Tag Archives: viirus

Tunne oma tumedamat poolt!

Autor: Anto Veldre, RIA analüütik

Portaal Helpnetsecurity avaldas hiljuti artikli, mis annab ülevaate e-kirjade ohtlikust sisust.

Algset, firma Proofpoint uurimust on võimalik lugeda kõigil ametiisikutel, kes selle lugemiseks Proofpointile oma isikuandmed loovutada raatsivad. Lisatud on kommentaarid Eesti olukorra kohta, mida algmaterjalis ei sisaldu.

Faktid ja mõned numbrid

Kui välismaa statistika kohaselt saadavad kurjamid lunavara meilitsi laiali tavaliselt teisipäevast neljapäevani, siis Eesti puhul seda öelda ei saa: meil on kõik nädalapäevad võrdsed. Mujal maailmas on ka täheldatud, et pangatroojalaste saabumise lemmikpäev on neljapäev (põhjus ilmne: et reedel tehtud ülekande jälitamine nädalavahetuse tõttu keerukaks muuta) ning klahvinuhke ja tagauksi püütakse paigaldada esmaspäeviti (et töönädalast ikka maksimumi võtta). Eestis selliseid kindlaid mustreid välja ei joonistu.

Muide, küberkurjategijad rõhuvad pigem inimeste kui tarkvaraaukude ärakasutamisele.

Kaval trikk on luua endale mitu meili-aliast ja suunata need kokku ühte postkasti. Siis paistab virtsalevituskampaania kohe silma.

2015. aastaga võrreldes kasvas küberkuriteoliikidest 2016. aastal kõige rohkem niinimetatud tegevjuhi või CEO pettus (ametliku nimetusega Business Email Compromise ehk BEC). BEC seisneb näiliselt tegevjuhi nime alt (vahel isegi “tema” meililt) kirjade saatmises (tavaliselt) ettevõtte finantsjuhile, et uurida, kas on võimalik teha kiiresti makse pangakontole X või kas see juba on tehtud. Ülemaailmselt on ettevõtted selle küberkuriteo liigi kaudu kandnud juba üle 5 miljardi dollari kahju.

Artiklist ilmnes, et pahatahtlike lehtede avamise klikkidest ligikaudu pooled tehakse isiklikes seadmetes või seadmetes, mis pole liidetud asutuse monitooringusüsteemiga. Selgus ka üllatuslik asjaolu, et 42% pahavaraga nakatumistest toimub nutiseadmetes (selle poolest erineb Eesti väga palju muust maailmast) ning pahatahtliku lehe kaudu nakatumistest 8% toimub vananenud tarkvara (nagu näiteks Windows XP operatsioonisüsteemi) kasutamise tõttu. (Seega pooled infolekke ja nakatumiseni viivatest klikkidest tehakse nii, et asutuse või firma IT-spetsialistid neist ülevaadet ei oma.)

90% kuriklikkidest viisid kasutaja tegelikult õngitsuslehtedele, mis on üldjuhul üles seatud kasutajalt kontoandmete (kasutajanimi ja parool) välja meelitamiseks. Kui kasutajal pole aktiveeritud kahetasemelist autentimist, mis võõrast kohast sisselogimise korral koodi küsib ning selleta kasutajat kontole ligi ei lase, siis on pahalased oma eesmärgi suurepäraselt täitnud.

Muide, rahavargusteni viinud e-kirjadest suisa 99% vajasid ründamiseks inimese enda tehtud klikki.

Vaata alati veebiaadressi – PayPal pole haridusasutus (.edu).

Kurjal klikkimine leiab 90% juhtudel aset esimese 24h jooksul pärast levituskampaania algust (see on ka tavapärane aeg, mis kulub majutusteenusepakkujal pärast lehekülje raporteerimist ohtliku veebilehe eemaldamiseks internetist). Kusjuures 25% ohtlikul materjalil klikkimisi pannakse toime suisa esimese 10 minuti jooksul ja 50% esimese tunni jooksul pärast e-kirja laekumist postkasti. Kõige rohkem ohtlikke klikke sooritatakse tööajal: kell 8–15.

