1998 m. kibernetinė ataka dvejus metus siaubė JAV vyriausybės sistemas, vogdama daugybę duomenų. FTB tyrimas, pavadintas „Moonlight Maze“, nustatė, kad ši ataka buvo nukreipta į keletą akademinių institucijų, susijusių su JAV kariuomenės ir mokslinių tyrimų ir plėtros institucijomis. Atakos pėdsakai vedė Rusijos pusėn.
Ši ataka buvo tokia sudėtinga, kad jos likučiai aptinkami net po 20 metų. Praėjusiais metais saugumo darbuotojai iš „Kaspersky” ir „Kings College” Londone atrado ryšį tarp „Moonlight Maze“ ir „Turla“ – saugumo skylės, kurį naudoja įtariama Rusijos kibernetinė šnipinėjimo grupuotė, kurios taikiniai yra vyriausybės, kariuomenės, technologijų, energetikos ir komercinės organizacijos.
Manoma, kad, atsižvelgiant į pajėgumus, Rusija kiberveiklų srityje turi vieną galingiausių pajėgumų pasaulyje. Laikui bėgant, jų strategija išsivystė iš kibernetinio šnipinėjimo ir dezinformacijos platinimo, bet dabar jau taip pat apima ir DDoS išpuolius bei kibernetines atakas prieš kritinę nacionalinę infrastruktūrą, pvz., elektrines.
Manoma, kad rusų grupė yra atsakinga už pirmąją ataką energetiniam tinklui Ukrainoje 2015 m. Šiais metais JAV įvykusius nesklandumus energetikos sektoriuje irgi sieja su Maskva. Jungtinėje Karalystėje nacionalinis kibernetinio saugumo centras (NCSC) yra labai sunerimęs dėl panašaus pobūdžio išpuolių.
Tačiau neseniai grėsmė dar labiau padidėjo – dėl įtampos po apnuodijimo Salisburyje ir JAV vadovaujamos oro pajėgų atakų, nukreiptų į Rusijos interesus Sirijoje. Taigi, kokie yra Rusijos tikslai ir kaip įmonės ar vyriausybės gali apsisaugoti nuo šios šalies vykdomų kibernetinių išpuolių?
Galutiniai tikslai
Rusijos agresyvus požiūris jau stebimas daugelį metų, tačiau šalies tikslas pasikeitė, sako „Seguru“ generalinis direktorius Ralphas Echemendia. „Anksčiau Rusijos įsilaužimas beveik visada buvo susietas su finansiškai motyvuotu kibernetiniu nusikalstamumu. Šiandien ji orientuota į politinius laimėjimus“.
Tuo pačiu metu Rusija gali naudotis įspūdingais ištekliais: jos karinė kultūra augina talentingus inžinierius, kurie gali atlikti vis daugiau žalingų išpuolių. Anot R.Echemendia'os, Rusija turi unikalią poziciją, nes šalis nebūtinai turi išleisti daugiau pinigų, kad gautų daugiau išteklių.
„Jie visada turėjo puikių inžinierių talentų, o tai siejama su jų kultūra nuo sovietmečio“, – sako ekspertas. „Yra daug intelektualių protų, kurie nieko neveikia. Jiems geriau kuo ilgiau kapstytis „savose sultyse“, mes vakaruose tiesiog neturime šio kultūrinio mentaliteto. Tai suteikia jiems pranašumą: jie turi skaičių ir jiems gauti nereikia vienodo biudžeto.“
Tuo tarpu, priešingai nei Vakaruose, Rusijos žiniasklaida yra daugiausia kontroliuojama valstybės, teigia „Thycotic“ vyriausiasis saugumo mokslininkas Josephas Carsonas: „Jie neturi atsakinėti į žiniasklaidos klausimus, o tai jiems suteikia pranašumą“.
Tuo pačiu metu, palyginus su daugybe Vakarų šalių, Rusijos ekonomika nėra stipri. Tai pernelyg dažnai skatina talentingus programuotojus sukti į kibernetinį nusikaltimą, o ne bandyti patekti į verslo rinką. „Rusijoje nėra jokių abejonių, kad elektroninis nusikaltimas yra pelningesnis nei įmonės darbas“, – sako R.Echemendia. „Paimkite, pavyzdžiui, jei koks nors asmuo Rusijoje randa didelę saugumo skylę, ją greičiausiai parduos piktavaliams už pinigus. Yra labai mažai pavyzdžių, kai žmonės turi pakankamai moralės, kad pasielgtų kitaip“.
