oktoober 16, 2014

Vene häkkerite rühmitus tungis oluliste sihtmärkide arvutivõrkudesse

Ühe hiljutise küberspionaaži episoodi käigus tungis Vene häkkerite rühmitus mõnedesse NATO, Euroopa Liidu ja Ukraina valitsuse arvutivõrkudesse. Rühmitus, millele uurijad on nimeks pannud Sandworm, kuna see viitab sageli Frank Herberti romaanile „Düün“, saavutas illegaalse juurdepääsu spear-phishing’i ehk västraga õngevõtmise meetodil (kindlatele kasutajatele mõeldud e-post, mis avamisel nakatab vastuvõtja arvuti), samuti zero-day vallutuste kaudu. Zero-day rünnaku puhul kasutatakse ära varem avastamata turvaauku – praegusel juhul sellist, mis esineb kõikides nüüdisaegsetes Microsofti operatsioonisüsteemides.

Ühe hiljutise küberspionaaži episoodi käigus tungis Vene häkkerite rühmitus mõnedesse NATO, Euroopa Liidu ja Ukraina valitsuse arvutivõrkudesse. Rühmitus, millele uurijad on nimeks pannud Sandworm, kuna see viitab sageli Frank Herberti romaanile „Düün“, saavutas illegaalse juurdepääsu spear-phishing’i ehk västraga õngevõtmise meetodil (kindlatele kasutajatele mõeldud e-post, mis avamisel nakatab vastuvõtja arvuti), samuti zero-day vallutuste kaudu. Zero-day rünnaku puhul kasutatakse ära varem avastamata turvaauku – praegusel juhul sellist, mis esineb kõikides nüüdisaegsetes Microsofti operatsioonisüsteemides.

Sissetungid avastanud küberturvalisusega tegelev ettevõte iSIGHT avaldas nüüdsama raporti Sandwormi tegevuse ja ajaloo kohta. Väidetavalt valitsusega seotud organisatsiooni tegevus algas juba 2009 aastal, kuid tõsisemad rünnakud NATO võrkudele algasid 2013. aasta detsembris. NATO võrgust suunati rünnakud tänavu mais Bratislavas toimunud poliitikakonverentsist GlobSec osavõtjate vastu. Pärast konverentsi suunas Sandworm oma tähelepanu ühele Poola energiafirmale ja Prantsusmaa sideorganisatsioonile.
Kui Venemaa alustas sissetungi Ukrainasse, hakkasid mõistagi tööle ka häkkerid, keda arvatakse olevat tegutsenud Moskva juhiste alusel. Venemaa infooperatsioonid Ukraina vastu algasid õigupoolest ammu enne maismaaoperatsioone. Sandworm tungis Ukraina valitsusasutuste võrkudesse, samuti Walesi tippkohtumise eel NATO võrkudesse. Nood ründed olid iseäranis laastavad, kuna sedapuhku kasutas Sandworm viimaks ära Windowsi zero-day turvaauku (mis oli olemas olnud juba aastaid).
Nende rünnakute puhul on eriti märkimisväärne see, et ühest küljest oli tegu tehniliselt väga kõrge tasemega rünnakutega – nn västraga õngevõtmine oli väga üksikasjalik ja teadlik. Erinevalt tavapärasest västraga õngevõtmisest polnud pahavara sisaldavad meilimanused millegi poolest kahtlased. Kõik informatsiooni väljaõngitsemise katsed olid erakordselt hästi kavandatud. Teisest küljest aga jäi neist arvutitesse maha mõningaid venekeelseid tekstifaile – mis annab tunnistust lohakast turvapraktikast. Sandworm kaasas oma rünnakutesse ka küberkuritegude toimepanemiseks kasutatava pahavara BlackEnergy. Robotivõrku BlackEnergy, mida kasutati hajutatud teenusetõkestamise rünnete (DDoS) toimepanemiseks, kasutati 2007. ja 2008. aastal, selle lähtekood oli võrdluste tegemiseks kättesaadav ning seeläbi õnnestus töörühmadel neid ründeid seostada Venemaaga.
Septembri alguses turvaaugu avastanud iSIGHT hakkas mõjutatud osapoolte teavitamiseks otsekohe Microsoftiga koostööd tegema. Möödunud teisipäeval väljastas Microsoft veaparanduse, vältimaks järgmisi sissetunge uutesse arvutitesse.
Nende rünnetega samal ajal sai teatavaks, et üks teine Vene rühmitus on sisse tunginud Ameerika Ühendriikide panga JPMorgan Chase võrku pangaga seotud ettevõtte Corporate Challenge kaudu, kes korraldab heategevuslikke jooksuvõistlusi üle kogu maailma. Esialgu pole veel teada, kas tegu on omapäi tegutsevate rühmitustega või Venemaa koordineeritud spionaaži- ja rünnakukavaga.
Kokkuvõtteks võib öelda, et arvutivõrgu turvalisus sõltub seda kasutavate inimeste teadlikkusest. See juhtum näitab ilmekalt, kuidas NATO-sugused organisatsioonid peavad pidevalt tagama, et terve nende personal harrastaks paremat küberhügieeni.

Kategooriates: Blogi