Najopasniji kompjuterski virus i dalje se širi svijetom

Jedan od najopasnijih računarskih virusa svih vremena – ‘Cobalt’, potekao je iz Rusije, načinio štetu od nekoliko milijardi dolara, a njegovi kreatori do danas nisu otkriveni.

Korisnici nikada ne bi trebali bez prethodne provjere da preuzimaju tekstualne datoteke ili arhive od nepoznatih ili sumnjivih pošiljalaca, upozorava Europol (EPA)

Ivan Trajković 30 Jul 2022

Iako je većina računarskih virusa i njihovih podvrsta dizajnirana da nanese štetu računarskim mrežama ili serverima, postoji i čitav niz zlonamernih softvera koji imaju cilj krađu podataka ili njihovu ‘otmicu’.

Ovakvi virusi naročito targetiraju banke, finansijske institucije i državne agencije, a cilj hakera je dobijanje otkupa u novcu ili, češće, digitalnim valutama poput bitkoina. Poslednjih godina, u gotovo svim velikim napadima se traže Bitkoin ili Ethereum digitalni novčići, jer im je u praksi gotovo nemoguće ući u trag.

Virus sedam godina na internetu

Iako se za većinu računarskih virusa nađe i ‘zakrpa’ (eng. patch) za manje od godinu dana od njihovog registrovanja, Emotet virus se čitavih sedam godina kretao putem interneta. Glavni cilj napada su bile banke širom Evropske unije, kao i nekoliko berzanskih i brokerskih kuća. Ovaj virus je unapređena verzija starog malware virusa ‘Heodo.32’ (Cobalt.32) koji je imao i osobine ‘trojanca’. To znači da ovakvi virusi koriste druge datoteke, poput tekstualnih dokumenata, PDF fajlova, ili audio i video fajlova, kako bi se poput ‘trojanskog konja’ infiltrirali na ciljani računar ili server. Nove verzije ‘trojanaca’ imaju i ‘backdoor’ funkciju, te ostavljaju otvorenu internet konekciju ka napadačima, koji mogu da kasnije preuzmu i potpunu kontrolu putem interneta.

Emotet virus je prvi put otkriven 2014. godine na serverima jedne nemačke banke. Analizom je utvrđeno da virus pokušava da se poveže na mrežu sastavljenu od više servera (Botnet). Jedan od servera je bio u Kijevu, u Ukrajini, dok su druga dva bila u Rusiji, u predgrađu Moskve. Virus se na računare banke proširio kao dodatak (attachment) e-mail poruke. Kada bi zaposleni kliknuli da preuzmu dodatak, on bi preuzeo i sam virus, ali bi se i iskopirao unutar lokalne mreže računara. Inače, ovo je najčešći oblik širenja malicioznog softvera unutar kompanija ili ustanova – zaposleni, obično bez mnogo razmišljanja, preuzmu fajl ili dokument koji stiže iz e-maila (obično takvi mejlovi imaju naznaku Hitno ili Važno). Ne znajući, na taj način oni zaražavaju ne samo svoj računar, već i druge računare u kompaniji, kao i sve vrste prenosnih memorijskih uređaja (fleš drajvovi, memorijske kartice i slično).

Nemanja Tasić, IT stručnjak, kaže da je kultura digitalne bezbednosti na izuzetno niskom nivou širom regiona.

„Vrlo je čest slučaj kod nas, ali i u okruženju, da zaposleni, naročito u državnim službama i ustanovama, na posao donose svoje memorijske uređaje ili čak i lične laptopove, te ih konektuju na mrežu firme. Mnoge strane ili privatne kompanije imaju stroga pravila kada je IT sigurnost u pitanju, dok je u državnim službama to na daleko nižem nivou“, navodi.

„Pre nekoliko nedelja ste imali i slučaj velikog ‘phishing’ hakerskog napada na Republički geodetski zavod, pa je bilo nemoguće dobiti razna dokumenta o nekretninama. Iako ništa nije zvanično saopšteno, najverovatnije se radi o ‘ransomware’ napadu, gde hakeri enkriptuju podatke na ciljanim računarima, te kasnije traže otkup u bitkoinima. Na sreću, nadležni u RGZ su imali rezervnu kopiju svih podataka, što je redak slučaj u drugim institucijama“, objašnjava Tasić.

Milionske štete od hakerskih napada

Emotet virus je od 2014. do 2019. godine detektovan na više od 180.000 računara širom sveta, te najmanje 14.000 servera u zemljama EU. Ovakvi napadi ne samo da određeno vreme zaustavljaju rad kompanije ili banke već su i veoma skupi – potrebno je zameniti sve memorijske uređaje (hard i SSD diskove) unutar sistema, ponovo instalirati veliku količinu, često veoma skupog softvera i aplikacija, te zameniti mrežnu infrastrukturu.