O kaip Rusijos vyriausybė ir žvalgybos tarnybos įdarbina programuotolus iš šio pogrindžio? Pasak „Anomali“ saugumo strategijos direktoriaus Traviso Farralo, tai atliekama per specializuotus interneto forumus. „Kai kurie forumai yra atviri, o žmonės patobulina savo pradinius talentus ir sugeba gerinti sugebėjimus, ir tada jie persikelia į sudėtingesnius forumus. Tai yra hierarchija forumuose, jūs turite būti žinomi kaip kuo aukštesnio lygio veikėjas“.
Išpirkos reiklautojų pramonė
Iš visų atakų vektorių, išeinančių iš Rusijos, ransomware (programa, reikalaujanti išpirkos arba programa-šantažuotoja) yra viena iš labiausiai paplitusių. „Visada didelė dalis ransomware pramonės ateina iš Rusijos, – sako kenkėjiškų programų analitikas Chrisas Boydas iš „Malwarebytes“. – Rusai daug geriau supranta tai, kad nereikia būti pirmiems žaidžiant pagal taisykles“.
Šio tipo programos nebuvo produktyvios daugiau nei 10 metų, tačiau šnipinėjimo programos (spyware) taip pat grįžta į sceną, teigia C.Boydas. Jis perspėja: „Šnipinėjimo programa labai tyliai sėdi ir nors tai nėra tokia žinoma, kaip išpirkos reikalaujanti programa, iš tikrųjų atliekamas juodas darbas. Norėčiau sužinoti, kokią šnipinėjimo programų dalį sudaro kurtos nacionalinių valstybių“.
C.Boydas sako, kad įtariami Rusijos išpuoliai taip pat pereina į sudėtingą dezinformaciją. Jis atkreipia dėmesį: „Keletas dezinformacinių kampanijų, kenkėjiškų programų ir duomenų nutekinimų – ir jūs galite sukurti visiškai chaosą“.
Sankt Peterburge yra įsikūrę „trolių ūkiai“, kurie naudojasi socialiniais tinklais ir bando didinti Rusijos įtaką. Šioje srityje išaugo Rusijos pajėgumai, taip pat valdžios supratimas, kaip taikyti politinę įtaką. „Jie stengiasi parodyti, kad Rusijoje yra ne taip blogai, arba bando pasinaudojant sentimentais įtvirtinti tam tikrą nuomonę tam tikrais klausimais“, – pasakoja T.Farralas.
Keletas organizacijų vykdo kibernetinius išpuolius ir šnipinėjimą iš Rusijos, iš kurių daugelis yra remiami valstybės. Vienas iš „Auriga Consulting“ įkūrėjų ir kompanijos techninis vadovas Jamalas Elmellas mano, kad Federalinė saugumo tarnyba (FSB) turi specialią įsilaužimo grupę „Shadow Brokers“. Kita yra „EternalBlue“ – viena geriausių jų grupių, sukūrusi „NotPetya“ išpirkos virusą, kurį mes matėme Ukrainoje ir ir Jungtinėje Karlystėje“, – teigia J.Elemellas.
„Fancy Bear“ arba „APT28“ yra žinoma rusų kibernetinio šnipinėjimo grupė, kuri, kaip manoma, yra atsakinga dėl kelių valstybės remiamų išpuolių. Tuo tarpu „Cozy Bear“ arba „APT29“ yra rusų įsilaužėlių grupė, kuri, kaip manoma, yra susijusi su šalies žvalgybos tarnybomis. T.Farralas sako: „Nors ir pati valstybė turi interesų, šios grupės turi savo tikslus – ir kartais jie ir sutampa“.
Jis nurodo Demokratinio nacionalinio komiteto (DNC) pavyzdį, apie kurį žinoma, kad įvykdė Rusija: „Kai buvo įsilaužta į DNC, liko įrodymų, kad abi grupės dalyvavo organizuojant įsilaužimą. Tiesą sakant, kas įdomu – galbūt tarp šių grupių net egzistavo konkurencija. Jūs matote skirtingas įsilaužimo grupes, vykdančias tą patį tikslą, ir trukdydamos vienos kitos operacijoms“, mano ir „ThreatConnect“ mokslinių tyrimų direktorius Tonis Gidwanis.
