Language switcher

Sa oled siin

Kaska ja Hendre: Ukraina küberründed ja mida sellest Eesti jaoks järeldada

NATO Küberkaitsekoostöö Keskuse õigusosakonna juhataja Kadri Kaska ja RIA juhtivanalüütik Marju Hendre kirjutavad 13. jaanuari hilisõhtul Ukraina valitsuse veebilehti tabanud ulatuslikust küberrünnakust ning sellest, milliseid järeldusi võiks sellest teha oma küberruumi kaitseks Eesti.

Mis juhtus?

13. jaanuari hilisõhtul tabas Ukraina valitsuse veebilehti ulatuslik küberrünnak. Eri allikate kohaselt näotustati – tungiti veebiserverisse ning asendati kuvatav info oma sõnumiga – kuni seitsekümmend valitsusasutuse veebilehte, nende seas välisministeeriumi, haridus- ja teadusministeeriumi, julgeoleku- ja kaitseministeerium ning valitsuskabineti veebid, aga ka vaktsineerimissertifikaate säilitava portaali avaleht. Soditud veebilehelt võis ukraina, vene ja poola keeles lugeda: "Ukraina! Kõik sinu isikuandmed on laetud avalikku võrku. Su arvutis olevad andmed on hävitatud, neid on võimatu taastada. Kogu teave sinu kohta on avalikuks tulnud, karda ja oota halvimat. See on sinu minevik, olevik ja tulevik." Ukraina valitsus kinnitas järgmisel päeval, et enamik ründest mõjutatud lehti on taastatud ning isikuandmeid pole lekkinud ega muudetud. Ennetavalt eemaldasid teised asutused oma lehekülgi veebist, vältimaks samalaadse rünnaku ohvriks sattumist.

Ukraina küberpolitsei tuvastas peagi, et ohvriks sattunud veebilehed kasutasid aegunud sisuhaldustarkvara, mille jaoks oli mullu augustis välja antud turvapaik ». Nagu sageli juhtub, ei olnud veebilehtede omanikud turvavärskendusi rakendanud ja ründaja sai spetsiaalse päringu abil veebiadministraatorite salasõnu muuta. Edasine oli juba lihtne. Tehniliselt on selline rünnak triviaalne ja aegunud sisuhaldustarkvara kasutamine liigagi laialt levinud; mis ei ole siiski tavapärane, oli seekordse ründe ulatus, sihtmärgid ja ilmne koordineeritus. Lisaks tuleb arvestada võimalusega, et vähemalt mingi ligipääs nimetatud ministeeriumite ja ametite süsteemidele tuli läbi tarneahela: suure osa näotustatud lehekülgedest ehitas valmis ja arendas Ukraina firma Kitsoft ». Nende kõneisik kinnitas, et ettevõte sai ka ise pihta WhisperGate pahavaraga ».

Näotustamisründe kattevarjus paistab toimumas olevat tõsisem operatsioon – pühapäeval avaldas Microsofti küberohte ja -ründeid analüüsiv üksus », et on leidnud juhtumis tõendeid andmeid kustutava pahavara kohta, mis sihib samade Ukraina valitsus- ja IT-organisatsioonide infosüsteeme. Pahavara käitub pealtnäha lunavarana, kuid sellel puudub andmete taastamise mehhanism – tegu on puhtalt andmete kustutamiseks ja seadmete kasutuskõlbmatuks muutmiseks disainitud tööriistaga. Paralleelid NotPetya pahavarakampaaniaga 2017. aastal olid kiired tekkima ja seega pole ärevus üllatav: ka toona kasutati laialt levinud turvanõrkust ära sarnase pahavara levitamiseks, see levis kiiresti üle maailma ja tõi kaasa miljarditesse ulatuva kahju, tõrked globaalses logistikas, meditsiinisüsteemides ja elutähtsas taristus. Praegusel juhul on pahavara tuvastatud kümnetes süsteemides ja arv võib uurimise käigus kasvada; analüütikud peavad võimalikuks ka laiemat globaalset levikut ». Vaatamata sellele, et paaril tosinal juhul on õnnestunud ründed ka kinnitust leidnud », ei ole mitmel juhul koodi käitamine õnnestunud. Põhjuseks võib olla nii rünnete kehv kvaliteet, Ukraina adekvaatne ettevalmistus ja süsteemide vastupidavus; tegu võib olla pelgalt proovirünnakuga, või nende kõigi kombinatsioon. Kergendatult hingata on siiski veel vara.

