре, чак и ако се прихвати изнуда и плати тражени износ – тврди наш извор.
Како каже, врсту, природу и починиоца рансомвер напада без техничких детаља спроведене форензичке анализе је немогуће знати. Међутим, кључна питања су:
Да ли је по откривању инцидента спроведена форензичка анализа и ако јесте ко ју је обављао?
Да ли су у функцији биле мјере превенције и заштите попут Интрусион Детецтион и Интрусион Превентион система, с обзиром да је неовлаштени приступ остварен прије 11 мјесеци и да је све вријеме нападач боравио неопажен унутар ИЗИС?
Да ли је на хостовима унутар ИЗИС мреже функционисао ендпоинт софтвер за заштиту (Антивирус/ЕДР/XДР)? Овај софтвер је могао препознати и спријечити покретање и извршење рансомвера јер је његов “потпис” морао бити познат у пријашњим сличним случајевима и као такав служи за заштиту.
Затим, да ли је у употреби био било који од СИЕМ/СОАР система којим се надзире проток података и интерни/екстерни приступ корисника?
– Овај ниво заштите је морао бити имплементиран када се ради о најосјетљивијим подацима – здравственим. Наше информације упућују да у ФЗО, као и у новооснованој Агенцији за ИТ немају представу о обиму, техници ни посљедицама напада. Што је најгоре, форензичка анализа, како се сазнаје, није уопште рађена нити постоји безбједносни протокол за овакве ситуације – тврди одлично упућен извор Српскаинфо.
(Српскаинфо) Фото: ИЗИС
Коментари / 21
Оставите коментарДа је правна држава
05.01.2024 22:49Директор ФЗО РС Кустурић би већ био у истражном затвору. Али како се ово дешава у бољем и развијенијем дијелу БиХ појешће вук магарца. Сигурно Проинтер има кључ рјешења овог проблема.Како кажу овцу можеш одерати само једном, а шишати сваке године.Е то је управо филозофија пословања Проинтера у спрези са свим републичким институцијама.
ОДГОВОРИТЕЗна се
05.01.2024 23:05Намјерно унистили систем да би га поново Проинтер инсталирао и узео огромне паре. Аферим багро.
Ре
06.01.2024 02:01Сигурно је тако
Ре
06.01.2024 07:56Давно је Додик рекао да нигдје нема његовог потписа а неки уживају да потписују.
Даки
06.01.2024 08:03У СНСД не постоји ријец одговорност, а поготово не оставка или кривица.
Дарија
06.01.2024 00:55Зато бивси директор Томас није хтио да потписе набавку ИЗИСа јер је знао да је то обицно смеце па се насао Кустуриц да то ријеси и ево му га резултата
ОДГОВОРИТЕРе
06.01.2024 15:00Цим неки директор неце да потписе неки суммјиви Уговор, они га смјене идоведу другог који це то урадити.
Ре
06.01.2024 01:54Ко це да одговара за ово? КО? КАДА?
ОДГОВОРИТЕДокле
06.01.2024 07:57Докле ћете испирати мозак народу, то су приче за малу дјецу. Кад само помислим да неко смишља приче да испира мозак народу, и да га још плаћате за то. НЕМА НИКАКВИХ ХАКЕРА...
ОДГОВОРИТЕ+
06.01.2024 07:59НЕСТРУЧЊАЦИ, као и у цијелој Држави су нас у свему уништили. Важно је да су се сви обогатили. Много, кућа, станова пара, курви и сл.
ОДГОВОРИТЕРе
06.01.2024 15:12Лопови који су продали дусу Сотони. Праве се да је нормално да имају толико некретнина по свијету и овдје, да возе такве ауте, да носе такву гардеробу. Па од мјесецне плате доктора у РС не мозес купити једну скупљу торбицу, а гдје остали ллулсуз који су себи приустили пљацкајуци народ и институције. Новац се , на срецу не мозе сакрити, морају се новопецени милионери бар мало показати. Све ово говори какво је друство створено, какав смо ми народ, имамо ли будуцности, традицију прављена просперитетног друства, имтелектуалну елиту и сл. Видјет. цемо колико це становниства у РС бити за 20 година и које структутре.
//
06.01.2024 08:02У праву сте. Ово је шишање годишње. Требају Проинтеру и Власти додатне пате. Када су издајице народа и треба их у затвор. РАЧУНОВОЂА ОДГОВАРА ЗА БЕЗАЗЛЕНЕ ГРЕШКЕ. А ДИРЕКТОРА ЗА ОВАКО СТРАШНУ СТВАР, НИКО НЕ ХАПСИ.
ОДГОВОРИТЕБато
06.01.2024 08:44Ко да примјети кад је тамо вецина партиски запослена.Гледају им брзо продје радно вријеме.
ОДГОВОРИТЕБОБА
06.01.2024 09:07Ста брига одговорних ста се десава у ФЗО и Пореској .Битно је да се не ради да је Дан републике ,да се слави . Све је ово не битно.Нас народ зиви за тренутак или дан за будуцност не мари.Узивајте у љепоти зивљења.
ОДГОВОРИТЕXxx
06.01.2024 09:17Све мутне радње се обављају у спрези и договору. Свесе зна само поједини цуте. Није то први ни последњи пут да лудаци улазе гдје нетреба.
ОДГОВОРИТЕнезнам
06.01.2024 09:25Да је то промакло насим балванима на власти!
ОДГОВОРИТЕИТ Сец
06.01.2024 09:30Није био Рацоон, није било прије 11 мјесеци, није било инфекције путем емаила јер их стити МТЕЛ. Цијели текст је један лијепо описани сценарио.
ОДГОВОРИТЕДадада
06.01.2024 10:41Сада се све зна !!! А када је требало ,, ставити, заститу? гдје су били ти супер струцњаци милионских вредности. Брука !!!
ОДГОВОРИТЕФЗО
06.01.2024 11:16Кад ме не прије једно пол године систем пребацио код другог љекара , иако ја нисам ништа мјењао , правили су ме будалом у фонду и тврдили ви сте се пребацили ,,,, објашњавао сам да нисам нигдје ишао , ал не шалтерски радник ме лудим направи и морао сам доћи у фонд да поднесем захтјев за враћање свом љекару ,,,,, е па господо шаш видите тко је луд
ОДГОВОРИТЕНена
06.01.2024 12:01Уништише нас корупција и незнање.
ОДГОВОРИТЕСтранац
06.01.2024 13:02МУП је имао приступ ИЗИС-у. wатцх?в=еи4XепxДпрц
ОДГОВОРИТЕ