Trakavici oko hakiranja servera i Elektroprivrede Srbije se još uvijek ne nazire kraj, iako traje od 19. prosinca 2023, a službeno je potvrđen tek 29. prosinca.

Prema navodima radnika EPS-a, hakeri su izbrisali dokaze krađe struje i nelegalnih priključaka, tako da ti slučajevi više ne mogu dobiti sudski epilog.

Nestali podaci
Također su izbrisane i kazne, nelegalna potrošnja i sve ostalo što se trebalo naplatiti. Već neko vrijeme je preko 1.300 računala u sustavu EPS-a dobilo crypto – malware. Odgovornost je preuzela grupa Qilin, koja je objavila snimke nekih od dokumenata, poput interne komunikacije, preko komunikacije s partnerima, ugovora, pa sve do indivudalnih raččuna za struju za kućanstva.

Prema navodima s Internet foruma “Bezbedan Balkan”, koji se ne mogu neovisno prvjeriti, virus “Agenda” grupe Qilin detektuje svaki antvirus, a problem je što na polovici računala u sustavu EPS-a, kao i ne serverima antivirus software nije ni instaliran.

Inače, radi se o klasičnom i relativno primitivno phoishing linku, i dovoljno je bilo da samo jedan djelatnik klikne i da Qilin može pristupiti čitavoj mreži jako brzo i kriptirati datoteke. Prema istim navodima, stigli su i stručnjaci iz inozemstva, koji su navodno procjenili da će biti potrebno oko dva mjeseca da se informacijski sustav EPS-a vrati u funkciju.

Pošto EPS oočigledno nije platio otkupninu, grupa Qilin je objavila da će svi podaci biti dosupni za skidanje 15. siječnja 2024, međutim, još uvijek nisu dostupni, pa se očekuje da će možda otkupnina ipak biti plaćena ili da im treba vremena procesuirati toliki broj podataka.

Što znamo o Qilinu?
Nipošto ne treba otvarati e-mail poruke s domena @eps.rs, @edb.rs, @elektrodistribucija.rs, kao i @mojdoktor@gov.rs. To govori da se radi o sustavnom napadu ne samo na EPS, već i na dobar dio informacijske infrastrukture Republike Srbije, što može uzrokovati i curenje osobnih podataka građana Srbije, a otvaranje e-mail poruka s navedenih adresa može inficirati i računalo!

Prema navodima s Internet stranica ruske tvrtke za kibernetičku sigurnost Group-IB, Qilin je pridruženi program Ransomware-as-a-Service koji sada koristi ransomware temeljen na programskom jeziku “Rust za ciljanje svojih žrtava”. Mnogi Qilin ransomware napadi prilagođeni su žrtvi kako bi se povećao njihov učinak.

Da bi to učinili, hakeri mogu iskoristiti takve taktike kao što su promjena ekstenzija naziva datoteka kodiranih datoteka i prekidanje određenih procesa i usluga. Programski jezik Rust posebno je učinkovit za napade ransomwarea jer, osim što se relativno rijetko koristi, samim tim ga je i teško dešifrirati te olakšava prilagodbu zlonamjernog softvera za Windows, Linux i druge operativne sustave, a baziran je na C/C++, koji je najrasprostranjeniji i najviše korićen programski jezik.

Važno je napomenuti da Qilin ransomware grupa ima mogućnost generiranja uzoraka i za Windows i za ESXi verziju. Qilin reklamira ransomware na dark webu. Prema opažanjima stručnjaka Group-IB, ima vlasnički DLS koji sadrži jedinstvene ID-ove tvrtke i podatke o računu koji su procurili.