Rubriik: Rünnakud

Tõlkehäkk

Iisraeli turvatarkvarafirma Check Point uurijad on avastanud uue viisi, kuidas pahaaimamatute kasutajate arvuteid nakatada. Kui tavaliselt saadetakse pahatahtlik kood meili teel või meelitatakse kasutajat veebilinki klikkima, siis uue võimalusena võidakse pahavara peita filmide subtiitritesse. Ilmneb, et enamik populaarseid meediapleiereid jooksevad arvutites sellistes õigustes, mis võimaldab nende poolt jooksutataval pahatahtlikul koodil haarata kontroll kogu arvuti üle.

Tegemist on kontseptsioonipõhise ründevektoriga, st teadaolevalt ei ole seda rünnakuviisi päriselus veel kasutatud. Lisaks võib arvata, et kurjategijate huvi just eestikeelseid nakatatud subtiitreid erinevatesse avalikesse keskkondadesse üles laadida on mõni suurusjärk väiksem kui hindi- või hiinakeelsete puhul. Ettevaatlik aga tasub olla sellegipoolest. Nakatumise vältimiseks tuleks oma filmimängimistarkvara hoida ajakohane ning paigaldada kõik pakutavad värskendused. Samuti tuleks vältida subtiitrite allatõmbamist vähegi kahtlastest keskkondadest ning kui võimalik, avada allalaaditud tiitrid tavalise tekstiredaktoriga ning vaadata kiirelt, ega seal peale tõlke midagi liigset ei ole.

Apple Mac arvutid on viirustele avatud

Aastaid on Apple omanikud arvanud, et Mac arvutid ei nakatu viirustesse, kuigi see pole tõsi. Kui varasematel aastatel kasutati Mac arvutite nakatamiseks pahavarasse kavalaid nippe, näiteks meelitati kasutajat arvutisse laadima mingit põnevat programmi, mis sisaldas viirust, siis käesoleval aastal on hakatud ära kasutatama operatsioonisüsteemi turvaauke nagu ka Windows puhul. Sellistel puhkudel ei pruugi Apple Mac omanik arugi saada, kui arvuti on juba nakatunud pahavarasse.

Suuresti on selles süüdi kasutaja ise, kes petlikult arvab, et Apple Mac puhul ei pea kasutama viirusetõrjeid või teisi turvameetmeid, kuid oma süü on selles ka Apple Mac OS X arendajatel. Aastaid on Apple arendajad ise uhkusega kinnitanud, et nende opisüsteem on väga turvaline ja seeläbi on nad võimalikele ohtudele liialt vähe tähelepanu pööranud. Kuid paraku selline liigne enesekindlus võib juba praegu valusalt kätte maksta ja võib muuta Mac arvutid pahavara rünnakutele isegi kergemini haavatavateks kui teistele platvormidele.

Näiteks kui juba kaks kuud tagasi avastati Flash trooja (Flashback trojan), mis nakatas märkamatult Java kaudu Mac arvuteid, siis turvapaik sai sellele valmis alles nüüd, 3.aprillil. Kuid selle aja jooksul on Flashback trooja nakatanud üle maalima kokku juba 600 000 Mac arvuti, kusjuures paar päeva tagasi leiti Venemaa turvafirma analüütiku Ivan Sorokini poolt uus variant Flashback troojast. 56,6 protsenti nakatunud Mac arvutitest asuvad USA-s,  19,8 protsenti  Kanadas ja 12,8 protsenti Ühendkuningriigis ja arvutite nakatumine jätkub suure hooga. Väidetavalt Eestis Apple Mac arvutid pole veel troojasse nakatunud, kuid sellegipoolest pidas Riigi infosüsteemi Amet (RIA) vajalikuks hoiatada kaasmaalasi Macidele suunatud Flashbacki-nimelisest viirusest.

 

 Turvaspetsialistid prognoosivad, et juba väga varsti tuleb valmis olla, kui Apple MAC OS nakatumisi viiakse läbi kas Adobe Flash Playerite, Adobe Reader– või miks ka mitte Skype turvavigade kaudu, kuna Apple arendajad pole selleks veel valmis ja mingeid ettevalmistusi teinud. Miks aga tänapäeval pööratakse suuremat rõhku ka Apple arvutite ründamisteks küberkurjategijate poolt, tuleneb sellest, et Apple arvuteid ostetakse aina rohkem ja on saamas arvestatavaks jõuks neile viiruste, troojate ja nuhkvara loomiseks, mille peamiseks eesmärgiks ongi just informatsiooni vargus pahavarasse nakatatud arvutitest.

Apple MAC OS X arvutite nakatumine toimub märkamatult, kui kasutaja, kelle arvutis on paikamata Java, külastab mõnda pahatahtlikku veebilehte. Nakatatud arvutist võidakse varastada kasutaja paroolid, kasutajanimed, kaaperdada pangakontosid, jälgida võrguliiklust, botnet abil kasutada arvutit rämpsposti levitamiseks jne. Troojalane võib haarata kogu kontrolli kasutaja arvuti üle, saab anda käske arvutile, faile arvutisse või arvutist välja laadida, programme käivitada jne.

Praegune Mac botnet ohustab Apple arvuteid paikamata Java turvavea kaudu ja kui viirus on arvutis koha leidnud, siis saadab ta viirusest koopiaid edasi teistele Mac arvutitele läbi serverite. Ohustatud on kõik Mac OS X arvutid kuni viimase väljalaskeni Lion (OS X 10.7). Vanemad Apple MAC arvutid on eriti haavatavad.

