Nematomas karas, kuriame mažai kas prilygsta Rusijai ir tai tikra problema Vakarams: „čia nėra abejonių, kad elektroninis nusikaltimas yra pelningesnis nei darbas bet kokioje įmonėje" ()
Kadangi Putino Rusijos grėsmė šiuo metu vis dar lieka išaugusi, Vakarai patiria tolesnias kibernetinių atakų ir dezinformacijos kampanijas. Kaip patobulintos Vakarų kibernetinės gynybos galimybės ir kaip jos gali būti naudojamos?
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
1998 m., kol buvo pastebėta, kibernetinė ataka dvejus metus siaubė JAV vyriausybės sistemas, pavogdama daugybę duomenų. FTB tyrimas, pavadintas „Moonlight Maze", nustatė, kad ši ataka buvo nukreipta į keletą akademinių institucijų, susijusių su JAV kariuomenės ir mokslinių tyrimų ir plėtros institucijomis ir atakos įrodimai rodė Rusijos pusėn.
Ši ataka buvo tokia sudėtinga, kad jos likučiairandami net po 20 metų. Praėjusiais metais saugumo darbuotojai iš „Kaspersky” ir „Kings College” Londone atrado ryšį tarp „Moonlight Maze" ir „Turla" - išnaudojimo, kurį naudoja įtariama Rusijos kibernetinė šnipinėjimo grupė, kurios taikiniai yra vyriausybės, kariuomenės, technologijų, energetikos ir komercinės organizacijos.
Manoma, kad, atsižvelgiant į pajėgumus, Rusija turi vieną galingiausių pajėgumų pasaulyje kiberveiklų srityje. Laikui bėgant, jų strategija išsivystė iš kibernetinio šnipinėjimo ir dezinformacijos platinimo, taip pat apima DDoS išpuolius ir kibernetinius išpuolius prieš kritinę nacionalinę infrastruktūrą, pvz., elektrines.
Iš tikrųjų buvo manoma, kad rusų grupė yra atsakinga už pirmąją ataką energetinei tinklui Ukrainoje 2015 metais. Tuo tarpu šiais metais JAV įvykusius nesklandumus energetikos sektoriuje, irgi sieja su Maskva. Jungtinėje Karalystėje nacionalinis kibernetinio saugumo centras (NCSC) yra labai sunerimęs dėl panašaus pobūdžio išpuolių.
Tačiau neseniai grėsmė dar labiau padidėjo dėl įtampos po Salisburio apsinuodijimo ir JAV vadovaujamos oro pajėgų atakų, nukreiptų į Rusijos interesus Sirijoje. Taigi, kokie yra Rusijos tikslai ir kaip įmonės ar vyriausybės gali apsisaugoti nuo šalies vykdomų kibernetinių išpuolių?
Galutiniai tikslai
Rusijos agresyvus požiūris jau stebimas daugelį metų, tačiau šalies tikslas pasikeitė, sako „Seguru" generalinis direktorius Ralph Echemendia. „Anksčiau Rusijos įsilaužimas beveik visada buvo susietas su finansiškai motyvuotu kibernetiniu nusikalstamumu. Šiandien ji orientuota į politinius laimėjimus ".
Tuo pačiu metu Rusija gali pasinaudoti įspūdingais ištekliais: jos karinė kultūra augina talentingus inžinierius, kurie gali atlikti vis daugiau žalingų išpuolių. Anot Echemendia, Rusija turi unikalią poziciją, nes šalis nebūtinai turi išleisti daugiau pinigų, kad gautų daugiau išteklių.
„Jie visada turėjo puikių inžinierių talentų, o tai siejama su jų kultūra nuo sovietmečio", - sako jis. „Yra daug intelektualių protų, kurie nieko neveikia. Jiems geriau kuo ilgiau kapstytis „savose sultyse’, mes tiesiog neturime šio kultūrinio mentaliteto vakaruose. Tai suteikia jiems pranašumą: jie turi skaičių ir jiems gauti nereikia vienodo biudžeto."
Tuo tarpu, priešingai nei Vakaruose, Rusijos žiniasklaida yra daugiausia kontroliuojama valstybės, teigia „Thycotic" vyriausiasis saugumo mokslininkas Joseph Carson. „Jie neturi atsakinėti į žiniasklaidos klausimus, o tai jiems suteikia pranašumą".
Tuo pačiu metu, palyginti su daugybe Vakarų šalių, Rusijos ekonomika nėra stipri. Tai pernelyg dažnai skatina talentingus programuotojus sukti į kibernetinį nusikaltimą, o ne bandyti patekti į verslo rinką. „Rusijoje nėra jokių abejonių, kad elektroninis nusikaltimas yra pelningesnis nei įmonės darbas", - sako Echemendia. „Paimkite, pavyzdžiui, jei koks nors asmuo Rusijoje randa didelę saugumo skylę, ją greičiausiai parduos piktavaliams už pinigus . Yra labai mažai pavyzdžių, kai žmonės turi pakankamai moralės, kad galėtų darytų kitaip".
