Viena ilgiausiai veikiančių kibernetinio šnipinėjimo grupuočių „Turla“, 2008 m. atakavusi JAV gynybos departamentą, papildė savo ginklų arsenalą ir naujas kampanijas nutaikė į posovietinių šalių ambasadas ir konsulatus. ESET saugumo ekspertai atliko tyrimą, kaip nusikaltėliai vilioja aukas įsidiegti kenksmingas programas, šnipinėjančias jautrius duomenis.

Ilgą laiką „Turla“ naudojo socialinę inžineriją, kad nieko neįtariantys vartotojai įsidiegtų fiktyvią „Adobe Flash Player“ programą. Dabar grupuotė prie galinių durų kenkėjo prideda legalų „Flash Player“ diegimo failą ir naudoja URL nuorodas ir IP adresus, atitinkančius oficialią „Adobe“ infrastruktūrą. Tad neatidūs vartotojai, į kuriuos taikosi šnipinėtojai, patiki, kad siunčiasi legalią programą iš adobe.com.

ESET tyrėjai pabrėžia, kad nėra žinoma, ar grupuotės „Turla“ naudojami kenkėjai yra sugadinę kokius nors legalius „Flash Player“ naujinimus, taip pat nėra jokių sąsajų su žinomais „Adobe“ produkto pažeidžiamumais. Oficialus „Adobe Flash Player“ atsisiuntimo puslapis taip pat nebuvo pažeistas.

Esminis skirtumas, kurio nepastebėjo šnipų aukos – visi fiktyvūs „Flash Player“ atsisiuntimai buvo vykdomi iš http://, o ne https:// puslapio.

„Žinomų gamintojų vardų ir logotipų naudojimas nusikalstamoje veikloje nėra naujiena – tokius metodus dažniausiai pasitelkia kibernetiniai sukčiai, siekiantys apgauti neatidžius vartotojus. Šiuo atveju apgaulės schema buvo gerokai sudėtingesnė – nusikaltėliai naudojo absoliučiai identiškas ir oficialias „Adobe“ URL nuorodas bei IP adresus. Jei toks kenksmingų programų platinimo metodas būtų taikomas visiems vartotojams, o ne vien konkretiems taikiniams, įvyktų stambi kibernetinė ataka“, – komentuoja ESET programinės įrangos platintojos „Baltimax“ pardavimų vadovas Deividas Pelenis.

Pasak ESET, apytiksliai nuo 2016 m. liepos „Turla“ naudoja naują įrankį – galinių durų kenkėją „Mosquito“. Manoma, kad kenkėjas yra sukurtas pačios grupuotės, nes turi panašumų su kitomis nusikaltėlių platinamomis kenksmingomis programomis.

Tyrėjų nuomone, šnipinėjimo grupuotė galėjo naudoti kelis metodus, kaip užkrėsti taikinių kompiuterius. Atakų vektoriais galėjo būti kuris nors organizacijos viduje esantis kompiuteris, į kurį įsilaužus buvo galima pasiekti norimos aukos kompiuterį, taip pat tinklo vartai (angl. gateway), per kuriuos galima perimti išeinantį ir įeinantį srautą.

Taip pat interneto srautas galėjo būti perimtas interneto paslaugų tiekėjų lygyje – tokį metodą naudojo anksčiau ESET tirta šnipinėjimo programa „FinFisher“. Neatmetama galimybė, kad „Turla“ galėjo nulaužti „Adobe“ IP ir nukreipti srautą į savo valdomus serverius, nors tokiu atveju kenksmingą veiklą būtų iškart nustačiusi pati „Adobe“.

Aukoms atsisiuntus nusikaltėlių platinamą „Flash“ kompiuteryje įdiegiamas ir vienas iš galinių durų kenkėjų – dažnu atveju „Mosquito“, kuris leidžia ištraukti jautrius duomenis: kompiuterio unikalų ID, vartotojo vardą ir įrenginyje įdiegtų apsaugos sprendimų sąrašą.

„Mosquito“ yra sudėtinga kenksminga programa, kuri gadina operacinės sistemos registrą ir sukuria valdymo paskyrą, leidžiančią nuotolinę prieigą prie užkrėsto kompiuterio. Tuo tarpu pagrindinis programišių naudojamas galinių durų kenkėjas „CommanderDLL“ naudoja šifravimo algoritmą ir gali vykdyti kompiuteryje iš anksto numatytus veiksmus.

„Norėdami įsitikinti, ar nėra jūsų kompiuterio „tamsiajame kampelyje“ pasislėpęs koks nors kenkėjas, kaip „Mosquito“, ir siekdami sumažinti tikimybę įsilaužėliams patekti į įmonės kompiuterių tinklą, būtina kompiuteriuose naudoti ne bazines antivirusinių programų versijas, o sudėtingesnes, turinčias įeinančio ir išeinančio duomenų srauto ugniasienes, bei stebinčias vidinio tinklo būklę“, – teigia ESET Lietuva IT inžinierius Ramūnas Liubertas.