Apple Mac turvalisemaks muutmine

Java turvapaigad Apple MAC-ile võib leida siit Java for Mac OS X 10.5 Update 6, Java for Mac OS X 10.6 Update 7 and Java for OS X Lion 2012-001. Paraku alles avastatud Flashback uue variandi troojale turvapaika veel pole, aga ehk suur tähelepanu kogu maailmas Apple haavatuvusele kiirustab Apple meeskonda seekord kiiremini turvapaika leidma.

Turvakompanii F-Secure on esitanud nõuanded, kuidas diagnoosida ja lahendada probleemi, kui arvuti on juba nakatunuid viirusesse, kuid hoiatab, et see võib tavakasutaja jaoks olla veidi keeruline.

Nõuandeid, kuidas MAC arvuteid saab turvalisemaks muuta, leiab Apple kodulehelt.

RIA soovitab uue variandi viiruse puhuks, kuni sellele pole veel turvapaika välja pakutud, Java välja lülitada.

 

Kasutatud allikad: New Mac malware epidemic exploits weaknesses in Apple ecosyste, Over 600,000 Macs infected with Flashback Trojan, Half of 600,000 infected Macs are in the U.S., Flashback trojan reportedly controls half a million Macs and counting

Android ja pahavara

Detsembris 2011 jõudsid Androidi viirused reaalselt Eestisse. Kõik need heausksed, kes Google Marketis ringi surfates tirisid endale mõne Logastrodi firma mängu, said pügada 4 euro ja 50 sendiga. F-Secure oma blogiartiklis on nakatamise mehhanismi hästi kirjeldanud – kelm võtab Google Marketist mõne olemasoleva aplikatsiooni, teeb seda pisut ümber ning paiskab uuesti Marketisse (mis 07. märtsist küll juba kannab nime Play, mitte Market). Logastrod suutis sel viisil ära häkkida 13 mängu.

[PC Magazine: http://securitywatch.pcmag.com/none/291627-android-malware-found-in-fake-angry-birds-cut-the-rope-and-more]

Originaalpilt: PC Magazine
Originaalpilt: PC Magazine

Ida-Euroopa keskmine kasutaja läheb alt sõnaga “FREE”. Kuna krediitkaardid pole meil Eestis kuigi populaarsed (õnneks!), siis on lastele õpetatud – tohib võtta neid aplikatsioone, mis raha ei küsi. Neid, mis on “free”. Ning kui kõrvuti on valida kahe samasuguse aplikatsiooni vahel, üks on selgelt “free” ja teise puhul pole midagi öeldud, siis kumma valiksite? Antud juhul need, kes valisid “FREE” versiooni, installisid endale telefonisse sigaduse. Kuigi Eestis nakatus maksimaalselt 20-25 inimest, ületas lugu uudisekünnise. Selgub, et kaval on vaadata ka allalaadimiskordade arvu, mis libafirmadel on suhteliselt madal.

Paha programmijupp käitub sedasi:

getSimCountryIso() if (!str.equalsIgnoreCase("ee"))
 { sendSMS("17013", "69229"); continue; }

Ehk teisisõnu, loetakse SIM kaardilt riigi kood ning saadetakse eriti kallile tasulisele numbrile neli ja pool eurot maksev sõnum (SMS) – igas riigis oma numbrile. Kas märkaksite seda “teenust” oma telefoniarvel? Muide, tegemist on lugupeetud välismaise teenusepakkujaga, kelle käest siis pätid omakorda teenust rentisid.
Aasta 2011 oli Androidi turvalisuse seisukohast nukker – pahavara järsku tõusu kirjeldab see graafik [ZDNet: http://www.zdnet.com/blog/hardware/report-android-malware-up-3325-in-2011/18449]:

originaal: ZDNet
originaal: ZDNet

Ei ole mingit alust arvata, et 2012. aasta alguses oleks olukord kuidagi oluliselt paranenud. Google praktiliselt ei kontrolli aplikatsioone, mis Marketisse (nüüd Play) üles laetakse. Seega võetakse Marketist midagi maha üksnes kaebuste peale.

Androidi turvamudel on mõnes mõttes sarnane küpsiste (cookies) omaga. Üks ja ainuke kord, nimelt installi ajal, küsitakse kasutajalt luba, et programm saaks tarvitada üht või teist ohtlikku turvaomadust. Ruutimata telefoni puhul neid õigusi lube enam hiljem küljest ära võtta ei saa (v.a. täielik mahainstall) ning uuesti küsitakse õiguste lubade kohta alles siis, kui aplikatsioonist on saadaval uus versioon (õnnetu tõlkija suva tõttu nimetatakse seda vähemkurjakuulutavalt värskenduseks, mitte uuenduseks).

värskendus kui roosiveega piserdamine
värskendus kui roosiveega piserdamine

Väga sageli võtab uus versioon endale oluliselt rohkem õigusi lube, kuid selleks hetkeks on kasutaja juba andnud püsikorralduse – uuenda (ups! –  värskenda) automaagiliselt. Või siis on kasutaja psühholoogiliselt tüdinud ning litsub iga küsimuse peale – jah, jah, jah!  … On võimalik ka hoopis teistsugune stsenaarium, kus installeeritakse Interneti kasutusõigusega ja USB mälu kasutusõigusega aplikatsioon, mis siis juba ise esimese asjana läheb pahasaidist kurivara tooma.

Moraal – tavakasutajal pole lootustki õiguste süsteemi selgeks saada, kuivõrd see on ülearu keeruline ja tagaustega ning automaatse uuendamise kontseptsioon koos eestikeelse “värskendamisega” sisuliselt nullib sellegi vähese mis on. Androidi õiguste lubade süsteemi ning selle põhimõttelisi puudusi on lähemalt kirjeldatud selles teaduslikus töös siin.

Mõned näited:

netivajadusega taskulamp
netivajadusega taskulamp

 

helista ... kuid kuhu? Panka? Kas pole ülearu mugav?
helista ... kuid kuhu? Panka? Kas pole ülearu mugav?

