Slovakkia rahvusvaheline küberturvaettevõte ESET avaldas oma värske ohuaruande, milles võetakse kokku firma ülemaailmsete tuvastussüsteemide põhinäitajad. Uus kokkuvõte kirjeldab erinevaid Ukraina sõjaga seotud küberrünnakuid, mida ESET-i teadlased analüüsisid või aitasid leevendada. Muuhulgas jälgiti põhjalikult ka kurikuulsa Industroyeri pahavara taaselustamist, mis üritab sihikule võtta kõrgepinge elektrialajaamu.
Küberturvafirma analüüs: Ukraina sõda on muutnud ohuolukorda digimaailmas täielikult
Enne Ukraina sissetungi täheldasid ESETi analüütikud anomaaliat, et Venemaa ja mõned Sõltumatute Riikide Ühenduse (SRÜ) riigid jäid tavalise lunavara sihtriikide nimekirjadest mingil põhjusel välja. Sõja algus tõi aga kaasa andmepüügi- ja petuskeemide plahvatuse, millega taheti ära kasutada inimesi, kes üritasid Ukrainat toetada. Sellised õngitsusrünnakud avastati peaaegu kohe pärast invasiooni algust.
Märtsis ja aprillis lülitasid pahavara Emotet operaatorid sisse kõrgema käigu, käivitades tohutud rämpspostikampaaniad, kasutades selleks nakatunud Microsoft Wordi dokumente, mille tulemusel suurenes Emoteti tuvastamise arv 2022. aasta esimeses kolmandikus 113 korda.
#ESETresearch #BREAKING Cybercriminals have no shame. With no humanitarian organization and only generic purpose mentioned, scammers try to lure out money from people trying to help #Ukraine during the #war. 🇺🇦
IoC:
help-for-ukraine[.]eu
tokenukraine[.]com pic.twitter.com/0NkuSCB13F
— ESET research (@ESETresearch) February 25, 2022
ESET-i telemeetria registreeris ka muid suuremaid muudatusi maailmas küberohtude valdkonnas, millel võib olla seos Ukraina sõjaga. ESET-i juhtivteadur Roman Kováč selgitas, miks see aruanne on niivõrd keskendunud just sõjaga seotud küberohtudele: «Maailma eri paigus kestavad praegu mitmed konfliktid, kuid meie jaoks on selle mõju erinev. Slovakkia idapiiril, kus on ESET-i peakorter, võitlevad ukrainlased oma elu ja iseseisvuse eest. Vahetult enne Venemaa sissetungi registreeris ESET-i telemeetria kaugtööprotokolli RDP rünnakute arvu järsu languse. See vähenes ootamatult pärast kaheaastast pidevat kasvu ja nagu on selgitatud ESET-i viimases ohuaruandes, võib sündmuste selline pööre olla seotud just Ukraina sõjaga.»
Teine sõja kõrvalmõju seisneb tema sõnul selles, et kui varem kaldusid lunavararünnakud olema kindlate sihtmärkideta, siis sõjaperioodil oli ESET-i telemeetria andmetel Venemaa enim sihitud riik. ESET-i eksperdid tuvastasid isegi pahavara lukustusekraaniga variante, milles kasutati Ukraina tervitust «Slava Ukraini!» («Au Ukrainale!»).
Pärast Venemaa sissetungi Ukrainasse on amatöörlike lunavararünnete arv samuti kasvanud. Nende autorid deklareerivad toetust ühele või teisele võitlevale poolele ja positsioneerivad rünnakuid ka isiklike kättemaksudena.
Pole üllatav, et vahetult pärast 24. veebruari sissetungi hakkasid petturid Ukrainat toetada püüdvaid inimesi ära kasutama, esinedes peibutisena fiktiivsete heategevusorganisatsioonidena ja tehes korjandusi. 24. veebruaril tuvastatigi taolise rämpsposti suur kasv.
ESET-i telemeetria on näidanud ka palju muid Venemaa-Ukraina sõjaga otseselt mitteseotud ohte. «Võime kinnitada, et Emotet – kurikuulus pahavara, mis levib peamiselt rämpsposti kaudu – on pärast vaibumist eelmisel aastal tagasi ning näitas meie telemeetrias taas korraks tõusu märke,” selgitas Kováč.
Emoteti nii-öelda operaatorid levitasid nelja esimese kuuga rämpspostikampaaniaid enam kui sajakordselt. Kuid nagu ohuaruanne märgib, võisid pahatahtlikel makrodel põhinevad ründed olla viimane selline Emoteti plahvatus. Nimelt keelas Microsoft hiljuti vaikimisi ära Office'i programmides Internetist pärit makrod ehk väikesed programmijupid, mille kaudu pahavara levis.
