Disa grupe hakerësh prorusë kanë marrë përgjegjësinë mbi sulmet kibernetike që përkohësisht bllokuan disa faqe qeveritare në Kosovë gjatë javës së kaluar, përderisa Qeveria tha se sulmi nuk shkaktoi pasoja në të dhëna dhe faqet janë rikthyer online.
Radio Evropa e Lirë ka analizuar profilet e këtyre sulmuesve të mundshëm, përderisa ekspertët e fushës thonë se sulmi duhet të jetë alarm për mbrojtje më të madhe kibernetike.
“Gabimi i Kosovës”, është hashtagu i përdorur në disa postime në kanalin e Telegramit të quajtur “Server Killers” (vrasësit e serverit).
Në këto postime, që nisën nga 7 maji, ky grup prorus në Telegram, i cili më 14 maj ka pasur rreth 2 mijë anëtarë, pretendon se ka kryer sulme kibernetike mbi disa ueb-faqe qeveritare të Kosovës.
Grupi thotë se sulmi u krye pasi Ministri i Mbrojtjes i Kosovës, Ejup Maqedonci, në një konferencë ndërkombëtare të mbrojtjes të mbajtur më 6 dhe 7 maj në Poloni, shprehu mbështetje ndaj Ukrainës lidhur me luftën që po zhvillon Rusia atje.
“Ai duhet të mendojë më shumë për sigurinë e faqes së tij, dhe jo për Ukrainën”, ishte shkruar në një postim të kanalit Server Killers, më 7 maj.
Në postim ata përfshinë edhe fotografi që, sipas tyre, ishin dëshmi për bllokimin e faqeve të Kryeministrisë dhe Presidencës, ndër tjerash.
Grupi i hakerëve paralajmëruan për sulme të tjera edhe në ditët në vijim dhe postimi i fundit mbi këtë u bë më 10 maj.
Qeveria e Kosovës ka konfirmuar publikisht sulmet e bëra gjatë javës së kaluar dhe për këtë fajësoi “hakerët rusë”, pa specifikuar se për kë saktësisht bëhet fjalë.
“Disa ueb-faqe qeveritare kanë qenë cak i sulmeve të tipit DDoS. Për një kohë të shkurtër ueb-faqet kanë qenë jofunksionale. Ato janë rikthyer në funksion dhe pa pasoja në të dhëna”, ka thënë për Radion Evropa e Lirë, zëdhënësi i Qeverisë së Kosovës, Përparim Kryeziu, pa specifikuar detaje të tjera mbi sulmin.
Ministria e Punëve të Brendshme dhe Policia nuk kanë treguar nëse ka ndonjë progres në identifikimin e sulmuesve specifikë apo ndonjë hap tjetër lidhur me këtë situatë.
Çfarë është sulmi DDoS?
Distributed Denial of Services (në shqip: Mohim i Shpërndarë i Shërbimeve) është një lloj sulmi kibernetik ku nga adresa të ndryshme dërgohet trafik i madh në faqet që janë cak i sulmit. Ky trafik i pazakontë më pas shkakton bllokimin ose rënien nga funksioni të faqes së shënjestruar. “Si sulm është mjaft efektiv. Nuk është ndoshta më i avancuari dhe është më lehtë të ekzekutohet. Nuk ke nevojë të jesh shumë i avancuar në teknologji që ta ekzekutosh”, thotë Kujtim Kryeziu, drejtues ekzekutiv në kompaninë e sigurisë kibernetike.
Kryeziu, i cili ishte i angazhuar edhe në disa projekte qeveritare për siguri kibernetike, thotë se grupe të hakerëve ndonjëherë përdorin këto sulme edhe për të dërguar mesazh apo për të testuar cenueshmërinë e sistemeve që i kanë shënjestër. “Në shumicën e rasteve këto sulme janë një indikator i parë i sulmeve të tjera që mund të vijnë… Kemi pasur rastin edhe në Shqipëri, sulmi që ka qenë nga Irani ka filluar me DDoS dhe në fund ka eskaluar në rrjedhje të të dhënave”, thotë ai për Radion Evropa e Lirë.
Kush janë grupet e hakerëve që morën përsipër sulmin?
Kanali në Telegram i quajtur “Server Killers”, sipas të dhënave të Telegramit, ishte regjistruar në fillim të gushtit të vitit 2023. Sipas analizës së bërë nga ekipi i forenzikës digjitale të Radios Evropa e Lirë, kanali është nga Rusia dhe në gjuhën ruse. Më 24 shkurt aty ishte uruar një festë shtetërore e Rusisë, përkatësisht “Dita e Atdheut” që festohet më 23 shkurt dhe u kushtohet veteranëve dhe personelit të ushtrisë ruse.
