Istraga hakerskih napada zaglavljena u tužilaštvu
Dvije godine nakon sajber napada na Vladine servere državno tužilaštvo i policija još traže počionice, dok nadležni od javnosti kriju izvještaje partnerskih službi.
Dvije godine nakon velikog sajber (cyber) napada na kompletnu informacionu infrastrukturu Vlade Crne Gore, državno tužilaštvo još pokušava da pronađe direktnog počinioca napada.
U avgustu 2022. serveri Vlade Crne Gore pogođeni su ransomwareom, vrstom malicioznog softvera (malware) u kojem napadač zaključava i šifrira podatke i važne fajlove cilja, a zatim zahtijeva plaćanje kako bi otključao i dešifrovao podatke.
Nakon serije napada od 22. do 26. avgusta 2022. godine Ministarstvo javne uprave je upozorilo javna preduzeća koja pružaju usluge distribucije električne energije i vode, luke, aerodrome kao i pružaoce telekomunikacionih usluga da odmah podignu stepen informacione sigurnosti na najveći nivo.
Zbog sajber napada digitalna infrastruktura većeg dijela crnogorske javne uprave bila je van funkcije, uključujući ministarstva, Upravu za imovinu, Upravu prihoda i carina i sudove zbog čega nije funkcionisalo izdavanje dokumenata i fiskalnih računa.
Na pitanje BIRN-a da li je pronađen organizator sajber napada iz Ministarstva javne uprave ponovili su da je "Cuba-Ransomwer" grupa na svojoj web stranici preuzela odgovornost za napad. Iz ministarstva su kazali da su sve informacije o slučaju proslijeđene državnom tužilaštvu.
Iz Osnovnog državnog tužilaštva u Podgorici kazali su BIRN-u da je slučaj sajber napada još u fazi izviđaja, kao i da je upućena urgencija za postupanje Upravi policije, Odsjeku za kriminalističko-obavještajne poslove i Grupi za suzbijanje krivičnih djela visokotehnološkog kriminala.
"U Osnovnom državnom tužilaštvu u Podgorici je formiran predmet protiv, za sada, nepoznatog učinioca ili više njih, zbog krivičnog djela pravljenje i unošenje računarskih virusa, koji je u postupku izviđaja. U predmetu su do sada preduzete određene dokazne radnje", kazao je rukovodilac tužilaštva u Podgorici, Duško Milanović.
Iz Uprave policije nijesu odgovarali u kojoj fazi se nalazi istraga.
Pozivajući se na nezvanične izvore iz obavještajnih krugova BIRN je u septembru 2022. objavio da je interna istraga pokazala da je do napada došlo tako što je malware direktno ubačen sa računara povezanog na vladin server. Iz Vlade nisu zvanično potvrdili ovu informaciju.
Od hibridnog rata do sajber kriminalaca
Nakon drugog talasa napada 26. avgusta 2022. godine, Agencija za nacionalnu bezbjednost (ANB) optužila je ruske bezbjednosne službe za vođenje "hibridnog rata" protiv Crne Gore, navodeći da su napadi "dugo pripremani".
"To je jako ozbiljna stvar, i ovo je jako ozbiljan napad. Pratimo situaciju, uključena je i Agencija za nacionalnu bezbjednost, Uprava policije, Ministarstvo odbrane. Radi se po mom sudu o politički motivisanom napadu", kazao je tadašnji premijer Dritan Abazović na konferenciji za medije 26. avgusta 2022.
Portparolka ruskog Ministarstva vanjskih poslova, Marija Zaharova, odbacila je tvrdnje Podgorice kao dio "kontinuirane politike raskidanja odnosa sa Moskvom u cilju udovoljavanja Sjedinjenim američkim državama (SAD)."
Diplomatski odnosi između Crne Gore i Rusije su pogoršani od 2014. godine, kada je Podgorica podržala sankcije Evropske unije uvedene Moskvi zbog aneksije Krima.
Ministar javne uprave Maraš Dukaj je 29. avgusta 2022. kazao da iza napada ne stoje individualci, nego prepoznata kriminalna grupa u sajber terorizmu Cuba Ransomware. Dukaj je tada za Javni servis kazao da je napad na vladine servere dugo planiran.
"Virus se ne može formirati za mjesec. Oni su čekali određeno vrijeme, odnosno kada da izvrše ovakav napad. Kreiranje virusa je koštalo oko 10 miliona dolara i nigdje do sada nije upotrijebljen", kazao je tada Dukaj.
Sajber grupa "Cuba Ransomware" ima istorijat napada, a prema navodima američkog Federalnog istraživačkog biroa (FBI), do novembra 2021. godine, grupa je ciljala 49 organizacija, uključujući neke unutar vlade SAD. Napadi su bili raspoređeni na pet "kritičnih infrastruktura", uključujući finansijski, zdravstveni, proizvodni i IT sektor. Prema navodima FBI napadači su tražili 76 miliona dolara u otkupninama, a dobili su najmanje 43,9 miliona dolara.
Nakon što je na svojoj stranici "Cuba Ransomware" objavila da posjeduje podatke koji pripadaju Odjeljenju za odnose sa javnošću Skupštine Crne Gore, direktor vladinog Direktorata za informacionu bezbjednost, infrastrukturu i digitalizaciju Dušan Polović je potvrdio da je oko 150 radnih stanica u 10 državnih institucija kompromitovano.
Na zahtjev Vlade Crne Gore u septembru 2022. stručnjaci FBI i francuske Nacionalne agencije za bezbjednost informacionih sistema (ANSSI) uključili su se u istragu napada.
