Kiberspiegošanas veidi arvien unikālāki 0
Kiberdrošības kompānija “Kaspersky Lab” pētnieki ziņo, ka atraduši tehniski sarežģītu kiberspiegošanas struktūru, kas bijusi aktīva vismaz kopš 2013. gada un šķiet nesaistīta ne ar vienu no līdz šim zināmajiem draudu izplatītājiem. “Kaspersky” to nosaukuši par “TajMahal”. Tai ir aptuveni 80 ļaunprātīgu moduļu, un tajā ir ietvertas funkcijas, kas nekad iepriekš nav novērotas sarežģītā mērķuzbrukumā, piemēram, spēja zagt informāciju no printeriem un no USB ierīcēm, kad tās atkārtoti pievienotas datoram.
Pagaidām “Kaspersky” konstatējis tikai vienu upuri – kādas Centrālāzijas valsts vēstniecību (netiek atklāts, kuras valsts), taču uzņēmums prognozē, ka, visticamāk, ir cietuši arī citi.
Piecus gadus ārpus uzmanības loka
Analizējot “TajMahal”, “Kaspersky” secinājis, ka platforma ir izstrādāta un izmantota vismaz pēdējos piecus gadus. Vissenākais paraugs ir datēts ar 2013. gada aprīli, bet visjaunākais – ar 2018. gada augustu. Kāpēc “TajMahal”? Nosaukums ņemts no tās datnes nosaukuma, kas tika izmantota nozagto datu izfiltrēšanai.
Bez spējas zagt informāciju no printeriem un USB ierīcēm “TajMahal” var arī paņemt pārlūka sīkdatnes, savākt “Apple” mobilo ierīču dublējumkopiju sarakstu, nozagt datus no upura rakstīta kompaktdiska. “TajMahal” funkcijas ietver arī audioierakstītājus, taustiņspiedienu pierakstītājus, ekrāna un tīmekļa kameras tvērējus, dokumentu un kriptogrāfijas atslēgu zagļus.
“”TajMahal” ir ļoti interesants un intriģējošs atradums. Tehniskā sarežģītība ir neapšaubāma, un tai ir funkcijas, ko sarežģītu mērķuzbrukumu izpildītājiem iepriekš neesam novērojuši. Joprojām paliek neatbildēti vairāki jautājumi. Piemēram, šķiet maz ticams, ka šāds milzīgs ieguldījums būtu veikts tikai viena upura dēļ. Tas liecina par to, ka, visticamāk, ir vēl nenoskaidroti cietušie. Apdraudējuma izplatīšanas un infekcijas virzieni arī vēl nav zināmi.
Kaut kādā veidā tas ir palicis ārpus uzmanības loka vairāk nekā piecus gadus.
Vai tas noticis relatīvas bezdarbības vai kāda cita iemesla dēļ, ir vēl viens intriģējošs jautājums. Neesam varējuši atrast nekādas autorības norādes, ne arī saites ar zināmām apdraudējumu grupām,” norāda “Kaspersky Lab” galvenais ļaunprogrammatūru analītiķis Aleksejs Šuļmins.
Divu veidu spiegprogrammatūras
Ar kādiem vēl unikāliem kiberspiegošanas risinājumiem pēdējā laikā saskārušies kiberdrošības speciālisti? Šuļmins “LA” norādīja, ka kiberspiegošanas izpildītāji un rīki mēdz būt ļoti atšķirīgi. Parasti tos iedala divās grupās – pēc to kvalitātes un kvantitātes. Kvalitatīvās grupas ir sarežģītu mērķuzbrukumu (APT) grupas. Tās ir apdraudējumu izpildītājas, kuras veic sarežģītas kampaņas, dažkārt pat ar valsts atbalstu, un uzbrūk ierobežotam skaitam upuru.
Savukārt kvantitatīvās grupas ir komerciālās spiegprogrammas, ko var lietot personas pat bez jebkādām programmēšanas prasmēm. Tās dēvē arī par stalkerprogrammām vai plaša patēriņa novērošanas programmām.
Īpaši daudz kiberspiego Āzijā
“APT draudu izpildītāji parasti uzbrūk politiskajām organizācijām un valdībām. Tieši šādas kampaņas gadījums ir “TajMahal”. Cits plašas kiberspiegošanas kampaņas piemērs nesenā pagātnē ir grupa “Lazarus”, kas pēdējos gados ir sekmīgi ielauzusies vairākās bankās un iefiltrējusies vairākās starptautiskās kriptonaudas biržās un finanšu tehnoloģiju uzņēmumos, cenšoties nozagt datus un finanšu līdzekļus. Šī grupa ir sevišķi izsmalcināta – pēdējo reizi mēs to novērojām, kad tā rakstīja ļaunprogrammatūru “macOS” platformai, kas mērķuzbrukumiem ir ļoti neparasti,” sacīja Šuļmins.
Viņš norāda, ka īpaši aktīvs kiberspiegošanas APT reģions ir tieši Āzija, tāpēc nav brīnums, ka “TajMahal” atklāts tieši kādā no šīs pasaules daļas valstīm.
Āzijā novērots, piemēram, grupas “DustSquad” uzbrukumus diplomātiskajām iestādēm Centrālāzijā ar pielāgotu “Android” un “Windows” ļaunprogrammatūru “Octopus”, novērotas arī grupas “Turla” operācijas, ar Ziemeļkoreju saistītās grupas “Kimsuky” interesi par Dienvidkorejas laboratorijām un politisko darbību.
Tālruņi jau ar novērošanas lietotni
Daudz populārākas sava vienkāršuma dēļ ir komerciālās spiegprogrammas. Tās ļauj lietotājiem pilnīgi slepeni izspiegot citas personas, piemēram, pārbaudīt viņu ziņas, zvanu informāciju un atrašanās vietu. To bieži izmanto, lai izsekotu pašreizējo vai bijušo partneri, pat svešiniekus.
“Komerciālā spiegprogrammatūra atšķiras no mērķapdraudējumiem ar vienkāršas instalēšanas iespēju.
Parasti šim “novērotājam” ir tikai jālejupielādē lietotne no tīmekļa vietnes un upura tālruņa iestatījumos jāizslēdz trešo personu lietotņu ierobežojumi.
Daži stalkerprogrammatūras operatori nodrošina atbalsta logu klientu konsultēšanai vai pat piedāvā klientiem iespēju nopirkt tālruni ar tajā iepriekš uzinstalētu stalkerlietotni,” atklāja Šuļmins.
Informācijas tehnoloģiju drošības incidentu novēršanas institūcija “CERT.LV” norādīja, ka par kiberspiegošanas uzraudzību Latvijā atbildīgs ir Satversmes aizsardzības birojs, kā arī Valsts drošības dienests, tomēr neviena no iestādēm SAB situāciju ar kiberspiegošanu Latvijā nekomentēja, jo šāda veida informācija ir saistīta ar SAB darbības metodiku un taktiku, un to aizsargā likums.