 

Google Maps - praktiliselt pole õigust, mis siit puuduks
Google Maps - praktiliselt pole õigust, mis siit puuduks

Kuid kuidas on siis lood Androidi viirustõrjetega? Otse loomulikult on neid mitmeid. Samas on erialaajakirjad väga mürgised antiviiruste kasuteguri osas … hetkeseisuga enamik tasuta viirustõrjeid lihtsalt tarbivad võimsust ja vastu ei anna mitte midagi. Novembris 2011 ilmus väga salvavaid materjale Androidile mõeldud “tasuta” antiviiruste osas, kus kõrgeim skoor anti tundmatule tootele nimega “Zoner Antivirus“.

http://securitywatch.pcmag.com/security-software/290411-report-most-free-android-antivirus-apps-useless
http://www.av-test.org/fileadmin/pdf/avtest_2011-11_free_android_virus_scanner_english.pdf

Pärast säärast reklaami loomulikult võtsin maailmanimega tootja viirustõrje maha ning installisin Zoneri. Samas, miski asi viskas mul perioodiliselt reklaami staatus-ribale ning Zoner ei avastanud midagi.

reklaam - Pokerist
reklaam - Pokerist
veel reklaami
veel reklaami

Mis mulle selle Zoneri puhul veel ei meeldinud, et ta keeldub roheliseks minemast, kuniks ma pole kustutanud kõiki Marketi väliseid aplikatsioone ja pole peale keeranud lisafunktsioone – kas peaksin?!

Zoner nuriseb...
Zoner nuriseb...

 

Lõpp hea, kõik hea. Pärast kolm kuud kestnud muretut elu minu mobiilis avastas Zoner lõpuks pahalase:

bingo!
bingo!

Täistõde seisneb aga selles, et programmi GPSFix installeerisin ma samuti novembris. Seega elasid viirustõrje ja pahaprogramm kolm kuud kenasti üksteise kõrval ilma vähimategi probleemideta. Ka Airpushi puhul piisab kord antud nõusolekust (ja andmetest) selleks, et reklaamiandja saaks mulle jätkuvalt rämpsu saata. Kusjuures, juriidiliselt on kõik korrektne ning GPSFix on Marketis senimaani saadaval. Selline on nn vabade aplikatsioonide hind.

Tähelepanekule lugejale on pilt kindlasti selge – Androidi turvaolukord on parasjagu mõnusas tõmbetuules ning oodata on igasuguseid, ka kõige hullemaid uudiseid. Kuidas džunglis ellu jääda? Alljärgnevalt mõned soovitused:

  • Installeeri vaid aplikatsioone, mida kasutab vähemalt 100 000 inimest.
  • Ükski viirusetõrje ei aita kindlalt, kuid mõni kallim neist peaks Sul ikkagi olema installitud.
  • Ära usalda automaatset “värskendamist”. Tee seda alati käsitsi ja uuri seejuures ka taotletavaid õigusi.
  • Kui rahakott kannatab, kasuta kaht telefoni. Ühe peal testid sigadusi, teise peal kasutad kenasid programme.
  • Ära anna oma telefonile oma õiget nime ja reaalset identiteeti. Google võtab Sinult niikunii kõik mis saab (ASL – age, sex, location) ja aplikatsioonid enamgi.
  • Kui vähegi saad ja suudad, ära ühenda Androidi ühegi oma reaalse kontoga (e-mail, twitter, MSN, FB). Loo spetsiaalsed kontod, mis ei reeda sinu reaalset identiteeti.
  • Kasuta kuumaksupõhist andmesidepaketti … suuremate üllatuste vältimiseks.
  • Kui sa oma telefoni välja juurid / ruudustad (rooting), siis vähemasti tea, miks sa seda tegid.
  • Karda QR koode ja lühilinke! Kunagi ei või teada, mida nende tagant alla laaditakse.
  • Käi kohalikus maakeelses Androidifoorumis lugemas teiste muresid ja õnnestumisi.
  • Oota ja unista, millal NSA turvaline Android muutub kättesaadavalks laiadele rahvamassidele

———-

Lõpuks valik senistest halvimatest uudistest:

[1] Pahavara, mis Androidi ruudustab ja oma loojatele iga päev üle 5000£ teenib.

[2] Veel teinegi artikkel Androidi ruudustavast viirusest.

[3] Airpush ja teised reklaamvarad.

[4] F-Secure aastalõpuraport – “Mobile Threat”.

[5] Lugu sellest kuidas prantsuse pätid 100000 EUR teenisid.

[6] Lugu sellest kuidas 50 top aplikatsiooni kasutajate andmeid müüvad.

[7] QR koodidest: http://isc.sans.edu/diary/An+Analysis+of+Jester+s+QR+Code+Attack+Guest+Diary+/12760

[8] Lühilinkidest: http://news.techworld.com/security/3343649/dropbox-url-shortener-targetted-by-spammers/

[9] Positiivseid uudiseid ka: OSAF – analüüsikeskkond Androidi aplikatsioonide lähemaks uurimiseks.

APT – Jõuliselt ebamäärane küber-oht

Ühel Eesti konverentsil ongi juba avalikult nimetatud uut piinlikku jututeemat ingliskeelse nimetusega APT (advanced persistent threat). Seni pigem tundus, et tegu on paranoiliste jänkide hansaluuluga* (vt sõnaselgitust artikli lõpus). Usun, et head eestikeelset sõna vastava termini kirjeldamiseks ei ole ega tulegi, mistõttu püüan APT olemuse inimkeeli lahti kirjeldada.

