Taustainfo kogumine
Sihtmärgi enda ja tema kasutatud seadmete ja infosüsteemide kohta taustainfo kogumine. Kogutu põhjal otsustavad Vene eriteenistused, kuidas sihtmärki rünnata.
Jaga:
15.02.2022
In englishVenemaa eriteenistused kasutavad aktiivselt küberruumi teabe kogumiseks, korraldades selleks küberluureoperatsioone.
Küberluure on osa Venemaa eriteenistuste tavapärasest tööst, mistõttu ei pruugi nende tegevus olla alati reaktsioon geopoliitilisele sündmusele.
Tänu Venemaa eriteenistuste küberluure edukale tegevusele on Kremlil tõenäoliselt hea arusaam Lääne plaanidest ja haavatavusest.
Võrreldes teiste riikide tegevusega kujutab Venemaa küberluure endast suurt ohtu, kuna Venemaa eriteenistustel (VET-il) on küberoperatsioonide sooritamise pikaajaline kogemus, nad otsivad pidevalt uusi nutikaid viise infosüsteemidesse sissemurdmiseks, pahavara arendamiseks, oma tegevuse varjamiseks (kuigi rakendatakse ka edukalt töötavaid võtteid, mida on varem kasutatud), panustavad ressurssi küberründe võimekusse ning on suutelised operatiivselt oma vigadest õppima, muutma oma ründevõtteid, vahetama välja paljastatud ründetaristut jmt.
Näiteid 2021. aastal avalikustatud Vene eriteenistuste küberoperatsioonidest
Teisalt ei suuda Vene eriteenistuste sihtmärgid endiselt oma küberturvalisust piisavalt tagada ning tegelevad sellega pigem pärast oluliste tagajärgedega küberoperatsiooni. Seniste küberoperatsioonide põhjal võib öelda, et sihtmärgid ei mõista vajadust järjepidevalt oma küberturvalisust hoida ning selleks ressursse eraldada.
Vene eriteenistuste tegevuse tõttu on Kremlil tõenäoliselt hea ülevaade Lääne arusaamadest, olukorra tõlgendustest ja muredest, ning otsustajad saavad VET-ilt viiteid, kuhu ja millist survet avaldada, selleks et oma välispoliitilisi eesmärke saavutada.
Vene eriteenistuste küberluureoperatsioonide etapid
Järgnev kirjeldus Vene eriteenistuste küberluureoperatsioonide etappidest näitab lihtsustatult VET-i kübervõimet ning ei pruugi olla omane kõigile VET-i küberründe võimega keskustele.
Taustainfo kogumine
Sihtmärgi enda ja tema kasutatud seadmete ja infosüsteemide kohta taustainfo kogumine. Kogutu põhjal otsustavad Vene eriteenistused, kuidas sihtmärki rünnata.
Sissemurdmine
Vene eriteenistuste tüüpilisimad viisid sihtmärgi infosüsteemi sissemurdmisel on:
Ligipääsu laiendamine ja tagamine ning teabe kogumine
Kui Vene eriteenistused on arvutivõrku edukalt sisse murdnudMeilikontosse sisse murdes käituvad VET-id sarnaselt – püüavad kindlustada oma ligipääsu ning koguvad infot (lisaks meilidele ka kasutajate andmeid). Kui meilikonto ise huvi ei ole paku, siis kasutavad VET-id seda järgmiste sihtmärkide ründamisel, nt edastades õngitsuskirju selle meilikonto kontaktisikutele, siis püüavad nad kaardistada teisi seadmeid arvutivõrgus. Eesmärk on saada kõige kõrgemates õigustes ligipääs kogu arvutivõrgule. Kui see on saavutatud, siis on peaaegu võimatu Vene eriteenistusi oma arvutivõrgust välja tõrjuda.
Paralleelselt ligipääsu laiendamisega püüavad Vene eriteenistused paigaldada sihtmärgi arvutivõrku n-ö tagauksi, juhuks kui esialgne sisenemiskoht peaks mingil põhjusel ära kaduma. Kui tagavarasissepääsud peaksid kaduma, siis alustatakse uut küberluureoperatsiooni.
