Zloglasna ruska hakerska grupa imena NoName057(16) na internetu je objavila poruku u kojoj je preuzela odgovornost za kibernetičke napade na financijske institucije u Hrvatskoj.
U svojoj poruci napisali su: "Već neko vrijeme nismo posjetili Hrvatsku i odlučili smo ih 'podsjetiti' na nas".
Uz poruku su objavili i popis institucija koje su napali i to redom: Ministarstvo financija, Porezna uprava, Hrvatska narodna banka, portal Hrvatske narodne banke, Zagrebačka burza.
Podsjetimo, ove institucije našle su se pod hakerskim napadom u srijedu te njihove internetske stranice nisu bile dostupne satima.
Dan poslije, odnosno u četvrtak ujutro, uslijedio je i hakerski napad na sustav KBC-a Zagreb (Rebro), no stručnjaci su za RTL Danas naveli da se radi o drugoj vrsti napada. Istraga još traje i ne zna se jesu li napadi na financijske institucije i bolnicu povezani, ali ruska hakerska skupina koja se "hvali" napadom u Hrvatskoj, ne navodi na svom popisu i bolnicu.
Uz imena svojih meta u Hrvatskoj napisali su poruku "dead on ping" što bi značilo da su pod hakerskim "DDoS napadom".
Ako istraga pokaže da je točno kako ova hakerska skupina stoji iza napada, onda on nije jedini koji su izveli. Kako se vidi iz prepiske, ista skupina paraleleno je provela napade i u drugim zemljama.
Napadi i na Cipar, Bugarsku, Belgiju
Naime, hakerska skupina NoName057(16) na isti dan pohvalila se napadom na Cipar, a mete su bile banke te također burza. Kibernetički napad izvela je i na mete u Bugarskoj i Belgiji, a u Ukrajini su samo u jednom od svojih napada ciljali na 15-ak meta, a neke od njih bile su ukrajinske željeznice, pojedina ministarstva, Ustavni sud te druga tijela vlasti.
U jednoj od svojih poruka hakeri su objavili sliku na kojoj piše da je to "osveta" za Sevastopolj, Dombas i za Rusiju.
Vjeruje se da je upravo ova skupina kriva za niz kibernetičkih napada u zapadnim zemljama Europe pa tako i u Sloveniji.
Tko je haktivistička skupina NoName057(16)?
Prema pisanju portala TheCyberExpress, riječ je o hakerskoj "skupini neslavne prošlosti" koja se prvi put pojavila u ožujku 2022. godine. Poznata je po svojim kibernetičkim napadima na ukrajinske, američke i europske vladine agencije, medije i privatne tvrtke.
Skupina se smatra jednom od najvećih neorganiziranih i slobodnih proruskih aktivističkih skupina. Poznata je po široko rasprostranjenim cyber operacijama, a NoName057(16) stekao je zao glas po razvoju i distribuciji prilagođenog zlonamjernog softvera, posebno alata za DDoS napade.
Prema izvješću tvrtke Mandiant u vlasništvu Googlea, NoName057(16), zajedno s drugim ruskim državnim hakerima, predstavljao je najveću cyber prijetnju izborima u regijama s ruskim interesom.
"Mandiant prati više samoproglašenih haktivističkih skupina koje prvenstveno provode DDoS napade i odgovorne su za curenje kompromitiranih podataka što ide u prilog ruskim interesima. Ove skupine tvrde da su ciljale organizacije koje obuhvaćaju sektore vlade, financijskih usluga, telekomunikacija, transporta i energetike u Europi, Sjevernoj Americi i Aziji - međutim, odabir ciljeva i slanje poruka sugerira da je aktivnost prvenstveno usmjerena na sukob u Ukrajini. Relevantne grupe uključuju KillNet, Anonymous Sudan, NoName057(16), JokerDNR/DPR, Beregini, FRwL_Team (tj. From Russia with Love) i Moldova Leaks", naveo je Google u svom izvješću o prijetnjama u travnju, navodi ovaj medij.
Zloslutni pakt s Talijanima
Nakon što se pohvalila napadom na hrvatske institucije, zloglasna skupina objavila je i vijest da su sklopili savez s talijanskom hakerskom skupinom AzzaSec. "Svakim danom nas je sve više. Nezaustavljivi smo", napisali su i objavili isječak iz članka o njihovom savezništvu.
