Nekoliko proruskih hakerskih grupa preuzelo je odgovornost za sajber napade koji su privremeno blokirali nekoliko vladinih sajtova na Kosovu prošle nedelje, iako je Vlada saopštila da napad nije uticao na podatke i da su sajtovi ponovo onlajn.
Radio Slobodna Evropa analizirao je profile ovih potencijalnih napadača, dok stručnjaci iz ove oblasti kažu da bi napad trebao biti poziv na buđenje za veću sajber zaštitu.
"Kosovska greška" je hashtag koji se koristi u nekoliko objava na Telegram kanalu pod nazivom "Ubice servera" (Server killers).
U ovim objavama, koje su započele 7. maja, ova proruska grupa Telegram, koja je 14. maja imala oko 2.000 članova, tvrdi da je izvršila sajber napade na nekoliko sajtova kosovske vlade.
Grupa kaže da je napad izveden nakon što je kosovski ministar odbrane Ejup Maćedonci na međunarodnoj konferenciji odbrane održanoj 6. i 7. maja u Poljskoj izrazio podršku Ukrajini u vezi sa ratovanjem Rusije u toj državi.
"Trebalo bi da razmišlja više o bezbjednosti svog sajta, a ne o Ukrajini", pisalo je u objavi na kanalu "Ubice servera" 7. maja.
U postu su objavili i fotografije koje su, prema njihovim riječima, dokaz blokiranja stranica, između ostalih, kabineta premijera i Predsjedništva.
Hakerska grupa je upozorila na daljnje napade u narednim danima, a posljednji post o tome objavljen je 10. maja.
Vlada Kosova je javno potvrdila napade izvršene tokom protekle sedmice i za to okrivila "ruske hakere", ne precizirajući o kome se tačno radi.
"Nekoliko vladinih sajtova bilo je na meti DDoS napada. Kratko vrijeme su web stranice ugašene. Vratile su se u funkciju i bez posljedica u podacima", rekao je za Radio Slobodna Evropa portparol Vlade Kosova Perparim Krueziju (Përparim Kryeziu), bez preciziranja drugih detalja o napadu.
Ministarstvo unutrašnjih poslova i policija nisu naveli da li ima pomaka u identifikaciji konkretnih napadača ili bilo kakvih drugih koraka u vezi sa ovom situacijom.
Šta je DDoS napad?
Distribuirano uskraćivanje usluga je vrsta sajber napada gdje se veliki saobraćaj šalje sa različitih adresa na sajtove koji su meta napada.
Ovaj neuobičajen napad zatim uzrokuje blokiranje ili nefunkcionisanje ciljane stranice.
"Kao napad, prilično je efikasan. Vjerovatno nije najnapredniji i najlakši je za izvođenje. Ne morate biti mnogo napredni u tehnologiji da biste ga izvršili", kaže Kujtim Krueziju (Kujtim Kryeziu), izvršni direktor kompanije za sajber sigurnost, Sentry.
Krueziju, koji je takođe bio uključen u nekoliko vladinih projekata za sajber sigurnost, kaže da grupe hakera ponekad koriste ove napade za slanje poruka ili za testiranje ranjivosti sistema na koje ciljaju.
"U većini slučajeva, ovi napadi su prvi pokazatelj drugih napada koji bi mogli doći... Imali smo i slučaj u Albaniji, napad koji je bio iz Irana počeo je DDoS-om i na kraju je eskalirao u curenje podataka", kaže on za Radio Slobodna Evropa.
Ko su hakerske grupe koje su izvršile napad?
Telegram kanal pod nazivom "Ubice servera", prema podacima Telegrama, registrovan je početkom avgusta 2023. godine.
Prema analizi koju je uradio tim za digitalnu forenziku Radija Slobodna Evropa, kanal je iz Rusije i na ruskom jeziku.
Tamo je 24. februara proslavljen državni praznik Rusije, "Dan domovine", koji se obilježava 23. februara i posvećen je veteranima i osoblju ruske vojske.
Osmog maja, dan nakon prvobitnog napada, ovaj kanal je saopštio da su se napadu na Kosovo pridružile još dve grupe hakera: Digital Revolt i Matrjoška 424 (Matryoshka), oba kanala takođe na ruskom jeziku.
"Pripremi se za posljedice, Kosovo. Napravili ste fatalnu grešku", piše u postu na ruskom na kanalu "Ubice servera".
Druga dva kanala takođe su objavila slične postove komentarišući medijsko praćenje napada, rekavši da je ovo samo početak.
"Čak je i grijanje izazvalo toliku pometnju da su mediji poludjeli! Kosovo još nije vidjelo snagu našeg zajedničkog napada... Šta će biti dalje?", stoji u objavi na kanalu Matrjoška.
Prema stranici TGstat koja prikazuje podatke o Telegram kanalima, kanal Matrjoška je formiran 27. aprila 2023. godine, dok je Digital Revo lt kanal je formiran tek u maju 2024.
Obje zajedno imaju manje od 2.000 članova.
Na kanalu "Ubice servera" ranije su objavili da su tokom aprila izvršili i napade na zvanične web stranice raznih zemalja, uključujući Moldaviju i Sjevernu Makedoniju.
Vlada Kosova nije odgovorila na pitanja o tome koje vladine web stranice su napadnute i koliko je napad trajao.
U međuvremenu, prema objavama hakerskih grupa, napadnuti su sajtovi kabineta premijera, Predsjedništva, Ministarstva unutrašnjih poslova, Ministarstva poljoprivrede i drugih.
U analizama koje je Radio Slobodna Evropa sproveo 14. maja, ove stranice su bile funkcionalne.
Kako Kosovo stoji sa sajber bezbjednošću?
Vlada Kosova je u komentaru za Radio Slobodna Evropa povodom ovog napada saopštila da su pojačali "budnost i daju neophodne procjene kako bi povećali nivo zaštite od sličnih napada u budućnosti".
Kujtim Krueziju kaže da se u slučajevima DDoS napada koristi više računara sa više lokacija.
"Činjenica da je raštrkana i da može doći iz različitih regiona otežava pronalaženje. Ako je (napad) veoma veliki, može doći iz Rusije, Kine, ali i sa Kosova iz zaraženih sistema", objašnjava Krueziju.
On, međutim, kaže da Vlada i njeni stručnjaci donekle mogu da identifikuju izvor napada i da u ovom slučaju "imaju osnova da kažu da je napad došao iz Rusije".
Kosovske institucije bile su meta sajber napada nekoliko puta posljednjih godina, ali bez dugoročnih posljedica ili curenja podataka.
U izvještaju Kosovskog centra za bezbjednosne studije (KKSS), iz 2023. godine, navodi se da je oko 64 odsto anketiranih građana smatralo sajber napade "rizikom za nacionalnu bezbjednost".
Kada su u pitanju državne institucije i sajber bezbjednost, prema ocjeni Kruezijua, jedan od najvećih problema je nedostatak "nezavisnosti Kosova na internetu".