Lietuvoje ažiotažo sulaukusios kibernetinės atakos: kaip jos galėjo įvykti ir kokią žalą padarė?

Per NATO viršūnių susitikimą Lietuva tapo rusų programišių taikiniu – pastaruoju metu stipriai išaugo kibernetinių atakų prieš verslus, valstybės institucijas, gyventojus ar net pavienius asmenis.
Dažniausiai buvo vykdomos paslaugų sutrikdymo arba vadinamos „DDoS“ atakos, kurios didelės žalos, ekspertų vertinimu, nepadarė. Tačiau keletas neseniai vykusių incidentų išsiskyrė savo pobūdžiu ir reikšme.

Pirmiausia plačiai viešumoje nuskambėjo galimas NATO susitikimo dokumentų nutekinimas, dėl kurio pradėtas tyrimas. Atsakomybę už šį įvykį prisiėmė rusų programišių grupuotė „From Russia with love“ (liet. – „Su meile iš Rusijos“).

Paviešinti 29 failai, kuriuose yra įvairios informacijos, pavyzdžiui, kada atskrenda ir išskrenda delegacijų lėktuvai, kokie kortežų maršrutai, kokiuose viešbučiuose apsistojo šalių vadovai ir net juos saugančių saugos tarnybų pareigūnų vardai ir pavardės, jų turėtų ginklų tipai, pavadinimai, kiti duomenys.

Paskelbti ir posėdžių, rengiantis viršūnių susitikimui, protokolai, tuo metu planuoti sprendimai dėl oro erdvės, eismo, Rusijos ir Baltarusijos tranzitų ribojimų.

Manoma, kad tarp šių dokumentų gali būti ir klastočių, mat kai kuriems trūksta jų autentiškumą įrodančių požymių. Tyrimas į šį klausimą turėtų atsakyti. Vis dėlto „Telia Lietuva“ technologijų vadovas Andrius Šemeškevičius mano, kad tarp paviešintų failų gali būti ir tikrų duomenų.

„Informacijos pakankamai mažai, todėl galima tik paspekuliuoti. Pats juos mačiau ir skaičiau – jie atrodo labai artimi tikriems, bent jau kai kurie iš jų. Aišku, gali būti keli įmaišyti tikri, o kiti aplink – sukurti. Bet kuriuo atveju kalbame apie reputacinę žalą. <...>

Užtektų kelių tikrų dokumentų, ir tai jau būtų skandalas. Labiausiai dėl to kentės šalies reputacija. Tarkime, jeigu paviešinti spec. tarnybų agento pasas, ginklų numeriai, tai blogai, tas agentas į jokią šalį negalės atskristi, jeigu jie buvo gerai įslaptinti“, – kalbėjo ekspertas.

Krašto apsaugos ministras Arvydas Anušauskas po šio įvykio sakė, kad galimai įsilaužėlių pavogta informacija nėra nei slapta, nei itin reikšminga ir didelės žalos nepadarė.

Tačiau kibernetinio saugumo ekspertas atkreipė dėmesį, kad antrą NATO renginio dieną Vilniuje buvo sugriežtintos ir pakeistos saugumo priemonės. Anot jo, tai gali būti susiję su šiuo įvykiu, todėl situacija, panašu, yra vertinama rimčiau.

„Kai tokie įvykiai vyksta, niekas nenori sėti panikos. Specialistų akimis žiūrint, jeigu tie dokumentai tikri – baisu, kad tokio lygio dokumentai nutekėjo. Bet kam kelti paniką, jeigu vyksta tyrimas? Tikiu, kad visi išsiaiškins“, – pažymi A. Šemeškevičius.

Pašnekovą nustebino tai, kad šie dokumentai buvo paviešinti tik antrąją NATO renginio dieną. Jis kelia kelias versijas, kaip ši informacija galėjo nutekėti.

„Spėčiau, kad arba buvo užvaldytas kompiuteris – kažkuris iš darbuotojų su savimi turėjo kompiuterį, kuriame galėjo būti tie dokumentai, kažkokiu būdu jis buvo infekuotas ir iš jo nutekinti failai, arba jie buvo paimti per telefoną. Tarkime, įmonėje žmogus gauna el. laišką su tam tikru dokumentu, jį išsisaugo, ir, neduok Dieve, jis pametė telefoną. Jeigu telefone nebuvo šifruojami duomenys, tai – vienas iš būdų, kaip duomenys galėjo nutekėti.

Paviešintų dokumentų kiekis buvo ribotas. Teoriškai, jeigu jie (programišiai – red.) buvo užvaldę resursą, kuriame yra tūkstančiai dokumentų, manau, būtų išplatinta jų daugiau. Todėl viena iš versijų, kad pamestas telefonas gali būti kaip siūlo galas“, – svarsto „Telia Lietuva“ technologijų vadovas.

Kibernetinio saugumo ekspertas Andrius Ribinskas sutinka, kad tai galėjo būti žmogiškojo faktoriaus klaida.

