Rusija razbila skupino REvil
Jurij Kristan
16. jan 2022 ob 13:13:56
Ruske varnostnoobveščevalne sile so sporočile, da so aretirale bistvene člane zloglasne kiberkriminalne združbe REvil in zaplenile njeno infrastrukturo ter imovino. Gre za zanimiv razplet ene najbolj razvpitih zgodb s področja kibernetske varnosti v zadnjih letih, ki ima še dodatne podtone v luči trenutnih trenj med Rusijo in Zahodom spričo kopičenja sil ob meji z Ukrajino.
Verjetno ne bo napačna oznaka, da je bila kiberkriminalna združba REvil zadnjih nekaj let dežurni monstrum pod posteljo, ko je šlo za izsiljevalske hekerske napade (ransomware). Od svojega nastanka v letu 2019 je zelo hitro pridobivala na razvpitosti, predvsem zaradi drznosti, nastopaštva in brezobzirnosti tako do žrtev kot svojih zasledovalcev. Skupina je namreč ciljala zgolj podjetja in ustanove, ki so imele veliko pod palcem, da je lahko zahtevala rekordne odkupnine za ugrabljene podatke, kar naj bi jim letno prineslo več kot 100 milijonov dolarjev izplena. Na svojem blogu Happy Blog so se obenem delali norca iz žrtev, predvsem pa so iz izsiljevanja naredili dobro trženo storitev - RaaS ali ransomware as a service, pri kateri so svoja orodja, ekspertizo in tudi neposredne izpeljave vdorov ponujali na črnem trgu.
Najbolj odmevni so bili njihovi lanski podvigi, kot je vdor v mesnopredelovalno korporacijo JBS SA in zloraba ranljivosti v programski opremi firme Kaseya, skozi katero so vdrli v omrežja preko 1500 podjetij po vsem svetu. Sodelovali naj bi tudi s skupino DarkSide, pri vdoru v omrežje za transport goriva Colonial Pipeline. Te akcije so povzročile zaznavne tegobe ne le varnostnim strokovnjakom in podjetjem, temveč tudi navadnim ljudem, ki so na črpalkah ostajali brez bencina ali v trgovinah pred praznimi policami z mesom. Zato se je tokrat ameriška politika odločno zganila in predsednik Biden je v drugi polovici leta pritisnil na ruskega predsednika Putina, naj bolj trdo ukrepa v boju z lokalnimi kiberkriminalci. Že pozno poleti je združba REvil za dva meseca poniknila z interneta, domnevno zaradi ukaza od zgoraj, naj se malo umiri. Ko se je septembra vrnila, so imeli zahodni obveščevalci že pripravljeno grdo presenečenje in so jo z lastnim hekerskim napadom začasno onesposobili. Europol in drugi evropski varnostni organi so medtem izvedli tudi več aretacij sodelavcev skupine v Romuniji, Ukrajini in na Poljskem.
Sedaj je videti, da je prišlo do odločilnega koraka tudi na ruski strani, kajti varnostnoobveščevalna služba FSB in notranje ministrstvo sta naznanila, da so organi pregona v Moskvi, Sankt Peterburgu in Lipecku aretirali 14 članov združbe ter zasegli zajetno količino nakradenega denarja in imovine: 426 milijonov rubljev (ali dobrih pet milijonov evrov), še dodaten milijon v dolarjih in evrih, pa 20 luksuznih avtomobilov in ogromno računalniške opreme, ki je verjetno sestavljala glavnino infrastrukture skupine. Zaenkrat je znana identiteta osmih članov, za katere je odrejen dvomesečni pripor. Trenutno so obtoženi le uporabe metod za pranje denarja in finančne malverzacije, zato še ni povsem jasno, kako velike ribe v strukturi združbe so dejansko bili, saj bi jim teoretično morali nalepiti vsaj še obtožbe razvoja zlobne kode. Po ruskih zakonih jim grozi med pet in osem let zapora, medtem ko se jim izročitve v tujino ni treba bati, saj Rusija tega ne počne.
Zato se seveda na vseh straneh porajajo vprašanja, kaj ruska akcija dejansko pomeni in zakaj so jo izpeljali ravno sedaj. V zadnjih mesecih je namreč prišlo do novega zaostrovanja ob meji z Ukrajino, kjer so Rusi nakopičili 100.000 vojakov, in vse bolj razširjeni so strahovi, da nas čaka vojaški spopad. Hkrati je konec prejšnjega tedna prišlo do največjega kibernetskega napada na ukrajinsko infrastrukturo po štirih letih. Zlikovci so ponečedili okoli 70 spletnih strani ministrstev in javnih ustanov, pri čemer so v objavi zatrdili, da so pokradli osebne podatke državljanov in jih vrgli na splet. Ukrajinski organi poudarjajo, da do slednjega ni prišlo in da je šlo le za površinski vdor, po katerem so v nekaj urah spet vzpostavili delovanje prizadetih spletnih strani. Malopridneži so izkoristili ranljivost v programju October CMS, ki je bila sicer zakrpana že avgusta lani, tako da je šlo za malomarnost ukrajinskih vzdrževalcev sistemov.
Sprva Zahod ni želel kazati s prstom, toda v Ukrajini so prek vikenda za napad že obtožili vzhodno sosedo - objava v ukrajinskem, ruskem in poljskem jeziku je bila slabo prevedena z Yandexovimi orodji, predvsem pa naj bi ruski mediji čudežno pridobili podrobnosti o napadu veliko pred ukrajinskimi. Sam vdor je bil po mnenju strokovnih opazovalcev preveč amaterski, da bi napovedoval rusko vojaško akcijo. Namesto tega naj bi šlo za napenjanje mišic, za katerega so Rusi uporabili katero od zunanjih hekerskih skupin, verjetno beloruskega izvora, da sledi ne bi mogle voditi do notranjih ruskih združb; ali pa je šlo tudi za povsem samostojno akcijo privržencev proruskih nacionalistov. Tudi aretacija združbe REvil bi po mnenju nekaterih varnostnih strokovnjakov lahko bila neke sorte "ransomware diplomacija": Rusi bodo bolj usekali lokalne kriminalne združbe po prstih, če jim bodo Američani malo pogledali skozi prste ob igračkanju na ukrajinski meji. A v tem trenutku si je res težko predstavljati, da bi NATO in zaveznice na rožljanje z orožjem zaradi tega lahko gledali kaj drugače.