Нападач унутар ИЗИС неопажено боравио чак 11 мјесеци

Иницијални приступ хакера ИЗИС систему, који је оборен пред Нову годину, десио се још у фебруару 2023. године, открива Српскаинфо.

Република Српска 05.01.2024 | 22:28

Како тврде наши извори, малвер (злонамјерни софтвер) под називом “Рацоон” је испоручен и покренут на рачунару особе која је могла да буде извршилац посла, члан тима за имплементацију или тестни корисник/запосленик ФЗО РС, која је у том тренутку имала приступ серверу тестаутх.изисрс.орг приликом чега су оператери овог малвера дошли у посјед приступних креденцијала ИЗИС и тако остварили иницијални приступ.

“Рацоон” припада породици тзв. инфостеалер малвера, тј. служи за прикупљање лозинки, корисничких имена, “колачица” и уопште осјетљивих података са рачунара жртве, али његови оператери се не баве “рансомвер” нападима јер им је криминални пословни модел препродаја тих приступних креденцијала.

– Тешко је утврдити начин испоруке јер се “Рацоон” по досадашњој пракси испоручује на три начина: а) као тројанизован легитимни софвер који се налази на пиратским сајтовима, б) као дио пхисхинг кампање, тј. “дроппер” се налази у прилогу имејл поруке, најчешће МС Оффице документа који се активира кликом и омогућавањем макроа, и ц) као еxплоит кит у дриве-бy-доwнлоад сценаријима гдје жртва посјећује инфицирани сајт приликом чега се искориштава рањивост веб претраживача за његову непримјећену инсталацију на жртвин рачунар. Шта се тачно десило је мање важно, али наша је претпоставка да је у питању пхисхинг, јер изискује најмање напора, односно ресурса – откривају саговорници Српскаинфо.

У периоду од фебруара до 24. новембра 2023. дешавало се његово кретање по мрежи. На даркwеб маркетима се постепено појављују различити парови корисничних имена и лозинки за два хоста унутар ИЗИС мреже (тестаутх.изисрс.орг и аутх.изисрс.орг). То значи да се нападачи који су у међувремену откупили или на други начин дошли у посјед иницијалних приступних креденцијала у овом периоду непримјећено крећу по интерној мрежи ИЗИС и “проширују” корисничке привилегије до нивоа администратора у потрази за подацима који ће бити енкриптовани у финалној фази, односно рансомвер нападу.

“РуссианМаркет” је тзв. аутосхоп маркетплаце затвореног типа за криминалне групе који се на даркwебу баве купопродајом приступних података. На њему су објављивани и они за ИЗИС.

А онда се 30. и 30. децембра дешава финални напад.

Нападачи, односно рансомвер оператери прво ексфилтрирају (преносе на сервере под својом контролом) податке који су током претходног периода идентификовали као вриједне и који ће бити предмет уцјене, а затим покрећу малвер који их енкриптује (шифрира) симетричним кључем.

– Приликом енкрипције, малвер у сваком директоријуму оставља .тxт фајл у којем се налази порука нападача са инструкцијом за поврат кључа за декрипцију у замјену за новчани износ у крипто валути који жртва мора да уплати или ризикује објаву на свом “наме анд схаме” даркwеб блогу. Ова тактика је позната и као “дупла изнуда” (доубле еxтортион), јер поврат кључа не гарантује поврат података, односно жртва никада не може бити сигурна да је нападач уклонио украдене податке са своје инфраструктуре, чак и ако се прихвати изнуда и плати тражени износ – тврди наш извор.

Како каже, врсту, природу и починиоца рансомвер напада без техничких детаља спроведене форензичке анализе је немогуће знати. Међутим, кључна питања су:

Да ли је по откривању инцидента спроведена форензичка анализа и ако јесте ко ју је обављао?

Да ли су у функцији биле мјере превенције и заштите попут Интрусион Детецтион и Интрусион Превентион система, с обзиром да је неовлаштени приступ остварен прије 11 мјесеци и да је све вријеме нападач боравио неопажен унутар ИЗИС?

Да ли је на хостовима унутар ИЗИС мреже функционисао ендпоинт софтвер за заштиту (Антивирус/ЕДР/XДР)? Овај софтвер је могао препознати и спријечити покретање и извршење рансомвера јер је његов “потпис” морао бити познат у пријашњим сличним случајевима и као такав служи за заштиту.

Затим, да ли је у употреби био било који од СИЕМ/СОАР система којим се надзире проток података и интерни/екстерни приступ корисника?

– Овај ниво заштите је морао бити имплементиран када се ради о најосјетљивијим подацима – здравственим. Наше информације упућују да у ФЗО, као и у новооснованој Агенцији за ИТ немају представу о обиму, техници ни посљедицама напада. Што је најгоре, форензичка анализа, како се сазнаје, није уопште рађена нити постоји безбједносни протокол за овакве ситуације – тврди одлично упућен извор Српскаинфо.

(Српскаинфо) Фото: ИЗИС