 

APT defineerub läbi vastase ligikaudse kirjelduse, läbi tolle piiramatu tehnoloogiavõime ning läbi kellegi poolt kinniplekitud motivatsiooni. APT sisuliselt on luure ja tööstusspionaaži piiril paiknev nuhkimistegevus, mida teostatakse plaanipäraselt (just selle sihtmärgi vastu), eesmärgikindlalt (sest tellimus tuleb täita) ning toimub see tegevus kübervahenditega ning enamasti üle Interneti – inimesi ja arvuteid kottides (viirused, kalastamine, identiteedivargus, sissemurd, infovargus).

Vastavalt Richard Beitlichi liigitusele aastast 2010 tähendab A nagu ADVANCED, et kesiganes vastane ka poleks, ta on kogenud ja kvaliteetne. Saadab Sulle e-mailiga viirusi, üritab Sinu veebiserverisse sisse murda, ta võib Sinu firma tarbeks suisa leiutada mõne uue seninägematu turvaaugu. Tegelikult ihaldab ta andmeid Sinu sisevõrgust ja valdaval enamikel juhtudel ta lõpuks need ka saab. Tehniline pädevus ei ole seega küsimus – kuivõrd on tellimus, küll siis raha jaksab ka tehnoloogiat ja jultumust osta. Veel vastasest – tõenäoliselt käite te temaga samas kuurortis puhkamas, kuid ei tunne üksteist kunagi ära.

 

P nagu PERSISTENT tähendab seda, et nimetet äka*, kui see kord Sulle on kaela kukkunud, ei lähe enam iseenesest ära (palvetades, voodoo abil ega OS vahetusega). Põhjused, miks Sinu vastu huvi tuntakse,  jäävad selle artikli raamidest välja, kuid kui keegi ikka on infovarguse tellinud, siis üritatakse siit ja sealt, murtakse siit, kangutatakse sealt, aga raha on makstud ja lõpuks peab vastane oma tulemuse saama. Ühtlasi tähendab see, et mingeid tulikirju ekraanile ei ilmu ega niisama efekti mõttes CD-sahtlit kinni-lahti ei logistata. Toimetatakse tasahilju ning tehakse üksnes asju, mis viivad sihile. Tarvitseb üks viirus välja ravida kui saadetakse järgmine … või leitakse mingi muu vektor midakaudu siseneda. Üldiselt, ega viirustõrjed väga ei tahagi APT’ga tegeleda – õigesti hinnates, et see on tööriist, mitte isepaljunev organism. Vastase poolel on ka ajafaktor – erinevalt tavalistest küberkriminaalidest pole seda tüüpi vastasel kiiret rahanälga, mille peab suvalisel viisil ära rahuldama.

Lõpuks, T nagu THREAT (ehk oht) peaks APT puhul välja nägema mitte niivõrd tehn(oloog)iline (nagu mõni pahakood kusagil võõra serveri sügavuses) – kui seisnema inimestes, kellel on raha, motivatsiooni ja viitsimist Sinu organisatsiooni või firmaga jätkuvalt jännata. Muide, see on töö nagu iga teinegi ning sealjuures üks maailma vanimaid ameteid pealekauba. Samas, globaalvõrk nimega Internet on APT olulisimaks võimaldajaks – täitsa saab Sinu tehnoloogiafirma tahatuppa mingi kaktuse poetada ning siis seda kord kuus kastmas käia.

APT’le ei ole võimalik anda objektiivset tehnilist definitsiooni, ammugi seda mõne tarkvaraga ära tunda, sest kasutatud relvast tähtsam on seda pruukivate isikute motivatsioon. Tavalisest viirusest eristab APT’d eelkõige asjaolu, et raha ärapätsamine ei ole esmane eesmärk. Pigem ikka loodetakse võrku sisse murda ning sealt leida mingi infokild, mis hõlbustaks tellijal tema poliitiliste, majanduslike, tehniliste või sõjaliste ambitsioonide edasist hõlpsat kulgemist – raha ja ülemvõim peaksid saabuma pigem sedakaudu kui et Sinult viimaseid sääste pihta pannes. Teisisõnu võib öelda, et APT on vallaslaps, kelle isaks on indesp (industry espionage), emaks küberruum/Internet ning ämmaemandaks pigem mõne riigi mingi kolmetäheline asutus… kuid kes seda täpselt teab …

Vältimaks igasuguseid diplomaatilisi komplikatsioone, hoidutakse APT’st rääkides alati väga hoolikalt viitamast mistahes konkreetsele riigile või isegi pelgalt võimalusele, et tellijaks on mõne riigi mõni allasutus. Sest definitsiooni kohaselt, kui ühe riigi üks allasutus küberkeberneedib teise riigi erafirmat või organisatsiooni, siis pole see ju enam APT, siis on see (küber-)sõda. Ja kellele seda sõda ikka niiväga vaja on. Misläbi APT kui mugav kohitermin võimaldab kõigil osapooltel rahulikult edasi elada, pea betooni peidetud, ning endiselt samas kuurortis koos puhkamas käia.

Analüüsides ajavahemikku “ligupidamisest”* pronksiööd pidi tänaseni, võib märgata küberprallest osasaajate olulist diversifitseerumist – riikidele, kriminaalidele, terroristidele ja lihtsalt naljameestele on lisandunud üksikisikud, erafirmad, huvigrupid, mõttekojad ning ülalmainitute anonüümsed koostöövõrgustikud … kusjuures mõned Tegijad istuvad spektri mitmel toolil korraga. LulzSeci näiteks peaks vist liigitama kusagile mõttekoja ja naljameeste vahele? Stuxnet aga liigitub geolokatsioonilt riigiks kuid meetodilt terrorismiks. Kokkuvõttes – maailm on põimunud, Tegijate huvid on keerulised – selles valdkonnas vaevalt lähiaastatel selgust saabub.