Kolmanda paralleelprotsessina koguvad Vene eriteenistused varjatult sihtmärgi infosüsteemist infot, mis on küberluureoperatsiooni põhieesmärk.
Selleks, et arvutivõrku sisse murdnud Vene eriteenistustest lahti saada, tuleb arvutivõrk sageli uuesti üles ehitada.
NB! Oluline on meeles pidada, et suur luureväärtus on peale riigisaladuse ka asutusesiseseks kasutamiseks mõeldud infol, mis ei ole samaväärse tugevusega kaitstud kui riigisaladus. Piisavas koguses asutusesiseseks kasutamiseks mõeldud info valdamine võib kokkuvõttes olla sama palju väärt kui ligipääs riigisaladusele.
Küberluureoperatsioon on valdavas osas automatiseeritud protsesside jada. Manuaalselt kontrollitakse näiteks seda, kas ründe ohvriks langenud isiku seadmetes asuv info ja isik ise on huvipakkuvad. Kui nad huvi ei paku, siis kustutab VET pahavara infosüsteemist ära või kasutab seda teiste sihtmärkide ründamiseks. Enamasti püüab VET mitmesuguste võtetega oma tegevust varjata – nt kasutatakse ründamisel ja info kogumisel kolmandate osapoolte seadmeid, pahavara jaotatakse väiksemateks osadeks, mis laetakse sihtmärgi infosüsteemidesse eri asukohtadest jm.
Venemaale väärtuslikku infot sisaldavad ka nt asutusesiseseks kasutamiseks mõeldud memod, kust võib saada infot riigiasutuste koostöö, seisukohtade kujundamise, olukorra tõlgenduste jpm kohta
Mis juhtub pärast sissemurdmist?
Venemaa eriteenistused kasutavad küberoperatsioonides palju eri pahavarasid. Järgnevalt kirjeldame üht operatsiooni, mida nägime endise riigiteenistuja isiklikuks kasutamiseks mõeldud arvutis. Sissemurdmine toimus tõenäoliselt siis, kui teenistuja oli avanud manuse õngitsuskirja juures. Manuses asus vaid esialgne osa pahavarast. Teised osad laeti arvutisse eri kohtadest internetis. Pahavara osade saabumist võib vaadelda kui matrjoškat. Iga nukku avades käivituvad seal asuvad failid, mis toovad kohale uue osa pahavarast ning täidab talle mõeldud eriülesande. Kui kogu pahavara on arvutisse paigaldatud, siis jätkub korrapärane info liigutamine VET-i kontrollitud serverisse.
Õngitsuskiri
Õngitsuskirja manusele klikates paigaldub sihtmärgi arvutisse vaid üks osa pahavarast, teised osad laetakse alla eri kohtadest internetis.
Selles etapis kontrollib pahavara küberturvalisuse programmi olemasolu, ning olles selle tuvastanud, lõpetab koheselt küberründe.
Vene eriteenistuste ülesanne on vältida küberteadlikke inimesi, kes võivad kergesti nurjata kogu küberoperatsiooni.
Peibutusdokument
Seejärel näidatakse sihtmärgile peibutusdokumenti, et tema valvsust uinutada ning kinnitada, et kõik on korras.
Loob unikaalse ID
Saanud ligipääsu arvutile, luuakse selle kohta unikaalne ID, mille järgi on võimalik sihtmärki eristada-tuvastada. Samuti hakkab pahavara edastama arvutis olevat infot ründajale ning seadistab arvutisätted selliselt, et arvuti taaskäivitamisel käivitub ka pahavara.
Vene eriteenistuste ülesanne on eristada nakatunud seadmeid ning kindlustada ligipääs.
Nakatab irdmeedia
Pahavara otsib arvutiga ühendatud irdmeediaseadmeid ja arvutivõrgus asuvaid võrgukettaid, paigaldab neile pahavara ja püüab sealt infot varastada.
Pahavara osade edasine laadimine on küberründeti erinev.
Varastab andmed
Kui pahavara on end täielikult paigaldanud sihtmärgi seadmetesse, siis on Vene eriteenistustel võimalik liigutada korrapäraselt sihtmärgi arvutist infot enda kontrollitud serverisse, ning neil on kindlustatud tagavaraligipääsud.
Jaga:
15.02.2022
In english