Kuritegelik botnet-võrgustik – Kneber

NB! Artikli olen juba varem avaldanud Arvutikaitse.ee-s.

NetWitness analüütikud on avastanud  botnet-võrgustiku, mis on üle maailma nakatanud juba hinnanguliselt kuni  75 000 arvutit ja selle abil sisse murtud juba ligi 2 500 organisatsiooni süsteemidesse. Üle poolte neist arvutitest olid lisaks Kneberile nakatatud ka Waledac pahalasse. Esialgset kahju on veel raske hinnata, kuna nakatunud arvuteid alles tuvastatakse. Samuti pole veel selge, kui suures ulatuses on erinevatelt ettevõtetelt andmeid varastatud ja kuidas neid on kasutatud või kasutatakse. Hetkel on nakatunud arvuteid leitud 196 riigist, millest enim asuvad Egiptuses, Mehhikos, Saudi-Araabias, Türgis ja USA-s.

Botneti ülesandeks on koguda peamiselt finantssüsteemidesse, suhtlusvõrgustikesse ja e-postikastidesse sisselogimise paroole, mille läbi saadakse ligipääs kontol olevatele privaatsele andmetele, mis võimaldab küberkurjategijatel varastada ettevõtete ja riigiasutuste privaatset- ning finantsalast infot ning kasutada nende identiteeti. Ehkki rünnak avastati eelmisel kuul, siis tegelikult on The Washington Post andmetel arvuteid nakatatud juba 2008 aasta lõpust.

Kneber botnet jälile jõuti jaanuaris, ent põhjalikumal uurimisel selgus palju laiaulatuslikum äriettevõtete ja riiklike asutuste süsteemide nakatamine, mille abil oli saavutatud juurdepääs ligi 68 000 firma sisselogimisandmetele, emaili-süsteemidele, interneti pangasaitidele, erinevate suhtlusvõrgustike isikuparoolidele, 2000 SSL-sertifikaadifailile ning nö toimiku tasandil isiklikule infole. Nakatunud on väga erinevate organisatsioonide süsteemid  – valitsusasutuste-, koolide-, tervishoiu-, tehnoloogia-, energeetika-, meedia-, pangandus- ja teiste finantsteenuste pakkumistega tegelevate firmade arvutisüsteemid. Näitena võib tuua, et eriti keskendunud ollakse andmevargustele suhtlusvõrgustikest Facebook, Yahoo, Hotmail jne., panganduse- ja e-kaubanduse saitidelt nagu Wells Fargo, US Bank, Bank of America, PayPal, eBay , kuid väärtinfot püütakse varastada ka kasutajate seas väga  hinnatud ja populaarsetelt saitidelt üle maailma.

NetWitness tegevjuht Amit Yoran ütleb: “ Need ulatuslikud rünnakud ettevõtte võrgustikele on saavutanud epideemia mõõtme. Küberkurjadegijad on püüdnud vaikselt ja hoolikalt nakatada tuhandeid valitsus- ja kaubandusorganisatsioone üle maailma. Tavapärane signatuuride baasil pahavara kaitse võib olla ebapiisav Kneber-botnet kahjustamisel. Ettevõtted, kes on usaldanud vaid tõrjeprogramme ega ole võtnud tarvitusele täendavaid meetmeid nakatumise vältimiseks, võivad olla juba trooja poolt kahju saanud. Süsteem, mis on nakatunud, ei ohusta ainult kasutajate andmeid ja konfidentsiaalset infot, vaid võimaldab kurjategijatel ka kaugjuurdepääsu kogu ettevõtte võrku.

Hetkel on kindlaks tehtud enam kui saja ettevõtte serverisse sissemurdmine, mille läbi on kräkkerid Ida-Euroopast ja Hiinast saanud suures koguses ettevõtete andmebaase, dokumente, lepinguid ja faile oma kasutusse. The Wall Street Journal andmetel on kurjategijad sisenenud ka USA valitsusasutuste arvutitesse ja ühel juhul varastatud isegi sõjaväelaste e-posti kasutajatunnused ja paroolid (Pentagoni pressiesindaja hetkel ei kommenteeri mistahes ähvardusi või sissemurdmisi).  Ühes firmas on küberkurjategijad saanud juurdepääsu krediitkaardi maksetöötlusteks, teises varastatud isegi arendatavaid tarkvara tulevasi versioone.

Mis on Kneber botnet-võrgustik?

Tegelikult Kneber botnet-võrgustik ei ole midagi uut. “Kneber”  kuulub pahavara perekonda, mis on teada-tuntud  juba paar aastat ja kutsutakse nimega  Zeus või Zbot. Välismeedia on lihtsalt vanale ohule uue nime pannud, lootes leida selle värske varjunimega sensatsioonilist ja erakordset lugu. Nimi “Kneber” pärineb e-posti aadressist, millega sooviti registreerida domeeni võrgustiku koondamiseks – hilarykneber@yahoo.com.  Turvafirma Damballa.com liigitab selle kõige ohtlikemate botnetide hulka.

Endine The Washington Post reporter Brian Krebs, kes on ka rohkem kui 1300 postituse autor blogis Security Fix , pahandab oma kodulehel eriti just ajakirjanduse ja  NetWitness meeskonnaga , et nad suhtuvad faktidesse pinnapealselt ja ei esita neid õigesti. Kuigi nii tema, kui ka turvafirmade Symantec Security ja McAfee spetsialistid kinnitavad Computerworld artiklis, et oma olemuselt võib leitud botnet tõepoolest rohkem kahju tekitada, kui kurikuulus botnet-võrgustik Conficker, kuna varastatakse väga privaatseid ning väga erinevaid firmade- ja isikuandmeid.

Turvespetsialistid möönavad, et Kneber robotvõrgustik on vaid üks väike võrgustik teiste seas, millega ei tohiks asjatult paanikat tekitada. Sellest on palju suuremaid kuritegelikke võrgustikke, mis põhinevad toojal Zeus, mida kõiki on jälgitud, analüüsitud ja leitud vastumeetmeid. Joris Evers, McAfee turvaspetsialist toob näitena, et 2009 aasta viimase kolme kuuga avastati veidi alla nelja miljoni värskelt nakatatud arvuti, mis oli lülitatud botnet-võrku. Pigem teeb spetsialiste murelikuks see, et kuidas on saanud  võimalikuks, et üle maailma ligi 2500 organisatsiooni, sealhulgas valitsusasutuste turvasüsteemid nii nõrgad on, et need on nakatunud pahatahtlikku troojalasse.

Spetsialistid kinnitavad, et kui eraisikud ja firmad järjepidevalt värskendavad oma arvutite operatsioonisüsteeme ja tarkvara viimaste uuendustega, ajakohastavad viiruse- ja nuhkvaratõrjeid ning tulemüüre, ei ava kahtalaseid e-posti manuseid ning ei kliki igal lingil, mis kirjades pakutakse; ei kliki ka igal lingil ega laadi alla faile, mis saadetakse läbi suhtlusvahendite nagu Messenger, Skype jne või  läbi populaarsete suhtlusvõrgustike Facebook jne, veebilehtedel surfates ei klikata igale reklaamaknakesele, siis enamjaolt ollakse kaitstud ohtude eest.

Lisa kommentaar

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Muuda )

Twitter picture

You are commenting using your Twitter account. Log Out / Muuda )

Facebook photo

You are commenting using your Facebook account. Log Out / Muuda )

Google+ photo

You are commenting using your Google+ account. Log Out / Muuda )

Connecting to %s

%d bloggers like this: