Grupa Qilin preuzela je odgovornost za napad
Informacioni sistemi Elektroprivrede Srbije (EPS) već nekoliko dana ne rade, a preciznih obaveštenja o čemu se radi iz ovog državnog preduzeća za snabdevanje električnom energijom nema.
Javnost je u kratkom saopštenju 19. decembra obaveštena da se EPS oporavlja od „nezapamćenog hakerskog napada kripto tipa“.
Deset dana kasnije, nema odgovora na brojna pitanja pa nije jasno kada je napad počeo, da li je još u toku, koja vrsta napada je u pitanju, kao i koji su sve delovi sistema EPS-a pod napadom.
U međuvremenu, pojedina dokumenta Elektroprivrede Srbije kao dokaz navodnog napada objavljena su na dark webu, na sajtu koji se povezuje sa hakerskom grupom Qilin, prenose sa foruma Bezbedan Balkan koji prati digitalnu bezbednost.
Grupa Qilin preuzela je odgovornost za napad. Na sajtu ove grupe navodi se kako EPS nije vodio računa o internet bezbednosti i bezbednosti svojih kupaca i partnera. Kako se dodaje kompanija ne stupa u kontakt sa ucenjivačima i ne želi da reši problem bez gubitaka i rizika po reputaciju.
„Pored blokiranih servera, ukrali smo ogroman deo privatnih podataka kompanije. Privatni ugovori, ugovori sa partnerima unutar i van zemlje, finansijska dokumenta, ugovori o kreditu, izveštaji, bilansi, ogroman broj privatnih mejl korespondencija“, navode iz hakerske grupe koja se potpisuje kao Qilin.
Novinari Radija Slobodna Evropa (RSE) ove informacije pokušali su da provere u EPS-u, Ministarstvu unutrašnjih poslova, Tužilaštvu za visokotehnološki kriminal.
Odgovori nisu stigli do objavljivanja teksta.
Detalje incidenta sa javnošću nije mogao da podeli ni Nacionalni centar za prevenciju bezbednosnih rizika u IKT sistemima (CERT).
Kakve pretnje upućuju hakeri?
„U slučaju da se kompanija ne dogovori sa nama, svi podaci će biti dostupni za javno preuzimanje nakon 10 dana“, zaključuju anonimni ucenjivači koji su preuzeli odgovornost za nedavni hakerski napad.
Hakerska grupa Qilin u svojim napadima koristi ucenjivačke zlonamerne softvere (ransomwere) koje koristi da zaključa podatke ili delove različitih informacionih sistema.
Kako se navodi u različitim online izvorima na meti napada ove grupe najčešće su bili sistemi kritične infrastrukture, poput energetike, saobraćaja, zdravstva, telekomunikacija.
Šta je poznato?
EPS je incident prijavio 18. decembra 2023. godine, navode iz CERT-a u pisanim odgovorima za RSE i dodaju da ih nije moguće podeliti sa opštom javnošću.
Sa foruma Bezbedan Balkan koji okuplja stručnjake za bezbednost na interneru, duže od godinu dana upozoravaju javnost, ali i nadležne institucije na različite propuste i incidente koji se odnose na digitalnu zaštitu sistema EPS-a.
Sve češći napadi hakerskih grupa
Više od 10 miliona incidenata prijavili su tokom 2022. godine operatori IKT sistema od posebnog značaja, navodi se poslednjim izveštajem Nacionalnog CERT-a.
U operatore od posebnog značaja spadaju najvažniji državni koji se koriste u sektorima energetike, saobraćaja, zdravstva.
Najučestaliji incidenti su neovlašćeno prikupljanje ličnih podataka, kao i pokušaj upada u IKT sistem.
Tokom 2023. godine na crnom tržištu našli su se navodni mejl nalozi, kao i mejl prepiske zaposlenih u EPS-u, ugovorima, obračunima, porukama sindikata, izvestili su sa ovog foruma.
Prodavali su se i nalozi zaposlenih u Elektromreži Srbije.
Na pitanje RSE da li se hakerski napad u EPS-u može dovesti u vezu nezaštićenim resursima zaposlenih u EPS-u kojima se trgovalo na dark webu tokom 2023. godine iz Nacionalnog CERT-a odgovaraju da „kontinuirano prati dostupne informacije o potencijalnim pretnjama i rizicima“.
„Hakerske grupe trguju različitim informacijama na Dark Webu, ali ostaje otvoreno pitanje da li su i koliko ti podaci validni, ili je možda reč o nekim zastarelim ili fabrikovanim nalozima koji se nude na prodaju“, objašnjavaju iz CERTA.
Navode i kako Dark Web nije uređena platforma i svaki korisnik može ponuditi bilo kakve „podatke“ na prodaju, što ne mora nužno da znači da su tako „prikupljeni podaci“ bili zloupotrebljeni za izvođenje ovog sajber napada.
Kako je napad izveden ostaje nepoznato, međutim iz Nacionalnog CERT-a u odgovorima za RSE od 20. decembra uveravaju da će IKT sistem biti u mogućnosti da podeli više detalja nakon završetka istrage, koja je u toku.
Ko istragu vodi i do kada će da traje nisu precizirali iz Nacionalnog CERT-a, ali iz drugih nadležnih institucija.
Ovo nije prvi hakerski napad u Srbiji čija su meta bili državni sistemi
Početkom 2023. godine na društvenim mrežama vodila se svojevrsna kampanja na hakovanje i onemogućavanje rada različitih sajtova i državnih onilne resursa.
Šta je Ransomver
Ransomver je zlonamerni softver koji šifrira podatke na uređajima ili mrežama, a za pristup i otključavanje datoteka se zahteva plaćanje otkupa. Čest je slučaj da datoteke čak i nakon plaćanja otkupa ostaju zaključane.
Veliki broj državnih sajtova bio je van funkcije i po nekoliko dana, a zasluge za ove napade preuzimali su i sa naloga na društvenim mrežama koji se potpisuju kao Anonimusi.
Najteži sajber napadi na Zapadnom Balkanu zabeleženi su tokom 2022. godine.
Zlonamerni ucenjivači zaključali su podatke i delove informacionog sistema Republičkog geodetskog zavoda.
Zbog ovog napada javnost nije imala pristup digitalnim servisima Katastra skoro deset dana.
Tokom iste godine hakerska grupa koja se dovodi u vezu sa Iranom upala je više državnih sistema u Albaniji.
Portala e-Albania državnog portala koji pruža niz digitalnih usluga poput upisa u školu, podnošenja zahteva za izdavanje ličnih dokumenata, upis vlasničkih prava i registraciju poslovnih podataka.
Napad je obuhvatao i curenje osetljivih podataka koji su objavljeni na sajtu HomeLand Justice, grupe povezane sa Iranom koja stoji iza napada, što je utvrdila analiza Majkrosofta.
Brojni slučajevi hakerskih napada na državne sajtove nisu dobili sudski epilog.
(Radio Slobodna Evropa/ilustracija: Pixabay)