Pasak R. Liuberto, apsisaugoti nuo bet kokių kenkėjiškų programų galima tik nuolat atnaujinant operacinę sistemą ir visų trečiųjų šalių programinę įrangą, ypač „Java“, „Microsoft Office“ ir „Adobe Reader“. Rekomenduojama nediegti programinės įrangos iš nepatikimų internetinių šaltinių, ypač iš naršyklėje iššokančių langų (angl. pop-up).

Derėtų būti atsargiems su el. laiškais, gautais iš nežinomų šaltinių ir turinčių įtartinus priedus ar nuorodas. Svarbu įsitikinti, ar naudojama antivirusinė programa turi galiojančią licenciją ir yra visiškai veikianti – su nuolat atsinaujinančia virusų atpažinimo duomenų baze ir aktyviais apsaugos komponentais.

Išsami „Turla“ kampanijos ir „Mosquito“ tyrimo apžvalga: https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf

Koordinuoti veiksmai buvo pradėti lapkričio 29 d., ir kenkėjų šeimos, atsakingos už daugiau nei 1,1 milijono sistemų užkrėtimą kiekvieną dieną, veikla buvo sėkmingai sustabdyta. Operacijos metu buvo aptikta 464 atskiri „botnet’ai“, 80 kenkėjiškų programų židinių ir 1 214 užkrėstų domenų ir IP adresų.

Nuo 2011 m. rugsėjo kenkėjišką programą „Wauchos“ buvo galima nelegaliai įsigyti taip vadinamajame „tamsiajame internete“ (angl. Dark Web), kaip ginklą, skirtą atlikti įvairiems nusikaltimams – duomenų vagystėms, kompiuterių užgrobimui ir kitų kenksmingų programų diegimui. Pasak „Microsoft“ atstovų, per pastaruosius šešis šios operacijos mėnesius buvo aptikta daugiau nei 6,6 milijono užkrėstų vartotojų kompiuterių.

Ši kenkėjų šeima yra modifikuojamas „bot’as“, leidžiantis programišiams kurti ir naudoti norimus įskiepius. Vienas tokių įskiepių leidžia kibernetiniams nusikaltėliams pasisavinti prisijungimų duomenis bei informaciją, vedamą į internetines formas ar anketas, o kitas leidžia prisijungti ir valdyti užkrėstas sistemas. ESET duomenimis, „Gamarue“ pavyzdžiai buvo platinami socialiniuose tinkluose, susirašinėjimo programėlėse, per nešiojamas laikmenas, šlamštlaiškius ir kitus kenksmingus įrankius.

„Praeityje „Wauchos“ buvo viena dažniausiai nustatomų kenkėjų šeimų tarp ESET vartotojų. Konkretus kenkėjas buvo aktyvus kelerius metus, nuolat tobulinamas ir keičiamas, tad sunkiai nustatomas. Tačiau naudojant „ESET Threat Intelligence“ ir bendradarbiaujant su „Microsoft“ pavyko nustatyti kenkėjo veikimo pasikeitimus, o tai leido sustabdyti ir jo veikimą“, – teigia ESET vyresnysis kenksmingų programų tyrėjas Jean-Ian Boutin.

Saugumo tyrėjai nustatė, kad nepaisant aktyvaus plitimo virusas, kurį ESET saugumo sprendimai nustato kaip „Win32/TrojanDownloader.Wauchos“, aplenkdavo kai kurių vartotojų kompiuterius. Nustačiusi, kad vartotojas naudoja operacinę sistemą su rusų, ukrainiečių, baltarusių arba kazachų kalbos įvestimi, kenksminga programa kompiuteryje neatlikdavo jokių kenkėjiškų veiksmų. Manoma, kad tokie nustatymai buvo parinkti siekiant apsaugoti šių šalių vartotojų kompiuterius nuo pažeidimo.

„Programišiai dažniausiai naudojo „Gamarue“ kenkėjų šeimą, atakuodami namų vartotojus, siekdami pasisavinti asmeninius duomenis ir slaptažodžius. Jei į vartotojų kompiuterį pateko šis kenkėjas, tikėtina, kad drauge su juo rasite ir kitų kenkėjiškų programų“, – komentuoja pažangių sprendimų platintojos „Baltimax“ pardavimų vadovas Deividas Pelenis.