2016. aasta jooksul kasvas tehnilise toe petuskeemide (nn HelpDeskide järeleaimamise) arv 150%. Kui mujal maailmas helistasid kurjamid inimestele Microsoftist, Apple’ist ning isegi Linuxi! kasutajatoest, siis Eesti kasutajad said enim e-kirju tavaliselt IT-toelt. “IT-Tugi” oli märganud pahatahtlikku tegevust või kontolimiidi ületamist ja ähvardas konto sulgeda, kui kohe ei sisestata andmeid lehele X, mis taastaks konto tavapärase tegevuse. Lisaks said Eesti inimesed 2016. aastal e-kirju Telia ja Zone’i nimel. Ka mõned petukõned jõudsid siiski Eestisse: CERTi teavitati “Microsofti” tehnilise toe kõnedest, kus kasutajaid süüdistati viiruse jagamises (või teavitati neid sellest) ning nõuti ligipääsu arvutile, et pahatahtlik tegevus lõpetada. (Vaata meenutuseks katket sarjast “IT-planeet” – “Ma helistan teile Facebookist“.)

Teinegi postkastipilt – petukampaaniad paistavad kätte selgelt, nagu ka põhilised altvedamisnipid.

Küberkurjategijad on kursis inimpsühholoogia, käitumisharjumuste ja ärimaailmaga: nad teavad üsna täpselt, millises vahemikus on töötajatel pausid või rohkem aega isiklikuks internetikasutuseks. Ja ka seda, et raamatupidajate vererõhk tõuseb järsult nähes postkastis kirja “unpaid invoice” või tegevjuhi palvet teha kiiresti pangaülekanne, mis tal endal kiire graafiku tõttu ununes. Samuti on teada tõde, et pärast nädalavahetust on postkastid tavaliselt rohkem täis kui teistel päevadel. Ja kuna postkastiga soovitakse kiiresti n-ö ühele poole jõuda, kiputakse just esmaspäeviti saadud kirjade puhul vähem tähelepanelik olema.

Pea meeles!

CERT-EE tuletab meelde, et parim kaitse on uuendatud tarkvara ning e-kirjas sisalduva teabe ja linkide ülekontrollimine! Kui sa ei ole lehe või faili ohutuses veendunud, kontrolli seda enne Cuckoos, mis on CERT-EE avalik keskkond failide analüüsimiseks. Lingi saab Cockoosse lisada (copy-paste) ja oma arvutisse salvestatud kahtlase faili sinna üles laadida.

Muusikasõpradele pakume kuulamiseks RIA bändi hoiatust “Ära vajuta!”:

Diagnoos: krüptoviirus ehk lunavara

Toomas Vaks, Riigi Infosüsteemi Ameti peadirektori asetäitja küberturvalisuse alal kirjutas 18. novembril 2015 ajalehes Eesti Ekspress lunavara levikust Eesti ettevõtetes ja asutustes.

Selle aasta suvel ja sügisel on mitmes Eesti riigiasutuses ja ilmselt ka nii mõneski erafirmas päev alanud paraja paanikaga. Inimene käivitab hommikul oma tööarvuti ja soovib jätkata eelmise tööpäeva lõpul poolelijäänud tegemisi. Küllap on nii mõnegi asjaga kiire. Kuid miskipärast näib arvuti töölaud kuidagi teistsugune, kui see alati on paistnud. Võib-olla on muutunud seal olevad ikoonid, kuid päris kindlasti on kõikide töölaual olevate failide laiend hoopis teistsugune, kui olema peaks. Eelmisel õhtul tööks kasutatud failist olulinefail.docx on järsku saanud näiteks fail nimega olulinefail.docx.virusfuckedyourfilesxfhj. Säärane fail loomulikult inimesel tööd teha ei lase ja samuti puudub ligipääs eelmisel õhtul kirjapandud toredatele ja olulistele mõtetele, mida just nüüd ja kohe hommikusel koosolekul oleks vaja ette kanda.

