Blogpost broj 50 - malo retrospektive i lista top 5 najcitanijih postova

Malo po malo I stigosmo do pedesetog posta. Prvi post je objavljen  pre nešto manje od godinu dana ili precizno 18.03.2017. Kroz ovih godinu dana bilo je postova na razne teme vezane za informacionu bezbednost. U nastavku možete vidite 5 najčitanijih postova:

1. Bezbedna kancelarija u oblaku
2. Letovanje i društvene mreže 
3. Ko su etički hakeri ili beli šeširi 
4. Kako hakeri mogu zloupotrebiti vas racunar za rudarenje kriptovaluta 
5. Kako nas špijuniraju kroz različite aplikacije i uređaje 

Želim da Vam zahvalim na tome što me redovno pratite i čitate sadržaje koje kreiram. Nadam se da sam što se tiče tema bio interesantan i da ćete nastaviti da čitate blog i da ćemo se još dugo družiti na ovim stranicama kroz različite teme vezane za oblast informacione bezbednosti. Takođe ukoliko ima neka tema koja Vas posebno zanima a do sada nije bila obrađena napišite mi to u komentaru i ja ću pokušati u narednom periodu da je objavim.

Problemi sa malverom Olympic Destroyer na otvaranju Olimpijade

Ovo nije prvi put da sajber nadači koriste momenat otvaranje nekog događaja kako bi izazvali probleme. Za vreme ceremonije otvaranja Olimpijskih igara u Pjongčangu je jedan destruktivni malver napravio probleme sa internetom i televizijskim sistemima zbog koga su novinari koji su izveštavali sa ceremonije otvaranja bili u problemu a o čemu se radi pročitajte dalje u postu. Organizatori su priznali da tehnički problemi nisu bili slučajnost i da se njihova mreža našla na udaru sajber napadača.

Istraživači kompanije Cisco su objavili izveštaj o malveru koji je korišćen u ovom napadu. Prema tvrdnjama istraživača malver koji je nazvan Olympic Destroyer ima jednu jedinu svrhu a to je uništenje podataka.  Izvlačenja podataka sa sitema organizatora izgleda da nije bilo po rečima istraživača. Istraživači još kažu da je ovo nešto što smo već videli sa BadRabbit i NotPetya malverima i da je priroda ovog malvera takva da ima za cilj da računar učini neupotrebljivim brišući shadow volume kopije, evidenciju događaja i da koristeći PsExec i WMI pokušava da se kreće dalje kroz okruženje.

Olympic Destroyer na sistemu postavlja dva fajla - jedan koji krade lozinke iz browsera i jedan koji krade lozinke sistema a zatim koristi cmd.exe i WBAdmin.exe da bi krišom obrisao backup operativnog sistema, i cmd.exe i BCEdit.exe da bi onemogućio pre-boot Windows recovery konzolu. Na kraju malver briše System i Security Windows logove da bi sakrio svoje tragove a onda isključuje sve Windows servise na računaru i isključuje računar posle čega ga je nemoguće pokrenuti. Ono što je zanimljivo jeste da malver ne briše nijedan fajl napadnutog računara. Podaci ostaju netaknuti ali sistem će se suočiti sa greškama pri pokušaju sledećeg pokretanja zbog toga što su mnogi ključni Windows servisi isključeni.

Kako je došlo do infekcije za sada nije poznato. Ko stoji iza ovog malvera i napada je nejasno ali se sumnja na dva moguća krivca a to su Severna Koreja i Rusija. Olympic Destroyer je po svemu sudeći rafinisanija verzija BadRabbita pa to upućuje na to da je možda u pitanju Rusija ali neki istraživači kažu da je ovaj malver sličniji alatima koje su ranije koristili kineski hakeri tako da preciznog odgovora još uvek nema.