Pasak ESET Lietuva IT inžinieriaus Ramūno Liuberto, „Wauchos“ tipo kenkėjiškos programos naudoja senus triukus, kad galėtų apkrėsti naujas sistemas. „Vartotojai turėtų būti atsargūs atidarydami failus nešiojamose laikmenose, taip pat gaunamus el. paštu arba socialiniuose tinkluose. Ypač reikėtų vengti nežinomų siuntėjų el. laiškų, parašytų ne tik anglų, bet ir lietuvių kalba. Atidžiau pažiūrėjus tokių laiškų kėslus išduoda gramatinės klaidos tekste, o žymekliu užvedus ant įterptos nuorodos matomas klaidingas interneto svetainės adresas“, – teigia R. Liubertas.

Remiantis ESET sudaromu grėsmių žemėlapiu „Virus Radar“, praėjusį mėnesį Lietuvoje „Wauchos“ nustatymai tesudarė 0,09 proc. visų kenksmingų programų. Saugumo ekspertai rekomenduoja vartotojams naudoti patikimas antivirusines programas. Patikrinti kompiuterius „Windows“ nuo „botnet“ tinklo „Gamarue“ bei kitų kenkėjų galima ir su nemokamu įrankiu „ESET Online Scanner“.

„DoubleLocker“ naudojasi „Android“ pasiekiamumo paslaugomis, kurios dažnai pasitelkiamos ir kitų kenkėjų.    Tačiau šis išpirkos reikalaujantis kenkėjas gali pakeisti įrenginio PIN kodą, kad vartotojas negalėtų naudotis savo išmaniuoju telefonu, ir šifruoti visus jame esančius duomenis. Tokio kenkėjo „Android“ ekosistemoje dar nebuvo“, – teigia virusą atradęs kenksmingų programų tyrėjas Lukaš Štefanko.

„DoubleLocker“ plinta kaip fiktyvi programa „Adobe Flash Player“ kenksmingose svetainėse, rašoma pranešime spaudai. Atsisiuntus ir įdiegus kenkėją jis iškart paprašo įgalinti „Android“ pasiekiamumo paslaugas „Google Play Service“. Gavęs leidimus „DoubleLocker“ aktyvuoja įrenginio administratoriaus teises ir nustato „save“, kaip pagrindinę „Home“ aplikaciją – vartotojui pakanka paspausti „Home“ mygtuką ir virusas aktyvuojamas, o įrenginys užrakinamas.

Kenkėjas pakeitęs įrenginio PIN kodą ir užšifravęs jame saugomus duomenis reikalauja per 24 valandas sumokėti išpirką, lygią 0,013 bitkoinams (apie 45 Eur). Šifravimui „DoubleLocker“ naudoja AES šifravimo algoritmą ir visiems failams prideda plėtinį „.cryeye“.

„Šiuo metu „DoubleLocker“ plitimas yra sustabdytas, tačiau „Android“ vartotojai turėtų būti budrūs – šiai platformai skirtų kenkėjų nė kiek nemažėja. Patariama atidžiau rinktis programėles ir diegti jas tik iš oficialių programėlių parduotuvių, nors kenkėjų pasitaiko ir „Google Play“, – komentuoja „Baltimax“ pardavimų vadovas Deividas Pelenis.

Vartotojai, naudojantys mobiliesiems įrenginiams skirtus saugumo sprendimus gali būti ramūs, kad „DoubleLocker“ nepakenks nei jų telefonams, nei jų duomenims – šį kenkėją ESET sprendimai nustato kaip „Android/DoubleLocker.A“. Norintiems atgauti prieigą prie savo telefono, rekomenduojama atkurti gamyklinius nustatymus, o tada pašalinti kenksmingą programą.

Pasak tyrėjų, „DoubleLocker“ yra sukurtas ankstesnio bankininkystės trojano „BankBot“ pagrindu. Kenkėjo analizė rodo, kad programišiai jam gali lengvai pridėti papildomas funkcijas, kaip vartotojo bankininkystės duomenų rinkimą ar paskyrų trynimą – panašaus tipo viruso testinė versija jau buvo aptikta šių metų gegužę.

Pasak duomenų apsaugos ekspertų, pasiruošimą reglamentui atidėliojančios organizacijos turėtų suklusti, nes pereinamojo laikotarpio nebus – jis yra dabar. „Pravartu atminti, kad asmens duomenų apsauga yra nuolatinis procesas, o ne vienkartinis veiksmas“, – teigia dr. Darius Štitilis.

Gerai pradžiai – auditas

Organizacijoms, tvarkančioms asmens duomenis, rekomenduojama jau dabar įvertinti esamą situaciją ir atlikti vidinį IT auditą: kokius asmens duomenis jos kaupia, kur juos saugo, kokias apsaugos priemones ir vidines darbo taisykles taiko, kad šių duomenų apsauga būtų maksimaliai užtikrinta.

