NA SLUŽBENOJ stranici Zavoda za sigurnost informacijskih sustava (ZSIS) nedavno je u rubrici “Sigurnosne objave” izašlo kratko priopćenje koje zapravo skriva da su hrvatske institucije bile izložene velikom hakerskom napadu od početka veljače ove godine.
Obavijest Zavoda za sigurnost informacijskih sustava
“Upozorenje o phishing kampanji” naslov je te obavijesti ZSIS-a u kojoj se navodi sljedeće: “Zavod za sigurnost informacijskih sustava (ZSIS) je u nekoliko državnih tijela pod svojom nadležnošću uočio najnoviju phishing kampanju koja se najvjerojatnije širi putem elektroničke pošte.
U tijelu poruke elektroničke pošte nalazi se poveznica na zlonamjernu stranicu hxxps://postahr.vip/. Protokol https je promijenjen kako bi se izbjeglo nenamjerno posjećivanje, a stranica se nalazi na IP adresi 93.170.105.32 na dediciranom poslužitelju u Nizozemskoj.
Na navedenoj stranici nalazi se sadržaj preuzet sa službenih stranica Hrvatske pošte, a odmah po posjećivanju stranice korisniku se nudi preuzimanje datoteke obavijest_o_posiljki.xls.
Do sada su poznate dvije inačice navedene datoteke. Prva inačica predstavlja SILENTTRINITY zlonamjerni program koji se izvršava u memoriji računala i komunicira sa zlonamjernim poslužiteljem na adresi hxxps://176.105.255.59:8089. Zlonamjerni program dohvaća se putem SMB protokola. Druga inačica predstavlja Powershell Empire zlonamjerni program koji se preuzima s adrese hxxps://posteitaliane.live/owa/mail/drafts.srf.
Hrvatska pošta već je pokrenula korake za uklanjanje zlonamjernih internetskih stranica i poslužitelja, no trenutačno su obje inačice aktivne. Zlonamjernim programom napadači mogu preuzeti kontrolu nad računalom i izvoditi proizvoljne naredbe pod ovlastima korisnika koji je otvorio XLS datoteku i omogućio izvršavanje makro naredbi.”
Strani portali pišu o "misterioznoj skupini hakera"
Prema pisanju portala ZDNet.com, specijaliziranog za digitalne teme, riječ je o “napadu na hrvatske vlasti od strane misterioznih hakera”. ZDNet piše da je “misteriozna skupina hakera”, za koje se pretpostavlja da rade za neku svjetsku državu, uspješno napala i zarazila računala u nekim institucijama vlasti te da je sve to započelo u veljači, a otkriveno tek u travnju.
Sve je učinjeno pomoću malwarea koji dosad nije viđen, a zove se SilentTrinity. Upućeni u ovu tematiku pretpostavljaju da je riječ o ruskom napadu.
O hakerskom napadu na hrvatske institucije pisao je i njemački portal Tarnkappe.info, koji prati zbivanja na world wide webu, a navode da su na sličan način bile napadnute i ukrajinske institucije.
Index je poslao i upit Zavodu za sigurnost informacijskih sustava o ovom hakerskom napadu te ćemo njihov odgovor objaviti kada ga dobijemo.
Kontaktirali smo za komentar i informatičkog stručnjaka Lucijana Carića, koji kaže da to što napad nije otkriven cijela dva mjeseca i nije tako čudno. “Nije neuobičajeno da se dva mjeseca ne primijeti napad, postoje statistike koliko provale bivaju neotkrivene i gotovo uvijek su u pitanju mjeseci, ako ne i godine”, rekao nam je Carić.