Vairāk nekā 50 valstīs identificēta "Snake" ļaunatūras darbība

Maija sākumā ASV kiberdrošības aģentūra CISA publicēja paziņojumu par to, ka vairāk nekā 50 valstīs, tostarp Eiropā, identificēta ar ļaunatūru Snake inficēta infrastruktūra.

Kas ir Snake?

Snake ir tā saucamo APT (angļu val.: advanced persistent threat) grupu ļaunatūra jeb plašs komplicētu kiberuzbrukumiem paredzētu rīku kopums, kuru izstrādājuši un pielietojuši Krievijas Federācijas drošības dienesti un ticams, ka arī to kontraktori. Snake ļaunatūra izstrādāta un uzturēta, lai atbalstītu Krievijas ofensīvās kiberoperācijas globālā mērogā - tātad, lai veiktu kiberuzbrukumus pret citām valstīm. Latvijā Snake saimes ļaunatūru visbiežāk saucam vienā no tās alternatīvajiem nosaukumiem - Turla.

Dažas no galvenajām Snake/Turla ļaunatūras funkcijām ir:

• Apejot aizsardzības līdzekļus, nodrošināt ilgstošu un grūti pamanāmu piekļuvi kompromitētai sistēmai vai veselam korporatīvajam tīklam.
• Nodrošināt automatizētu vai pusautomātisku informācijas meklēšanu inficētajās sistēmās un tās nesankcionētu izgūšanu jeb pārsūtīšanu uz kontrolserveri. Meklēšanai tiek izmantoti atslēgvārdi. Tiek meklēti dokumenti un cita sensitīva informācija, kā arī tehniski, ar zinātniskajiem pētījumiem saistīti vai tiesībsargājošo iestāžu izmeklēšanas materiāli.
• Nodrošināt pilnu kontroli pār kompromitēto iekārtu un visbiežāk visu korporatīvo tīklu, kurā tā pieslēgta. Tātad uzbrucējam ir piekļuve un kontrole pār visu inficēto mērķa sistēmu, tās perifērijas iekārtām un tīklu. Tas ietver gan pašu datoru, gan tam pieejamos tīkla diskus, kameru, mikrofonu, piekļuvi korporatīvām sistēmām, VPN savienojumiem, e-pastam u.c.
• Lai gan Snake/Turla funkcionalitāte paredz spēju veikt dažādas šifrēšanas darbības, inficētajā sistēmā šifrēšana notiek tikai pašas Snake ļaunatūras ietvaros - piemēram, šifrēts tiek uzbrucēju sekmīgi izpildīto uzdevumu saraksts (žurnāls). Snake/Turla pilnīgi noteikti varētu arī destruktīvi šifrēt visus datus inficētajās sistēmās, taču visbiežāk tāds nav operacionālais mērķis, jo rīku kopums tiek izmantots ilgstošai un nepamanītai informācijas zagšanai. Krievijas atbalstītās kiberoperācijas līdz šim izteikti destruktīvi rīkojās tieši Ukrainā, piemēram, šifrējot robežkontroles punktu un robežsardzes informācijas sistēmas, lai Ukrainai apgrūtinātu kara bēgļu plūsmas kontroli un veicinātu paniku. Krievija ir pilnībā integrējusi kiberoperācijas savā militārajā doktrīnā, pielieto tās bezatbildīgi, ignorējot starptautiskās normas, nevērtē samērību un uzbrukuma attaisnojamību.

Latvijas kibertelpā Snake/Turla ir viens no aktīvākajiem un senākajiem Krievijas atbalstītajiem uzbrucējiem. Snake un tā priekšteču (AgentBTZ) kiberoperācijas konstatētas Latvijā jau kopš 2007./2008. gada. Vairāki mērķi Latvijā bijuši kompromitēti.

Vai pret Snake ir iespējama aizsardzība?