Ah jah. Peaaegu unustasin. Töökoha PR tädid on mulle ikka ja jälle soovitanud, et asjalik kirjutis ei tohiks olla masendusttekitav vaid sel võiks olla va positiivne ja konstruktiivne soovitus ka man. Niisiis APT ongi Sul juba majas olemas, et mis siis nüüd edasi saab? Kas tulemüürid ja viirustõrjed aitavad? Paraku vist mitte alati. Siiski on ka APT’l oma nõrk koht – ta nimelt peab äravarastatud andmed koju emme juurde saatma. Ainuke mis ohvrit aitab, on omaenda arvutivõrgu pealtkuulamine. Mingi masin, mis suudab Sinu kontori võrguliiklust jälgida ja salvestada ning lõpuks viisakalt vihjata, et kuule mees, see iga kuu 27-nda kuupäeva paiku toimuv naljakas võrguliiklus Uruguay õlleserverisse on ikka natukene saatanast küll.

Moraali asemel – üksnes tehnikaga inimesi siiski ei püüa, ehk siis kui asi tõsiseks läheb, on vastukaaluna APT väärikale inimfaktorile vaja ka oma poolele palgata mõni hästi motiveeritud ja selge peaga tegelane, kelle palk võimaldab tal paberite täitmise ja raportite koostamise vahel sekka ka natuke võrguliiklust uurida ja sel pinnal üliväärtuslikke hüpoteese püstitada. Ning ei tasu unustada koostööd erinevate partneritega – sest sarnaselt käitub ka vastane.

 

Tisklaimer: Kirjutatud eraisikuna. Pole õrna aimugi, mida endised, praegused või tulevased tööandjad sellst teemast arvavad.

———
*  hansa-   –  ülieesliited eesti kultuuriruumis: hüper-, super-, mega- giga- (nagu Hansakruvikeeraja, SuperTigud või MegaLaen)

* äka – viisakam väljend sõnade “ess” või “kaka” asemel

* “ligupidamisega” – Eesti esimene pangakoodide suurkalastus detsembris 2002

 

Küberkuritegevuse tippklass – botnet Zeus

Kui Conflicker välja arvata, siis viimasel paaril aastal on enim kõneainet pakkunud kurivara, mida kutsutakse botnettide kuningaks – Zeus. Hetkel peetakse selle tekitajat maailma ohtlikumaks troojalaseks, mille uute variantide vastu on võimetud paljud viirusetõrjevahendid. Kaks aastat järjest on see kohutanud finantsmaailma ja pangandust, varastades kümneid miljoneid dollareid arvutikasutajate raha.

Trusteer.com turvaspetsialist Amit Klein on teatanud, et Zeus viimane täiustatud variant kasutab iseenda peitmis- ja teisendamistüüpe, samuti kernel tasandi rootkit-tehnoloogiat, mis teeb ta veelgi raskemini avastatavaks misiganes tõrjevahenditele. Tema sõnul on ohustatud kõik Windowsipõhised opisüsteemid ja peamiselt just need arvutikasutajad, kes teevad oma online rahaülekandeid veebilehitsejate Mozilla Firefox ja Internet Explorer vahendusel. Turvafirma spetsialistid on tähenldanud, et hetkel kasvab arvutite pahavarasse nakatumine kiiremini kui kunagi varem.

Ajalugu

Troojalane Zeus, mida tuntakse ka paljude teiste erinevate nimede all Zbot, PRG, NTOS, Wsnpoem, Gorhax – on olnud aktiivne juba aastast 2007, kui esimestest avastatud rünnakutest teatasid  Reuters ja SecureWorks. Esimene tõrjespetsialistide poolt tuvastatud rünnak toimus juulis 2007, mil püüti varastada andmeid mitmetest tuntud Ameerika Ühendriikide suurfirmadest (näiteks Hewlett-Packard Co), kusjuures ohvriks langes isegi USA Transpordiministeerium. Juba septembris –detsembris 2007 avastati uus tõrjevahendite eest peitu jäänud pangandustroojal Zeus põhinev botnet-võrgustik, mis ohustas paljusid juhtivaid suurpanku USA-s, Suurbritannias, Hispaanias ja Itaalias.

Aastal 2008 pakuti paketti juba müügiks või rentimiseks nn kõik-ühes-serveriteenusega koos sisseehitatud administraatori paneeliga ja ründetööriistadega, mis võimaldas rentijal luua iseenda isiklik botnetvõrgustik kuridegude kordasaatmiseks.

Juunis 2009 näitasid kräkkerid üles erilist jultumust, kui turvafirma Prevx  andmetel ohustas Zeus 74 000 FTP kontodele sisselogimisandmeid, näiteks Disney.com, Bloomberg.com, BusinessWeek.com, Discovery.com, Amazon.com kontosid  ja suhteliselt traagilises mõttes ka selliseid kontoomanikke, mis  ei tohiks sellesse nimekirja  iialgi sattuda  – NASA.com, BankofAmerica.com, Oracle.com, Symantec.com, McAfee.com, Cisco.com ja  Kaspersky.com.

2009 aasta oktoobris-novembris toimusid rünnakud sotsiaalvõrgustike Facebook ja MySpace kasutajate vastu, kutsudes neid klikkima linkidel, mille läbi tõmmati arvuti botnetti.

Aruanded

Trusteer 2009 septembri aruande järgi oli ainuüksi USA-s nakatanud 3,6 miljonit arvutit, kuid uurimustöö põhjal arvatakse, et tegelikku nakatumiste arvu võib pidada paljudes kordades suuremaks. Irooniline on veel see, et analüüsi järgi olid tervelt 55% protsenti botnetti kuuluvatest arvutitest viirusetõrjetega kaitstud, kusjuures need olid uuendatud ka viimaste tõrjesignatuuridega.