Samuti paneb ohutulukese põlema faili laiend, mis sisaldab sõna „virus“. Arvutis on ilmselt midagi valesti ja tuleb kiiresti lasta spetsialistidel arvuti korda teha. Igaks juhuks tasub enne seda ka mõelda, kas sai äkki ise midagi valesti tehtud, juhuks kui arvutispetsialistil peaks selline mõte tekkima. Kuid ühelgi kahtlasel või keelatud kodulehel ei ole justkui käidud, kahtlastele linkidele kah vajutatud ei ole, illegaalseid faile kusagilt tööarvutisse tõmmatud ka mitte. Ja üleüldse paistab ainuke tööga mitteseotud tegevus, mida tööarvutiga eile tehtud sai, ühe lugupeetud kinnisvaraportaali külastamine, nägemaks seda, kui paljuga naaber oma korteri müüki on pannud. Ja pealegi peaks arvuti töölaua nurgas vilkuv viiruste eest kaitsev programm oma tööd tegema.

Kuid telefonikõne asutuse arvutisüsteemide eest vastutavatele spetsialistidele seekord ei aita, sest telefonitorust kostab ainult närvilist karjumist, kuidas praegu on palju suuremaid probleeme kui see, et see helistaja oma töölaual olevaid faile avada ei saa. Kõikide asutuse töömaterjalidega olevat mingi „kapitaalne jama“ ja arvutispetsialistil lihtsalt polevat hetkel aega selliste väikeste probleemidega tegeleda. Selline vastus muidugi elu kergemaks ei tee ja tuleb ülemusele õnnetu näoga olukorda seletama minna.

Ja tõepoolest – asutuses arvutite eest vastutavatel inimestel on käed-jalad juba hommikust saadik tööd täis ja probleemidega on jõutud ka juhtide kabinettidesse – tuleb välja, et asutuses ei ole sel hommikul kusagil mitte ühtegi faili, mida keegi kasutada saaks. Kahju ei ole siiski lõplik – asutuse andmed ära peitnud kurja¬tegijad soovivad andmete taastamise eest lihtsalt raha – bitcoin’ides makstes peaks ühes arvutis olevad andmed saama tagasi umbes 1000 euro eest.

Diagnoos: asutuse arvutisüsteem on nakatunud krüptoviiruse ehk lunavaraga. Kui tegu on erafirmaga, siis võib-olla kaalubki firma juht küsitud lunaraha ära maksmist, sest töö tahab ju tegemist Kuid maksta tuleks kiirelt ja vaikselt, et keegi teine (ammugi konkurent) sellest ei kuuleks. Et praegu on kõige targem tegeleda tagajärgedega ja sellega, et asutus saaks tööd jätkata – küll IT-juhi vallandamisega jõuab tegeleda ka uuel nädalal.

See, mida ma siinkohal kirjeldasin, on tänavu tõenäoliselt juhtunud nii hulgas riigiasutustes, erafirmades kui ka kodudes. Sel aastal oleme pidanud olema tunnistajaks ja abistajaks sedalaadi olukordades, kus üle Eesti on käinud terve krüptoviiruste epideemia. Ja seda hoolimata sellest, et eri kanaleid kasutades on korduvalt edastatud hoiatusi ning soovitusi, kuidas krüptoviiruste eest hoiduda ja kuidas võtta tarvidusele abinõusid, mis aitaksid ka säärase lunavara arvutitesse pääsemise korral halvemaid tagajärgi ära hoida.