Atšķirībā no finansiāli motivētiem uzbrucējiem, kas visbiežāk nevar atļauties tērēt daudz laika un naudas sarežģīta, labi aizsargāta mērķa kompromitēšanai, valsts atbalstītām spiegošanas operācijām ir neierobežotie naudas, laika un citi ieguldāmie resursi mērķa sasniegšanai.

Taču aizsargāties ir iespējams pret jebkuru kiberdraudu. Arī pret Snake/Turla ir iespējams aizsargāties ļoti efektīvi, bet tam nav viena maģiska super rīka. Kiberdrošību veido aizsardzības pasākumu, labo prakšu un infrastruktūras drošināšanas, testēšanas un uzraudzīšanas pasākumu kopums, kuru atbildīgi ieviešot iespējams panākt tādu aizsardzības līmeni, ka jebkuram APT grupējumam būs liels izaicinājums iekļūt mērķa infrastruktūrā un vēl lielāks tājā ilgstoši noturēties.

Efektīvai Latvijas kritiskās infrastruktūras, publiskā sektora iestāžu un citas sabiedrībai un valsts drošībai nozīmīgas infrastruktūras aizsardzībai CERT.LV sadarbībā ar valsts drošības iestādēm un Aizsardzības ministriju nodrošina virkni bezmaksas rīku un pasākumu:

• DNS ugunsmūri (https://dnsmuris.lv);
• Agrās brīdināšanas sensoru tīklu (iespējams pieteikties, rakstot uz cert);
• Kiberdraudu medību operācijas (iespējams pieteikties, rakstot uz cert, vai koordinējot ar kritisko infrastruktūru uzraugošo valsts drošības iestādi);
• Labās prakses ieviešanas konsultācijas un normatīvo regulējumu minimālo IT drošības prasību noteikšanai;
• Incidenta izmeklēšanu, cēloņu noteikšanu un atkopšanās plāna izstrādes konsultācijas;
• Apdraudējumu infrmācijas apmaiņu ar industrijas partneriem (uz sadarbības līguma pamata).

Ieteikumi lietotājiem

Ne par vienu nevar droši apgalvot, ka tas nebūs uzbrukuma mērķis. Krievijai, realizējot savas spiegošanas operācijas kibervidē, nerūp nekādi samērības, morāles, atbildības un starptautisko normu principi. Ja mērķa sasniegšanai nepieciešams kompromitēt ar mērķi pastarpniāti saistītas iestādes, personas, vai sistēmas, tas tiks darīts. Krievijas kiberoperācijas tiek veiktas arī pret nevalstiskām organizācijām, pētniecības, zinātnes institūtiem, izglītības iestādēm, valstu kritisko infrastruktūru, politiski aktīvām personām un viedokļu līderiem. Protams, ka arī Krievijas resursi ir ierobežoti un šādus kiberuzbrukums tomēr veic ar kādu izlūkošanas mērķi, nevis katram, kam pagadās.

Daži ieteikumi lietotājiem, kas vēlas sevi labāk pasargāt:

• Izmantot CERT.LV bezmaksas aizsardzības un draudu identificēšanas pakalpojumus (DNS ugunsmūris pieejams jebkuram Latvijas iedzīvotājam https://dnsmuris.lv);
• Ieviest un testējot pārliecināties par noturīgu kiberdrošības politiku, konfigurācijām un labās prakses ievērošanu;
• Sekot CERT.LV aktualitātem un mācīties atpazīt aizdomīgus e-pastus, saites, pielikumus, u.c. apdraudējumus;
• Vienmēr laicīgi atjaunināt savas iekārtas un programmatūru;
• Lietot daudzfaktoru autentifikācijas rīkus pilnīgi visiem e-pakalpojumiem, kuros veicat autentifikācijas darbības;
• Lietot pretvīrusu prorammatūru un pārliecināties, ka tā ir atjaunināta;
• Darīt visu iespējamo, lai nelietotu Krievijā izstrādātu, vai ar Krievijas izcelsmi saistītu programmatūru, tehnoloģijas un iekārtas;
• Incidenta aizdomu gadījumā ziņot CERT.LV (cert).