Ka turvafirma Prevx möönab, et botnetti nakatunud arvutite hulka ei oska keegi  täpselt prognoosida, võidakse ainult tõdeda, et see ulatub miljonitesse arvutitesse üle maailma.  Kui firma jälgis kuue nädala jooksul infektsioonide levikut, siis jõudis see nakatada 20 000 uut arvutit päevas. Tõrjespetsialistidele on selgeks saanud ka  Zeus trooja looja(te) kavalus – selleks ajaks, kui turvaanalüütikud jõuavad selle identifitseerida ja luua vastumeetmeid kurivara kahjustamiseks, on kräkkeri(te) poolt valmistatud juba uusim versioon pahavarast, mis jätkab edasist takistamatut tegevust.

Zeus on pangandus-trooja, mis eeldatavasti pärineb Venemaalt või vähemalt vene keelt kõnelevatest Ida-Euroopa riikidest.  Symantec.com andmetel on paketis mitmed failid, kaasaarvatud Help-abifailid, kirjutatud just vene keeles. Viimase aasta jooksul on paketti pidevalt uuendatud ja täiustatud selle looja või loojate poolt. Siiamaani ei teata kindlalt, kas selle ohtliku, samuti ülimalt professionaalse ja unikaalse tööriisakomplekti loojaks on üksikisik või kuritegelik rühmitus, kuigi viimaste andmete põhjal arvatakse selleks siiski olevat üksikisik. Zeus pahavarapakett on tänaseks saanud küberkurjategijate seas ülimalt populaarseks ning seda kasutatakse enim finantskuritegude kordasaatmisel.

Zeus paketti, mis kannab nime Zeus Builder (ehitaja -konstruktor), müüakse erinevates häkkerite kogunemislehtedel, -foorumites- ja jututubades olenevalt versioonist hinnaga 700 – 4000 dollarit tükk. Zeus Builder on lihtsalt üks väikesemahuline tööriistakomplekt, mille abil on erinevad küberkurjategijad loonud erinevaid botnette, nii väiksemaid kui suuremaid. Näiteks ka Kneber botnet, millest olen  kirjutanud artiklis Kneber – kuritegelik botnet-võrgustik, on loodud tegelikult  troojalase Zeus baasil.

Zeus viimaseid versioone ei pakuta ainult ühese paketina, vaid juurde on võimalik osta ka lisamooduleid. Näiteks Windows 7/Vista toe eest tuleb küberkurjategijatel lisaks letile laduda 2000 dollarit, aga kui nad aga soovivad osta lisamoodulina ka täielikult toimiva virtuaalühenduse (VNC-  Virtual Network Computing moodul), mille abil saavad nad võtta kogu kontrolli nakatunud arvuti üle, maksab see lisatasuna “kõigest” 10 000 dollarit veel.

Muuseas, viimase versiooni puhul on turvaspetsialistid täheldanud esmakordselt maailmas ainulaadset kuritegeliku tööriista  kaitsmise meetodit – autor kaitseb oma “suurteost” Zeus Builder´it riistvaralise litsenseerimise süsteemiga, mis tähendab, et paketti saab jooksutada vaid ainult ühes süsteemis kindla võtme olemasolul. See näitab väga selgelt, kui kõrgelt hindab pahavara looja oma tööd. Selle tööriista järjepidev täiustamine aga annab aimu, et nõudlus selle järele kurjategijate seas on suur ja oht Zeusi nakatuda tulevikus võib muutuda veelgi aktuaalsemaks kui praegu. Täpsemalt kõigest sellest kui ka Zeus Builder uusimast versioonist, millesse on lisatud veelgi surmavamaid funktsioone, saab lugeda Secureworks artiklist või Networkworld loost.

Nakatumise põhimõtted

Zeus on loodud varastama kasutajate kõikvõimalikke privaatseid andmeid finantspettuste kordasaatmiseks. Sellisteks andmeteks ei pruugi alati esmajärjekorras olla ainult pankade ja e-poodide kasutajatunnused ja paroolid, vaid ka kõikvõimalike sotsiaalsete võrgustike (Facebook, MySpace jne) kontoandmed ja FTP ning e-mailide logimisandmed, mille abil saadakse hiljem, kui kasutaja arvuti on liidetud botnet-võrku, niikuinii ligipääs pangakontodele. Loomulikult võimaldab see ka saadud kontode abil nakatada uusi kasutajaid botnet võrgustikku, saates kontoomaniku nimel tema nimekirjas olevatele tuttavatele ja sõpradele justkui süütuid linke neile klikkimiseks.

Peamiselt levitataksegi troojat e-mailidega, millesse on manustatud fail avamiseks või lisatud link sellele klikkimiseks. Näiteks teatakse, et keegi hea inimene on saatnud imeilusailusa tervituskaardi, mida saab imetleda lingile klikates. Või teatatakse justkui mõne sotsiaalse võrgustiku poolt või isegi Microsofti poolt, et näiteks Facebook kasutajaandmeid tuleb kirja manustatud ankeedil uuendada või on Microsoftil pakkuda mõni kriitiline turvavärskendus, mis tuleb lingi abil kohe arvutisse installeerida. Lingile klikates aga suunatakse õgnitsemissaidile, mis nakatab märkamatult arvuti. Paraku ka hiljem ei suuda kasutaja aru saada, et arvuti on juba botneti liikmeks määratud.

Samamoodi võib seda arvutisse laadida drive-by allaladimiste teel veebilehtedel, mis tähendab , et kasutaja kaudselt justkui kinnitab oma nõusolekut millegi allalaadimiseks, kuid ei saa aru tagajärgedest ja allalaadimine toimub tema teadmata. Näiteks kasutaja püüab veebilehel sulgeda häirivat hüpikakent, aga seoses sellega paigaldatakse kasutaja teadmata arvutisse pahavara. Sageli on see seotud võlts-programmide pakkumistega veebilehtedel  või mõne põneva reklaamkirjaga, mis viitab sellele klikkama.

