Iz arhive Globusa

Potraga za hakerima koji su zarazili SAD

Globusovi novinari istražili su u Mariboru tko su članovi hakerske trojke koju slovenska policija i američki FBI sumnjiče da su osmislili “Mariposa kod”, računalni virus koji se probio u 13 milijuna računala diljem svijeta

Mi smo FBI. Vaši su studenti kreirali najopasniji virus na svijetu. Želimo da ih dovedete na ispitivanje. Stižemo u Maribor.

Tako su se nekako na opće iznenađenje mariborskih kriminalista prije 16 dana najavili pripadnici američke federalne policije iz ureda u Beču. Grad je dignut na noge: počela su privođenja i premetačine kuća i ureda. Lov na trenutno najopasnije hakere na svijetu mogao je početi. U Sloveniji, ni više ni manje.

Ubrzo su u malenoj policijskoj postaji sjedila dva mladića i jedna djevojka, svi u dobi oko 25 godina. Mršavi i pomalo blijedi gledali su u kut prostorije, odakle su ih sumnjičavo škicali američki ljudi u crnom. Počelo je ispitivanje. Tema: virus Mariposa.

Troje nadarenih studenata FER-a osumnjičeni su da su osmislili “Mariposa kod”, računalni program koji se u nekoliko mjeseci infiltrirao čak u 13 milijuna računala diljem 190 zemalja, a zaštićene datoteke 750 multinacionalnih kompanija i 40 banaka postale su njihova privatna igračka.

Njihovi su identiteti strogo čuvana tajna, iako u malenom gradu (Maribor ima nešto više od 100 tisuća stanovnika), takve tajne brzo isplivaju na površinu.

Prvo i jedino potvrđeno ime glasilo je Dejan Janžekovič. Ovaj programski inženjer, inače povučeni mladić duge kose svezane u rep, živi u južnom predgrađu, nedaleko od trgovačke zone slične zagrebačkom Jankomiru. Nije bio vođa slovenskog ogranka, ali je, kažu, bio najpametniji.

Njegovim tragom krenuli su i reporteri Globusa. U gradu na Dravi dočekalo nas je subotu prohladno vrijeme, i još hladnija reakcija mariborske policije. Nemaju komentara; očito je da igru vodi bečka ispostava FBI-a. Ljudi u crnom u timovima od dvoje povremeno dolaze i odlaze iz Maribora, i ne smiju se službeno miješati u istragu slovenskih kriminalista. Tako nam bar kažu. U bečkom uredu zasad šute.

Ipak, doznajemo da je Janžekovič nakon višesatnog ispitivanja pušten na slobodu te da se vratio na posao programskog operatera u Amisu - tvrtki koja se bavi internetskom televizijom i telekominukacijama.

Ondje nas dočekuju još hladnije, tvrde da ih policija u utorak nije posjetila. Sjedimo u moderno uređenom lobiju, a na golemoj plazmi vrti se prvi nastavak Indiane Jonesa, najbolja reklama njihova proizvoda. Tajnica nakon dužeg nagovaranja zove nekog od šefova, a on sumnjičavo provjerava akreditacije.

- Sve ovo nema nikakve veze s našom tvrtkom - zaključuje.

No, zaposlenici koji su na pauzi pili kavu kažu drugačije.

- Da, bila je policija, i čuli smo za Dejana. Nakon vikenda se normalno vratio na posao. On je simpatičan dečko, dobar kolega i vrlo talentiran inženjer - nevoljko pričaju i međusobno se znakovito pogledavaju. Ne otkrivaju jesu li ga i sami pitali u što se uvalio.

Janžekovič se već u srednjoj školi, II. mariborskoj gimanziji, koju je završio tek sa solidnim ocjenama, uključio se u rad inforamtičke grupe što se sastajala izvan nastave. Čak je bio dio radne skupine bivših učenika koja je pokrenula prvu verziju web-stranice škole na kojoj je i danas njegova fotografija. Tada mu je bilo 16 godina. S kompjuterskog ekrana u nas zuri suhonjavi mladić u crvenoj majici koji nespretno pozira. Zar je to najopasniji haker današnjice?

Njegov bivši profesor informatike Mirko Pešec misli da nije. On nije čak ni znao da je priveden u policiju.

- Na godišnjem sam odmoru kod vas u Hrvatskoj, na Cresu, tako da ne pratim slovenske medije. Dejan uhićen? Ne bih nikad rekao da će se time baviti, jer riječ je o veselom, talentiranom dečku s kojim nikad nisam imao problema - kaže Pešec.

- Sjećate ga se?

- Naravno. Kroz moje ruke prošlo je nekoliko stotina učenika, ali njega sam, ni sam ne znam zašto, zapamtio. Našu je školu pohađao prije sedam-osam godina. Prijavio se u moju grupu informatičara, ali u njoj nije bio najbolji, nego samo prosječan - govori profesor.

