Kako je Novi Sad otet i zaključan

Prvi domaći slučaj napada na kritičnu infrastrukturu

Napad ucenjivačkim softverom koji blokira pristup kompjuterskim sistemima ili podacima, pravosudni organi Sjedinjenih Država tretiraće s jednakom pažnjom kao dela terorizma, navodi se u internom dopisu američkog ministarstva pravde koji su mediji objavili krajem prošle nedelje. Potencijalno razoran uticaj koji ransomver ima na državu i društvo, uverljivo je pokazao niz novijih napada na kritičnu infrastrukturu poput najvećeg operatora gasovoda u SAD, vodosnabdevanja na Floridi, bolnice, škole, državne agencije.

Ucenjivački softver najčešće se u sistem uvodi nepažnjom zaposlenih koji otvore zaražen prilog mejla sa lažne adrese ili kliknu na link koji liči na pouzdanu destinaciju. Zaključavanje čitavog sistema ili fajlova sa podacima prati poruka u kojoj napadači navode cenu otkupa ključa za dekripciju, uz detalje o načinu isplate, uglavnom u kriptovaluti.

Kao relativno malo i siromašno tržište, Srbija nije među prioritetima hakera koji organizuju ucenjivačke napade. Međutim, jedno javno preduzeće iz Novog Sada našlo se na meti digitalne ucene, a potencijalna šteta obuhvatala je niz komunalnih službi, gradsku upravu i na hiljade domaćinstava. Činjenica da se napad odigrao samo dve nedelje pre proglašenja vanrednog stanja zbog pandemije kovida-19 prošle godine, potisnula je ovaj incident iz javnog fokusa. U vreme sve ozbiljnijih ucenjivačkih napada po svetu, vredi zabeležiti domaće iskustvo s ransomverom.

Podaci za ovu analizu dobijeni su od Poverenika za pristup podacima od javnog značaja i zaštitu podataka o ličnosti, prikupljenim tokom vanrednog nadzora.

Kako se saznalo za napad


U nedelju, 1. marta 2020. godine oko 5 sati ujutru, server javnog komunalnog preduzeća Informatika iz Novog Sada onesposobljen je u hakerskom napadu ucenjivačkim softverom, ransomverom. Za napad se saznalo istog dana, oko 19 sati uveče, kada je pomoćnik direktora za obradu i opšte registre Informatike, nakon što se od kuće ulogovao na kompanijsku mrežu, utvrdio da je celokupna infrastruktura preduzeća zaražena softverom koji zaključava fajlove na serverima i računarima. O napadu je najpre obavestio organizatora poslova za informaciono-komunikacione tehnologije u Informatici, kao i kompaniju “Brainering” koja održava virtuelnu infrastrukturu ovog preduzeća.

Pošto su informisali nadležne iz Gradske uprave, obratili su se i  kompaniji “SOPHOS”, od koje je Informatika kupila licencu za bezbednosni softver, a koja nije obuhvatala i zaštitu od ransomver napada, što su tek tada saznali. Na sastanku koji je odmah organizovan u prostorijama JKP, po uputstvu iz ucenjivačke poruke otišli su na sajt na TOR mreži koja štiti anonimnost. Na toj adresi sačekala ih je nova poruka sa detaljima ucene: potrebno je uplatiti 50 bitkoina (BTC) u zamenu za ključ za dekriptovanje koji vraća pristup blokiranim fajlovima. Početkom marta prošle godine, samo jedan bitkoin vredeo je nešto manje od 10.000 dolara. Nakon kratke prepiske sa napadačima, cena otkupa je spuštena na 20 BTC. Međutim, Grad je odbio da plati otkup, pa su podaci i bekap ostali zaključani.

Budući da je reč o javnom preduzeću koje obavlja poslove iz oblasti telekomunikacija, informatike i naplate komunalno-stambenih proizvoda i usluga, pored Informatike napadom je pogođen i čitav niz institucija iz mreže gradske uprave: Uprava za finansije, Gradska kuća Novi Sad, Skupština grada Novog Sada, Uprava za imovinu grada Novog Sada, Uprava za građevinsko zemljište i investicije, Uprava za urbanizam i stambene poslove grada Novog Sada, Uprava za inspekcijske poslove Novog Sada, Uprava za finansije, Poreska uprava Novog Sada, predškolska ustanova “Radosno detinjstvo”. Drugim rečima, u ponedeljak su računari gotovo svih gradskih službi bili isključeni. 

JPK Informatika prijavljuje sajber napad i Upravi kriminalističke policije 2. marta i prilaže digitalne dokaze, skrinšotove poruka i kompromitovanih fajlova. Otkriveno je, kako navode na portalu radija 021, da je reč o novom tipu ransomver virusa koji napada antivirusnu zaštitu i bekap sisteme, zaključava fajlove i čini ih nedostupnim. Nadležne službe su sprovele forenzičku analizu dokaza o napadu, na osnovu koje su zaključile da je napad verovatno izvršen iz inostranstva, kroz mejl rukovaoca servera na Windows platformi, da bi se zatim proširio na ceo sistem kada je neko od zaposlenih otvorio elektronsku poštu sa zaraženim fajlom u prilogu.

