Unutar napada na internet infrastrukturu u Srbiji

Tokom dana 11. oktobra došlo je do otežanog rada sajtova koji imaju .rs domene. Prvi problemi počeli su između 12 i 13 sati, da bi tokom dana različiti pružaoci internet usluga obaveštavali korisnike da je u toku rešavanje određenih problema koji postoje kod Registra Nacionalnog Internet Domena Srbije (RNIDS).

Fondacija "Registar nacionalnog internet domena Srbije", skraćeno RNIDS, upravlja registrom naziva nacionalnih internet domena .RS i. SRB, kao i internet infrastrukturom od posebnog značaja za funkcionisanje interneta u Srbiji.

"Izvesno je da su se RNIDS-ovi servisi našli pod opterećenjem usled napada na infrastrukturu koju RNIDS koristi", navodi se saopštenjem od 12. oktobra i dodaje kako je rad servisa za registraciju domena bio značajno otežan u periodu od 11 do 13:45 tokom 11. oktobra zbog čega nije bila moguća registracija domena, kao i drugih usluga.

"Naši serveri pružali su odgovor na upite", navodi saopštenjem RNIDS od 12. oktobra i dodaje da "ne mogu imati uvid u to kakvi se napadi i sa kojim uticajem dešavaju na drugim sistemima", odnosno da li su drugi pružaoci internet usluga sa kojima sarađuju bili izloženi napadima.

Pomenutim saopštenjem potvrđeno je da se radi o DDoS napadu, ali ostaje nejasno na koje je pružaoce internet usluga u Srbiji napad bio usmeren.

DDoS predstavlja višestruki napad sa ciljem onemogućavanja ili ometanja funkcionisanja IKT sistema (engl. "Distributed denial-ofservice attack" – DDoS).

Institucije u Srbiji nisu izašle sa konkretnim detaljima hakerskog napada na internet infrastrukturu u zemlji, pojedini detalji stigli su iz onlajn zajednice koja i dalje pomno prati razvoj događaja, ali i od kompanija koje su osetile poteškoće u funkcionisanju.

Kako je izgledao napad?

Internet provajderi i kompanije koje pružaju usluge web hostinga tokom 11. oktobra obaveštavale su klijente da imaju poteškoće u radu.

"Već više od 2h .RS domeni su nasumično nedostupni zbog problema kod Registra Nacionalnog Domena Srbije (RNIDS). Molimo za strpljenje, kolege iz RNIDS-a rade na rešavanju problema", navodi se u tvitu kompanije Unlimited.rs koja pruža usluge veb hosting.

Iz kompanije Unlimited.rs za Radio Slobodna Evropa (RSE) kažu da su problemi počeli 11. oktobra oko 12 časova u vidu poteškoća pri registraciji i izmenama na .RS domenima, a da su potpuno okončani oko 15:30.

"Najveći intenzitet prijava od strane korisnika bio je između 13:30 i 15:10 kada su određeni .RS domeni sa određenih lokacija, dakle ne svih lokacija i ne svi domeni, bili nedostupni", objašnjavaju iz ove kompanije za RSE.

"Možemo da potvrdimo da sa naše strane, kao provajdera nisu zabeleženi problemi na infrastrukturi", kažu iz kompanije Unlimited.rs za RSE i dodaju da je bilo problema na infrastrukturi određenih provajdera koje koristi RNIDS za svoje servise.

"Ovo je verovatno posledica DDoS napada koji su bili usmereni ka RNIDS-ovim DNS serverima", kažu iz Unlimited.rs.

Da problemi postoje kod Registra nacionalnog domena objavila je tokom 11. oktobra i kompanija MCloud, hosting i ovlašćeni registar RNIDS-a.

Iz MClouda za RSE objašnjavaju da imaju jako veliki broj klijenata koji koriste .rs domen i da su prve probleme osetili 11. oktobra oko 12 sati. Nakon toga su, kako kažu iz MClouda, kontaktirali RNIDS da prijave problem. Ubrzo su dobili obaveštenje u kome se navodi da je toku rešavanje "problema u eksternoj komunikaciji sa servisima".