Za to vrijeme mi kružimo Mariborom, tražimo njegove kolege na Fakultetu u blizini gradskog središta. No, FERI je zatvoren. Dočekuju nas zaključana vrata kao i u II. gimanziji. Ipak, pribavljamo broj mobitela dekana FERI-ja prof. dr. Igora Tičara.

- Nitko me zbog virusa nije kontaktirao iz policije ili FBI-a. Kad sam čuo da su sve troje, bili polaznici FERI-ja, odmah sam proučio datoteke u referadi, no nisam ih našao. Vjerojatno je riječ o bivšim studentima, ali ih se ne sjećam - kaže Tičar.

Pitamo ga što misli o ironičnom ubodu iz slovenskih medija koji tvrde da je afera Mariposa dokaz da slovenski obrazovni sustav odlično funkcionira.

- Naravno da je nama u interesu obučiti naše studente najbolje što možemo. Međutim, ni na jednom kolegiju ne učimo ih kreirati viruse - smatra dekan.

Napominje da se odavna zalaže za Kodeks ponašanja u virtualnom svijetu, nešto poput Hipokratove zakletve za surfere.

- Nisu to zločini u bijelim rukavicama kako ih javnost doživljava, to su opasni delikti koji nanose golemu štetu -zaključuje.

Dejanovi susjedi, čitamo u slovenskoj štampi dok uz kavu pokušavamo motriti na policijsku stanicu, kažu kako su ga rijetko viđali u stubištu. Ljudi poput njega vrijeme provode pred ekranom. Ne spavaju puno. Život žive na webu. Prema jednom izvoru, kad su došli po njega, policajci su se iznenadili.

Zajedno s krevetom nema ni 50 kila, zaključili su. Među gradskim tračevima saznajemo - on i privedena djevojka u zadnje vrijeme puno su se družili.

- Imeli su se rad - objašnjavaju nam.

Sve su troje nakon višesatnog ispitivanja pušteni na slobodu. Nisu ni za što optuženi, zasad. Istraga se zahuktala i traje i u trenucima dok ovo čitate. Do kraja će vjerojatno biti još uhićenih.

- Širimo istragu. Još, sigurno, dva tjedna imat ćemo posla preko glave. I da, agenti FBI-a redovito nas obilaze - kaže nam Leon Keder, glasnogovornik Ljubljanske policije. Pretraženo je sedam objekata, uglavnom stanova i tvrtki, a istraga se širi na Celje i Ljubljanu. Pa ipak, čini se da Slovenci osim kreativnosti uporabljene u krivu svrhu nisu činili kriminalna djela.

Priča se ubrzo rasplela sve do unatrag dvije godine, i ide ovako nekako.

Dva su mlada Španjolca i njihova prijateljica sjedili u stanu u Bilbau.

- Sve je spremno. Krećemo - objavio je tada prijateljima Netkairo (31), vođa grupe i uključio kompjuter. Pokrenuo je slovenski kod koji su nazvali Mariposa, što je španjolska riječ za leptira. Grupa se nazvala Dias de Pesadilla ili Vrijeme noćnih mora.

Netkairov pomoćnik Ostiator (25) kimnuo je glavom u znak odobravanja, uostalom kao i njihova prijateljica, navodno zavodljiva 30-godišnja Španjolka koja se koristila nadimkom Jonyloleante.

Španjolski je trojac potkraj 2008. prvo stupio u kontakt sa slovenskim trojcem, studentima elektronike i računalstva u Mariboru. Svih šestero nikad prije nisu bili kažnjavani ni poznati policiji - živjeli su mirnim studentskim životom i ni po čemu se, osim po talentu za programiranje, nisu isticali.

Slovenci su programirali kod i prodali ga španjolskim hakerima. Pao je dogovor - ako kod funcionira, Španjolci će za svako računalo kojim ovladaju Slovencima isplatiti deset centa. Iako su pretpostavljali da će zaraziti brojna računala nitko se nije nadao brojci od 13 milijuna.

Slovenci su tako preko noći postali bogataši - tj. postali bi da im je Netkairo imao vremena isplatiti novac. Ljudi u crnom bili su brži i akciju prekinuli na vrijeme.

Mariposa je pokrenuta potkraj 2008., a bila je toliko moćna da ni najveće svjetske kompanije za računalnu sigurnost nisu shvatile da je nešto pošlo krivo.

