Häkkerid, kes korraldasid küberrünnaku veebruaris Lõuna-Koreas Pyeongchangis peetud olümpiamängude vastu, astusid oma päritolu varjamiseks täiendavaid ja sealjuures seniolematuid samme, kirjutab küberekspert Daniel Faria.
Daniel Faria: kuidas püüti Põhja-Koread olümpiavastases häkkimises süüdi lavastada (4)
31. märts 2018, 19:46
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Kasperski labori julgeolekuanalüütikute 2018. aasta tippkohtumine peeti 7.-11. märtsil Cancúnis Mehhikos. Muude oluliste asjade seas tõid uurijad avalikkuse ette millegi, mis on isegi küberturbe lakkamatult muutuvas maailmas midagi päris uut: nad leidsid tõendeid, et häkkerid, kes korraldasid küberrünnaku veebruaris Lõuna-Koreas Pyeongchangis peetud olümpiamängude vastu, astusid oma päritolu varjamiseks täiendavaid ja sealjuures seniolematuid samme.
Uurijate avaldatud tõendid näitavad, kuidas ründajad teesklesid, nagu oleksid nad rühmitus, mida mõnikord on seostatud Põhja-Korea kübersõjaaparaadiga. Päris keeruliste meetoditega üritati uurijaid õigelt rajalt eemale suunata. See on oluline uus võte: kurjategijad olid jälgede varjamise juba ette kogu oma plaani sisse kirjutanud.
Lisaks sellele uudsele võttele oli rünnak, millele anti nimi Olympic Destroyer, üpris destruktiivne, lüües möödunud kuul rivist välja mitmed Pyeongchangi olümpiamänge toetanud süsteemid. See oli keerukam kui tavalised küberrünnakud, raskendades tuntavalt rünnaku omistamise võimalust. Nad suutsid võltsida kahjurvara, mida tavaliselt omistatakse Lazarus Groupile, mis kujutab endast lõdvalt seotud häkkerite rühma, kes loovad ja levitavad keerukamat kahjurvara kogu maailmas. See pettus oli nii tõhus, et mitmed eksperdid algul süüdistasidki neid rünnakutes.
Olympic Destroyer avaldas IT-süsteemidele ajutist halvavat mõju. See lülitas välja WiFi pääsupunktid ning avalikud monitorid, samuti halvas pileteid müüva veebilehe töö, nii et piletiomanikud ei saanud oma piletit välja trükkida. Olümpiavõrku paisatud uss tabas samuti mitut olümpiamängude toimumiskoha läheduses asunud suusakuurorti, seisates ajutiselt väravad ja liftid.
Kasperski labori Aasia – Vaikse ookeani uurimismeeskonna juht Vitali Kamluk ütles kohtumisel, et tegelikke ründajaid ei ole seni õnnestunud üheselt tuvastada. Siiski suutis tema meeskond kindlaks teha, et tarvitatud taktika, töömeetodid ja püsitoimingud (tuntud ingliskeelse lühendiga TTP – tactics, techniques and procedures) olid sellised, mida tavaliselt on seostatud Sofacy ehk Fancy Beariga, ründajate rühmaga, kelle selja taga seisab riik. Neid peetakse üldiselt venekeelseks rühmaks. Kamluk nii kaugele küll ei läinud, et nimetada seda Venemaa operatsiooniks. Ta ütles vaid, et rünnaku taristut iseloomustanud TTP on seostatav selle rühmitusega, aga et rünnakut ennast otseselt rühmitusega siduda ei ole õnnestunud.
Möödunud kuul teatas ajaleht Washington Post, et Ameerika luureanalüütikud on välja selgitanud, et Olympic Destroyeri rünnaku taga seisis Vene sõjaväeluure (GRU) häkkerite üksus ja et nad üritasid jätta endast muljet kui Põhja-Koreas tegutsevast grupist, kasutades muude eksitavate tunnuste seas ka näiteks Põhja-Korea IP-aadresse.
Kasperski labor teatas, et Olympic Destroyer pruukis Protoni e-posti teenust, NordVPNi ning avalikku majutusteenuse pakkujat MonoVM, mida kõike on teadaolevalt varem tarvitanud Sofacy. Oli muudki TTPd, mida meeskond leidis, aga ei ole veel avalikustanud.
Samuti kinnitas Kasperski labor, et lisaks Pyeongchang2018.com'i võrgule oli rünnak suunatud Prantsusmaal tegutseva IT-teenuste pakkuja Atos vastu. Rünnak puudutas ka üht tarkvarapakkujat, kes tegeles teatavate funktsioonide automatiseerimisega suusakuurortides, ja kaht suusakuurortide hotelli. Nad teatasid, et nende süsteemis oli leitud tagauksi, mis võimaldasid ussi levimist.
Huvi ründajatest maha jäänud jälgede analüüsimise vastu mainis ka Kasperski labori peaturbeuurija Igor Soumenkov. Tema oli avastanud, et üks pühkurifailide päistest oli võltsitud. Mis tähendas, et need ei pärinenud Lazaruselt. Tema kinnitusel oli see tõend, mida oli vaja näitamaks, et ründajad üritasid varjata ennast Lazaruse kahjurvara taha.
Kasperski labor käis välja mõtte, et tegu võis olla ettevalmistusega tulevaseks rünnakuks, millega katsetati täiendavat koodi ja süsteemide võimalikke nõrkusi.
Niisiis oli «suitsev tukk» seekord see, et rünnaku tegelik korraldaja unustas kogemata ennast varjata koodi krüptimise kaudu, mis võimaldas seda võltsinguna tuvastada. Asja muutis neile hullemaks see, et pärast olümpiarünnakut võeti ette uus, krüptimata rünnak.
Enne selle apsu avastamist jätsid rünnakud igatahes igati mulje, nagu oleks need korraldanud Lazarus Group. Nende jälgi ei olnud keegi varjama hakanud ning varasemaid vahejuhtumeid arvestades jäigi algul mulje, et selle taga võib seista Põhja-Korea – hoolimata sellest, et kahe Korea lepitus seisis ju terve olümpia keskmes.
Kasperski uurijad nentisid, et rünnakuga ei kaasnenud kogu võimalikku hävitust, kui pidada silmas, kui paljusid masinaid see puudutas ja kui paljudele kontodele suudeti ligipääs hankida. Küll aga hävitati failid Windowsi jaosketastelt, lülitati välja Windowsi teenused, suleti ligipääs tööjaamadele, kustutati logid ja isegi mõned varukoopiad. Üldiselt peeti kahju kergeks, rohkem digitaalvandalismi näiteks kui tõhusaks taliolümpia taga seisnud taristu hävitamise katseks. Kasperski labor käis välja mõtte, et tegu võis olla ettevalmistusega tulevaseks rünnakuks, millega katsetati täiendavat koodi ja süsteemide võimalikke nõrkusi.
Inglise keelest eesti keelde ümber pannud Marek Laane