Digiajastu tsiviilkaitse 6

Kas Venemaa üritas mõjutada USA presidendivalimisi?

Donald Trump valiti USA 45. presidendiks 2016. aastal; sellest on nüüdseks 3 aastat möödas, kummatigi on seda hea näiteks tuua, sest toimuv on praeguseks suhteliselt hästi läbi uuritud ja dokumenteeritud (mis peaks jätma vähe ruumi spekulatsioonidele ja vandenõuteooriatele).

Päris hea ülevaade ilmus juba 2016. aastal näiteks Arstechnikas (see on suhteliselt hinnatud, poliitikakauge ja professionaalselt heal tasemel IT- ja tehnikauudiste sait). Häkkimine on fakt ja seda oli CrowdStrike’il (tuntud ja tunnustatud USA arvutiturvafirma) võimalus reaalajas jälgida.

Esimest korda hoiatas FBI USA Demokraatliku partei juhatust 2015. a novembris, et nende arvutites käiakse sees; FBI-d on muuhulgas süüdistatud selles, et nad tookord ei öelnud, et sees käivad venelased, paraku pole see kunagi vettpidavalt tõestust leidnud ja võimalik, et nad tollal lihtsalt ei teadnud seda.

Rünnaku sihtmärkideks polnud mitte ainult Hillary meeskond, vaid lai ring riigiametnikke, sõjaväelasi ja muidu mõjukaid inimesi USA-s, Euroopa Liidus ja Venemaal. Dell SecureWorks registreeris ajavahemikus oktoobrist 2015 kuni maini 2016 8909 juhtumit, Hillary Clintoniga on neist otseselt-kaudselt seotud 213.

Kõnealune nn spear-phishing-rünnak algas esimesel pilgul healt tuttavalt tulnud kirjaga, mis suunas võltsitud Google’i sisselogimislehele (mis nägi täiesti ehtne välja). Kirjas paluti kiiresti mingit liiki infot; kirjad näitasid põhjalikku taustatööd.

Trikk on siin selles, et paljud (ka Hillary Clintoni meeskond) kasutavad Google’i maili teenust kogu oma mailinduse haldamiseks. Saadetud lingi kaudu sisse logides näib kõik õige, kuid lisaks saavad ka häkkerid oma ühendust n-ö elus hoida ja sealtkaudu kogu postkasti sisuga rahulikult tutvuda.

Esimene Hillary Clintoni kampaaniaga seotud selline ühendus tehti 2016. a märtsi keskpaigas. 213 rünnakust vähemalt 20 õnnestusid (muuhulgas saadi ligi selliste tegelaste mailidele, nagu Clintoni kampaaniajuht John Podesta ja endine riigisekretär Colin Powell).

Demokraatide endi IT-julgeolek hoiatas ametnikke kohe märtsis, kuid nood ei tegelenud probleemiga tõsisemalt enne maid; siis kutsuti appi CrowdStrike’i operatiivmeeskond ja nad, nagu öeldud, said sissemurdmist reaalajas jälgida. 15. juunil esitati raport, mis esimest korda viitab Vene luureteenistustele.

Raporti detailid on huvitavad, kuid üsna spetsiifilised isegi IT-teadmistega inimeste jaoks (üks rünnak kasutas pahavaratükki, mis esineb Windowsi draiverina twain_64.dll ja teatud võrgutunnelitehnoloogiat, teine Pythoni tagaust, ja ligipääs saadi ühe Windows PowerShell korralduse abil, mis kirjutab oma lisandid Microsofti WMI-sse).

Suure kella külge sattus kogu asi siis, kui CrowdStrike asja lõpetas ja tegelane varjunimega Guccifer 2.0 avaldas osa kirju oma kodulehel. Tegelane väidab end olevat rumeenlase; ta kasutas kirjade töötlemiseks venekeelset Wordi (mis on registreeritud Felix Dzerzhinsky nimele) ja failide ajatemplid viitavad Moskvale ja Peterburgile.

Kokkuvõttes saab tõendite põhjal väita:

1. Kasutatud vahendid on spetsiaalselt ehitatud spionaažiks. Tegemist on võimeka seltskonnaga, mis pidevalt muudab-uuendab oma rünnakumeetodeid; kogu rünnakutes kasutatav kood on muljetavaldavalt kõrgetasemeline ja ajakohane, seda uuendatakse regulaarselt ja asjatundlikult. See aga tähendab suurt ja hästi finantseeritud kollektiivi.

2. Rünnakute sihtmärkideks on Venemaa ja endise NL-i mõjukad kodanikud, NATO riikide endised ja praegused juhid, Läänemaailma sõjatööstusega seotud isikud, ajakirjanikud ja muud avaliku elu tegelased.

3. Kasutatud keel, ajatemplid ja paljud muud detailid, mh näiteks liiklusanalüüs, lubavad suure tõenäosusega oletada seotust Peterburgi lähedal tegutseva trollivabrikuga.

Kõik eeltoodu võimaldabki suure tõenäosusega oletada, et rünnakud on seotud Vene luureteenistustega.

Miks see meile oluline on?

Sarnaseid rünnakumeetodeid kasutavad paljud ja tegelikult algab kaitse selle vastu kõigile kasutajatele kogu aeg korratavast – vaata ikka enne, mis lingi peale sa vajutad! Omaette aspekt on Google’i maili kasutamine – see on tore asi, aga peaks ju olema kuidagi intuitiivselt hoomatav, et USA Demokraatliku partei sisesuhtlus võiks olla natuke paremini kaitstud…

FBI (kelle töö see ongi) hoiatas kõiki asjaosalisi 2015. a novembris (mil praeguste andmete järgi rünnakud algasid), Hillary reageeris 2016. a mais… Kui lisada veel juurde ta rändama läinud parooliga telefoni kasutamine (omaette pikk lugu), käitus ta oma info turvalisuse suhtes lausa müstiliselt vastutustundetult.

Iseenesest ei läinud rändama midagi väga salajast – kampaaniaplaanid, suhtlus kõikvõimalike inimestega etc etc. Puuduvad igasugused tõendid, et Donald Trump oleks kasutanud seda rändamaläinud infot. (Selle erandiga, et loomulikult kasutas ta seda osa, mille häkkerid avalikustasid.)

Jah, muidugi põhjustas info rändamaminek Hillary Clintonile pahandusi. (Kuid siin tuleb täpsustada, et pahandusi põhjustas info kui sellise avalikustamine, st kõik tema valetamine, vassimine ja üldse valgustkartvad teod, samas kui pole märke, et keegi oleks selle alusel tema kampaania vastu töötanud.)

Seega selle teema kokkuvõtteks veelkord – ära vajuta suvalistele linkidele!

Asja võib sõnastada ka nii, et kui sa kasutad Windowsi ja Gmaili, siis on kõik korras seni, kui sul ei ole midagi varjata ja su andmed on väärtusetud. Küsimus ei ole tänapäeval isegi selles, kas sulle arvutisse sisse murtakse, vaid millal see juhtub.

Jah, Vene luureteenistused kõikjale ei jõua, kuid katsetajaid-üritajaid on maailmas sõna otseses mõttes tuhandeid; neil ei ole küll nii hea tehnika ja eks kõik tarkvarafirmad tegelevad oma programmide turvalisemaks muutmisega, kuid enamasti algab rünnak ikkagi sellega, et kasutaja meelitatakse vajutama linki, mis avab ründajale esmase ligipääsu.

Ja kui ründaja juba su arvutis on, avaneb mitmeid huvitavaid võimalusi…