Uvodna napomena
Po prvi put pišem blog jer neko javno dovodi u pitanje moju stručnost i pokušava me diskreditovati, koristeći se tehnikama manipulacije na način da pokušava u moje ime dati neku vrstu mišljenja. Smatram da nema zle namjere nego je samo želja za većim publicitetom i dobijanjem nekakvih poena, kod nekih interesnih grupacija.
Ukratko o hakerskom napadu koji se desio na IZIS
Dana 31.12.2023. godine u večernjim časovima se desio hakerski napad na Integrisani zdravstveni informacioni sistem (IZIS) Republike Srpske, koji je za posljedicu onemogućio radi IZIS-a, što znači da nijedna zdravstvena ustanova u Republici Srpskoj nije mogla imati uvid u elektronske zdravstvene kartone pacijenata (građana Republike Srpske), uvid u to da li korisnik ima zdravstveno osiguranje, te niz drugih funkcionalnosti koje je pružao IZIS.
Izvor: Capital.ba
Prema navodima predstavnika Fonda zdravstvenog osiguranja Republike Srpske kao i trećih strana koje su uključene u razvoj i održavanje IZIS-a, riječ je o ransomware napadu, koji je zaključao podatke na nekim od servera na kojima je hostovan IZIS. Pored zaključavanja, haker ili hakerska grupa je ostavila poruku na serveru za kupovinu tj. otkup podataka, što neupitno govori da je riječ o ransomware napadu.
Više o događaju, kao i izjavama možete pročitati na sledećim linkovima (mediji):
https://www.capital.ba/hakeri-zakljucali-izis-i-poslali-poruku-fondu-za-bezbolno-rjesenje/
https://www.nezavisne.com/zivot-stil/zdravlje/FZO-RS-Hakeri-napali-IZIS/808384
https://www.nezavisne.com/novosti/hronika/MUP-Srpske-pokrenuo-istragu-zbog-hakerskog-napada-na-IZIS/808537
https://rtvbn.com/4054388/hakeri-zakljucali-izis-i-poslali-poruku-fondu-za-bezbolno-rjesenje
https://www.atvbl.rs/republika-srpska/fzo-republike-srpske-hakeri-napali-izis-1-1-2024
Analiza napada na IZIS
Budući da nemam nikakve nadležnosti, niti sam pripadnik bilo kog istražnog organa, analizu zasnivam samo na javno dostupnim informacijama i na meni ustupljenom materijalu. Prije davanja izjave koju sam dao prije dva dana za informativni portal Capital.ba, redakcija mi je ustupila screenshot poruke napadača, koju zbog bojaznosti da mogu ugroziti istragu koju vodi MUP RS, ne mogu objaviti u cjelosti.
Izvor: Redakcija Capital.ba
Cijelu poruku možete pročitati na link-u: https://www.capital.ba/hakeri-zakljucali-izis-i-poslali-poruku-fondu-za-bezbolno-rjesenje/
Prema izjavama Fonda zdravstvenog osiguranja, kao i drugih aktera, ali i prema poruci iz priloženog screenshot-a možemo potvrditi da se radi o ransomware napadu, odnosno enkriptovanju (zaključavanju, ili populistički rečeno “kriptovanju”) datoteka koje sadrže određene podatke, u ovom slučaju datoteka (fajlova) IZIS-a.
Ukoliko je tačna informacija da se ova poruka u vidu datoteke (fajla) nalazila na serveru, a prema nezvaničnim informacijama ona je bila izvan virtuelnih mašina, onda možemo zaključiti da su hakeri zapravo imali pristup kompletnom serveru na kojem je hostovan IZIS, što bi znači da je za ovaj konkretno incident (ransomware napad) bio prvenstveno problem u zaštiti serverske infrastrukture, a ne u zaštiti softvera.
Šta je i kakav je to zapravo ransomware napad?
