Министерството за земјоделство еден месец не може да закрепне од рускиот хакерски напад

Тешкиот хакерски напад на руската група BlackByte, донекаде ја парализираше работата на Министерството за земјоделство, шумарство и водостопанство. Неколкумина вработени во МЗШВ за Вистиномер сведочат дека во министерството немале интернет пристап, електронските адреси на вработените не функционирале, а тие не биле во можност да ги користат компјутерите. Сега, само во одреден дел од денот се пуштаат во употреба електронските системи, кои им се потребни на граѓаните, како, на пример, субвенции за земјоделците, издавање решенија и слично. Потоа, од безбедносни причини, повторно се гаснат, бидејќи проблемот сè уште не е комплетно надминат. Последиците од руската хакерска група, очигледно, ќе егзистираат подолго време

Пишува: Мери Јордановска

Точно еден месец Министерството за земјоделство, шумарство и водостопанство закрепнува од тешкиот хакерски напад на руската група BlackByte, која во извесен период ја парализираше работата на институцијата. Неколкумина вработени во МЗШВ за Вистиномер сведочат дека во министерството немале интернет пристап, електронските адреси на вработените не функционирале, а тие не биле во можност да ги користат компјутерите. Сега, само во одреден дел од денот се пуштаат во употреба електронските системи кои им се потребни на граѓаните, како, на пример, субвенции за земјоделците, издавање решенија и слично. Потоа, од безбедносни причини, повторно се гаснат, бидејќи проблемот сè уште не е комплетно надминат. Последиците од руската хакерска група, очигледно, ќе егзистираат подолго време.

Од Министерството за информатичко општество и администрација (МИОА) веќе изјавија дека по започнувањето на руската воена агресија во Украина, бројот на сајбер нападите е зголемен ширум светот, вклучително и против државни институции кои биле цел на напади со откупни софтвери. Тоа значи дека и во иднина и во Македонија и во земјите од регионот да се очекуваат хакерски напади.

Нападот беше пријавен во Министервото за внатрешни работи за понатамошно истражување и постапување, а побарана е помош и од АЕК како и од меѓународни институции. Поради сериозноста на нападот времено вон функција беа ставени сите системи на министерството и истите штом се повторно оспособени етапно се покренуваат, велат од Министерството за Вистиномер. 

Оттаму не ни одговорија на прашањето колку лица се ангажирани контрола и ажурирање на безбедносниот компјутерски систем. Во наредниов период се очекува да пристигнат и експерти од странство за да работат на решавање на проблемот. Од МЗШВ велат дека сепак, за среќа, немало поголеми оштетувања на системот.

Со нападот единствено извршено е оштетување, односно декриптирање на податоци од офис документи (word, excel, pdf), кои ги имаат работено вработените, но се работи и на ниво санирање. Времено неактивни беа службените меил адреси на вработените, кои во овој период беа повторно оспособени и истите повторно се активни, во овој момент поради превенција од нов напад за внатрешна комуникација меѓу вработените, а во наредниот период истите целосно ќе бидат ставени во функција. Исто така, архивата на министерството веднаш е оспособена и истата нормално работи, односно ниту еден документ не е оштетен или исчезнат како последица на хакерскиот напад. Апликациите, пак, на министерството, како, на пример, ЕРЗС системот, ФАДАН, системот за идентификација на земјоделски парцели и други апликации не беа оштетени од овој хакерски напад, но превентивно веднаш по нападот беа исклучени и сега се повторно активни. Системот на министерството во моментов поради превенција делумно е подигнат, односно како се отстрануваат проблемите од хакерскиот напад, етапно системот се чисти и се враќа во функција, објаснуваат од Министерството за земјоделство. 

Оттаму велат дека комплетно ќе биде заменета целата поставеност на внатрешната мрежа во министерството, како и на централанта локација, но и кон подрачните единици. Поставен ќе биде нов Firewall за поврзување на внатрешната мрежа кон интернет и изготвени ќе бидат нови построги безбедноси полиси во работата на сите корисници.

BlackByte – водечка криминална група која работи со откуп и изнуда

BlackByte почна да ги таргетира „корпоративните жртви“ ширум светот во јули 2021 година. Првите наоди во врска со оваа група се појавија откако жртвите побараа помош за дешифрирање на нивните датотеки.

BlackByte се обидува да прекине бројни процеси за безбедност, серверите за електронска пошта и базите на податоци за успешна енкрипција на уредите. Групата BlackByte Ransomware го оневозможува Microsoft Defender на целните уреди пред да ја започне енкрипцијата.

До ноември 2021 година, операторите за откуп од BlackByte компромитирале повеќе американски и странски бизниси, вклучително и ентитети во најмалку три американски критични инфраструктурни сектори (владини сектори, финансиски, сектори за храна и земјоделство).

