Vene küberspionaaži mitu palet

Möödunud nädalal heitis IT-turbe firma Trend Micro valgust veel ühele väidetavale Venemaa küberspionaaži juhtumile oma aruandes operatsiooni Pawn Storm kohta. See aruanne kujutab endast uusimat jätku alates 2007. aastast kogu maailma ettevõtete üllitatud uurimuste seas, mis tutvustavad arvatavalt Venemaaga seotud küberohtu kujutavate jõudude kasutatavaid tööriistu, meetodeid ja sihtmärke.

Möödunud nädalal heitis IT-turbe firma Trend Micro valgust veel ühele väidetavale Venemaa küberspionaaži juhtumile oma aruandes operatsiooni Pawn Storm kohta. See aruanne kujutab endast uusimat jätku alates 2007. aastast kogu maailma ettevõtete üllitatud uurimuste seas, mis tutvustavad arvatavalt Venemaaga seotud küberohtu kujutavate jõudude kasutatavaid tööriistu, meetodeid ja sihtmärke.

Pole saladus, et julgeolekusituatsioon Euroopas ja maailmas on viimasel kahel aastal tunduvalt halvenenud Venemaa konflikti tõttu Ukirainaga ja sellest tulenenud pingete tõttu Läänega. Vastuolud on selgelt teisenenud ka ägenenud kübertegevuseks, nii et Eesti Riigi Infosüsteemi Amet võis avalikult teatada, et 2014. aastal oli “märgatavalt suurenenud välisriikide eriteenistuste tegevusega seotud juhtumite arv”. Leedu kaitseministeerium seostas samuti osaliselt Venemaa küberspionaaži elavnemise Ukraina kriisiga isegi juba enne Krimmi ebaseaduslikku okupeerimist ja annekteerimist, USA riikliku luuredirektori amet on aga nimetanud Venemaad üheks oma kõige võimekamaks vastaseks küberruumis. Seepärast tasub heita lähem pilk neis hinnangutes avalikult tuvastatud jõududele.
Enne jätkamist tuleks kindlasti märkida, et ühtki edaspidi mainitud tegevust ei ole absoluutse kindlusega seotud ühegi konkreetse Venemaa kodaniku või agentuuriga, vaid sellise arvamuse taga seisavad kogutud tõendid sihtmärkide, kasutatava keele, tegutsemisaja kohta ning arvukad muud tegurid.
Lisaks operatsioonile Pawn Storm/APT28 kuuluvad tuntuimate oletatavasti Venemaa küberspionaažijuhtumite hulka, mis on suunatud poliitiliste, sõjaliste ja diplomaatiliste sihtmärkide vastu, Turla/Snake/Uroburos, Red October/Cloud Altas, Duke’id (neist oli juttu minu eelmises blogipostituses) ja Quedagh. Nende rühmituste vahel, mille kohta mõnikord kasutatakse väljendit “kinnisründeoht” (advanced persistent threat, APT), leidub nii märkimisväärsel hulgal kattumisi kui ka erinevusi. Nende taktika paremaks mõistmiseks on kasulik meeles pidada ENISA ülevaadet sihtründe etappidest: seire, relvastamine, kohaletoimetamine, ärakasutamine, paigaldamine, juhtimine ja tegevus sihtmärkide suhtes.
Tüüpiliselt oletatakse turbeettevõtete analüüsides Venemaa APT-rühmituste kohta, et nad alustavad “harpuunimisega” ehk e-kirjadega, mis sisaldavad kas dokumente või veebilinke. Avamise või klõpsamise korral kasutavad dokumendid või veebilehed tavaliselt ära tarkvara nõrkusi kahjurkoodi allalaadimiseks ja käivitamiseks sihtseadmes. Kui seejärel sihtmärk leitakse olevat piisavalt huvitav, võtavad algsed pipetid interneti kaudu ühendust juhtserveritega, kust saadakse juba võimekam last, mida saab tarvitada teabe varastamiseks või isegi selle muutmiseks või kustutamiseks. Mõned ründajad on jaganud