Ono što trebamo da znamo da se sam napad sastoji od tri osnovna koraka (aktivnosti) a to su:
- Spoznaja sistema i infekcija
- Enkriptovanje podataka
- Zahtjev za otkup
Svaki od ovih koraka zahtjeva posebnu pripremu, na primjer da bi se uopšte izveo prvi korak odnosno spoznao sistem a zatim zarazio neophodno je imati (admin) pristup tom sistemu.
To znači da bi se uopšte došlo do ovog prvog koraka za ransomware napad neophodno je da zlonamjerni haker (ili grupa) omogući sebi pristup u sistem, što obuhvata manje korake kao što su izviđanje sistema, analizu sistema, planiranje a zatim i napad odnosno omogućavanje pristupa sistemu, eventualno eskalaciju privilegija (admin pristup).
Nakon toga zlonamjerni haker radi prvi korak a to je spoznaja sistema (recimo mapiranje datoteka, kreiranje kompletne šeme sistema, čitanje podataka i slično) a zatim radi i infekciju odnosno u ovom slučaju to je ubacivanje ransomware skripte (softvera) u sistem (koja će prema prethodno definisanim pravilima da sprovede drugi korak, ili pak kojom će biti upravljano sa udaljene lokacije). Tek onda dolazi do drugog koraka koji je vidljiv objektu napada a to je enkriptovanje podataka, i na kraju zahtjev za otkup, koji je često i ucjena, što je sada i slučaj.
Potencijalni propusti
Prije nego navedem niz propusta, želim da napomenem da nema apsolutne bezbjednosti, mnogo bezbjedniji sistemi bivaju hakovani, jer ono što trebamo da znamo jeste da hakovanje ne izvodi jedna osoba, nego su to obično hakerske grupe tj. APT-evi, koji imaju specijaliste u timu i svako ima svoj zadatak. Ali da je moguće zaštiti se od ransomware-a moguće je.
Glavni potencijalni propust na osnovu poznatih informacija kod ransomware-a je nepostojanje (nije implementirana) antimalware solucije na serveru.
Dobro podešena antimalware solucija na serveru će u skoro svim slučajevima uspješno odreagovati, jer obrazac ponašanja (modus operandi) svakog ransomware-a jeste da imate jednu ili više datoteka (koje su zapravo skripte – softver) koji mjenjaju sadržaj druge datoteke odnosno enkriptuju drugu datoteku. Taj obrazac ponašanja antimalware solucija prepozna i automatski stavljaju datoteke u karantin, čak obično imaju i DLP (data loss prevention) sistem, gdje naprave kopiju svake datoteke prije nego ona bude izmijenjena od strane druge datoteke ili softvera, a kod nekih solucija imamo i to da antimalware pusti da enkriptuje više njih, pa tek onda blokira proces i zlonamjerne software/skripte, jer hakeri bivaju mudri pa naprave mamac ransomware softver za koji treba da se “upeca” antimalware i zaključa, a onda drugim izvrše napad ili pak odustanu dok ne nađu bolje rješenje za izvođenje napada.
Ovde govorimo samo i isključivo o zaštiti od enkriptovanja datoteka sa ransomware softverom, što svakako nije dovoljno za zaštitu od ransomware-a, jer hakeri pronađu način, ili pak odustanu od ransomware-a ali izvuku podatke i opet ostvare neki svoj cilj. Budući da su hakeri uspjeli zaključati datoteke, vjerovatno kroz prvi korak spoznaje sistema su uvidjeli da nema antimalware solucije i bili su slobodni zaključati server (sistem).
Neki od potencijalni propusta su curenje pristupnih podataka (kredencijala), loša (primjena) politika lozinki, loša (primjena) prava pristupa, nepostojanje dodatne autentifikacije (MFA), izloženost resursa prema javnom internetu i mnogi drugi.
U ovom momentu nemam pristup arhitekturi sistema niti dodatna znanja o sistemu, pa samim tim nije moguće dati neka preciznija mišljenja odnosno utvrditi sve propuste.
Šta je sa podacima (građana Republike Srpske) i kako sam ih “kupio”?
