Küberohu profiil – hertsogid

Valitsused esitavad harva konkreetseid üksiasju küberohtude loomuse kohta, millega nad silmitsi seisavad. Selles mõttes oli äärmiselt asjakohane ja huvipakkuv, et Eesti kaitsepolitsei nimetas CosmicDuke’i üheks sihitud ründeohuks (advanced persistent threat, APT), mis mõjutas 2014. aastal Eesti riiklikku julgeolekut. Viimastel nädalatel avastatud SeaDuke, mis on mitmeti CosmicDuke’iga sarnane, ajendab veelgi lähemalt vaatlema küberohtu, mida see “hertsogite” kahjurvara-suguvõsa endast kujutab, ja selle taga seisvaid jõude.

Valitsused esitavad harva konkreetseid üksiasju küberohtude loomuse kohta, millega nad silmitsi seisavad. Selles mõttes oli äärmiselt asjakohane ja huvipakkuv, et Eesti kaitsepolitsei nimetas CosmicDuke’i üheks sihitud ründeohuks (advanced persistent threat, APT), mis mõjutas 2014. aastal Eesti riiklikku julgeolekut. Viimastel nädalatel avastatud SeaDuke, mis on mitmeti CosmicDuke’iga sarnane, ajendab veelgi lähemalt vaatlema küberohtu, mida see “hertsogite” kahjurvara-suguvõsa endast kujutab, ja selle taga seisvaid jõude.

Tööpõhimõttelt on CosmicDuke troojalane, mis võib logida kasutaja klahvivajutusi, teha ekraanipilte, röövida e-posti paroole, eksportida krüptosertifikaate, analüüsida faile ning edastada arvuti kõige huvipakkuvamad andmed oma mujal asuvasse juhtserverisse. Kahjurvara laaditakse sihtarvutitesse nõndanimetatud harpuunimise teel, näiteks meelitades kasutajat klõpsama näiliselt usaldusväärsest allikast pärit e-kirja manusel, mis paistab igati kokku minevat saaja professionaalse huviga (näiteks dokument pealkirjaga “Ukraine Gas Pipelines Security Report March 2014”), aga mis ühekorraga avab nii petudokumendi kui ka laadib alla kahjurkoodi. Samuti kaitseb CosmicDuke end krüptokihtidega ning on programmeeritud vältima viirusetõrje protsesse ja takistama enda käsitsi analüüsimist.
Tavaline arvutikasutaja ei pruugi isegi teada saada (või hoolida) selle olemasolust. Kuid CosmicDuke ei sihigi tavalist kasutajat: see on osa keerukast, aastatepikkusest luurekampaaniast, mille sihtmärgiks on Euro-Atlandi piirkonna valitsused, uurimisinstituudid, äriettevõtted ja vabaühendused. CosmicDuke’i ja selle “vennaste” MiniDuke’i, OnionDuke’i ja CozyDuke’i taga seisvad jõud on tegutsenud vähemalt 2011. aastast. Lisaks Eestile on nende sihikul olnud valitsusasutused Ukrainas, Belgias, Portugalis ja veel paljudes Euroopa riikides. Lisaks seisis CozyDuke väidevavalt USA riigidepartemangu ja Valget Maja 2014. aastal tabanud rünnakute taga. SeaDuke’i avastamine näitab ilmekalt, et asja taga seisjad ei kavatsegi kahjurvara väljatöötamist ja rakendamist aeglustada.
Kes või mis siis seisab terve seeria “hertsogite” luurerünnakute taga? Selliste turbeettevõtete, nagu F-Secure, Symantec, Kaspersky Labs ja BitDefender, uurijad on Duke’i suguvõsa jälitanud juba aastaid. Nad osutavad sarnasustele kahjurvara vormide funktsionaalsuse, nakatumisvektorite, tööaja, juhtimistaristu ja koodis ilmneva (vene) keele mustri vahel, mis viitavad üsna selgelt, et kogu suguvõsa taga seisab üks autor või vähemalt tegutsevad mitmed autorid tihedas koostöös. Kõrgetasemeliste strateegiliste sihtmärkide eelistamine NATO ja ELi riikides, samuti 2014. aastal avastatud Tori väljumissõlm, mis asus Venemaal ja mida kasutati OnionDuke’i levitamiseks, kalduvad samuti tõendama, et kahjurvara taga seisab Vene rühmitus, mis toetab Venemaa strateegilisi huve. Lisaks annavad kampaaniate keerukus ja kestus mõista, et nende taga seisavad võimsad ressursid nii tehniliste oskuste kui ka tööaja mõttes, mida on vaja sellisel tasemel luuretegevuse läbiviimiseks. Kogunenud tõendid on ajendanud vaatlejaid järeldama, et kõige tõenäolisemalt võib rühmitust pidada Venemaa riiklikult toetatud küberkuritegelikuks sündikaadiks või isegi Venemaa julgeolekuteenistuste allasutuseks.
Ei ole vaja just palju kujutlusvõimet, et panna kokku stsenaariume, milles riiklikku julgeolekut nõrgestab Duke’ide suguvõsa kahjurvaraga teostatav luuretegevus. Kujutagem näiteks ette Euroopa riiki, mis loodab lähitulevikus saada NATO liikmeks. Mõjuka ja toetava partnerriigi kõrgetasemeline ametiisik nakatab teadmatult oma arvuti CosmicDuke’iga ning tema organisatsiooni infoturbeosakond ei suuda sissetungi tuvastada või vältida. Seejärel kasutab sama ametiisik enda kahjustatud e-posti rakendust, kõneldes kavast asuda järgmise NATO tippkohtumise eelsel aastal aktiivselt propageerima alliansi laienemist. CosmicDuke edastab selle teabe kahjurvara taga seisvatele jõududele, kes mõistavad, et soovimatu tagajärje ärahoidmiseks tuleb kiiresti tegutseda. Nüüd mobiliseeritakse muud ressursid laienemise viivitamatuks õõnestamiseks ja lõpuks takistamiseks, kasutades selleks agressiivset luuretegevust, infosõda avalikkuse toetuse kahandamiseks ning energiakandjatega varustamise häiretega ähvardamist ärieliidis NATO-vastaste meeleolude tekitamiseks. See on kõigest üks loendamatutest viisidest, kuidas “hertsogid” suudavad ohustada Euro-Atlandi piirkonna julgeolekut ja solidaarsust. Kahtlemata võib lugeja välja mõelda palju ohtlikumaid stsenaariume.
Kokkuvõtteks võib öelda, et poliitikakujundajad ja rahvusvahelise julgeoleku analüütikud kohanevad üha enam rolliga, mida küberohud etendavad üleüldises strateegilises keskkonnas. Eesti kaitsepolitsei, mis tegeleb küberrünnakutega, mille on algatanud mõni välisriik või mis ohustavad riiklikku julgeolekut, pakkus ebatavalise võimaluse saada aimu ohtudest, millega Eesti seisis silmitsi möödunud aastal. Kuid “hertsogid” ja nende isandad ei ole oht mitte ainult Eestile, vaid Euro-Atlandi kogukonnale laiemalt. Probleemi põhjalikumaks mõistmiseks on hädavajalik saada ülevaade selle valla ohuteguritest, sest raske on ennast kaitsta millegi eest, millest ei olda teadlik või mida ei mõisteta.