Kod je funkcionirao ovako: kad ga je tročlani tim Noćnih mora ubacio preko tajnog servera na web, svi korisnici koji su od tada preko neimenovanog programa P2P skidali pjesme ili filmove s interneta odmah su zaraženi trojanskim konjem što ga njihovi antivirusni programi nisu mogli prepoznati. Također, svi surferi koji su koristili MSN chat zbog Maripose su automatski slani na web-stranice koje su bile zaražene istim trojanskim konjem. Jednom kad im se trojanac ubacio u računala, nad svim njihovim podacima kontrolu je imala španjolska trojka.

Tako su se hakeri ubacili u računala brojnih kompanija, stotina američkih državnih agencija, Sveučilište u Kanadi i u sisteme 40 multinacionalnih banaka.

Iako su imena tvrtki curila u medije, FBI je kompletnu listu držao u tajnosti. Obznanjeno je samo da je od 1000 najmoćnijih tvrtki u svijetu, po izboru utjecajnog časopisa Forbes, njih gotovo pola bilo zaraženo Mariposom. Španjolski Vodatel priznao je na kraju da je više tisuća njihovih mobitela izdano korisnicima s tim virusom.

Tada su hakeri kreirali botnet-mrežu od 13 milijuna tzv. zombie-računala kojima su mogli raspolagati i u njih ulaziti kada bi htjeli.

Povezali su se brojnim kriminalnim organizacijama kojima su prodavali dijelove mreže zaraženih računala već prema potrebi. Primjerice, bandama koje su se bavile skimmingom (krađom PIN-brojeva s kartica) prodavali su podatke iz banaka, čelnicima raznih tvrtki prodavali su pak zaštićene datoteke njihovih konkurenata. Trojanski konj kojim su se hakeri koristili zvao se Zeus.

Najgore je od svega što nitko nije znao da ih pljačkaju.

A onda je u svibnju prošle godine kanadski istražitelj Chris Davies pronašao pogrešku u botnet-sustavu. Odmah je alarmirao stručnjake iz niza američkih tvrtki i ubrzo je osnovan borbeni tim za Mariposu. Okupili su se trenutno najjači antihakeri na planetu.

Uslijedila je bitka kao iz nekog SF-romana. Agenti su se ubacili u mrežu zombie-računala i počeli nadzirati, potajice, komunikacijske kanale između španjolskih hakera. Proučavali su virtualno čudovište, fascinirani, i tražili mane. Nikako nisu uspijevali otkriti odakle hakeri kontroliraju sustav. Novac se polako topio iz banaka, ali nisu mogli otkriti kamo odlazi.

Agenti su se pokušali ubaciti u komandnu strukturu goleme hakerske mreže i preuzeti je. U tome su i uspjeli, pa je šef Netkairo u panici htio popraviti stvar. Bila je to i ključna pogreška.

Netkairo se naime, kada je vidio da više ne kontrolira zaražena računala, preko vlastitog korisničkog imena spojio na botnet i pokušao preuzeti kontrolu tzv. denial atackom. Istražitelji su to opisali kao virtualni rat.

- Poslao je sve svoje botove na oslobođena računala i čekao ishod. U toj borbi palo je nekoliko servera, pa su stotine tisuća računala na sat ili dva izgubile internetsku vezu - kaže stručnjak iz Panda Securityja.

Mariborčane, koji su, čini se, na vagi između toga da svoje hakere proglase junacima ili kriminalcima, zbunjuje informacija da je djevojka ipak podizala novac u jednoj banci u središtu grada. Navodno je riječ o svoti između 40 i 80 tisuća eura, što je trebao biti svojevrsni predujam za dobro obavljen posao s Mariposa kodom. Istražitelji novac zasad nisu pronašli ili o tome šute, a trojac ne posjeduje nikakve neuobičajne vrijednosti - u obliku auta ili luksuznog namještaja.

No Španjolci, kao i Slovenci, možda na kraju i ne završe u zatvoru. Razlog je tomu loše uređena legislativa kad su cyber-kriminalci u pitanju.

Ukupni broj oštećenih korisnika, samo u Španjolskoj, premašuje 600 tisuća, no zasad se tim Noćnih mora može osuditi samo za krađu identiteta. Za to im prijeti ili novčana kazna ili zatvor do 10 godina, što je manje vjerojatno.

Sa Slovencima je zbrka još i veća - oni su samo kreirali kod, ali se nisu njime koristili. Za njih se mora dokazati da su profititrali od toga.

Španjolce zabrinjava to što su njihovi hakeri također na slobodi i što se mogu slobodno koristiti neuništenim dijelovima botneta.

Hoće li to napraviti sada kada im je policija za vratom? Ovisi samo o njihovoj želji za cyber-slavom.

- Ionako su to učinili radi dokazivanja, ne radi novca - spekuliraju slovenski kolege novinari.

Želite li dopuniti temu ili prijaviti pogrešku u tekstu?
Linker
26. veljača 2021 20:13