NOVI INCIDENT

Ovo je hakerska grupa koja stoji iza napada na splitsku zračnu luku

23.07.2024 u 13:23

Bionic
Reading

Zračna luka Sveti Jeronim u Splitu od prethodne se noći nalazi pod hakerskim napadom i otežano funkcionira. Iz Vlade su potvrdili da se radi o napadu vrlo sličnom onome na KBC Zagreb, ali da država nema namjeru pregovarati. Dešifrirane su poruke u kojima se poziva na pregovore, slično kao u slučaju bolnice Rebro. 'Sustav zračne luke se podiže, struka radi na tome, a u međuvremenu će se raditi 'ručno' - otežano jer se radi o špici sezone, ali će se raditi', rekao je ministar prometa Oleg Butković

'U nekom trenutku na ekranu je iskočila klasična poruka - hakeri su obavijestili da su izvršili napad i da su u posjedu svih podataka te su pozvali na pregovore', otkrio je za tportal neposredni svjedok ovih događaja na splitskom aerodromu.

Od pada sustava do tog trenutka prošlo je nekoliko sati, a brojni odlazni letovi su otkazani, dok su oni dolazni uglavnom preusmjereni prema Zadru ili Dubrovniku. Pala je i web stranica zračne luke, a tek poslije 22.30 sati situacija se počela normalizirati. Nervozni putnici su s razglasa pozivani na ukrcaj na svoje letove, no kompletna procedura i dalje se odrađivala ručno.

'Iza napada na splitsku zračnu luku stoji hakerska grupa Akira - ili barem netko tko se potpisuje njihovim imenom', potvrdio je u izjavi za medije direktor Zračne luke Sveti Jeronim Lukša Novak. 'Radi se o vrlo ozbiljnom, klasičnom napadu u kojemu se predlaže pregovaranje o isplati da bi se dobili natrag određeni ključevi. Stav države, kao i naše zračne luke, kao dijela kritične državne infrastrukture, jest da nikakvi pregovori nisu mogući', dodao je Novak.

Novi je to u nizu napada na hrvatske tvrtke i institucije u proteklih mjesec dana, o kojima više pročitajte ovdje.

Nema pregovora s napadačima

'Nismo izlazili u javnost s informacijom da se radi o hakerskom napadu sve dok nismo bili potpuno sigurni u to. Odmah smo obavijestili sve državne institucije - nama nadležno Ministarstvo prometa te MUP i SOA-u, jer se ovdje radi o kritičnoj državnoj infrastrukturi. Naših desetak ljudi cijelu je noć radilo na otklanjanju problema sa stručnjacima iz ovih institucija koji su provodili istragu', govori nam sugovornik sa 'Svetog Jeronima'.

Kao ni država, ni ovaj aerodrom nema namjeru ulaziti u pregovore ili bilo kakve aranžmane s hakerima.

Splitska zračna luka paralizirana zbog pada informatičkog sustava
  • Splitska zračna luka paralizirana zbog pada informatičkog sustava
  • Splitska zračna luka paralizirana zbog pada informatičkog sustava
  • Splitska zračna luka paralizirana zbog pada informatičkog sustava
  • Splitska zračna luka paralizirana zbog pada informatičkog sustava
  • Splitska zračna luka paralizirana zbog pada informatičkog sustava
    +21
Splitska zračna luka paralizirana zbog pada informatičkog sustava Izvor: Cropix / Autor: Paun Paunovic

Što je to Akira?

Akira, iako je relativno nova varijanta ransomwarea, već se pokazala kao jedna od opasnijih varijanti zlonamjernog softvera u upotrebi. Prvi put je primijećena tek u ožujku prošle godine, no trenutačno je jedna od najproduktivnijih skupina u svijetu kibernetičkog kriminala.

Od travnja 2023. do ožujka 2024. Akira je napala više od 250 organizacija, iznudivši približno 42 milijuna dolara od žrtava (3.500.000 dolara mjesečno). Među žrtvama ransomwarea bili su japanski automobilski div Nissan i Sveučilište Stanford te su navodno izgubili 430 GB internih podataka. Zahtjevi za otkupninu kreću se od 200.000 do četiri milijuna dolara, a ako žrtve odbiju platiti, grupa javno objavljuje ukradene podatke.