algseid nakatamistööriistu või asunud samu nõrkusi jahtima. Kuid ka APT-rühmade seas on spetsialiseerumist. Üks operatsiooni Pawn Storm eripäradest oli suurepärane oskus võltsida Outlook Web Accessi (OWA) kasutajatunnuste hankimiseks. Quedagh kasutas kahjurvara, mida tavaliselt seostatakse kuritegeliku maailmaga, algse pinnase hankimiseks sihtsüsteemis ja usutava eitamise tagamiseks. Red October sisaldas koodijuppi, mis tagas lollikindla viisi pääseda sihtsüsteemile ligi isegi pärast eemaldamist. Ning viimaks Turla, vahest neist kõigist tehniliselt kõige keerukam ja salakavalam, kasutas ära mitut nullpäeva turbeauku, mis jätsid isegi kõige paremini valmistunud organisatsioonid sissetungi ees sisuliselt kaitseta.
Millised on siis nende väidetavate Venemaa rünnakute strateegilised tagajärjed taktikalisel tasandil? Kuigi turbeettevõtete avaldatud sihtmärkide nimekiri on tavaliselt üpris mahukas, on peaaegu iga kampaania tuvastatav fookus asunud Venemaa lähivälismaal ning Ühendriikides ja NATO/ELi liikmesriikides. Sageli on spetsiifiliselt rünnatud ka rahvusvahelisi organisatsioone. Kahtlemata on küberspionaaž leidnud oma koha tööriistade seas, mida Venemaa kasutab oma strateegiliste huvide kindlustamiseks, mille hulka kuulub nii jõu näitamine ja hegemoonia endises Nõukogude ruumis kui ka pariteetsuse taastamine Läänega ja suurriigi rolli taasomandamine rahvusvahelisel tasandil. Venemaa kübervõimed on ilmselgelt jõudnud palju kaugemale laialdaselt tuntud hajusatest ummistusrünnetest (DDoS) Eesti pronkssõduri kriisi ajal 2007. aastal ja Venemaa-Georgia sõja ajal 2008. aastal. See areng peegeldab laiemat relvajõudude moderniseerimist, mis algas pärast Georgia okupeerimist. Lisaks sobivad kübervõimed hästi ka Gerassimovi asümmeetrilise sõjapidamise doktriini laiemasse raamistikku ning nii toetavad kui ka võímendavad Venemaa teisi tööriistu, eriti infosõda. Viimaks peegeldab – ja võib-olla isegi motiveerib – Venemaa vabameelne kahjurkoodi kasutamine võimude aina jultunumat agressiivsust rahvusvahelistes suhetes. Ükski mainitud aspekt ei ennusta midagi head Euroopa julgeolekule ega laiemalt reeglipõhisele ja suveräänsust austavale rahvusvahelisele korrale.
Huvitaval kombel tundub aga, et Venemaa on ühtaegu ilmutanud oma küberoperatsioonides märkimisväärset vaoshoitust. Üheski uuritud juhtumis ei ole mainitud andmete muutmist või kustutamist, mis tähendab, et APT-rühmitused on varastanud teavet ilma võrgustatud seadmeid otseselt kahjustamata või hävitamata. See on eriti tähtis tehnojuhtimissüsteemide rohkeid nõrkusi arvestades, mille hävitamine põhjustaks tohutut majanduskahju ja isegi inimeste surma. Loomulikult on olnud ka suuremaid väidetavalt Venemaalt lähtunud spionaažikampaaniaid, mille sihiks on mitmesugused kriitilise tähtsusega taristu sektorid. Ei saa täielikult välistada, et lisaks teabe kogumisele tegelevad Venemaa ATP-rühmitused ka lahinguvälja ettevalmistamisega, külvates loogikapomme või jättes tagauksi strateegilise vastase elektrivõrgu, transpordisüsteemi ja meditsiinivõrkude juhtimissüsteemi. Tuleb ainult loota, et kui sellised piirangud on olemas, siis neist peetakse ka edaspidi kinni – ja mitte ainult Venemaal.