Kui lunavara kätte langenud erafirmades toimuvat võiks riik halvimal juhul ennekõike pealt vaadata, nõu anda ja loota, et enam nii ei juhtu, siis olukord, kus küberpättide tegevuse tõttu satuks kusagil ohtu ka mõne haigla või kiirabi toimimine, peaks muretsema panema tegelikult meid kõiki. Ka selliseid juhtumeid oleme pidanud sel sügisel nägema ja säärased olukorrad on juba naljast (millena lunavara ju kõrvaltvaatajale tunduda võib) kaugel, sest ohtu satuvad kriitilised teenused, millest me sõltume kogu aeg.

Eestis ei tohiks olla isegi teoreetilist võimalust, et kriitilised teenused, millest võib sõltuda inimeste elu, võivad selliste küberpättide tõttu häiritud saada. Kuid kahjuks on sügis näidanud, et oht selleks on suurem kui pelgalt teoreetiline. Olgem ausad – enam-vähem täieliku turvalisuse tagaks tänapäevaste küberriskide eest vaid internetist isoleeritud töökeskkond, kuid kui see oleks ainuke lahendus, siis oleks sama hea juba soovitada kirjutusmasinate juurde naasmist. Mida need asutused, kus säärane paanika aset leidis, siis valesti tegid?

Esiteks loomulikult seda, et nii mõnigi asutus on kas laiskusest, asjatundmatusest või siis kulude kokkuhoiu soovist loobunud oma andmetest koopiate tegemisest. Kui kõikidest arvutis olevatest olulistest andmetest tehakse arvuti iga sulgemise järel koopiad, siis võib krüptoviiruste (ja mitte ainult) vastu end vähemalt veidike julgemini tunda.

Teiseks kordub sel sügisel nähtud juhtumites selgelt üks ja seesama muster – IT-spetsialistid on jätnud oma asutuste tavalistele kasutajatele asutuse arvutivõrgus olevate andmekandjate (võrgus olevad kõvakettad jmt) juures liiga suured kirjutamise ja tegevuse õigused. Kui krüptoviirus pääseb mõnda arvutisüsteemi, siis sihib ta üsna pea kõiki andmeid, millele tal ligi pääseda õnnestub. Taas kord laiskus ja asjatundmatus. Iga suurema riigiasutuse või ettevõtte juht võiks oma arvutite eest vastutajate käest nende kahe lihtsa asja silmas pidamist jõuliselt nõuda.

Ning kolmandaks on probleem muidugi see, et asutust tabanud krüptoviirusest üritatakse kellelegi mitte teada anda, nõutav lunaraha makstakse ära ja püütakse asutust häbistav juhtum kiirelt unustada. See võib tõesti olla hea lahendus ühe asutuse või ettevõtte jaoks – kuid Eesti kui terviku küberturvalisusele see kahjuks kaasa ei aita.

Tahaksin  väga loota, et andmeid krüpteerivale epideemiale õnnestub sel sügisel siiski piir panna. Kui ühes või teises erafirmas toimuv on lõpptagajärgedes võib-olla tõesti ennekõike firma enda riskitaluvuse, maine või rahakoti küsimus, siis Eestis eluliselt tähtsaid teenuseid tagavates asutustes säärased juhtumid korduda lihtsalt ei tohi.

RECHNUNG ja tema kurjad sõbrad

Ei, sedapuhku ei tule jutuks hirmsad mälestused matemaatikatundidest ja rangetest õpetajatest, vaid hoopis mitmendat kuud kestev postkastide pommitamine arvutiviiruse e-kirjadega, mis on viimastel päevadel veelgi aktiivsemaks muutunud.

Pahavara levitamisse on kaasatud zombie-arvutid ning sisuhaldustarkvara turvaaukude kaudu ülevõetud veebilehed. CERT-EEle teadaolevalt on Eestis “pihta saanud” juba mitmed organisatsioonid.

Pahavaraga nakatumine saab alguse e-kirjast, mis võib välja näha umbes nii:

kuvatõmmis e-kirjast

e-kiri Rechnung

Võltskirja tuvastamine on tehtud keeruliseks sellega, et kirjas kasutatakse reeglina saaja nime, seetõttu näeb kiri üsnagi adekvaatne välja (eriti raamatupidajatele, kes saavad postkasti kümneid kirju arvetega).