Iz Uprave policije su u januaru 2023. kazali da im je FBI predao Izvještaj o sajber napadima na vladine servere, pojašnjavajući da je izvještaj sačinjen na osnovu značajnog obima prikupljenih podataka kroz mrežu Ministarstva javne uprave i kretanja podataka sa različitih sistema.
Izvještaj FBI nikad nije objavljen dok su iz Ministarstva unutrašnjih poslova odbili da ga dostave BIRN-u navodeći da se radi o povjerljivom dokumentu.
Stručnjak za sajber bezbjednost Aleksandar Obradović smatra da je zabrinjavajuće što rezultati istrage nikada nisu objavljeni.
"Da li je bilo šta od podataka kompromitovano, odnosno obrisano ili uništeno, neće znati niko osim osoba koje su bile uključene u istragu ili imaju pristup izvještajima. Naravno "Cuba Ransomware" to isto zna, ali na njih nećemo moći da računamo da nam daju tačne informacije, šta su sve kompromitovali i šta je sve preuzeto od podataka", kazao je Obradović BIRN-u.
"Javnost će biti upućena u obim nastale štete ukoliko dođe do curenja pomenutog izvještaja ili nakon isticanja zakonski predviđenog perioda koji se odnosi na održavanje tajnosti izvještaja", dodao je Obradović.
Iz Ministarstva javne uprave kazali su BIRN-u da je izvještaj FBI pokazao koje su tehnike i maliciozne viruse koristili napadači, pojašnjavajući da su im dostavljeni i indikatori kompromitacije "koji im pomažu da preduzmu adekvatne aktivnosti na jačanju otpornosti Vladine infrastrukture i mreže državnih organa".
Nakon sajber napada ojačava se sistem odbrane
Dvije godine nakon sajber napada iz Ministarstva javne uprave tvrde da zahvaljujući "back up" sistemima nije uništen nijedan podatak, niti je došlo do njihove kompromitacije. Iz tog vladinog resora pojasnili su da su podaci hakovani na pojedinačnim radnim stanicama, a ne informacionim sistemima.
Na pitanje zbog čega tokom napada nije korišten Disaster recovery sajt (DRS) kojim se omogućava nesmetano funkcionisanje sistema, iz ministarstva su kazali da je taj sistem primjenjiv isključivo za Vladinu informaciono-komunikacionu infrastrukturu. Disaster recovery sajt (DRS) je rezervna lokacija koja preuzima funkcionisanje sistema, bez gubljenja podataka i omogućava korisnicima da nesmetano koriste servise informacionih sistema bez zakašnjenja.
Iz ministarstva su kazali i da će do kraja 2024. biti omogućena dostupnost DRS servisa na Internetu u slučaju incidenata.
U decembru 2022. godine formirana je nova Direkcija za informacionu bezbjednost koja je zadužena za zaštitu vladinih sistema kroz monitoring, prevenciju i otklanjanje posljedica od sajber prijetnji i napada. Prema trenutnoj sistematizaciji u Direkciji je predviđeno 22 radnih mjesta ali iz ministarstva nijesu odgovorili da li su sva radna mjesta popunjena.
Vladin tim za odgovor na računarsko-bezbjednosne incidente (Computer Incident Response Team-CIRT), koji je formiran 2012. godine, zadužen je za istraživanje, analize i odgovore na sajber incidente unutar mreže organa državne uprave. U CIRT-u je trenutno angažovano devet zaposlenih.
U decembru 2022. godine iz Vlade je najavljeno i formiranje Agencije za sajber bezbjednost, zadužene da analizira primjenu propisa, strategija i akcionih planova u oblasti informacione bezbjednosti i daje prijedloge i preporuke za njeno unapređenje.
Međutim, prvi uslov za formiranje Agencije još nije ispunjen, jer Skupština Crne Gore nije usvojila Zakon o informacionoj bezbjednosti koji definiše rad Agencije.
Obradović upozorava da je u Crnoj Gori niska svijest o značaju sajber bezbjednosti u državnoj upravi. On je podsjetio na zvanične podatke prema kojima je u državnoj upravi preko 52.250 zaposlenih, što je 23 odsto ukupnog broja zaposlenih u državi.
"Većina njih ima pristup kompjuterskim uređajima kao i samoj infrastrukturi. Znajući da je ljudski faktor najpodložniji manipulacijama dolazimo do zabrinjavajuće činjenice da imamo 52.250 potencijalnih vektora napada na državnu ICT infrasturkturu o kojoj maltene da niko aktivno ne vodi računa," tvrdi Obradović.
This article was developed in partnership with the regional initiative Western Balkans Anti-Disinformation Hub, implemented by the Metamorphosis Foundation with financial support from the Ministry of Foreign Affairs of the Kingdom of the Netherlands. The contents of the article are the responsibility of PARTNER and do not necessarily reflect the positions of the project partners and donor.
Ovaj članak napisan je u partnerstvu sa regionalnom inicijativom Western Balkans Anti-Disinformation Hub koju sprovodi Fondacija Metamorphosis, i to uz finansijsku podršku Ministarstva vanjskih poslova Kraljevine Holandije. Sadržaj članka je u domenu odgovornosti organizacije PARTNER te nužno ne odražava stavove projektnih partnera kao ni finansijera.
Ky artikull u zhvillua në partneritet me nismën rajonale Western Balkans Anti-Disinformation Hub, që zbatohet nga Fondacioni “Metamorphosis”, me mbështetjen financiare të Ministrisë së Punëve të Jashtme të Mbretërisë së Holandës. Përmbajtja e artikullit është përgjegjësi vetëm e PARTNER dhe nuk pasqyron domosdoshmërisht qëndrimet e partnerëve dhe mbështetësve të projektit.