FBI je za Mikhailom Matveevom razpisal tiralico.

FBI

Po neuradnih informacijah gre za skupino Babuk, ki je leta 2021 v hekerskem napadu zasegla za več kot 250 gigabajtov podatkov s strežnikov policije v Washingtonu, glavnem mestu ZDA. Od tamkajšnjih oblasti je zahtevala plačilo štirih milijonov dolarjev odkupnine in pri tem grozila z razkritjem seznama sodelavcev policije. Maja 2023 so ameriške oblasti proti vodji Babuka Mikhailu Matveevu, znanemu pod psevdonimom Wazawaka, vložile obtožnico. Za informacije o njegovi lokaciji so razpisale 10 milijonov dolarjev nagrade.

Uradnih informacij o podrobnostih preiskave napada v Mariboru, ki jo vodi policija, ni mogoče dobiti. Direktor urada za informacijsko varnost Uroš Svete za pojasnila ni bil dosegljiv, ker je v tujini. Za zdaj je tako znano le, da se je napad zgodil pred dobrim tednom dni, na univerzi pa so takrat pojasnili, da so napadalci uspeli kriptirati centralne podatkovne oziroma strežniške zmogljivosti. Ob tem so onesposobili tudi informacijski sistem. Obseg napada so ocenili za "zelo velikega".

Kaj je skupina Babuk

Napadalci naj bi bili informacijski sistem univerze onesposobili z izsiljevalskim virusom (ransomware v angl.). Gre za programe, ki šifrirajo podatke na strežnikih tarče, do katerih se lahko dokopljejo, nato pa za dostop do teh podatkov zahtevajo odkupnino, največkrat v obliki kriptovalut.

Med odmevnejšimi tarčami tovrstnih napadov v Sloveniji je bilo v zadnjem letu dni več državnih institucij in podjetij. V javnosti sta najbolj odmevala napad na državno upravo za zaščito in reševanje ter Holding Slovenske elektrarne (HSE), eno od dveh največjih domačih elektroenergetskih skupin. Nekaj tednov po napadu so se večje količine poslovnih podatkov HSE pojavile na temnem spletu.

Sašo Bizjak

Če je bil HSE napaden z izsiljevalskim virusom Rhysida, pa sledi pri napadu na mariborsko univerzo po naših informacijah vodijo do ljudi, povezanih z rusko skupino Babuk. Ta je v zadnjih letih stala za vrsto najbolj zloglasnih napadov na ameriške državne institucije, korporacije, finančne in zdravstvene institucije. V Babuku naj bi se posebej osredotočili na največje in najbogatejše tarče.

Njihova najbolj priljubljena taktika je bilo tako imenovano "dvojno izsiljevanje", pri kateri napadalec:

- izsili podatke iz okolja žrtve in zašifrira sisteme,

- nato izsiljuje podjetje ali mu grozi, da bo javno razkril ukradene podatke, če ne bo plačalo zahtevane odkupnine,

- pri tem pa ne ponuja več ključa za dešifriranje sistemov, temveč grozijo tudi z objavo podatkov na temnem spletu (darknet v angl.). Torej omrežju, do katerega je mogoče dostopati le s pomočjo posebnih računalniških programov.

(INTERVJU) Uroš Svete: Nismo neki mehurček. Ruski hekerji so imeli namige, koga morajo ciljati

"Ključni igralec v ruskem ekosistemu izsiljevalskih virusov"

Za ustanovitelja Babuka velja danes 31-letni Mikhail Matveev, ruski državljan iz Kaliningrada, ki ga ameriške oblasti povezujejo tudi z izsiljevalskimi orodji Lockbit in Hive. Čeprav je Matveev ameriške obtožbe o svoji vpletenosti v napade javno zanikal, je priznal, da so posamezne napade v ZDA izvedle Babukove podružnice. Avgusta 2022, nekaj mesecev po začetku ruske agresije na Ukrajino, je Matveev priznal, da deluje tudi sam pod vzdevkom Babuk.

Po poročanju nekaterih medijev, specializiranih za kibernetiko, je Matveev tudi ustanovitelj ruskega foruma RAMP, ki deluje le na temnem spletu, Na tem forumu je mogoče prodati podatkovne baze, zasežene med hekerskimi napadi, v zadnjih letih pa je tam vse pogosteje mogoče zaslediti kitajsko govoreče ponudnike in kupce.

Matveev je po mnenju ameriških oblasti "ključni igralec v ruskem ekosistemu izsiljevalskih virusov". Na fotografiji Moskva.

Arhiv Večera

Ameriške oblasti so Matveeva, ki ga išče tudi zvezni preiskovalni urad FBI, lani uvrstile na seznam sankcij. To so utemeljile z razlago, da je Matveev "ključni igralec v ruskem ekosistemu izsiljevalskih virusov". V izreku je mogoče prebrati, da je v napadu leta 2021 ukradel podatke o domačih naslovih, zasebnih telefonih in zdravstvenih kartotekah policistov iz Washingtona, dosjeje kriminalcev in podatke o pričah zločinov.

"Ob tem je bil Matveev povezan z izsiljevalskimi napadi na številna ameriška podjetja, med drugim tudi na eno od letalskih družb," piše v dokumentu, objavljenem na spletni strani ameriškega finančnega ministrstva.

Katera veja Babuka je izpeljala napad v Mariboru?

Po poročanju več medijev naj bi prvotna organizacija Babuk sicer že razpadla na več delov. To se je zgodilo po tem, ko so januarja letos na Nizozemskem aretirali enega od hekerjev, povezanih z Babukom. Kmalu zatem so v ameriški kibernetski družbi Cisco Talos s pomočjo izvornih kod za Babukovo programsko opremo razvili dekriptor, ki žrtvam napadov omogoča vrnitev podatkov in ugotavljanje identitete napadalcev.

"Ko je bila Babukova izvorna koda javno objavljena, so jo začeli uporabljati tudi drugi napadalci. Leta 2024 so dediščina Babuka številni derivati te skupine, ki predstavljajo stalno grožnjo v sistemu kibernetske varnosti," je letos poročal portal Outreach.

Katera veja Babuka je izpeljala napad v Mariboru, bo verjetno jasno šele v prihodnjih tednih. Na spletni strani kibernetskega podjetja Cyfirma pa so pred časom opozorili, da so Babukovo metodologijo enkripcije našli tudi v izsiljevalskem programskem orodju Synapse, ki se kot grožnja pojavlja od februarja 2024, torej od aretacije na Nizozemskem. "Obstaja več znakov, da so razvijalci Synapse kodo vzeli od Babuka ali da imajo povezave z njegovimi razvijalci," so ugotovili.

Pri tem so poudarili, da so v izsiljevalskem programskem orodju Synapse vgrajene posebne varovalke, ki preprečujejo vdore v iranske kibernetske sisteme. To po mnenju Cyfirme nakazuje, da so posamezne skupine, ki so izšle iz Babuka, povezane z Iranom ali pa z njim vsaj simpatizirajo. Odgovor na vprašanje, ali za napadom v Mariboru stoji prav iranska veja nekdanjega Babuka, pa bo verjetno dala šele preiskava.