Prijetnja iznutra (insider threat) najtamnija je strana kibernetičkog kriminala. Malo tko o tome želi govoriti, no BBC-jev dopisnik za kibernetičku sigurnost dobio je jedinstven uvid u metode hakera kada mu je kriminalna skupina "Meduza" ponudila bogatstvo za pristup korporativnim sustavima.
Ovo je priča o ucjeni, MFA bombardiranju i o tome kako su kriminalci u samo tri dana od profesionalnog razgovora prešli na agresivno lupanje po vratima.
U nastavku prenosimo iskustvo dopisnika BBC-a.
Kao i s mnogim drugim stvarima u mračnom svijetu kibernetičkog kriminala, prijetnja insajdera nešto je s čim vrlo malo ljudi ima iskustva. Još manje ih želi govoriti o tome.
No, stekao sam jedinstven i zabrinjavajući uvid u to kako hakeri mogu izvršiti pritisak na zaposlenike kada sam nedavno osobno primio ponudu od jedne kriminalne bande.
"Ako si zainteresiran, nudimo ti 15 posto od bilo kakve isplate za otkupninu ako nam daš pristup tvom kompjuteru."
To je poruka koju sam primio iz vedra neba od nekoga zvanog Sindikat, koji me kontaktirao u srpnju na kriptiranoj aplikaciji Signal.
Nisam imao pojma tko je ta osoba, ali sam momentalno znao o čemu se radi. Nuđen mi je postotak od potencijalno golemog iznosa ako pomognem kibernetičkim kriminalcima da uđu u sustave BBC-ja preko mog laptopa. Oni bi ukrali podatke ili instalirali zlonamjerni softver, ucijenili mog poslodavca, a ja bih u tajnosti dobio svoj dio.
Slušao sam već priče o takvim stvarima. Štoviše, samo nekoliko dana prije ove neželjene poruke, pojavila se vijest iz Brazila da je radnik u IT sektoru uhićen zato što je prodao podatke za logiranje hakerima, što je, prema tvrdnjama policije, dovelo do gubitka od 100 milijuna dolara za bankarsku žrtvu.
Povećana ponuda: "Nikad više nećeš morati raditi"
Odlučio sam se pretvarati da ću prihvatiti ponudu Sindikata, nakon što sam poslušao savjet jednog višeg urednika na BBC-ju. Želio sam saznati kako ti kriminalci sklapaju mutne pogodbe s potencijalno prevrtljivim zaposlenicima, u vrijeme kad kibernetički napadi diljem svijeta postaju sve razorniji.
Rekao sam Sindikatu – koji je usred našeg razgovora promijenio ime u Sin – da sam potencijalno zainteresiran, ali da moram znati kako će to funkcionirati.
Objasnio mi je da ako mu dam moje podatke za logiranje i sigurnosni kod, oni će hakirati BBC i potom od korporacije iznuditi otkupninu u Bitcoinima. Meni bi slijedio postotak.
Usput su podigli ponudu:
"Nismo sigurni koliko te BBC plaća, ali što ako bi dobio 25 posto od konačne dogovorene sume ukoliko izvučemo jedan posto BBC-jevih prihoda?" "Nikad više nećeš morati raditi."
Sin je procijenio da njihov tim može zatražiti otkupninu u desecima milijuna funti ako se uspješno infiltriraju.
Hakeri su nastavili vrbovanje. Sin je rekao da mogu očekivati milijune i inzistirao: "Izbrisat ćemo ovaj razgovor tako da nikad ne budeš otkriven."
"Iznenađeni biste koliko zaposlenika pristaje"
Haker je tvrdio da su imali mnogo uspjeha, sklapajući pogodbe s insajderima u prethodnim napadima. Spomenuta su imena dviju velikih kompanija hakiranih ove godine kao primjer gdje je takva pogodba bila uspješno sklopljena – jedna britanska kompanija za zdravstveno osiguranje i jedan američki pružatelj hitnih usluga.
"Iznenadio bi se koliko zaposlenika želi da nam omogući pristup," rekao je Sin.
Sin je dodao da je on "menadžer za odnose" u kibernetičko-kriminalnoj skupini zvanoj Meduza. Tvrdio je da je Zapadnjak i jedini član bande koji govori engleski.
Meduza je operacija "ransomware kao usluga" (Ransomware-as-a-Service), gdje bilo koji kriminalni suradnik može koristiti njihovu platformu za hakiranje organizacija. Prema izvješćima, Meduzini administratori djeluju iz Rusije ili savezničkih država, a izbjegavaju napade na organizacije u tim zemljama.