Atakų bruožai
Nustatyti, iš kurios valstybės vyksta ataka, yra ganėtinai sunku. Taigi, ko saugumo ekspertai ieško pirmiausia?
Šalies nustatymas užpuolimo metu nėra lengvas, tačiau tai galima tiksliai atspėti, sako kibersaugumo strategas iš „Proofpoint“ Ryanas Kalemberis: „Iš mūsų perspektyvos, kai mes sakome, kad tai dalis valstybės remiamų veiksmų, mes tai darome remdamiesi viešais moksliniais tyrimais apie taktiką, metodus ir procedūras“.
T.Farralas teigia, kad mokslininkai turi ieškoti dalykų, kurie būdingi tam tikroms organizacijoms – įskaitant kenkėjišką programinę įrangą su tam tikromis charakteristikomis. „Tai yra pirštų atspaudai, pagal kuriuos galime identifikuoti užpuoliką“, – sako jis.
Tačiau nusikaltėlio paieška ne visada yra paprasta. „IP adresas gali nukreipti į Rusiją, bet kažkas atakoms pridengti gali naudoti VPN, – teigia ekspertas. – Tada mes galime susiaurinti paiešką ir daryti išvadą, jog, pavyzdžiui, mes žinome, kad naudojama kenkėjiška programa nėra atviro kodo, taigi, kas nors ją naudoja vieninteliai“.
O kartais užpuolikai sugaunami, kai jie daro kvailas klaidas. Pavyzdžiui, „Guccifer 2.0“, kuris teigė esąs atsakingas už DNC pažeidimą, buvo atsektas į Rusijos IP adresą, kai jis, siunčiant el. laišką, atsisakė naudoti VPN .
Rusija prieš Vakarus
Rusijos žvalgybos tarnybos kuria programinius paketus, kurie gali būti naudojami kibernetiniame kare. Bet kiti – pavyzdžiui, Jungtinės Karalystės GCHQ (vyriausybinio ryšio centras) – beveik neabejotinai daro tą patį, sako ekspertai.
Ir kadangi didėja kibernetinių nusikaltimų mastai, kibernetinė gynyba yra gerai finansuojama visame pasaulyje. Pavyzdžiui, C.Boydas atkreipia dėmesį į Jungtinės Karalystės 1,9 milijardo svarų sterlingų vertės penkerių metų kibernetinės gynybos planą – įskaitant aukšto lygio specialistus, kurie padeda kovoti su išpuoliais.
Taip pat yra pasiūlymų, kad kibernetinės saugumo bendrovės skirtingose šalyse būtų įlietos į vyriausybinę struktūrą ar bent jau dirbtų kartu su savo vyriausybėmis. Praėjusiais metais Rusijos bendrovė „Kaspersky“ Izraelio žvalgybos pareigūnų buvo identifikuota kaip naudojama šnipinėti JAV. Kompanijos įrankiai buvo greitai pašalinti iš vyriausybės kompiuterių, tačiau tai sukėlė klausimų apie įmonės dalyvavimo valstybės remiame kibernetinio šnipinėjimo veikloje.
Žinoma, yra daug paaiškinimų ir tikėtina, kad Jungtinės Karalystės bendrovės bent jau tam tikru mastu bendradarbiauja su vyriausybe. R.Echemendia sako, kad kiekvienoje šalyje nėra jokių abejonių ar reikia kokiu nors lygmeniu bendradarbiauti. Kyla tik klausimas, kokiu integracijos laipsniu tai daryti.
Tai sudėtinga situacija, o Rusijos grėsmės sprendimas nėra tiesioginis. Tačiau kibernetinio saugumo ekspertai sutaria dėl vieno dalyko: labai svarbu, kad įmonės ir vyriausybės investuotų į įgūdžius, reikalingus ateities išpuolių nustatymui ir sušvelninimui.
„Su valstybės išpuoliais pagrindinė problema yra jų aptikimas,“ sako R.Echemendia. „Mums reikia daugiau analitikų, kurie supranta organizaciją: tai ne tik technologinė pusė, bet ir verslo poveikis ir kasdieninis srautas – tai yra tikrasis sprendimas“.