"Neometan pristup samoj RNIDS aplikaciji i nastavak rada sa domenima je kod nas zabeležen u 14:11", kažu iz MClouda, i dodaju da su iz RNIDS-a dobili informacije "da bi sve trebalo da proradi u skorije vreme, uz napomenu da je moguće da preko nekih provajdera klijenti mogu imati još malo duže poteškoće".

Koje tehničke probleme i napade su zabeležili internet provajderi u Srbiji novinari RSE pokušali su da saznaju od dve najveće kompanije – Telekoma i SBB-a.

Iz SBB-a kažu da su 11. oktobra dobili informaciju od RNIDS da postoje problemi sa njihovim servisima zbog poteškoća u radu na serverima Registra nacionalnog Internet domena, kao i da oni nisu imali napade i poteškoće u radu na svojoj infrastrukturi.

Telekom nije odgovorio na pitanja RSE do objavljivanja ovog teksta.

Šta treba utvrditi, a šta je poznato?

Novinari RSE nisu uspeli da dobiju zvanične potvrde o kojoj vrsti napada je reč, kada je počeo i šta je tačno bila meta ovog napada.

Do objavljivanja teksta na pomenuta pitanja nisu odgovorili iz Registra nacionalnih domena, a preciznije informacije nismo uspeli da dobijemo ni od Nacionalnog centra za prevenciju bezbednosnih rizika u IKT sistemima.

Registar Nacionalnog Internet Domena Srbije prijavio je pomenuti incident Nacionalnom centru za prevenciju bezbednosnih rizika u IKT sistemima, koji prikuplja i razmenjuje informacije o rizicima za bezbednost IKT sistema u Srbiji, potvrđeno je za RSE iz Nacionalnog CERT-a.

Prijavom se navodi da je došlo do otežanog rada DNS servisa određenih pružaoca internet usluga u Srbiji. Na pitanje RSE o kojim se konkretno pružaocima internet usluga radi, iz CERT-a nisu odgovorili i uputili na saopštenje RNIDS.

Mediji su tokom 11. oktobra preneli da se radi o intenzivnom DDoS napadu na internet infrastrukturu u Srbiji. Kasnije tog dana, sopštenjem se oglasio i RNIDS navodeći da su pojedini pružaoci internet usluga u Srbiji napadnuti, kao i da se zajednički radi na otklanjanju problema.

Pod pružaoce internet usluga spadaju internet provajder, kompanije poput Telekoma, SBB-a ili Yettela, ali hosting kompanije koje imaju svoje DNS servere (u Srbiji ili van Srbije).

DNS je skraćenica za Domain Name System i predstavlja jednu od ključnih komponenti interneta, koja je u osnovi sistem koji pretvara imena računara (hostnames) u IP adrese.

Pojedini pružaoci internet usluga u Srbiji sa kojima je RSE razgovarao naveli su da tokom 11. oktobra nisu zabeleženi napadi na njihovu infrastrukturu.

Kompanija Telekom Srbija, jedan od najvećih pružalaca internet usluga u Srbiji, nije odgovorila na pitanja RSE o mogućim napadima u okviru njihovih sistema.

Šta o napadu kažu u onlajn zajednici?

"Na osnovu prikupljenih informacija sa javnih izvora, možemo da pretpostavimo da je reč o 'DDoS DNS flood' napadu, na DNS servere RNIDS-a i pojedinih privatnih pružaoca internet usluga u Srbiji", objašnjava stručnjak za internet bezbednost i jedan od osnivača foruma Bezbedan Balkan, Ivan Marković.

Marković kaže da je to jedan od najprostijih napada, gde napadači jednostavno šalju mnogo DNS upita nekom serveru sa ciljem da zauzmu sve raspoložive resurse, i onemoguće legitimnim korisnicima pristup ovim servisima.