Objavili su i da je riječ o talijanskoj skupini koja je u top tri hakerske organizacije u Italiji.
Kako također navodi portal TheCyberExpress.com savez između AzzaSeca i NoName057(16) izaziva ozbiljnu zabrinutost zbog podizanja razine kibernetičke prijetnje.
"S kombiniranim skupom vještina za implementaciju ransomwarea (vrsta hakerskih napada, op.a.) i napade velikih razmjera, ove skupine predstavljaju značajan rizik za organizacije i vlade povezane s Ukrajinom. Dok rusko-ukrajinski rat bjesni, digitalna fronta će vjerojatno doživjeti daljnju eskalaciju kibernetičkih napada. Za ciljane države i organizacije ključno je ojačati svoju kibersigurnosnu obranu, implementirati snažne planove odgovora na incidente i surađivati u međunarodnim naporima za suzbijanje ovih kibernetičkih prijetnji", objavio je ovaj portal.
O tome tko je zaista odgovoran za sinkronizirane napade na financijske institucije u Hrvatskoj, zasad još nema službenih informacija. Poznato je samo da su stranice institucija pod napadom bile satima nedostupne te da je riječ o "DDoS napadu".
Gostujući u RTL-u Danas, Alen Delić, zamjenik predsjednika Hrvatske udruge menadžera sigurnosti i stručnjak za kibernetičku sigurnost, rekao je da se za sada zna da su napadi na financijske institucije i bolnicu Rebro drugačije naravi, a govoreći o napadu na bolnicu rekao je kako je bolnica možda bila slučajna meta.
"Vjerojatno postoji neki interes, ali treba naglasiti da napadač možda nije ni znao da se radi o nekoj bolnici. Postoje dio automatiziranih i poluautomatiziranih alata koji obavljaju aktivnosti, tako da se originalni motiv možda promijenio“, rekao je za RTL Danas Delić.
A što je DDos napad?
DDos, ili na engleskom Denial of service, najosnovniji je kibernetički napad i u svojoj naravi je vrlo jednostavan te su upravo njime ciljali na HNB, Ministarstvo financija, Poreznu te Zagrebačku burzu.
Takav napad dolazi s više računala koji nisu u vlasništvu napadača. Naime, za takav napad potrebna su računala koja su već ranije zaražena trojancem ili crvom. Riječ je o računalima koja se nazivaju i "zombijima", a vlasnici nisu ni svjesni da su žrtve. Kada napadač pokrene naredbu za DDoS napad, žrtve nisu ni svjesne toga da se njihovo računalo koristi za napad koji simultano kreće s cijelog niza zaraženih računala.
Meta je jedna te se u vrlo kratkom periodu doslovno "bombardira", a u navali tolikog prometa, stranica koja je meta jednostavno se uspori, a često i padne.
Istraga o napadima u srijedu na financijske institucije i na bolnicu Rebro još traje. SOA ne otkriva detalje pa nema ni potvrde o tome jesu li napadi bili iz Hrvatske ili izvana. Ako su bili izvana, tada postoji popis zemalja "sumnjivaca", a pri vrhu je svakako Rusija.
Eskalacijom rata u Ukrajini, pokrenut je i paralelni "nevidljivi" rat u svijetu interneta, a građani toga postanu svjesni kad sustav "padne" prema van, kao što je to bilo u četvrtak u bolnici Rebro kad su se nalazi pisali rukom. Prema posljednjim najavama bolnički sustav normalizirao se u petak.
Iz Porezne uprave odgovorili su kako je "DDoS napadom na web stranice Porezne uprave zahvaćena infrastruktura koja se nalazi u Centru dijeljenih usluga te isto nije rezultiralo kompromitacijom podataka, infrastrukture ili servisa Porezne uprave."
Dodali su: "Rezultat napada je bila privremena nedostupnost stranica Porezne uprave za dio korisnika. U tijeku je detaljna sigurnosna provjera odnosno analiza te u ovom trenutku nemamo dodatnih informacija."
Poslali smo upite i Ministarstvu financija, Hrvatskoj narodnoj banci i Zagrebačkoj burzi o tome imaju li saznanja da su napadi na njih stigli izvana, znaju li već odakle te je li nastala kakva šteta.
Odgovore ćemo objaviti čim ih primimo.