Rechnung viitele (sinine tekst) klikkides laetakse arvutisse ZIP-fail. Topeltklõps allalaaditud failil avab selle ning siis saab juba päris “arve” lahti teha. Failil võib olla näiteks selline nimi:

ihre_telekom_mobilfunk_november_2014_00002930200_1_3_5_021090_82137_002_008_0004.exe

AGA! – faili nimi muutub pidevalt, samuti muutub ka e-kirja tekst ning kirjas olev viide. Avatud fail nakatab arvuti suure tõenäosusega võimeka  troojalasega. Aga avamine annab ka võimaluse tuvastada pahavara, sest klikkides ei juhtu tegelikult midagi – lubatud arvet ei avata. See on võimaliku nakatumise indikaator nr 1.

Pahalane on nakatunud arvutis vaikne. Tavaliselt ootab ta vähemalt pool tundi enne, kui hakkab edasi toimetama. Pärast vegeteerumisperioodi proovib ta ühendust saada mõnede sissekodeeritud aadressidega, nimekirja nendest lisasime sellele postitusele.

Meieni jõudnud  pahavara näidistel on teadaolevalt võimekus:

  • asuda ise nakatavaid spämmkirju välja saatma,
  • teha DoS ründeid,
  • varastada arvutist andmeid,
  • kuulata pealt arvuti võrguliiklust,
  • varastada kasutaja raha, kui ta külastab netipanka.

Kuna turvatarkvarad on praegu veel üsnagi “nõrgad” pahavaraga nakatumise takistamisel, siis kuidas saab tuvastada nakatumise? Tavakasutajal on see raske, kirjeldame siiski ära teadaolevad meetodid, mida saavad kasutada nii spetsialistid kui tavakasutajad:

1. Esmalt muidugi tasub meenutada, kas postkasti on tulnud saksakeelseid arveid, mis on ZIP-failiga alla laaditud ning mille käivitamine ei avanud arvet. Arvuti tuleb viia täiendavasse kontrolli või veel parem – puhas install. Seda eriti sellisel puhul, kui tegemist on raha liigutava inimese tööarvutiga. Kui oled saadud kirja edasi saatnud kollegile/sõbrale/tuttavale, et too aitaks faili lahti teha, siis teavita teda kindlasti võimalikust ohust!

2. Kontrolli ja jälgimise alla tuleb võtta kohtvõrgu TCP pordi 8080 liiklus, sest justnimelt seda liini pidi see pahavara praegu suhtleb.

3. Siin on nimekiri IP-aadressidest, mille poole pahavara võib pöörduda:
108.161.128.103
109.123.78.10
129.187.254.237
130.133.3.7
133.242.19.182
133.242.54.221
148.251.11.107
158.255.238.163
162.144.79.192
178.248.200.118
188.93.174.136
193.171.152.53
195.154.243.237
195.210.29.237
198.1.66.98
205.186.139.105
206.210.70.175
212.129.13.110
213.208.154.110
46.105.236.18
5.159.57.195
5.35.249.46
66.228.61.248
66.54.51.172
72.10.49.117
72.18.204.17
79.110.90.207
80.237.133.77
88.80.187.139
91.198.174.192

4. NB! Kui küberhügieen on arvutis taaskord saavutatud, siis tuleks muuta kõik salasõnad, mida nakatunud arvutisse sisse toksiti: panganett, suhtlustportaalid jms. Samuti võib hoiatada tutvusringkonda, et kui tuleb arvutikasutaja nime alt kahtlasi e-kirju, siis tuleks üle küsida, kas autor on need ikka ise saatnud. Kui pahavara juba arvutis pikemalt toimetada sai, siis õnnestus tal ilmselt pihta panna ka kohalikud aadressiraaamatud ning halvemal juhul ka olulisi andmeid postkastist.

Jõudu soovides

CERT-EE