"Kako je DNS servis jedan od vitalnih za funkcionisanje interneta, čak i ovaj jednostavni napad ima katastrofalne posledice", objašnjava on.

Marković ukazuje da su se na društvenim mrežama pojavile objave po kojim je napad izazvan usled političkih odluka u vezi sa zajedničkom izgradnjom naftovoda Srbije i Mađarske do Rusije.

Zvaničnih potvrda koji bi potvrdili takve navode nema.

Srbija spada u zemlje koja odbija da uvede sankcije Rusiji, uprkos apelima sa zapada.

Marković objašnjava kako ovo nije jedini primer gde se putem društvenih mreža poziva na svojevrsan sajber napad na Srbiju. Takvi pozivi postoje godinama unazad, i u velikom broju vezani su zapravo sa temama oko Kosova, dodaje on.

Kosovo je 2008. godine proglasilo nezavisnost, koju su priznale i 22 od 27 članica EU, kao i SAD. Srbija, kandidatkinja za članstvo u EU, ne priznaje nezavisnost svoje nekadašnje pokrajine.

Marković objašnjava kako se često dešava da se razne maliciozne internet grupe organizuju na ovaj način. "Jednostavnim dodavanjem određenih ključnih reči u svoje objave, oni mogu i da aktiviraju sisteme koji služe za izvršavanje ovih napada", zaključuje on.

Hakerski napadi u Crnoj Gori, Severnoj Makedoniji i Albaniji

Poslednjih nekoliko meseci hakerski napadi na Zapadnom Balkanu sve su učestalija pojava.

U Srbiji je zabeleženo više od 13 miliona različitih napada i incidenata u okviru IKT sistema tokom 2021. godine, pokazuju podaci Nacionalni centar za prevenciju bezbednosnih rizika u IKT sistemima.

Ovi incidenti zabeleženi su kod pravnih lica ili organa vlasti koji koriste IKT sistem u okviru svoje delatnosti, odnosno sistemi koji se koriste za obradu posebnih vrsta podataka o ličnosti ili sistemi koji se koriste u obavljanju delatnosti poput energetike, saobraćaja zdravstva ili bankarstva.

Najzastupljeniju grupu incidenata čini neovlašćeno prikupljanje podataka, gde je najdominantnija vrsta incidenta skeniranje portova, zatim pokušaj upada u IKT sistem u okviru koje je najzastupljeniji incident pokušaj otkrivanja kredencijala.

Na trećem mestu se nalazi instaliranje zlonamernog softvera u okviru IKT sistema.

U Srbiji je nedavno pod hakerskim napadom bio Republički geodetski zavod, kada je građanima bio onemogućen pristup eKatastru i različitim servisima koje zavod pruža.

Pod intenzivni hakerskim napadom tokom leta našle su se Albanija i Crna Gora.

Sajber napada u Albaniji registrovan je 15. jula kada je onemogućeno korišćenje portala e-Albania državnog portala koji pruža niz digitalnih usluga poput upisa u školu, podnošenja zahteva za izdavanje ličnih dokumenata, upis vlasničkih prava i registraciju poslovnih podataka. Napad je obuhvatao i curenje osetljivih podataka koji su objavljeni na sajtu HomeLand Justice, grupe povezane sa Iranom koja stoji iza napada.

Sve crnogorske institucije našle su se pod žestokim sajber napadima od 22.avgusta kada kriminalna grupa "Kuba rensomver" plasirala zlonamerni virus. Grupa "Kuba rensomver" grupe tvrdi se i da su došli do podataka iz Skupštine Crne Gore.

Na meti hakerskih napada početkom septembra našla se internet stranica Ministarstva prosvete Severne Makedonije kada je na sajtu ovog ministarstva nekoliko sati stajala poruka "Hakovao grčki hakerski tim Netwatchers".