ФБИ и USSS (американската тајна служба) го опишуваат BlackByte како Ransomware (вид на малициозен софтвер дизајниран да го блокира пристапот до компјутерот додека не биде исплатена целата сума), односно група која енкриптира датотеки на компромитирани системи на Windows, без разлика дали станува збор за физички или виртуелни сервери.

Забележано е дека операцијата BlackByte брзо евоулирала во водечка група за изнудување откупни софтвери. Имено, групата за изнуда ја позајмува својата сајбер криминална инфраструктура на различни филијали, за провизија, откако тие ќе платат за откуп.

Извршната датотека BlackByte остава белешка за откуп во сите директориуми каде што има енкрипција. Белешката за откуп ја вклучува страницата .onion која содржи упатства за плаќање на откупот и примање код за дешифрирање. Или, со други зборови, инфраструктурата на BlackByte им се издава на различни криминални групи за користење, а операторите на малициозниот софтвер земаат дел од сите придобивки од употребата на кодот.

Според експертите, сите знаци сугерираат дека BlackByte е со седиште во Русија, бидејќи откупниот софтвер, како на пример REvil, е кодиран да не ги шифрира податоците на системите што го користат рускиот јазик.

Наплив од хакерски напади во македонските институции

Вистиномер веќе пишуваше за повеќе случаи на хакерски напади кои во земјава се сè позачестени во последниве месеци. Неодамна, повеќемина познавачи кои ја следат дигиталната безбедност, на социјалните мрежи обелоденија информација дека на веб-страницата на Бирото за јавни набавки, кое е под надлежност на Министерството за финансии, се „копаат“ криптовалути. Тие ја отворија дилемата – дали можеби некој од вработените го злоупотребил сајтот со цел да се копаат криптовалути или пак можеби тој бил предмет на хакерски напад. Неколку часа по објавата на социјалните мрежи, во средата, серверот на веб-страницата на Бирото за јавни набавки беше исчистен.

Минатиот месец, во септември, веб-страницата на Министерството за образование беше цел на хакерски напад. Неколку часа на веб-страницата на ова министерство стоеше пораката „Хакирано од грчкиот хакерски тим Netwatchers“. Поради нападот не се отвораше ниту една потстраница на овој сајт, додека сите објавени линкови водеа кон Јутјуб видео со наслов „Позната Македонија“ (Famous Macedonia). Од Министерството за образование и наука тогаш изјавија дека нема потреба од грижи за наводно преземање на некакви бази на податоци на граѓаните, затоа што на веб страната не постојат такви позадински бази и истата има информативен карактер.

Во август годинава престана да функционира системот за електронска поддршка iKnow на Универзитетот „Св. Кирил и Методиј“, а причина за нефункционалноста беше хакерски напад. Ова беше потврдено од ФИНКИ, факултетот кој се грижи за одржување на системот.

Студенти на факултетите на УКИМ се жалеа дека не можат да се најават на iKnow системот и да ги пријават испитите за претстојната испитна сесија.

Од ФИНКИ информираа дека станува збор за „Distributed denial of service“ напад – ДДОС, кој подразбира сајбер-криминал во кој напаѓачот го преплавува серверот со сообраќај за да ги спречи корисниците да пристапат до поврзаните услуги и сајтови, во случајов до iKnow системот на УКИМ.

Претходно, пак, цел на хакерски напад беше и Фејсбук профилот на првиот универзитет во земјава, кога беа објавувани недолични содржини. На профилот првично во живо, три часа, се пренесуваше видео-играта „League of Legends“ со наслов „Здраво на сите“ на англиски јазик, видео кое подоцна беше отстрането, по што продолжија објавите на смешни и необични видео инсерти.

Неодамна, беше забележано и дека ако на Google се пребараат информации поврзани со официјалниот сајт на Владата на Република Северна Македонија, ќе се забележи дека преку сајтот се прикажуваат линкови до Ер Џордан, Најк, Адидас и други спортски брендови. Тие сè уште можат да се најдат преку архивата на Гугл.

Сите овие примери ги отворија прашањата колку се безбедни веб-страниците на македонските државни и јавни институции и дали државата вложува доволно средства и ресурси за да ја зголеми безбедноста, со цел да ги зачува сензитивните податоци кои ја таргетираат и безбедноста, и личните податоци на граѓаните.

Овој напис е изработен во рамките проектот Промовирање на пристап до веродостојни вести за борба против дезинформации, имплементиран од Фондацијата Метаморфозис. Написот, кој е првично објавен во Вистиномер, e овозможен со поддршка на американската непрофитна фондација NED (National Endowment for Democracy). Содржината на написот е одговорност на авторот и не секогаш ги одразува ставовите на Метаморфозис, НЕД или нивните партнери.