Sin mi je ponosno poslao link na javno upozorenje o Meduzi, izdano od američkih kibernetičkih vlasti u ožujku, koje navodi da je ova grupa hakirala "više od 300 žrtava" u četiri godine.
Čini se da su mene odabrali jer su pretpostavili da sam tehnološki orijentiran i da imam pristup visokog nivoa BBC IT sustavima (što nije točno).
Od razgovora do MFA bombardiranja
Bio sam oprezan i tražio sam dokaz: "Možda ste neki klinci koji se šale ili netko tko me pokušava uhvatiti u zamku." Sin je odgovorio linkom na Meduzinu darknet adresu. Bio je nestrpljiv i pojačavao je pritisak, šaljući mi link na Meduzinu stranicu za regrutaciju. Nagovarao me da počnem proces osiguravanja 0,5 Bitcoina (oko 55.000 dolara) kao depozita za moje usluge.
"Mi ne blefiramo i ne šalimo se – nas zanima samo novac i isključivo novac," pisao je.
Postavili su mi mnoštvo pitanja o BBC-jevoj IT mreži na koja im ne bih odgovorio ni da sam znao odgovore. Potom su mi poslali kompliciranu zbrku kompjuterskog koda i tražili da ga aktiviram na svom radnom laptopu kako bi vidjeli kakav uopće IT pristup imam.
U tom trenutku, nakon tri dana razgovora, odlučio sam da smo otišli dovoljno daleko i da mi je potreban dodatni savjet BBC-jevih stručnjaka za sigurnost.
Ali Sin je izgubio strpljenje: "Kad možeš to uraditi? Ja nisam baš strpljiva osoba. Izgleda da ne želiš živjeti na plaži na Bahamima?" Dali su mi rok do ponoći u ponedjeljak.
A onda su potpuno izgubili strpljenje.
Moj telefon je počeo pingati notifikacijama za autentifikaciju s dva faktora (Multi-Factor Authentication - MFA). Pop-upovi su stizali od BBC-jeve sigurnosne aplikacije za prijavu tražeći od mene da verificiram da se pokušavam logirati na BBC-jev račun.
Agresivno lupanje na vrata
Točno sam znao što se događa – hakerska tehnika zvana MFA bombardiranje. Napadači bombardiraju žrtvu ovim pop-upovima u pokušaju da resetiraju lozinku ili se ulogiraju s nepoznatog uređaja. Na kraju žrtva pritisne pristanak greškom ili da bi se riješila dosadnih poruka. Uber je navodno hakiran na ovaj način 2022. godine.
Biti primatelj ovih poruka bilo je uznemirujuće. Kriminalci su se prebacili s relativno profesionalnog razgovora iz sigurnosti moje chat aplikacije na glavni ekran mog telefona. Imali ste osjećaj kao da su kriminalci počeli agresivno lupati na vaša vrata.
Bio sam preoprezan da bih otvorio chatove s njima, u slučaju da nenamjerno kliknem na pristanak. To bi im dalo momentalni pristup BBC-jevim računima.
Pozvao sam BBC-jev tim za sigurnost informacija i, iz predostrožnosti, složili smo se da me potpuno isključe iz sustava. Bez mailova, bez interneta, bez privilegija.
Kasnije te večeri, stigla je bizarno smirena poruka od hakera: "Tim ti se ispričava. Testirali smo tvoju stranicu za login na BBC i veoma nam je žao ako ti je to stvorilo bilo kakve probleme."
Objasnio sam da sada više nemam nikakav pristup i da sam strašno ljut. Sin je inzistirao da je ponuda i dalje na stolu, ali nakon što nisam odgovorio nekoliko dana, izbrisali su nalog na Signalu i nestali.
Na kraju sam vraćen na sustave BBC-ja, ali s dodatnim zaštitama na svom računu. I bogatiji za iskustvo osobnog susreta s prijetnjom napada na insajdera.
Bio je to jezivi uvid u sve naprednije taktike kibernetičkih kriminalaca, koji ukazuje na čitave oblasti rizika za organizacije kojih nisam ni bio svjestan sve dok ih nisam osjetio na vlastitoj koži, piše BBC.
Za sudjelovanje u komentarima je potrebna prijava, odnosno registracija ako još nemaš korisnički profil....