„Iš savo patirties galiu sakyti, kad tinkamas auditas gali užtrukti iki dvejų mėnesių, reikalingų priemonių ar pakeitimų įgyvendinimas – antra tiek. Visos organizacijos, nepriklausomai nuo veiklos srities, turėtų apsisaugoti nuo potencialių grėsmių, net jei tokių niekada nepatyrė. Ypač svarbu saugotis ne tik išorinių pavojų, bet ir užkirsti kelią vidinėms grėsmėms: duomenų nutekinimui, kenksmingiems veiksmams dirbant su jautria informacija“, – pataria „Safetica“ atstovas Miloš Blata.

Tuo tarpu, „BSA | The Software Alliance“ atstovas Lietuvoje Andrius Pranckevičius įvardina keturis esminius žingsnius, ruošiantis BDAR laikymuisi: esamos situacijos įvertinimas, saugumo poreikių nustatymas, dokumentų parengimas ir reguliarumo užtikrinimas.

Atskaitomybės principas – ne tik vadovams

Viena iš BDAR atnešamų naujovių asmens duomenų apsaugos srityje yra atskaitomybės principas: organizacijoms suteikiama laisvė pačioms rinktis, kokias priemones naudoti valdant ir tvarkant kaupiamus asmens duomenis, bet atsakomybė išauga – prireikus jos turės pateikti visus įrodymus, kaip organizacijoje yra užtikrinama duomenų apsauga.

Planuojama, kad viešojo sektoriaus organizacijoms sankcijos už saugumo pažeidimus bus taikomos mažesnės nei privačiam sektoriui. Pasak Valstybinės duomenų apsaugos inspekcijos (VDAI) direktoriaus pavaduotojos Dijanos Šinkūnienės, tokį sprendimą diktuoja pats valstybės biudžetas: nėra tikslo skirti didesnes baudas, kai biudžeto lėšos cirkuliuoja iš vienos valstybinės įstaigos į kitą.

Tradiciškai atsakomybė dėl saugumo pažeidimų gula ant organizacijos vadovo pečių, tačiau ir čia gali būti išimčių. „Jei įmonė yra apsirašiusi vidaus tvarką ir yra numačiusi, kad už tam tikrus saugumo pažeidimus yra atsakingas IT saugumo specialistas ar kitas darbuotojas, tokiu atveju, vadovo kaltė mažėja“, – komentuoja dr. D. Štitilis.

Vis dėlto asmens duomenų saugumo pažeidimo atveju sankcijos visų pirma bus skiriamos pačioms įmonėms ir organizacijoms, o ne konkrečiam darbuotojui. Savo ruožtu Andrius Pranckevičius ragina IT specialistus nebūti abejingais ir rūpintis duomenų apsauga, nelaukiant vadovo nurodymo.

ESET Nyderlandai vykdomasis direktorius Dave Maasland pataria organizacijoms pradėti nuo elementarios saugumo higienos: naudoti ilgus ir sudėtingus slaptažodžius. „Šiandien nebepakanka 8 simbolių slaptažodžio – naudokite 16, 25. Kritinėms sistemoms būtinai naudokite dvigubą autentifikaciją“, – pataria D. Maasland.

Turime potencialo būti ekspertais

Ilgametę diplomato patirtį turintis Europos Komisijos atstovybės Lietuvoje vadovas Arnoldas Pranckevičius pastebi, kad saugumas ir gynyba galėtų būti nauja ES vienijanti dimensija po „Brexit“.

„Lyginant pasauliniame kontekste ES investicijos į gynybą atsilieka nuo kitų valstybių – tiek JAV, tiek Rusijos ir Kinijos. Tačiau supratimas apie saugumo svarbą auga, šiandien kaip niekada yra svarbi sinergija tarp ES ir NATO“, – teigia Arnoldas Pranckevičius.

Pasak diplomato, Baltijos regionas yra pažeidžiamas, bet turi didelę ekspertizę – profesionalius saugumo specialistus, sparčiai augančią technologinę pažangą. Tad Lietuva gali tapti viena iš pirmaujančių saugumo eksperčių Europoje.

„Paradoksalu yra tai, kad Vakaruose yra didesnės investicijos ir galimybės, tačiau supratimas apie saugumo svarbą bei potencialias grėsmes yra gerokai mažesnis nei Lietuvoje. Privatumas, užtikrintumas, duomenų apsauga yra svarbūs saugumo komponentai, tad viskas prasideda nuo supratimo. Visos tos naujos asmens duomenų apsaugos taisyklės yra mūsų pačių interesas: apsaugoti save, savo įmones,  taip pat ir valstybines paslaptis, iš esmės – auginti mūsų atsparumą“, – sako A. Pranckevičius.