Malver za kradju goriva na pumpama

Potpuno je neverovatno koliko ljudi mogu biti kreativni. Ovo se naravno odnosi na obe strane price kako konstruktivne tako i destruktivne. Upravo tema ovog posta jeste rus Denisa Zajev koji je napravio malver koji je oštetio kupce goriva u južnoj Rusiji. Naravno da bi sve ovo moglo da funkcioniše u prevaru je umešano na desetine zaposlenih na benzinskim stanicama koji su koristili softver koji je stvorio Zajev. Kupci koje su prevarili oštećeni su za 3-7% goriva od količine koju su platili na pumpi.

Haker je uhapšen

Krajem januara Ruska Federalna služba bezbednosti (FSB) uhapsila je u Stavropolju Denisa Zajeva zbog optužbi da je oštetio brojne vlasnike automobila. ruske vlasti podigle su optužnicu protiv Zajeva zbog toga što je autor nekoliko malicioznih programa zahvaljujući kojima je kradeno gorivo na desetinama benzinskih stanica u južnoj Rusiji. Nije jasno kako su ruske vlasti otkrile ovu prevaru.

Zajev je svoje programe prodavao zaposlenima na benzinskim stanicama a onda su delili novac zarađen od ukradenog i preprodatog goriva. Prema tvrdnjama FSB-a, Zajev i saradnici su zaradili stotine miliona rubalja. Veoma je interesantno da ni lokalna inspekcija a ni naftne kompanije koje daljinski nadziru pumpe nisu uspeli da otkriju maliciozni softver.

Malver je mogao da prikrije podatke o prodaji koji su vezani za prodaju nezakonito stečenog viška goriva. Ovo je vrlo dobro osmišljen softver koji je imao dva cilja. Prvi su pumpe koje su prikazivale lažne podatke a drugi su kase i drugi sistemi na pumpama koji su skrivali podatke.

Kako sve to u praksi funkcioniše

Prevara je izvođena na taj način što kada bi kupac došao na pumpu da sipa gorivo, softver preusmeravao između 3 i 7% goriva koje će kupac platiti u skriveni prazan rezervoar za skladištenje na stanici. Kupci na ovaj način ne bi primetili ovo preusmeravanje, jer je pumpa prikazivala celokupnu količinu dok je kasa izdavala račun za gorivo koje je završilo i u rezervoaru automobila i u skrivenom rezervoaru na pumpi. Kada bi skriveni rezervoar bio pun zaposleni koji su bili deo organizacije bi ukradeno gorivo stavljali u prodaju. I tu im je maliciozni softver bio neophodan jer je prikrivao prodaju ukradenog goriva.

Ukoliko želite da pogledate originalan članak sajta Rosbalt koji je objavio vest na ruskom evo linka.

Međutim ako ste mislili da se ovo prvi put dešava i do sada benzinske pumpe nisu bile na udaru hakera to nije baš tako. Još u toku 2014. godine vlasti Njujorka su optužile 13 ljudi koji su koristili Bluetooth skimere da bi ukrali više od 2 miliona dolara od kupaca na benzinskim stanicama širom SAD što se dešavalo u periodu između 2012. i 2013. godine. Doduše potpuno je različit način rada i ovo je sada na mnogo višem nivou jer je malver veoma sofisticiran i utiče na više sistema na pumpi istovremeno.

Na konferenciji Black Hat održanoj 2015. godine dvojica istraživača Kajli Vilhojt i Stiven Hilt su u svojoj prezentaciji upozorili da izloženi SCADA sistemi mogu omogućiti DDoS napade na pumpe kao i registrovanje netačnih podataka i kvarove motora automobila u koje se manipulacijom napadača može sipati pogrešno gorivo (dizel umesto bezolovnog benzina i obrnuto).

Nadam se da mi uskoro nećemo imati ovakvih problema na našim benzinskim pumpama ali nikad se ne zna. Upravo sam iz tog razloga i napisao ovaj post kako bi što više ljudi čulo za aktuelna dešavanja.