Priit Aasmäe kirjutab infoturvalisuse portaalis Arvutikaitse.ee üle maailma miljoneid arvuteid nakatanud salapärasest ussviirusest Conficker.
Kas Confickeri süüakse pulkade või kahvliga?
/nginx/o/2020/10/30/13445326t1ha8f2.jpg)
11. mai 2009, 10:06
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Juba 2008 aasta novembrist on kogu maakera internetikasutajaid kimbutanud uss nimega Conflicker. Kuna tegu on maailma ühe suurima, kurikuulsaima ja enim kõneainet pakkunud botnet-võrgustikuga, siis on elementaarne, et sellest ollakse vähemalt poole kõrvaga kuuldudki.
Aga kuidas kusagil. Olin 12-liikmelises seltskonnas, kus pahaaimamatult arvutiteemadele laskudes alustasin juttu Confickerist (alias Downadup, Downup või Kido). Mulle vaadati otsa nagu võõrkeelt rääkivale kodanikule ja palju ei puudunud, et oleks küsitud - millega seda confickerit süüakse, kas pulkade või kahvliga? Väga võimalik, et nüüd oled ka sina, hea lugeja, oma seltskonnast ainuke, kes sellest ohtlikust elajast on kuulnud…
Conficker on viirus, mis loob nakatunud arvutitest üle maailma salajase infrastruktuuri, ühtse löögirusika, mida kontrollivad küberkurjategijad. Arvatakse, et kurjategijaid on mitu, ent kindlalt ei teata. Eeldatakse, et üksikisik niivõrd kõrgetasemelise ja levikualalt mastaapse ussi loomisega ning selle kontrolli all hoidmisega hakkama ei saaks.
Kes on ussi loojad ja kust seda juhitakse, ei teata. Väidetavalt sarnanevad mõned vähesed tükikesed Confickeri koodist varasema ussiga, mida kasutas rühmitus Russian Business Network ja kuritegelikud rühmad Ukrainast, ent Trend Micro viirusteuurija Paul Fergusoni arvates on see arvamus päritolumaa kohta on siiski vaid spekulatsioon. Turvaspetsialistidel on raske midagi täpsemat öelda, kuna häkkerid on oma töö kaitsmiseks rakendanud äärmuslikke abinõusid, näiteks praktiliselt murdmatut kaitsekrüpteeringut. Ferguson tõdeb, et nii tervikliku ja samas keerulise botneti kavandamist, selle pidevat kasvatamist ja täiendamist ning ka tegutsemistaktikat pole varem maailmas nähtud.
Mis on kurjategijate motivatsioon ja eesmärgid antud ussi loomisel ei teata. Võib-olla on see lihtsalt soov Microsoftile, kõikide riikide viirusespetsialistidele ja ka maailma parimaid jälitusseadmeid ning -tehnikat omavale FBI-le koha kätte näitamiseks, ehk siis kõigest mäng ja lollitamine. Ent eeldatakse, et mis muu meie materialistlikus maailmas saab tähtasam olla rahast ja selle hõlpteenimisest. Ja kuna tõenäoliselt on ka viiruse autorid kõigest luust ja lihast olevused, siis arvatavasti oodatakse hetke, mil tuleb parim pakkumine….. kas või näiteks küberrünnakuks mis tahes maa või kindla serveri vastu.
Praegu pole viirus aktiivne, kui nii võib öelda. Kuid vaikselt, kasutajate teadmata, nakatatakse nende arvuteid ussiga ja lisatakse globaalsesse botnetvõrgustikku. Millal ja mis otstarbel võidakse viirus aktiveerida, ei oska ükski viirustõrjespetsialist öelda, kuna see oleneb ainult häkkerite tahtmisest, piltlikult öeldes - nende poolt punasele nupule vajutamisest. See võib juhtuda igal ajal. Ehkki eeldati suure pommi plahvatamist 1. aprillil sellel aastal, jäi pauk seekord tulemata.
Põhimõtteliselt on kurjamitel nakatunud arvutite üle täielik kontroll ning nad võivad oma kontrollitavaid arvuteid panna tegema mida tahes. Eeldatakse, et võrku võidakse kasutatada DDos-rünnakute läbiviimiseks, rämpsposti levitamiseks, arvutikasutajate isklike andmete või paroolide või krediitkaardi andmete varastamiseks. Võimalik, et arvutisse installeeritakse kõikvõimalikku kurivara - klahvinuhke, troojalasi, nuhk- ja reklaamvara.
Viimane häkkerite poolt täiustatud ussi versioon, mis avastati 7. aprillil, istutas seemne P2P võrgustikku, muutes riskatseks ka nende kasutajate olukorra, kes on harjunud failivahetusprogrammidest (Limewire, Shareaza, BitTorrent jne) tirima arvutisse igasugust staffi. Väga võimalik, et kui kasutaja avastab ootamatult oma programmide seast imeilusa nimega tõrjeprogrammi SpywareProtector 2009, mis hoiatab ohtlikke viiruste eest ja lubab need kohe eemaldada, kui ostetakse programmi litsents, siis paraku seesama SpywareProtector on kurjategijate truu käsilane.
Hetkel on ussi liikvel viis tüüpi. Iga uuem versioon on eelmisest agressiivsem ja suuremate võimalustega pahategudeks. Kuna praktiliselt kõik viirusetõrjed suudavad signatuuride järgi neid tuvastada ja kahjustada, siis tõenäoliselt üsna pea paisatakse võrku jällegi uus modifitseeritud variant Confickerist, mis mitte ainult ei suuda mõneks ajaks tõrjete eest varju jääda, vaid ka nende töö lõpetada. Seda seniks, kuni viirustekütid selle jälle avastavad ja vastumürgi andmebaasi kirjutavad.
2009. aasta jaanuari-veebruari seisuga oli nakatunud arvuteid üle maailma üheksa miljonit, hinnanguliselt aga 15-20 miljonit ning ülikiire levimistempo lubab ennustada, et kokku nakatab viirus 300 - 350 miljonit arvutit.