Pärast seda muudatust hakkasid Emoteti operaatorid katsetama teisi levikumeetodeid palju väiksema ohvrite hulgaga.
Arvutid lahkusid koos inimestega
Pilveteenus, mis jälgib maailma küberturvaolukorda, nägi ka Ukrainas suure hulga arvutite kadumist võrgust peale Venemaa ründamist.
ESETi- raporti tutvustusel mainiti, et osa arvuteid lülitati küll välja sõja lähenedes, kuid sülearvutitest umbes 10% lahkus riigist koos nende omanikega.
Ukraina kübersõja kronoloogia
Allikaks Ukraina küberrünnete kronoloogias on ESETi pahavara-analüütiku Robert Lipovsky ettekanne ESET-i raporti tutvustusel.
2014: Vene sõjaväeluurega GRU seostatavat häkkerite gruppi Sandworm peetakse kõige agressiivsemaks Venemaa-poolsetest küberründajatest. 2014. aastal taheti õngitsuskirjade kampaaniaga nakatada Ukraina valitsusliikmete ja parlamendiliikmete arvuteid. Suuremat kahju see ei tekitanud, kuid oli ka ohvreid, kes pahavara käima lasid.
2015: Rünnati Sandwormi poolt Ukraina elektrivõrku ja see oli esimene nii suur elektrikatkestus küberrünnaku tagajärjel. Kasutati BlackEnergy pahavara, mis levis Microsoft Wordi ja Powerpointi dokumentidega. Ligi 230 tuhat inimest olid ligi kuus tundi elektrita.
Rünnakus võeti arvuteid üle ja ühest videost oli näha, kuidas elektrivõrgu arvutis keegi tegutseb ja lülitab käsitsi elektriliine tarkvarast välja, ilma et arvutis keegi ise midagi hiire ja klaviatuuriga teinud oleks.
2016: Teises rünnakus elektrivõrgule katkestati võrguoperaatorite sideühendus ja sellega taheti, et elektrisüsteem läheks üle käsitsijuhtimisele. Eesmärgiks oli tekitada alajaamades käistisjuhtimisel valesti releesid lülitades tulekahjud ja suured elektritaristu kahjustused. Kasutati pahavara Industroyer, mis oli loodud spetsiaalselt elektrivõrkude ründamiseks. Kiievis jäi rünnaku tagajärjel üks linnaosa elektrita ja seda peetakse suurema ründe nii-öelda soojenduseks.
2017: Vana tuttav pahavara NotPetya, mis küsis lunaraha, tuli tagasi, kuid see oli Ukrainat rünnates vaid kattevarjuks, põhiline eesmärk oli kaose ja hävingu tekitamine ning riigi infosüsteemide ja vara võimalikult suur kahjustamine. Isegi lunaraha makstes tehti arvutites täielik puhastus ja andmed kustutati. NotPetya levis kiirelt üle maa ja tekkis küsimus, et kuidas? Peagi selgus, et viirus oli sisse seatud ligi 80% Ukraina ettevõtete kasutatavas tuntud finantstarkvaras. NotPetya tekitas kümne miljardi dollari eest kahjusid, kuna levis üle piiride Ukrainast laia maailma. Pihta sai muuhulgas ka Rosneft Venemaal. Maailmas vallapääsemine polnud ette planeeritud.
2022: Pahavara HermeticWiper alustas 23. veebruaril 2022 vaid mõni tund enne Venemaa rünnakut Ukrainale eesmärgiga hävitada võimalikult palju andmeid ja rivist välja viia võimalikult palju arvuteid. Rünnakutarkvara oli koodi järgi kompileeritud alles detsembris 2021 ehk mõni kuu varem.
CaddyWiperi nimeline pahavara oli eelmistest juba keerulisem ja tuli 14. märtsil. Selgus, et viirus oli ka samal päeval lõplikult valmis kirjutatud. Tehniliselt keerulisem kurjam sihtis ketta partitsioneerimise tarkvara.8. aprillil pääses valla Industroyer 2, mis oli jälle keerukam ja arenenum, kui eelmised pahavarad. Kuid see ei saavutanud sellist levikut, nagu Industroyer 1, mis samuti üsna suurelt läbi kukkus. Windowsi käivitusfail, mis oli esimesest versioonist koodijuppe laenanud, proovis ära kasutada elektrivõrkude andmeprotokolli. Lisaks Windowsile oli olemas variant ka Linuxile ja Solarisele.