Neke od podvarijanti Emotet/Cobalt.32 virusa su u stanju da se ‘pritaje’ u memoriji mrežnih uređaja, poput rutera, odakle ih je praktično nemoguće obrisati, te je potrebno zameniti ceo uređaj. Nakon početka pandemije 2020, kada je veliki deo bankarskih klijenata prešao na onlajn usluge, Emotet/Cobalt.32 je ‘evoluirao’ u TrickBot/Qbot malware viruse, koji su ‘u pozadini’ mogli da ukradu brojeve bankarskih kartica i šifre korisnika. ‘Cobalt.32 Striker’ verzija je mogla da ukrade i digitalne ‘otiske prsta’ u vidu posebnih ‘QR’ kodova, te da se na bankarski sistem prijavi kao potpuno autentični korisnik.

Evropska komisija procenjuje da je šteta od ovog virusa oko 2,5 milijarde eura, te da je virus u nekom obliku i dalje prisutan na još oko milion i po računara. Takođe, bankarski sektor je pretrpeo štetu od najmanje 83 miliona eura.

Krajem 2020. i početkom 2021, hakerska grupa iza ovih virusa je otišla i korak dalje – korisnik bi dobio naizgled autentični e-mail od svoje banke, uz dokument ‘Form(ime_banke).doc’ ili ‘Invoice (ime_banke).doc’. Samo preuzimanje ovih dokumenata bi zarazilo računar pomenutim malwareom, ali bi takođe računar pretvorilo u ‘zombi računar’ – deo mreže koja dalje širi ovaj maliciozni softver (botnet).

Sredinom 2021, ova ‘botnet’ mreža je bila kontrolisana sa velikog broja ‘parkiranih domena’ čije su IP adrese bile širom Rusije (parkirani domen je zakupljen prostor na internetu na kome još uvek nema postavljene aktivne web prezentacije). Jedna grupa ovih domena se zvala ‘Epoch 1’, dok je druga nosila ime ‘Epoch Milenium’. I upravo je ovo ime za botnet mrežu stručnjacima otkrilo moguće ‘autore’. Naime, ova imena za interne servere je godinama koristila hakerska grupa ‘Mummy Spider’, sa članovima širom Ukrajine i Rusije. Veruje se da su članovi grupe nekadašnji ili još uvek aktivni pripadnici ruskih obaveštajnih službi, te nekih rodova vojske. Takođe, ima i bivših pripadnika ukrajinskih bezbednosnih službi, specijalizovanih za sajber ratovanje, koji su na ‘drugu stranu’ prešli iz finansijskih razloga. Američke agencije ovu grupu nazivaju ‘APT-542’, i smatraju da poseduje čvrste veze sa ruskim ‘veteranima’ u svetu sajber napada, grupom ‘Fancy Bear’, koju čine pripadnici i saradnici ruske obaveštajne službe FSB, te APT-29 ‘Nobelium’.

Globalna akcija protiv hakera

Evropska agencija Europol naziva Emotet i njegove podvarijante ‘najopasnijim računarskim virusom na svetu’. U novembru prošle godine, velika akcija, koju je koordinisao Europol, uz učešće službi iz Holandije, Nemačke, SAD-a, Velike Britanije, Francuske, Litvanije, Kanade i Ukrajine je uspešno oborila veliki broj servera koji su bili ‘temelj’ za širenje Emotet malware virusa. Nekoliko policijskih uprava unutar EU je pokrenulo i specijalni onlajn softver pod nazivom ‘Emocheck’, putem kojeg su korisnici mogli da provere da li su njihovi podaci kompromitovani.

Europol upozorava da je Emotet i dalje prisutan u sajber prostoru, te da korisnici nikada ne bi trebalo da bez prethodne provere preuzimaju tekstualne datoteke ili arhive (.zip i .rar) od nepoznatih ili sumnjivih pošiljalaca. Takođe, savetuje se da se nikada ne odgovara ili preuzima bilo šta sa e-mail poruka koje sadrže naslov ‘Hitno’ i traže da se preuzme neka datoteka ili sadrže link ka nekoj web adresi.

Od početka ruske agresije na Ukrajinu i sami hakeri su ‘promenili taktiku’. Na hakerskim forumima na internetu se sada Emotet/Cobalt.32 nudi kao ‘usluga’ (SaS, Software as Service). Hakeri nude ‘uslugu’ napada ovim virusom na razne ustanove, po ceni od pet bitkoina (oko 120.000 eura). Nekoliko ukrajinskih državnih agencija je već bilo napadnuto na ovaj način, kao i dve kompanije u Letoniji.I

ZVOR: AL JAZEERA

Komentariši