Soome F-Secure tuvastas, kes häkkis USA presidendivalimisi

Väljavõte F-Secure veebist.

Soome tarkvara turvafirma F-Secure tuvastas, et USA presidendivalkmisi häkkis Vene valitsuse taustaga grupeering „the Dukes” (tõlkes: Krahvid), vahendab New York Times, tuginedes FBI-lt saadud infole.

Häkiti USA demokraatide valmiskampaania serverit, et hankida sealt infot. Oma mõjult ja ulatuselt sarnaneb see 1972. aasta nn Watergate’i afääriga, kui USA vabariiklased varastasid infot demokraatide peakorterist Washingtonis, mis asus Watergate’i hotelli vastas.

Helsingis tegutsev F-Secure on Krahvide kohta teinud koguni eraldi analüüsi, millest tuleb välja, et grupeering alustas tegevust Tšetšeenias 2008. aasta novembris pahavaraga PinchDuke. See oli vahetult pärast Gruusia sõda. Aasta varem, 2007. aasta kevadel pärast Pronksiööd ründas Vene taustaga grupeering Eestis avalikke veebikülgi. Alates 2008. aasta sügisest rünnati Gruusia kaitseministeeriumi, Türgi ja Uganda välisministeeriumi, Poola ja Tšehhi ametiasutusi, üht USA mõttekoda ja NATO-t.

Nimekuju „Duke” võttis kasutusele teine tuntud küberturvafirma Kaspersky Lab, kuna nad tuvastasid tegevuses sarnasuse ühe varasema viirusega, mis kandis nime ItaDuke. Ja see varasem viirus ItaDuke sai omakorda sellise nime, kuna meenutas üht veelgi varasemat viirust Duqu.

Allpool pildile klikkides avaneb analüüs pdf-formaadis.

Tegemist on hästi varustatud küberluure grupeeringuga, mis kogub infot välispoliitiliste ja julgeoleku-teemaliste otsuste tegemiseks. Krahvide peamisteks ründeobjektideks on Lääneriikide valitsused ja organisatsioonid, samuti endise kommunismibloki riigid nagu Tšetšeenia ja Ukraina. Siin on Krahvide tegevuse ajagraafik, millest tuleb välja, et alustati juba vähemalt 2008. aastal:

Krahvide tegevus näeb lühidalt välja nii, et rünnatavatele objektidele saadetakse kirju, mis tulevad justkui usaldusväärsetelt saatjatelt – nagu see ikka viiruste levitamise puhul on. Kirjaga on kaasas pealtnäha usaldusväärne fail, mille avamisega kaasneb viiruse laadimine arvutisse. Failideks võivad olla näiteks fotod, dokumendid või Adobe Flash formaadis videod – oluline on, et nad tunduksid ehtsad ja et ründeobjekt nad avaks.

Krahvide poolt on saadud andmeid järgmistest arvutiprogrammidest ja teenustest:

Nagu märkate, on nende seas sellised eestlaste seas tuntud programmid nagu Firefox, Internet Explorer ja Microsoft Outlook. Siiski pole Eestis teadaolevalt arvuteid nakatatud, põhilised nakatatud arvutid (mille kaudu rünnatakse) on Mongoolias ja Indias:

Taustaks: Viirused on enim levinud Windows süsteemi kasutavate arvutite peal, kuna nende puhul lubab tarkvara igal programmil kirjutada end (pärast kasutaja nõusoleku saamist) operatsioonisüsteemi sisse. Samas Apple’i (macOS) ja Linuxi puhul programmid ise op-süsteemi ei puuduta ja käivituvad vaid siis, kui neid avada. Viimasel ajal on siiski tulnud ette Apple’i programme, mis oskavad end ise avada ja seetõttu töötavad samamoodi nagu Windows’i viirused.

Kommentaarid

kommentaarid