Trooja suudab kräkkeri kaasabil süstida veebilehtedele ka uusi väljasid ja lahtreid, mis nõuavad kasutajatelt rohkemate privaatsete andmete sisestamist kui tavaliselt ja mis loomulikult saadetakse reaalajas just kurjategijale.

Kui arvuti on saanud botneti kliikmeks, siis luuakse tagauks ehk backdoor, mille kaudu edastatakse häkkerile veebilehel tehtavaid toiminguid – klahvinuhi abil salvestatud kasutajanimed ja paroolid või ekraamipildid sisestatud koodidest. Zeus trooja nakatumise puhul ei ole oluline, kas kasutaja on arvutis administraatori õigustes või mitte.

Veel mõned huvitavad aspektid

Huvitavaks teeb Zeus paketi puhul asjaolu, et häkker, kes seda kasutab, saab vajadusel lisakäskude abil kas ühte botneti liiget või tervet botnetti juhtida kontrollserverist oma tahtmise järgi. Näiteks huvitavamateks käskudeks on arvuti sulgemine või taaskäivitusele saatmine, muuta veebilehitseja kodulehte, laadida arvutisse faile, kaustu ja pahavaralisi programme, varastada digisertifikaate, muuta ja modifitseerida  arvutis olevaid faile ja regirtivõtmeid (%systemroot%\system32\drivers\etc\hosts).

Aga veelgi põnevam käsk, mis on pahavara analüüsijad  sügavalt mõtlema pannud, et milleks seda vaja on– on enesehävitamise käsk KOS (kill operating system). See võimaldab kräkkeril kaugjuhtimise teel kustutada olulisi süsteemifaile, mille tulemusel ei laadi opisüsteem enam üles ja sageli peale seda tuleb kasutajal  uus süsteem asemele installeerida. Mõningad arvamused siiski on – võimaliku vahelejäämise kartuses püütakse peita kõik jäljed, et edasine analüüs muutuks raskemaks. Samuti võib tegu olla kavalusega – arvuti rikkumisega püüab kräkker aega võita, et teostada kuritegelikke rahaülekandeid, ilma et kasutajal oleks pääsu internetti, et kahtlaseid tehinguid juhuslikult märgata. Näiteks aprillis 2009 hakkas  abuse.ch analüütik Roman Hüssy jälgima ühte Zeus kontrollserverit, mille botnetvõrgustikku oli ühendatud 100 000 nakatunud süsteemi, kui ta üllatusega märkas, et kontrollserver andis käsu KOS – 100 000 arvutisüsteemi surmati peaaegu üheaegselt.

Kuidas arvutit kaitsata

Ehkki https://zeustracker.abuse.ch/ andmetel on viirusetõrjetel botnettide avastamise määr kõigest 47, 11% (1.mai 2010 andmetel ) ja uusima Zeus Builder tööriistad teevad avastamise veelgi raskemaks, siis ikkagi tuleb järjepidevalt värskendada viiruse-ja nuhkvaratõrjeid viimaste signatuuridega. Kindlasti tuleb uuendada ka operatsioonisüsteemi viimaste turvapaikadega ning ka arvutisolevat tarkvara tuleb uuendada viimaste versioonide vastu.

Kindlasti ei tohi avada kahtlaseid e-maili manuseid ega klikkida igal lingil, mis nendes pakutakse. Sotsiaalsetes suhtlusvõrgustikes nagu Facebookis jne ning veebilehtedel surfates ei ole vaja klikata igale reklaamaknakesele ega laadida arvutisse kahtlaseid faile.

Töökohtades online pangatehinguid sooritades püüa seda teha alati arvutis, mis ei ole üldkasutuses. Mõned pessimistlikumad turvaspetsialistid soovitavad firmadel kaaluda isegi alternatiivsete opisüsteemide kasutuselevõttu just nimelt ja ainult pangatehingute tegemiseks ning eriti tähtsa info hoidmiseks, ent minu arvates on see liiast, ehkki tuleb tunnistada, et nutikas pakkumine. Seda enam, et väidetavalt suudab Zeus troojalane vahetult enne krüpteerimist teha andmetest koopiad, kuni need saadetakse läbi turvalise SSL-ühenduse teele.

Kneber – kuritegelik botnet-võrgustik

NetWitness analüütikud on avastanud  botnet-võrgustiku, mis on üle maailma nakatanud juba hinnanguliselt kuni  75 000 arvutit ja selle abil sisse murtud  ligi 2 500 organisatsiooni süsteemidesse. Üle poolte neist arvutitest olid lisaks Kneberile nakatatud ka Waledac pahalasse. Esialgset kahju on veel raske hinnata, kuna nakatunud arvuteid alles tuvastatakse. Samuti pole veel selge, kui suures ulatuses on erinevatelt ettevõtetelt andmeid varastatud ja kuidas neid on kasutatud või kasutatakse. Hetkel on nakatunud arvuteid leitud 196 riigist, millest enamus asuvad Egiptuses, Mehhikos, Saudi-Araabias, Türgis ja USA-s.

Botneti ülesandeks on koguda peamiselt finantssüsteemidesse-, suhtlusvõrgustikesse- ja e-postikastidesse sisselogimise paroole, mille läbi saadakse ligipääs kontol olevatele isiklikele andmetele, mis võimaldab küberkurjategijatel varastada ettevõtete ja riigiasutuste privaatset- ning finantsalast infot ning kasutada nende identiteeti. Ehkki rünnak avastati eelmisel kuul, siis tegelikult on The Washington Post andmetel arvuteid nakatatud juba 2008 aasta lõpust.