Taigi, kaip Rusijos vyriausybė ir žvalgybos tarnybos įdarbina programuotolus iš šio pogrindžio? Pasak Travis Farral, „Anomali" saugumo strategijos direktoriaus, tai atliekama per specializuotus interneto forumus. „Kai kurie forumai yra atviri, o žmonės patobulina savo pradinius talentus ir sugeba gerinti savo sugebėjimus, jie persikelia į sudėtingesnius forumus. Tai yra hierarchija ir el. forumuose, jūs turite būti žinomi kaip kuo aukštesnio lygio veikėjas".
Šioje struktūroje vyriausybė turi savo interesus ir gali įdarbinti programuotojus pasinaudojant šiomis aplinkybėmis, - aiškina jis. Anot Echemendia, Rusijos valstybiniai veikėjai bendrauja dirbdami su žinia. „Tu žinai triukus, kad paverstų tavę privačiu. Jūs niekada nekalbate apie tai, ką ketinate daryti" - dauguma bendravimo vyksta per užkoduotus kanalus.
Rusijos išpirkos reiklaujančių programų (ransomare) pramonė
Iš visų atakų vektorių, išeinančių iš Rusijos, ransomare (programa išpirkos reikalautoja arba progrtama-šantažuotoja) yra viena iš labiausiai paplitusių. „Visada didelė dalis ransomware pramonės ateina iš Rusijos", - sako kenkėjiškų programų analitikas iš „Malwarebytes" Chris Boyd. Jis sako: „Rusai daug geriau supranta tai, kad nereikia būti pirmiems žaidžiant pagal taisykles".
Šio tipo programos nebuvo produktyvios daugiau nei 10 metų, tačiau šnipinėjimo programos (spyware) taip pat grįžta į sceną, sako Boyd. Jis perspėja: „Šnipinėjimo programa labai tyliai sėdi ir nors tai nėra toks žinomas, kaip išpirkos reikalaujanti programa, iš tikrųjų atliekamas darbas. Norėčiau sužinoti, kiek šnipinėjimo programų yra sukurtų nacionalinių valstybių."
Boyd sako, kad įtariami Rusijos išpuoliai taip pat pereina į sudėtingą dezinformaciją. Jis atkreipia dėmesį: „Keletas dezinformacinių kampanijų, kenkėjiškų programų ir duomenų nutekinimų ir jūs galite sukurti visiškai chaosą".
Sankt Peterburge yra įsikūrę „trolių ūkiai", kurie pasinaudojo socialiniais tinklais, kur jie gali didinti įtaką. Šioje srityje išaugo Rusijos pajėgumai, taip pat valdžios supratimas, kaip taikyti politinę įtaką. „Jie pasistengia parodyti, kad Rusijoje yra ne taip blogai, arba bando pasinaudojant sentimentais įtvirtinti tam tikrą nuomonę tam tikrais klausimais", - sako Farral.
Keletas organizacijų vykdo kibernetinius išpuolius ir šnipinėjimą iš Rusijos, iš kurių daugelis yra remiamos valstybės. Iš jų sako „Auriga Consulting" vienas iš įkūrėjų ir CTO Jamal Elmellas: „Federalinė saugumo tarnyba (angl. Federal Security Service - FSB) turi kibernetinį pajėgumą, kad, jus paveiktų yra įsilaužimo grupė „Shadow Brokers". „EternalBlue" yra viena gerioausių jų grupių, tai jie sukūrė „NotPetya“, kuriuos mes matėme Ukrainoje ir ir Jungtinėje Karlystėje."
„Fancy Bear" arba „APT28" yra žinoma rusų kibernetinio šnipinėjimo grupė, kuri, kaip manoma, yra atsakinga dėl kelių valstybės remiamų išpuolių. Tuo tarpu „Cozy Bear" arba „APT29" yra rusų įsilaužėlių grupė, kuri, kaip manoma, yra susijusi su šalies žvalgybos tarnybomis. Farral sako: „Nors ir pati valstybė turi interesų, šios grupės turi savo - o kartais jos ir sutampa".
Jis nurodo Demokratinio nacionalinio komiteto (DNC) pavyzdžius, kuriuos žinojo, kad juos įvykdė Rusija. „Kai į DNC įsilaužė, buvo įrodymų, kad abi grupės buvo organizuojant įsilaužimą; viena paskui po kurio laiko ir kita. Tai sakamba jau įdomiai - gali būti konkurencija tarp dviejų šių grupių ".
Kai kuriais atvejais „ThreatConnect" mokslinių tyrimų direktorius Toni Gidwani sako: „Jūs matote skirtingas įsilaužimo grupes, vykdančias tą patį tikslą, ir trukdydamos vienos kitos operacijoms."