Pitanje za milion konvertibilnih maraka je, šta je sa (zdravstvenim) podacima građana Republike Srpske!?
Upravo davanje odgovora na ovo pitanje, je pokrenulo konstruktivnu diskusiju, zbog koje pišem ovaj blog. Nažalost, neki su iskoristili priliku da dobiju na publicitetu davajući odgovore na ovo pitanje medijima, a onda mediji (vjerovatno uz podršku interesnih grupa) su iskoristili za radi svojih interesa (posjete, komentari, podizanje publiciteta i drugo) da te “bombastične” odgovore objave. Na taj način stvore nemir u javnom mnjenju, bez da provjere (polu)informaciju koju im je neko pružio.
Informacija da se podaci građana Republike Srpske već prodaju na crnom tržištu se zasniva na screenshot-ovima koje je objavio Capital.ba, RTVBN i drugi mediji (te i na jednom Twitter nalogu).
Izvor: Capital.ba
Primjer takve vijesti jeste “IT stručnjaci: Lični podaci građana Srpske na crnom tržištu” koju je objavio portal Capital.ba, kako oni navode na osnovu potvrde petorice IT stručnjaka “Hakerisane baze podataka sa sajtova Integrisanog zdravstvenog informacionog sistema RS koji su nama zaključani punih pet dana, već su se našle na crnom tržištu” Sama vijest sadrži i dva screenshot-a jednog poznatog darkweb skenera.
Izvor: Capital.ba
Izvor: Capital.ba
Capital.ba link vijest: https://www.capital.ba/it-strucnjaci-licni-podaci-gradjana-srpske-na-crnom-trzistu/
Isti su screenshot-ovi su objavljeni na Twitter nalogu Vladimira Cicovića, koji je dao i izjavu za drugi medij RTV BN.
Izvor: https://twitter.com/vladimircicovic/status/1742553258751643874
Prilog o napadu (sadrži iznad screenshot-ove) i izjava Vladimira Cicovića:
Transkript prve izjave g. Vladimira Cicovića: “Te informacije se nalaze na forumima gdje se okupljaju sajber kriminalci, javno su dostupne, ko god želi može da ih kupi. Takođe, informacije građana Republike Srpske sada evidentno u nečijim rukama, a vjerovatno su pronašli grešku u aplikaciji i sa tom greškom su uspjeli da dođu do kompletnog servera a potom i glavne baze gdje se nalaze informacije građana Republike Srpske.”
Dodatno, izjava jednog od petorice IT stručnjaka na portalu Capital.ba glasi: “… koje se nalaze na nekim forumima gdje se okupljaju sajber kriminalci…”, što ukazuje da jedan od petorice IT stručnjaka koristi isti sleng, kao i g. Vladimir Cicović. Pored toga Capital.ba koristi iste screenshot-ove kakve je objavio g. Cicović na svom blogu, s tim u vezi možemo pretpostaviti da je jedan od petorice IT stručnjaka, upravo Vladimir Cicović.
Utvrđivanje da li je informacija tačna da se podaci građana Republike Srpske nalaze na darkweb-u!?
Analizu sam započeo screenshot-ovima na osnovu kojih su “petorica IT stručnjaka” potvrdila da se podaci građana Republike Srpske prodaju na darkweb-u. Screenshot-ovi su kreirani na platformi SOC Radar (https://socradar.io/), a predstavljaju rezultate besplatnog alata “Dark Web Report” SOC Radar-a. Ovaj alat dostupan je svima na linku: https://socradar.io/labs/dark-web-report/.
Dok konkretno rezultat za IZIS (izisrs.org) sa ovih screenshot-ova nalazi se na ovom linku:
https://socradar.io/labs/dark-web-report/results/d3898245adbe4bdaa8a6ef2538f53028
Izvor: SOC Radar
Budući da se bavimo i CTI (Cyber Threat Intelligence) koristio sam SOC Radar nalog moje firme za sajber bezbjednost, jer imamo premium verziju, i uradio sam istragu nad IZIS-ovim domenima i dobio znatno detaljnije rezultate, koji nisu vidljivi u besplatnoj verziji.
Napomena: zbog povjerljivosti podataka, neke linkove i informacije sam prekrio na samom screenshot-u.
Izvor: SOC Radar
Na osnovu podataka koje sam dobio, uradio sam analizu, ali jedan od najvažnijih podataka koji sam dobio jeste “Content link” odnosno adresa darkweb foruma/marketa na kojima se prodaju podaci, za koje mediji i petorica IT stručnjaka tvrde da su podaci građana Republike Srpske.
SOC Radar, što je vidljivo na screenshot-u, prikazuje nekoliko rezultata, kada su u pitanju podaci, između ostalog prikazuje nam za koje domene se vežu podaci, prikazuje i to da se prodaju na darkweb marketu koji prema njihovim informacijama pripada ruskom ekosistemu i niz drugih informacija.
Tako da je ostao samo jedan korak da provjerimo da li je to tačno a to je da se kupe ovi podaci.
BITNA NAPOMENA: Ukoliko se ne bavite profesionalno cyber threat intelligence-om ili nekim srodnim zanimanjem i nemate dovoljno znanja i iskustva u oblasti sajber bezbjednosti, nemojte pokušavati da pristupite bilo kom darkweb forumu.
Pomoću saradnika, pristupljeno je darkweb marketu na kom smo pronašli podatke vezane za IZIS (izisrs.org i mojkarton.com) i iste otkupili, čemu svjedoči sledeći screenshot-ovi:
Izvor: darknet
Izvor: darknet
Bez da otvorimo kupljene arhive, u samom sadržaju arhive (archive.zip) koji je vidljiv na prethodnom screenshot-u možemo uvidjeti da se radi o pristupnim podacima, odnosno kredencijalima (lozinkama), a ne podacima građana. Isto tako veličina datoteke govori da to nije veliki skup podataka.
Kada je u pitanju mojkarton.com treba navesti i to da se ovde radi o curenju isto tako pristupnih podataka više osoba, ali ne samo za mojkarton.com, nego i za neke druge platforme i websajtove, što govori da se ne radi o hakovanju platforme mojkarton.com nego su hakovane osobe čiji su ovo podaci.
Zaključak
S tim u vezi, možemo zaključiti da je netačna informacija “Hakerisane baze podataka sa sajtova Integrisanog zdravstvenog informacionog sistema RS koji su nama zaključani punih pet dana, već su se našle na crnom tržištu.” koja se zasniva na screenshot-ovima od strane “petorice IT stručnjaka”.
Međutim, treba uzeti za činjenicu da su ovi podaci vezani za drugi incident, a ne ransomware napad koji se desio prije par dana, odnosno ovi podaci nam ukazuju da postoji i aplikativni napad na IZIS. Ovo svakako ne isključuje mogućnost curenja podataka o građanima Republike Srpske.
Da li je Poreska uprava RS hakovana?
Sa stanovišta medija, potpuno isti scenario se desio i sa Poreskom upravom RS, odnosno mediji, novinari i njihovi izvori su koristili isti alat, i dali informacije u javnost da je hakovana Poreska uprava RS.
Međutim, i ove informacije nisu u potpunosti tačne, odnosno kao i za MojKarton.com pojedinci su hakovani i njihovi pristupni podaci su iscurili na darkweb-u.
U prilog tome govore kolege članovi foruma Bezbedan Balkan: https://bezbedanbalkan.net/thread-1115.html
Izvor: Bezbedanbalkan.com
Ovaj blog nije napisan prvobitno kao analiza hakerskog napada na IZIS, nego je napisan u svrhu otkrivanja izvora netačnih informacija koje mediji dalje plasiraju u javnost, odnosno napisan je u svrhu da se jedna netačna informacija (tvrdnja) provjeri i dokaže njena tačnost.