Kneber botnet jälile jõuti jaanuaris, ent põhjalikumal uurimisel selgus palju laiaulatuslikum äriettevõtete ja riiklike asutuste süsteemide nakatamine, mille abil oli saavutatud juurdepääs ligi 68 000 firma sisselogimisandmetele, emaili-süsteemidele, interneti pangasaitidele, erinevate suhtlusvõrgustike isikuparoolidele, 2000 SSL-sertifikaadifailile ning nö toimiku tasandil isiklikule infole. Nakatunud on väga erinevate organisatsioonide süsteemid  – valitsusasutuste-, koolide-, tervishoiu-, tehnoloogia-, energeetika-, meedia-, pangandus- ja teiste finantsteenuste pakkumistega tegelevate firmade arvutisüsteemid. Näitena võib tuua, et eriti keskendunud ollakse andmevargustele suhtlusvõrgustikest Facebook, Yahoo, Hotmail jne., panganduse- ja e-kaubanduse saitidelt nagu Wells Fargo, US Bank, Bank of America, PayPal, eBay, kuid väärtinfot püütakse varastada ka teistest kasutajate seas väga  hinnatud ja populaarsetelt saitidelt üle maailma.

NetWitness tegevjuht Amit Yoran ütleb: “ Need ulatuslikud rünnakud ettevõtte võrgustikele on saavutanud epideemia mõõtme. Küberkurjadegijad on püüdnud vaikselt ja hoolikalt nakatada tuhandeid valitsus- ja kaubandusorganisatsioone üle maailma. Tavapärane signatuuride baasil pahavara kaitse võib olla ebapiisav Kneber-botnet kahjustamisel. Ettevõtted, kes on usaldanud vaid tõrjeprogramme ega ole võtnud tarvitusele täendavaid meetmeid nakatumise vältimiseks, võivad olla juba trooja poolt kahju saanud. Süsteem, mis on nakatunud, ei ohusta ainult kasutajate andmeid ja konfidentsiaalset infot, vaid võimaldab kurjategijatel ka kaugjuurdepääsu kogu ettevõtte võrku.

Hetkel on kindlaks tehtud enam kui saja ettevõtte serverisse sissemurdmine, mille läbi on kräkkerid Ida-Euroopast ja Hiinast saanud suures koguses ettevõtete andmebaase, dokumente, lepinguid ja faile oma kasutusse. The Wall Street Journal andmetel on kurjategijad sisenenud ka USA valitsusasutuste arvutitesse ja ühel juhul varastatud isegi sõjaväelaste e-posti kasutajatunnused ja paroolid (Pentagoni pressiesindaja hetkel ei kommenteeri mistahes ähvardusi või sissemurdmisi).  Ühes firmas on küberkurjategijad saanud juurdepääsu krediitkaardi maksetöötlusteks, teises varastatud isegi arendatavaid tarkvara tulevasi versioone.

Mis on Kneber botnet-võrgustik?

Tegelikult Kneber botnet-võrgustik ei ole midagi uut. “Kneber”  kuulub pahavara perekonda, mis on teada-tuntud  juba paar aastat ja kutsutakse nimega  Zeus või Zbot. Välismeedia on lihtsalt vanale ohule uue nime pannud, lootes leida selle värske varjunimega sensatsioonilist ja erakordset lugu. Nimi “Kneber” pärineb e-posti aadressist, millega sooviti registreerida domeeni võrgustiku koondamiseks – hilarykneber@yahoo.com.  Turvafirma Damballa.com liigitab selle kõige ohtlikemate botnetide hulka.

Endine The Washington Post reporter Brian Krebs, kes on ka rohkem kui 1300 postituse autor blogis Security Fix , pahandab oma kodulehel eriti just ajakirjanduse ja  NetWitness meeskonnaga , et nad suhtuvad faktidesse pinnapealselt ja ei esita neid õigesti, kui nimetavad Zeusi varjunimega. Kuigi nii tema, kui ka turvafirmade Symantec Security ja McAfee spetsialistid kinnitavad Computerworld artiklis, et oma olemuselt võib leitud botnet tõepoolest rohkem kahju tekitada, kui kurikuulus botnet-võrgustik Conficker, kuna varastatakse väga privaatseid ning väga erinevaid firmade- ja isikuandmeid.

Turvespetsialistid möönavad, et Kneber robotvõrgustik on vaid üks väike võrgustik teiste seas, millega ei tohiks asjatult paanikat tekitada. Sellest on palju suuremaid kuritegelikke võrgustikke, mis põhinevad toojal Zeus, mida kõiki on jälgitud, analüüsitud ja leitud vastumeetmeid. Joris Evers, McAfee turvaspetsialist toob näitena, et 2009 aasta viimase kolme kuuga avastati veidi alla nelja miljoni värskelt nakatatud arvuti, mis oli lülitatud botnet-võrku. Pigem teeb spetsialiste murelikuks see, et kuidas on saanud  võimalikuks, et üle maailma ligi 2500 organisatsiooni, sealhulgas valitsusasutuste turvasüsteemid nii nõrgad on, et need on nakatunud pahatahtlikku troojalasse.

Spetsialistid kinnitavad, et kui eraisikud ja firmad järjepidevalt värskendavad oma arvutite operatsioonisüsteeme ja tarkvara viimaste uuendustega, ajakohastavad viiruse- ja nuhkvaratõrjeid ning tulemüüre, ei ava kahtalaseid e-posti manuseid ning ei kliki igal lingil, mis kirjades pakutakse; ei kliki ka igal lingil ega laadi alla faile, mis saadetakse läbi suhtlusvahendite nagu Messenger, Skype jne või  läbi populaarsete suhtlusvõrgustike Facebook jne ning veebilehtedel surfates ei klikata igale reklaamaknakesele, siis enamjaolt ollakse kaitstud ohtude eest.