Neseniai tokios grupės kaip „Fancy Bear“ buvo „neįtikėtinai užsiėmusios", vykdydamamos daugiau operacijų nei anksčiau, sako Ryan Kalember, kibersaugumo strategas iš „Proofpoint". „Šios grupės nebėra tokios stačios kaip ir anksčiau, o tai reiškia, kad joms nesvarbu, ar jas sugaus. Arba jos yra tiesiog užsiėmusios ir tampa nepatikimos."
Atakų bruožai
Nustatyti iš kurios valstybės vyksta ataka yra ganėtinai sunku. Taigi, ką saugumo ekspertai ieško pirmiausiai, kai vykdomas Rusijos kibernetinis puolimas?
Šalies nustatymas užpuolimo metu nėra lengvas, tačiau tai galima tiksliai atspėti, sako Kalember. „Iš mūsų perspektyvos, kai mes sakome, kad tai dalis valstybės remiamų veiksmų, mes tai darome remdamiesi viešais moksliniais tyrimais apie taktiką, metodus ir procedūras".
Farral teigia, kad mokslininkai turi ieškoti dalykų, kurie būdingi tam tikroms organizacijoms, įskaitant kenkėjišką programinę įrangą su tam tikromis galimybėmis. „Tai yra pirštų atspaudai, pagal kuriuos galime identifikuoti užpuoliką", - sako jis.
Tačiau nusikaltėlio paieška ne visada yra paprasta. „IP adresas gali nukreipti į Rusiją, bet kažkas gali naudoti VPN savo atakoms padengti", - sako Farral. „Tada mes galime susiaurinti paiešką ir padaryti išvadą, pavyzdžiui, mes žinome, kad naudojama kenkėjiška programa nėra atviro kodo, taigi kas nors ją naudoja vieninteliai ".
Tačiau apskritai Boyd pripažįsta: „Net su išsamia informacija, galų gale daugelis šių dalykų yra spąstai. Taigi, buvo perėjimas nuo „kas tai padarė", „kaip jie tai padarė" ir „kaip mes galime tai spręsti, kad sustabdytume, kaip tai darėme"?
Ir kartais užpuolikai sugaunami, kai jie daro kvailas klaidas. „Guccifer 2.0", kuris teigė esąs atsakingas už DNC pažeidimą, buvo atsektas į Rusijos IP adresą, kai jis atsisakė naudoti VPN siunčiant el. laišką.
Rusija prieš Vakarus
Rusijos žvalgybos tarnybos kuria programinius paketus, kurie gali būti naudojami kibernetiniame kare. Kiti, pavyzdžiui, Jungtinės Karalystės GCHQ (vyriausybinio ryšio centras - Government Communications Headquarters), beveik neabejotinai daro tą patį, sako ekspertai.
Ir kadangi didėja kibernetinių nusikaltimų mastai, kibernetinė gynyba yra gerai finansuojama visame pasaulyje. Pavyzdžiui, Boyd atkreipia dėmesį į JK 1,9 milijardo svarų penkerių metų kibernetinės gynybos planą, įskaitant aukšto lygio specialistus, kurie padeda kovoti su išpuoliais.
Taip pat yra pasiūlymų, kad kibernetinės saugumo bendrovės skirtingose šalyse yra įlietos į vyriausybinę strukturą ar bent jau dirbtų kartu su savo vyriausybėmis. Praėjusiais metais Rusijos bendrovė „Kaspersky" antivirusinė programinė įrangą rasta Izraelio žvalgybos pareigūnų, buvo naudojama šnipinėti JAV. Firmos įrankiai buvo greitai pašalinti iš vyriausybės kompiuterių, tačiau tai sukėlė klausimų apie įmonės dalyvavimo valstybės remiame kibernetinio šnipinėjimo veikloje.
Žinoma, yra daug paaiškinimų ir tikėtina, kad Jungtinės Karalystės bendrovės bent jau tam tikru mastu bendradarbiauja su vyriausybe. Echemendia sako, kad kiekvienoje šalyje nėra jokio abejonių ar reikia kokiu nors lygmeniu bendradarbiauti. Kyla tik klausimas, kokiu integracijos laipsniu tai daryt.
Tai sudėtinga situacija, o Rusijos grėsmės sprendimas nėra tiesioginis. Tačiau kibernetinio saugumo ekspertai sutaria dėl vieno dalyko: labai svarbu, kad įmonės ir vyriausybės investuotų į įgūdžius, reikalingus ateities išpuolių nustatymui ir sušvelninimui.
„Su valstybės išpuoliais pagrindinis klausimas yra aptikimas," sako Echemendia. „Mums reikia daugiau analitikų, kurie supranta organizaciją: tai ne tik technologinė pusė, bet ir verslo poveikis ir kasdieninis srautas - tai tikrasis sprendimas".