„Galima tik spekuliuoti, kas čia įvyko, tačiau dažniausiai tai yra žmogiškojo faktoriaus klaida – pavogti prisijungimo duomenys, nutekinta informacija apie darbuotojus, kurie turi prieigas prie tam tikrų paskyrų, ir tokiu būdu užvaldytos tos paskyros. Jeigu reikėtų spėti, buvo grynai žmogiškojo faktoriaus problema – greičiausiai buvo perimti prisijungimo duomenys“, – laidoje „Delfi tema“ komentavo jis.

Praėjus NATO renginiui Lietuvoje įvyko dar viena didelio ažiotažo sulaukusi ataka, nukreipta prieš vieną asmenį. Buvo nulaužta žinomo apžvalgininko, karybos eksperto ir Vilniaus miesto tarybos nario Aurimo Navio feisbuko paskyra. Joje patalpinta teroristų nuotraukų, vaikų pornografijos turinio.

Pasak kibernetinio saugumo eksperto, būdų įsilaužti į socialinių tinklų paskyras yra nemažai, tad galima tik spekuliuoti, kas šiuo atveju įvyko. Dažniausiai piktavaliai naudoja socialinę inžineriją ir infekcijas.

„Socialiniuose tinkluose pakankamai dažnos socialinės inžinerijos atakos, kai įsilaužėliai atsiunčia tam tikrą nuorodą ir paprašo įvykdyti kokį nors veiksmą. Rečiau, bet pasitaiko, kai įsilaužėlis paskambina ir nurodo atlikti kokį veiksmą, tai – vadinamas „fišingas“.

Tačiau schema – visada labai panaši: gaunama žinutė ar el. laiškas su prašymu atnaujinti duomenis ar prisijungti ir atlikti veiksmą, paprašant vartojo vardo ir slaptažodžio. Jeigu vartotojas savo paskyroje nėra įjungęs dviejų faktorių autentifikacijos, įsilaužėliui tai pakankamai nesunki užduotis“, – atkreipia dėmesį A. Ribinskas.

Vis dėlto, panašu, kad šiuo atveju dviejų žingsnių autentifikacija nepadėjo, mat pats apžvalgininkas A. Navys pripažino, kad tokį saugos būdą naudoja.

„Tokiu atveju gali būti užkrėsta sistema, nebūtina turėti prisijungimo duomenis, galima nutekinti vadinamus sesijos lapukus, kuriuos programėlės ar naršyklės išsisaugo. Potencialiai galėjo būti atidarytas kažkoks kenkėjiškas failas, kurio pagalba įsilaužėliai galėjo tas sesijas perimti“, – vertina ekspertas.

„Telia“ technologijų vadovas sutinka, kad vienas iš programišių panaudotų metodų galėjo būti užvaldytas kompiuteris, tačiau atkreipia dėmesį, kad piktavaliai galėjo prie paskyros prisijungti ir per viešą „Wi-fi“ tinklą.

„Štai atėjote į kavinę papietauti ir su kompiuteriu prisijungėte prie viešo „Wi-fi“ ir ką nors rašėte į tą patį feisbuką. Tai irgi potenciali galimybė perimti jūsų sesiją, ir išėjus jums iš kavinės, ką nors su tuo padaryti.

Reikėtų turėti pilną informaciją, ar buvo įjungta dviejų faktorių autentifikacija ir kaip: el. paštas ir slaptažodis, SMS ar programėlė“, – pažymi A. Šemeškevičius.

Viešoje erdvėje daug klausimų sukėlė feisbuką valdančios kompanijos „Meta“ atsakas ir veiksmai, mat net 18 val. draudžiamo turinio informacija nebuvo pašalinta iš apžvalgininko paskyros, nors apie tai buvo pranešta ne vieną kartą.

„Meta“ skaičiuoja vartotojus milijardais, juodąjį darbą atlieka tam tikri algoritmai. Nė vienas algoritmas nėra tobulas. Akivaizdu, kad ir juose yra skylių. Yra tam tikros apsaugos, kad trolių ferma, užplūdusi kurią nors paskyrą, negalėtų jos taip lengvai blokuoti. Tačiau jos kartais nesuveikia, kai įvyksta toks paskyros užvaldymas.

Manau, kad piktavaliai, kurie užvaldė paskyrą, turėjo tam tikrą patirtį, kalbant apie pornografinio turinio užkrovimą, matyt, parinkti tokie filmukai, kurių „Metos“ algoritmai nesugeba atpažinti kaip pornografijos. Akivaizdu, kad čia buvo pasiruošta ir išbandyta anksčiau.

O „Metą“ užjaučiu – jų algoritmai po pakartotinių kreipimųsi taip ilgai nereagavo. Akivaizdu, kad čia turėjo įsikišti specialistai, kurie turėjo patvirtinti (draudžiamą turinį – red.), yra laiko zonų skirtumas ir tam tikra grandinė veiksmų, kurie užtruko“, – vertina „Telia“ saugumo ekspertas.

Dėl šio įvykio Vilniaus apskrities vyriausiajame policijos komisariate pradėtas ikiteisminis tyrimas dėl neteisėto prisijungimo prie informacinės sistemos ir dėl disponavimo pornografinio turinio dalykais.