'Akira nastavlja utjecati na 'širok raspon poduzeća i subjekata kritične infrastrukture u Sjevernoj Americi, Europi i Australiji', upozorili su u travnju ove godine FBI i europske agencije. Iako su prvotno napadali računalne sustave temeljene na operativnom sustavu Windows, kasnija istraživanja otkrila su i verziju ovog ransomwarea za Linux.

Upozorenje FBI-a uslijedilo je nakon koordinirane akcije s Agencijom za kibernetičku sigurnost i infrastrukturnu sigurnost (CISA), Europolovim Europskim centrom za kibernetički kriminal (EC3) i Nacionalnim centrom za kibernetičku sigurnost Nizozemske (NCSC-NL). Ove su agencije udružile snage kako bi podigle svijest o prijetnji koju predstavlja ransomware Akira te kako bi pomogle organizacijama u zaštiti njihovih sustava.

Ovaj ransomware koristi ranjivosti u VPN softveru kako bi dobio pristup korporativnim mrežama koje nisu zaštićene višefaktorskom autentifikacijom. Jednom kada uspiju ući, hakeri kradu osjetljive podatke te blokiraju pristup sustavu, prikazujući poruku na zaslonu koja zahtijeva otkupninu. Ona se obično traži u bitcoinima, čime se otežavaju praćenje transakcija i identifikacija počinitelja.

Akira se oslanja na nekoliko alata za eksfiltraciju podataka. To uključuje WinRAR, WinSCP, rclone i MEGA za eksfiltraciju osjetljivih informacija iz ciljanih okruženja. Sve više se fokusiraju na eksfiltraciju podataka umjesto na postavljanje ransomwarea, a nakon toga grupa traži otkupninu od žrtve. Ako ona nije plaćena, prijeti se objavljivanjem ukradenih, često osjetljivih podataka na dark webu.

Kako prijetnje poput ransomwarea Akira postaju sve sofisticiranije, važno je da organizacije unaprijede svoje sigurnosne mjere i budu proaktivne u zaštiti svojih sustava.

Dodatne sigurnosne kontrole koje su ključne za podizanje razine sigurnosti u organizacijama:

  • Identifikacija i ograničavanje javno dostupnih servisa: Pregledavanjem i analizom servisa koji su javno dostupni (npr. web stranice, e-pošta, VPN ulazne točke) te ograničavanjem pristupa samo neophodnim servisima može se značajno smanjiti površina napada. Redovito pregledavanje i deaktivacija računa koji više nisu u upotrebi (npr. računi bivših zaposlenika) pomaže u sprječavanju zloupotrebe tih računa. Ograničavanje pristupa servisima iz TOR mreže i poznatih anonimizacijskih VPN servisa može pomoći u smanjenju rizika od anonimnih napada, savjetuje stručnjak Zlatan Morić, voditelj Studija kibernetičke sigurnosti Sveučilišta Algebra.
  • Održavanje ažuriranja sigurnosnih zakrpa za sve dijelove infrastrukture, uključujući poslužitelje, mrežnu opremu i sigurnosne uređaje, ključno je za zaštitu protiv poznatih ranjivosti.
  • Održavanje detaljnih i kompletnih dnevničkih zapisa omogućuje bolju detekciju i analizu sigurnosnih incidenata.
  • Korištenje sustava za detekciju i obavještavanje o sumnjivim aktivnostima omogućuje brzo reagiranje na potencijalne prijetnje.

Tijekom noći je na splitskom aerodromu donesena odluka da se od utorka ujutro promet mora odvijati 'kako god to bude moguće'. Sve aviokompanije obaviještene su o poteškoćama s informatičkim sustavom i zamoljene da liste svojih putnika šalju mimo njega, klasičnim putem. Ručno se obavljao check-in i ručno su se ispisivale propusnice za ukrcaj u avione, pa se cijeli aerodrom vratio dobrih tridesetak godina unatrag.