Päritolu ja reaktsioonid

Ukrainas toimuvate küberrünnete valguses on Poola valitsus tõstnud riigi küberohutaset », andes riigiasutustele ülesande korraldada tavapärasest aktiivsemat monitooringut turvaohtude suhtes. USA valitsuse  küber- ja teabetaristu turvalisuse agentuur (CISA) on juhtumiga seoses andnud ‘kõigile organisatsioonidele’ soovituse ja suunised » (PDF), kuidas oma riske vähendada, võimalikke juhtumeid kiiresti tuvastada, tõsta valmisolekut reageerimiseks ja parandada organisatsiooni üldist vastupanuvõimet küberohtudele. Samu soovitusi on mõistlik järgida meilgi.

Kiievi hinnangul » on küberründed toime pannud häkkerirühmitus UNC1151, mida seostatakse Valgevene luureteenistusega. Sama rühmituse tegevusest Balti riikide, Poola ja Ukraina suunal on kirjutatud varemgi ». Samuti kinnitas Ukraina sideministeerium », et Ukrainal on tõendeid Venemaa osaluse kohta juhtunus.

Venemaa on avalikult eitanud enda seotust kirjeldatud rünnakuga. Arvestades nende ajaloolist mustrit viimase 15 aasta jooksul – lääneriikide tõenditele Vene eriteenistuste rolli kohta ei ole Venemaal olnud vastu panna muud peale salgamise – ei veena see muidugi paljusid.

Nii NATO » kui ka EL » on küberründed hukka mõistnud ja väljendanud poliitilist ja praktilist toetust Ukrainale. NATO peasekretär Jens Stoltenberg kinnitas NATO koostööd Ukrainaga, et tugevdada viimase küberkaitset. Esmaspäeval allkirjastati » NATO ja Ukraina uus küberkoostööleping, mis annab Ukrainale juurdepääsu teabele pahavara kohta, mida NATO liitlaste ja erasektori partneritega jagab, ning lisaks tuge taristu kaasajastamisel ja väljaõppel. NATO kübereksperdid vahetavad Ukrainaga teavet käimasoleva küberoperatsiooni kohta ning liitlaste eksperdid toetavad Ukraina asutusi kohapeal. Samamoodi on Euroopa Liit väljendanud valmisolekut anda Ukrainale tehnilist abi ning tunnustanud Ukraina paranenud küberturvalisust, mis on aidanud rünnakutele kiiresti ja tõhusalt reageerida. Abi on pakkunud ka nt USA » ja Iisrael. Eesti kaitseministeeriumi esindajad on neil päevil Ukrainas leppimas kokku toetust muu hulgas Ukraina küberkaitsevõimekuse tõstmiseks ja rünnetega toimetulekuks.

Kui Ukraina ametlikult kinnitab Valgevene või Venemaa rolli rünnetes (see eeldab rohkem kui kitsalt tehniliste tõendite analüüsi ja juhtub seega vaevalt üleöö), on Ukrainal õigustusi vastamiseks mitu. Hädakaitse rahvusvahelise õiguse analoogi, vastumeetmete õigustusega, saab blokeerida vaenulikest riikidest lähtuvat (võrgu- jm)liiklust, rünnata muid kübersihtmärke, kompromiteerida või avalikustada andmeid jne. Vastumeetmed ei ole küberiga piiratud ja asjaolu, et Ukraina on Venemaaga relvakonfliktis, annab Ukrainale muidki võimalusi vastamiseks. Iseasi, kas ükski selliseist võtetest on praeguses olukorras otstarbekas ja seega tõenäoline – vastuoperatsiooni on mõtet ette võtta, kui seda ka käimas hoida suudetakse, ja kahtlemata on oluliste teenuste toimepidevus riigi jätkuva toimimise seisukohalt olulisem kui õigluse jalule seadmine või punktivõit kübersõjas.

Järeldused Eestile

Milliseid järeldusi võiks Eesti teha meie enda küberruumi turvalisuse kaitseks?

