Aasta aega tagasi, 2. detsembril 2015 õnnestus suurtel küberturbe firmadel, õiguskaitseorganitel ja tarkvarafirmadel – kaasa arvatud ESET ja Microsoft – üheskoos nurjata Dorkboti pahavarapere, mis oli kogu maailmas enam kui nelja aasta jooksul märkamatult süsteemidesse tunginud.
Dorkbot põhjustas alates selle esmakordsest tuvastamisest aprillis 2011 arvukalt probleeme ühtviisi nii firmadele kui eraisikutele ning ESET kirjeldas seda enimkasutatud pahavaravariandina oma 2012. aasta artiklis “Dorkbot: zombide jahtimine Ladina-Ameerikas”.
Enam kui 190 erinevas riigis salaja oma tee arvutitesse leidnud ning Ladina-Ameerikas (kus esines 54% tuvastatud nakkustest) eriti levinuks osutunud Dorkbotti on kasutatud nii finantsandmete ja muu delikaatse info omastamiseks kui ettevõtete serverite maha võtmiseks.
Salajane sissetung
Selle ja muu sarnase pahavara leviku taga olid tihti küberkurjategijad, kes ründasid pärast niinimetatud kuriteopaketi ostmist kasutajaid neile ehtsana näivaid meile saates, salaja sotsiaalvõrgustikesse ja vahetu sõnumside teenustesse tungides ning eemaldatavaid USB-mälupulkasid kasutades.
“Sa võid klõpsata lingil ja sellele enam mitte mõelda,” selgitas Perspective Riski küberturbe asjatundja Zia Rehman. “Ent see installeerib end sinu arvutisse, tihti muuks programmiks maskeerunult, mida sinu arvuti vajab, ning seirab siis taustal sinu liiklust.”
Ta jätkas selgitamist: “See võib liita sinu süsteemi ka [ülemaailmse robotivõrguga]. Pahatahtlik [ründaja] võib seejärel kasutada kõiki ühendusi ühekorraga näiteks Facebooki või Ebayga ühendumiseks ning sinu süsteem võtaks sel juhul neist rünnakutest aktiivselt osa.”
Osav maskeeruja
Paljudes arvutites taustal varitsev ja tihti tuvastamata Dorkbot suutis installeerida koodi nakatunud arvutitele, varastada paroole ja ühenduda IRC (interneti rühmadiskussioonide) serveriga, mis saab seejärel käske täiendava pahavara alla laadimiseks.
Muret tekitavalt suutis Dorkbot takistada ka kasutajate viirusemoodulite värskendamist, mis tähendab, et hoolimata sellest, et teenusepakkujad suutsid seda ohtu tuvastada ja vastavalt tegutseda, ei saanud kasutajad teadlikuks sellest, et nende süsteem on nakatunud.
Seda kurjategijatele vabalt kättesaadavat pahavara kasutati paljude erinevate saitide, kaasa arvatud muuhulgas AOLi, eBay, Facebooki, Netflixi and PayPali ründamiseks.
Dorkboti nurjamine
Just seetõttu oli selle nurjamine, niinimetatud varane jõulukink väga teretulnud. Info jagamine organisatsioonide vahel Dorkboti käitumise kohta võimaldas koondada asjatundlikkuse kogu maailmast nurjamaks seda üüratuks ohuks kujunevat pahavara.
Ja see õnnestus väga edukalt – Dorkboti haare on kogu maailmas palju lõdvemaks muutunud. Ent muud sarnased pidevalt areneva pahavara vormid kujutavad endast ikka tohutut ohtu maailma küberturbele.
Ohtude areng
“Sellel aastal kasutati näiteks asjade interneti tuhandetel kompromiteeritud seadmetel (alates teleritest kuni turvakaamerateni) põhinevat Mirai-nimelist robotivõrku kriitiliste internetiteenuste offlaini löömiseks,” selgitas Mishcon de Reya LLP küberturbejuht Joe Hancock.
“See näitab, et kuigi õiguskaitseorganid tulid viimaks toime Dorkboti spetsiifiliste rünnete takistamisega, suudavad robotivõrkude loojad uuendada nii nende üldist lähenemist kui muuta taktikat. Seetõttu peavad ka õiguskaitseorganid ja küberturbekogukond oma uutmisvõimet parandama nende muutustega toimetulekuks.”
Harimise tähtsus
Rehmani sõnul peitub riski minimeerimise võti üksikisikute ja organisatsioonide harimises ning eeskätt neile selgitamises, millised ohud kaasnevad tundmatust allikast pärit manusel või lingil klõpsamisega.
Mida teadlikumad inimesed on, seda paremini suudavad nad ohte märgata ja end kaitsta. See kohustus lasub ka turbepakkujatel, nagu ESET 2012. aastal täheldas:
“Me peame selgitama kasutajatele, mida ja miks me teeme ning kuidas me kaitseme neid seda tüüpi ohu eest. Me mõistame tööstusharus tänu oma igapäevasele tegevusele hästi värskenduste ning sisu pärast muretsemise olulisust, ent me peame rääkima sellest lõppkasutajatega nende endi keeles.”
Maailma kaitsmine
Vaatamata Dorkboti ühiste jõududega edukale nurjamisele on pahavara näol tegemist üha areneva ohuga nii firmadele kui turvalisusele kogu maailmas. Dorkbot on siin heaks näiteks – see on “vana” tüüpi pahavara, mis on jätkuvalt aktiivne ja mis suudab iseennast uuendada.
Seetõttu näib olevat tähtsam kui kunagi varem vajadus efektiivse küberturbe järele, et kaitsta digitaalses ruumis aktiivselt tegutsejaid lakkamatult ilmuvate ohtude eest.
Allikas: WeLiveSecurity