Godina 2025 na Balkanu

Grok generisana slika oprez

Balkan 2025 god i sta nas ceka.

Infostealeri preko kojih APT grupe a sada i lokalne ransomware grupe koriste da bi dosli do IA (initial access) tj pristupa mrezi neke firme ili organizacije uglavnom se nalaze na piratskim verzijama softwera i operativnih sistema koje nosi IT osoblje tih firmi, agencija, drzavnih institucija

Lokalne ransomware grupe - targetiraju male firme pa do vecih, od obicnih ljudi do industrija. Nazalost, proslo je ispod radara takve stvari. Koriste se krekovanim red teaming alatima (Cobalt, Nigthhawk i sl) i kupljenim alatima kao Hermes (kripto loker / alat za enkripciju fajlova na lokalnom hdd)

Smishing, Vishing - unazad 30ak dana samo jedna potvrdjena pljacka je iznosila 18k eur u kripto novcu gdje je osoba nasjela na SMS koji dolazi od Binance (kripto berza). Ovdje je bilo potrebno da se ljudi edukuju ali nazalost o tome se i ne razmislja. Ovo ce se nastaviti desavati.

Ucjene putem interneta - ono sto smo vidjali u USA unazad 4 god, pocelo se desavati i kod nas. Mada je bilo i ranije (2017 i 2016) ali u manjem omjeru, sada poprima ozbiljan "plamen"

Lazne uzbune - desavalo se vec da ljudi koriste pozive, SMS i slicno da upute vlasnika kafica, objekata ili cak firmi da u prostorijama imaju bombe. Takodje i skole. S tim sto razlika je da se prvi oblik manifestuje kroz ucjene (gdje kriminalac trazi uplatu u kripto novcu kako bi prestao

Banke / DHL / dostave - dosta lokalnih pojedinaca i grupa radi prevare usmjerene prema bankama gdje se kreiraju lazne stranice sa nagradama, ili uplatama za servis banke/DHL i slicno. Opet izostanak edukacije i reakcije firmi na takve incidente.

Klasicne online prevare - online marketi, oglasi i slicno koriste se da se pojedinac navede da uplati novac ili da kroz razlicite gift kartice ili bonove posalje prema prevarantu. Problem je sljedeci: kupac zeli da uzme televizor ali mu prevarant trazi uplatu za prenos TV ili navodi na uplatu gift karticama za odredjene usluge (hakovanje profila, prostitucija, droga, i slicno)

Drzavne firme/Vlada i slicno - Jos uvijek uploduju osjetljiva dokumenta na online servise kako bi sherovali sa kolegama, izmedju timova i sektora. Nema edukacije niti se radi sa tim ljudima koji su tempirane bombe unutar drzave.

Haktivizam - se desava ujedno sa politickim desavanjima. Npr server Kopacemo je hakovan, iskopani su podaci. Postoje i drugi trendovi: gasenje profila, floodanje web stranica, i slicno.

Drzava i Pegasus/Cellebrite/Ostali - Zlouptreba aplikacija koje koriste policijske agencije i drugi nad obicnim novinarima, gradjanima. Nastavice se kombinacija pritisaka na pojedince, zloupotreba polozaja i targetiranje kroz aplikacije za maliciozno djelovanje (inace regularni alati ako se koristi uz sudski nalog sto ovdje nije slucaj)

Losa zastita resursa na mrezama - Online kamere, serveri, IoT uredjaji koji se nalaze na lokalnim mrezama nemaju zastitu, update i cak se ne gleda na njih kao problem niti mogucnost da mogu biti hakovani, zloupotrebljeni i slicno.

Profili organizacija / obicnih ljudi na socijalnim mrezama - stalni napadi ljudi kroz razlicite tehnike (phishing, vishing, smishing, ostalo) da bi se doslo do kredencijala / login username/password kako pojedinaca tako i organizacija. Kasnije se profili sa socijalnih mreza koriste za dalje prevare, sirenje malware i prodaju za odredjenu cijenu (posto kupaca za profile sa vise hiljada ili miliona pratilaca uvijek ima)

Na kraju da kazem da mi se sere od lokalnih "security profesionalca" (vi znate koji su) koji pokusavaju da uguraju sebe na silu u svaki sektor i da se osjecaju bitno. Sigurnost je stalni proces a ne ego igra.

Kako je "uklonjen" domen Vlade Srpske (social engineering lekcija) i loše odluke za novu domenu

Razmišljao sam da li da napišem ovaj tekst jer se radi o odličnoj lekciji iz sigurnost na nivou države i uopste kako voditi IT sektor jedne države.

Foto: capital.ba Foto: capital.ba

Između 20 i 24 oktobra 2023 godine nepoznata osoba je poslala email provajderu domene vlade Srpske. Domena zakupljena jos 2001 god (https://web.archive.org/web/20010201000000*/https://www.vladars.net/ izgled prve stranice ) Da li je bilo dijelo jedne il više osoba nećemo saznati jer policija i "stručnjaci" iz vlade Srpske nisu našli problem pa evo kroz ovaj tekst ćemo objaviti da se radilo o social engineering napadu nepoznate osobe. Ne morate biti neki veći poznavalac OFAC liste i kako sankcije funkcionišu ali vlade Srpske na toj istoj listi nema. Neko je iskoristio povezanost lica sa te liste i vlade Srpske da pošalje email provajderu domene. Blokiranje sajta vlade Srpske

Nivo potreban za ovakav čin je minimalno znanje kako funkcioniše domena, whois i email slanje. Iako sam u nekoliko navrata opisao na tviteru/X da se domena može vratiti i da nije bilo potrebno da se ide na novu - stručna lica i spoljni saradnici vlade Srpske su procjenili da treba nova domena. Trenutno stara domena je u funkciji a postoji i nova. Automatsko blokiranje phishinga na X/Twitteru

Prilikom izbora nove domene napravljena je jos jedna greška koja je koštala da sajt vlade i email server budu blokirani nekoliko mjeseci poslije te odluke. Pošto je izbor bio "vladars . rs" a već postoji vladars . net - po automatizmu je domena označena kao phishing. S obzirom da je ovo proslo kroz ruke mnogih IT rukovodilaca - postavlja se pitanje kako je bilo moguće da u eri digitializacije nisu u stanju predvidjeti takvu gresku? Proces uklanjanja je išao "pješke" jer niko iz državnih agencija nije shvatio da se može i brže uraditi.

Funny

Još uvijek je stara domena u funkciji a koristi se i nova (dok pišem ovo) pa me navodi da ovakav pristup više odmaže nego sto ima pomoći da se pronadje domena. Nova domena je registrovana na privatnu firmu i to je uveliko problem.

Provjera na VirustTotal (Novembar 2023) VirusTotal

Korisni linkovi: https://mondo.ba/Info/Drustvo/a1256407/Vlada-RS-lazni-sajt-i-domen-poruka.html

https://vladarepublikesrpske.rs/

https://www.slobodnaevropa.org/a/vlada-rs-stranice-srbija-republika-srpska-dodik-viskovic-sankcije/32666252.html

https://www.infoveza.com/od-sutra-it-blokada-vlade-republike-srpske/