Më 8 maj, një ditë pas sulmit fillestar, në këtë kanal thanë se sulmit ndaj Kosovës i janë bashkuar edhe dy grupe tjera hakerësh: Digital Revolt (Revolta Digjitale) dhe Matryoshka 424, të dy kanalet po ashtu në gjuhën ruse. “Përgatitu për pasojat, Kosovë. Ju keni bërë një gabim fatal”, thuhet në postim në rusisht në kanalin Server Killers. Edhe dy kanalet e tjera bënë postime të ngjashme duke komentuar, po ashtu, edhe mbulimin medial të sulmit, duke thënë se ky është vetëm fillimi.
“Edhe ngrohja bëri bujë aq sa mediat u çmendën! Kosova ende nuk e ka parë fuqinë e sulmit tonë të përbashkët… Çfarë do të ndodhë tutje?”, thuhet në një postim në kanalin Matryoshka. Sipas faqes TGstat që tregon të dhëna mbi kanalet në Telegram, kanali Matryoshka ishte formuar më 27 prill të vitit 2023, ndërsa kanali Digital Revolt, së fundmi në maj të vitit 2024.
Të dyja së bashku kanë më pak se dy mijë anëtarë. Në kanalin e Server Killers, më parë ata kishin njoftuar se kanë kryer sulme edhe në faqe zyrtare të shteteve të ndryshme, përfshirë Moldavinë dhe Maqedoninë e Veriut, gjatë muajit prill. Qeveria e Kosovës nuk u është përgjigjur pyetjeve se cilat ueb-faqe qeveritare u sulmuan dhe për sa kohë zgjati sulmi. Ndërkohë, sipas postimeve nga grupet e hakerëve, ueb-faqet e sulmuara përfshinin atë të Kryeministrisë, Presidencës, Ministrisë së Punëve të Brendshme, Ministrisë së Bujqësisë e të tjera. Në testimet e bëra nga Radio Evropa e Lirë, më 14 maj, këto faqe ishin funksionale.
Si qëndron Kosova me sigurinë kibernetike?
Qeveria e Kosovës në një koment për Radion Evropa e Lirë lidhur me këtë sulm, kanë thënë se kanë shtuar “vigjilencën dhe bëjnë vlerësimet e nevojshme për të rritur nivelin e mbrojtjes nga sulme të ngjashme në të ardhmen”.
Kujtim Kryeziu thotë se në rastet e sulmeve DDoS, përdoren kompjuterë të shumëfishtë nga shumë lokacione.
“Shkaku që është i shpërndarë dhe mund të vijë nga rajone të ndryshme e bën të vështirë të gjendet. Nëse (sulmi) është shumë i madh, ai mund të vijë nga Rusia, nga Kina, por edhe nga Kosova nga sisteme të infektuara”, shpjegon Kryeziu.
Ai, megjithatë, thotë se Qeveria dhe ekspertët brenda saj kanë mundësi të identifikojnë deri në një masë burimin e sulmit dhe në këtë rast “kanë bazë për të thënë se sulmi ka ardhur nga Rusia”.
Institucionet e Kosovës ishin cak i sulmeve kibernetike disa herë gjatë viteve të fundit, por pa pasoja afatgjate apo rrjedhje të të dhënave.
Një raport i Qendrës Kosovare për Studime të Sigurisë (QKSS), i vitit 2023, thotë se rreth 64 për qind e qytetarëve të anketuar i kanë konsideruar sulmet kibernetike “si rrezik për sigurinë kombëtare”.
Kur bëhet fjalë për institucionet shtetërore dhe sigurinë kibernetike, sipas Kryeziut, një ndër problemet më të mëdha është mungesa e “pavarësisë së Kosovës në internet”. Kjo meqë ngjashëm me një kod telefonik shtetëror të veçantë, Kosova do të duhej ta kishte edhe një adresë të unifikuar të faqeve në internet, ajo që quhet “Top Level Domain” (TLD). Kosova ende nuk e ka marrë TLD-në e saj për shkak se procesi për dhënien duhet të përfshijë një lloj dakordimi politik nga shumë shtete, përfshirë ato që ende nuk e njohin pavarësinë e Kosovës.
Ai thotë se në rast të marrjes së TLD-së, hapen mundësi për mbrojtje edhe më të avancuara të institucioneve online. Tjetër problem me sigurinë kibernetike në institucionet kosovare, sipas Kryeziut, është edhe mungesa e burimeve njerëzore, pasi ekspertë të fushës kibernetike të kualifikuar janë më të orientuar në sektorin privat, si sektor “më profitabil dhe me mundësi në rritje në karrierë”.
Në shtator të vitit 2022, Kosova miratoi Projektligjin për Siguri Kibernetike, ndërkaq brenda vendit funksionon edhe Njësia Nacionale për Siguri Kibernetike (KOS-CERT). Ky institucion nuk u është përgjigjur pyetjeve të REL-it në lidhje me sulmet e fundit.