JPK Informatika je 5. marta o incidentu obavestila Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti. Ovlašćena lica Poverenika izvršila su 11. marta vanredan inspekcijski nadzor nad sprovođenjem Zakona o zaštiti podataka o ličnosti u JKP Informatika, radi utvrđivanja relevantnih činjenica i okolnosti vezanih za događaj i otkrivanja da li je usled tog napada došlo do povrede podataka o ličnosti. 

Posledice napada: koji su podaci ugroženi


JKP Informatika rukovodi podacima o ličnosti koji se odnose na njihove zaposlene, kao i na građane čije podatke o ličnosti obrađuje u okviru sistema objedinjene naplate, te podacima koji se obrađuju u okviru zbirki podataka koje su bile prijavljene u Centralni registar, a koji je na osnovu starog Zakona o zaštiti podataka o ličnosti vodio Poverenik. U slučaju Informatike, to su: Evidencija o korisnicima komunalnih usluga, Kadrovska evidencija, Evidencija o prisutnosti na poslu, Evidencija o brojevima službenih telefona i Evidencija o video nadzoru.

Kako je tokom vanrednog nadzora ustanovio Poverenik, u napadu su bili ugroženi lični podaci o zaposlenima Informatike, njih ukupno 232. Kompromitovano je oko 2000 računara, a zaposleni u gradskim službama nisu mogli da pristupe svojim mejl nalozima. Međutim, svi podaci su bili uspešno otključani i potpuno raspoloživi za rad. Utvrđeno je da nisu bili ugroženi podaci o ličnosti građana koji se obrađuju u svrhu izdavanja računa u okviru objedinjene naplate, zato što su ti podaci instalirani na Linuks operativnom sistemu, a ransomver je napadao samo Windows operativne sisteme. Aplikativni softveri IBS i OREG su bili obuhvaćeni napadom i nisu bili u funkciji od 1. do 6. marta, odnosno do 10. marta, ali Poverenikovim nadzorom utvrđeno je da podaci građana nisu bili meta napada. 

Ugrožene su bile i rezervne kopije podataka, tako da je njih bilo nemoguće koristiti za podizanje sistema.

Gradske kamere nisu funkcionisale.

Građani su račune mogli da plaćaju na šalterima pošte, banaka i ostalih platnih institucija, dok na šalterima Informatike to nije bilo moguće do 4. marta kada su referenti za reklamacije počeli da informišu građane o situaciji i o načinima kako mogu izvršiti uplatu računa objedinjene naplate na blagajnama preduzeća.

Posledica je bila i nemogućnost obračuna zarada, evidencije bolovanja i svih drugih vrsta kadrovske evidencije. Portal 021 navodi da deo zaposlenih u gradskoj upravi i nekim javnim službama, zbog hakerskog napada nije dobio plate.

O ransomveru kojim je izvršen napad


Prema pisanju portala IT klinika, ransomver o kome je ovde reč je pwndlocker, koji je prethodno korišćen za napade na gradove u SAD. Ovaj kriptomalver određuje cenu otkupa u zavisnosti od veličine mreže, broja zaposlenih i godišnjih prihoda, a u poruci o otkupu hakeri navode da će dekriptor čuvati mesec dana, uz mogućnost smanjenja cene otkupa, ukoliko se žrtva javi u roku od dva dana.

Kako je napad završen


Na otkrivanju svih činjenica vezanih za napad bili su angažovani nadležni državni organi Odeljenje za visokotehnološki kriminal MUP-a Srbije, Bezbednosno-informativna agencija i Tužilaštvo za visokotehnološki kriminal. Na otklanjanju virusa i otključavanju podataka i ponovnom uspostavljanju sistema, radile su i eksterne IT kompanije i stručnjaci.

Stručni tim JKP Informatika je u saradnji sa kolegama IT stručnjacima pristupio izgradnji nove hardversko-softverske arhitekture informacionog sistema sa ciljem da se spreči svaki ponovni pokušaj prodora u informacioni sistem.

Ipak, ostaje pitanje da li će novi sistem biti otporan na ovu i druge vrste napada te da li su drugi državni organi naučili lekciju u ovom slučaju.

Dokumentacija iz nadzora



Ninoslava Bogdanović je studentkinja na master studijama Međunarodna bezbednost na Fakultetu političkih nauka i stažistkinja u SHARE Fondaciji. Interesuje je analiziranje pretnji po informacionu infrastrukturu i projektovanje mehanizama zaštite, digitalna forenzika, istraživanje metapodataka, profilisanje i političko-informaciono ratovanje.

Čitaj još: