Хакерски напад на словеначки пандан ЕПС-а
Електропривреда Србије (ЕПС) саопштила је 19. децембра да се опоравља од "незапамћеног" хакерског напада, не разоткривши детаље инцидента.
У петак, 29. децембра је форум "Безбедан Балкан" објавио да је хакерска група "Ћилин" (Qilin) преузела одговорност за напад на ЕПС пре 10 дана. Уколико се ЕПС не договори са њима, "Ћилин" прети да ће објавити све податке до којих су дошли.
Према наводима стручњака, Србија се налази у групи 15 земаља чије су институције или предузећа били мета те групе; недавно је хаковала и један привредни гигант, а своје нападе започиње слањем "фишинг" мејлова.
Слично као и напад на ЕПС, протеклих месец дана су се низали напади на важне институције и привредне субјекте у Словенији.
Прво је у јавност са великим закашњењем процурело да је "Холдинг Словенске електране" (Холдинг Словеначке електране - ХСЕ), што је у Словенији пандан српског ЕПС-а, крајем новембра био мета сајбер напада. Према штурим информацијама, хакован је пословни систем тако што су закључани фајлови. ТВ Словенија је открила да су хакери од ХСЕ тражили откуп од милион евра у биткоинима, односно један биткоин у замену за један гигабајт података.
Словеначки медији су се одмах расписали да су ХСЕ напали руски хакери.
Словеначки истражни органи су били ипак нешто опрезнији са оптужбама, па су саопштили да иза напада стоји хакерска група повезана са "страном земљом", и да је употребљен вирус "Рисајда рансомвер" (Rhysida ransomvare).
Вирус је онемогућио и закључао приступ подацима, а ХСЕ се суочио са захтевом да плати вртоглаву откупнину у дигиталној валути биткоин у замену за откључавање недоступних података.
СиОЛ, портал у власништву државног Телекома Словеније, обелоданио је да је према објављеним подацима на тамној страни интернета одговорност за хакерски напад на ХСЕ преузела хакерска група "Рисајда" која се први пут појавила на светској позорници у мају ове године. Британски Гардијан тврди да чланови "Рисајд" највероватније потичу из Русије односно Белорусије или Казахстана.
ХСЕ је испрва тврдио да није претрпео већу пословну штету због сајбер напада јер главни процеси неопходни за пословање компаније и даље успешно раде, већина запослених је на својим радним местима, а електране ионако управљају даљински. Потом су хакери запретили ХСЕ да ће узапћене податке продати на аукцији која ће трајати седам дана. За почетак лицитације су поставили цену у висини од 20 биткоина, што по тренутним ценама биткоина износи око 773 хиљаде евра.
Према до сада познатим информацијама, подаци који су били мета сајбер напада на групу ХСЕ и који су потом били објављени на дарк веб-у односе се на "Премоговник Велење" и грађевинску фирму "РГП" за период када је она још била у саставу рудника угља у Велењу. Иако се ХСЕ завио у мук, процурело је да су у јавност већ доспели и неки лични подаци лица који су се налазили на серверима рудника угља (рудник угља на словеначком: премоговник) у Велењу.
Према тврдњама ХСЕ, ове и друге компаније које Холдинг контролише обавестиле су своје запослене о тим "непријатним сазнањима"; оне, чији су подаци испливали у јавност, компаније из групе ХСЕ су појединачно обавестиле уз препоруке шта им је даље чинити. Тим лицима је обезбеђена и одговарајућа помоцћза решавање настале ситуације.
Према информацијама Телевизије Словенија, хакери изузев осетљивих личних података, као што су интерни документи са ознаком пословне тајне, разна писма, пасоши, уговори и ревизије - до сада нису објавили важне државне податке, који имају ознаку "тајно". Каква ће бити њихова даља судбина за сада није познато.
ХСЕ није, међутим, једина жртва сајбер напада који се у последњих месец дана нижу у Словенији. Сличан напад је недавно искусио и словеначки огранак холдинга "Емил Фреј" (Emil Frey) који у Словенији обједињује компаније "Аутокомерц" (Autocommerce), "Авто Триглав", "АЦ-Мобил", "Цитроен Словенија" и "Пежо Словенија"; под својим кишобраном има 12 познатих аутомобилских марки. И у том случају је вирус изнуде био средство преко којег су се хакери намерили да украдене податке продају најбољем понуђачу.
На дарк вебу су се нашли подаци компаније "Аутокомерц" која је у Словенији овлашћена за продају Мерцедесових аутомобилских марки. Није незанемарљив податак да је немачки "Мерцедес" један од највећих добављача за словеначко Министарство одбране са којим је у последњој деценији склапао послове тешке на десетине милиона евра.
Међу главним јавним партнерима компаније "Аутокомерц" су и словеначко државно предузеће за аутопутеве (Дарс), Општина Љубљана (МОЛ), Љубљански путнички саобраћај (ЛПП), Министарство унутрашњих послова... за које обавља и редовно одржавање, сервисирање возила и набавку резервних делова. У овом случају, хакерска група је извршила удар помоћу "Акира рансомвер" (Akira ransomware) вируса.
Примењен је метод двоструке изнуде у којем хакери изнуђују податке из окружења жртве пошто закодирају системе, а затим уцењују жртву и јавним откривањем украдених података уколико не плати тражени откуп. Ако мета напада одбије сарадњу, хакери њене украдене податке објаве или понуде другим купцима на дарк вебу.
Вредност тражених откупа креће се од 200 хиљада до четири милиона америчких долара, известили су љубљански медији. Највише напада вирусом "Акира" регистровано је у Француској, потом у Америци, Канади, Турској и Мексику. За ову групу хакера се претпоставља да је повезана са сада већ угашеном групом "Конти" (Conti), једном од најозлоглашенијих у новијој историји.
За њих се верује да су наследници још једне успешне групе за изнуђивање – "Рyк" (Ryuk). Обе хакерске групе, и "Конти" и "Рук", према тврдњама Словеније "потичу из Русије или земаља бившег Совјетског Савеза и наводно су махом престале да делују".
Није први пут да се Група "Емил Фреј" нашла на нишану хакерског напада. Последњи пут се то догодило јануара лане. У то време је швајцарски трговац аутомобилима био жртва хакерске групе "Хајв"(Hive) која је до сада од 1500 жртава наводно успела да изнуди више од 100 милиона долара у више од 80 земаља.