  1. Riigivastased koordineeritud küberründed hübriidkonflikti osana oli miski, mida Eesti koges 2007. aastal. Tol ajal oli see uudne ja ainulaadne, tänaseks on küberründed sõjaliste konfliktide tavapärases arsenalis, need muutuvad tehniliselt keerukamaks ja nende laiem kõrvalmõju tõenäolisemaks. Samal ajal suureneb elanikkonna sõltuvus tehnoloogiast ja digitaalsete teenuste toimimisest. Ukrainas läbi viidud valitsusasutuste kodulehtede massiline näotustamine oli primitiivne, ent hästi väljapaistev ja elanikkonda hirmutav. Samal ajal juhtis see tähelepanu kõrvale tõsisematest rünnetest, mille ulatus ja mõju on alles hindamisel ning ei pruugi, nagu öeldud, piirduda ainult Ukrainaga. Eesti on oma küberturvalisuse strateegiat, võimekusi ja valmisolekut arendades mõelnud erinevatele stsenaariumitele levinud igapäevaprobleemidest kuni kriisiolukordadeni. Asutuste ja küberkogukonna koostöö on hea, kuid inimesi on vähe. Elu on näidanud, et ohtlikumate intsidentide korral sõltub tõsise ühiskondliku mõju ärahoidmine just esmasest valmisolekust ja suutlikkusest kiiresti ja koostöiselt reageerida – kuigi iga asutus peab kriisiks valmis olema, ei saa ükski neist lahendada kriisi üksinda.
  2. Ründajad otsivad pidevalt turvanõrkusi, mille abil oma tegevusi läbi viia. Kes otsib, see enamasti ka leiab: seadmed, infosüsteemid, tarkvara koosnevad erinevatest komponentidest ning praktiliselt iga päev avalikustatakse mõni uus turvanõrkus, millest tõsisemad ületavad ka tavameedia uudiskünnise. Ka Eesti riigiasutusi üritatakse aeg-ajalt rünnata uuendamata tarkvara kaudu ning vahel harva mõned katsed ka õnnestuvad. Ukraina rünnete puhul kasutati ära mitmeid erinevaid haavatavusi, sh ühe levinud sisuhaldussüsteemi mitu kuud tagasi avalikustatud turvanõrkust. Tehniline informatsioon Ukrainas läbi viidud rünnete kohta täieneb aegamööda ning konkreetsed meetodid ja n-ö jalajäljed võetakse kõrgendatud tähelepanu alla teistes riikides, sealhulgas ka Eestis. Võrkude ja infosüsteemide forensilise analüüsi võimest on enamikes riikides täna vajaka, ent selle olemasolu muutub järjest olulisemaks ka riigi toimimise seisukohast. RIA-l on vastav võimekus olemas, aga kõiki valdkondi katta käib üle jõu enamikel riikidel – ohuteavet jagatakse nii Eesti kui ELi võrgustikes ja rahvusvaheliste partneritega.
  3. Lisaks tuleb arvestada küberruumis järjest sagenevate tarneahela rünnetega. Ukraina puhul arendas suure osa näotustatud lehekülgedest kohalik firma Kitsoft, mis õnnestus ründajatel kompromiteerida ja mille kaudu asutusi rünnati. Ka Eestis oli RIA küberturvalisuse teenistuse teatel mullu kolm juhtumit, kus IT-teenuse pakkuja kaudu rünnati nende kliente, seejuures ka avaliku sektori asutusi. Ukraina pahavararünnak riigiasutustele näitab, kui tõsiselt tuleb tarneahelarünnakuid võtta ning IT-teenuse pakkujad peaksid olema eriti valvel, et nemad ei pakuks ründajatele lihtsat teekonda klientideni. RIA on oma kuuülevaadetes korduvalt soovitanud avaliku sektori juhtidel lepingutega paika panna IT-teenuse pakkujalt nõutav küberturvalisuse tase ning klientide teavitamiskohustus.
  4. Ükski riik, ka Eesti, ei saa väita, et on küberrünnakute eest täielikult kaitstud. Küll aga tajub Eesti oma digiriigi kiire arengu ja ka 2007. a kogemuse pinnalt oma haavatavust ning tegeleb ühiskonna küberkerksuse suurendamisega ehk keskmisest rohkem. See tähendab nii ressursside suunamist infosüsteemide ja teenuste kaasajastamisse, üldise teadlikkuse suurendamist küberruumis varitsevate ohtude kohta kui ka tööd küberkriiside lahendamise protseduuride harjutamisel. Kui kriis on käes, ei tohiks kulutada aega ega energiat selle peale, kes on riigi vastutav küberasutus, kuidas jagatakse infot ja kuidas ning kellelt vajadusel abi küsida.
  5. Nii nagu paljude teiste suure mõjuga ning suurt kõlapinda leidnud küberrünnete puhul, on ka Ukraina rünnete puhul osaliselt põhjuseks tavapärase küberhügieeni põhimõtete puudulik järgimine. Tavaline küberhügieen ongi sageli aeganõudev ja tüütu. Tarkvara regulaarne uuendamine ja haavatavuste paikamine on tehniline ja rutiinne töö, mis on samal ajal ühiskonna küberkerksuse üks peamisi alustalasid. Selle jaoks on vaja personali ja see peab olema äriprotsessi loomulik igapäevane osa, mida ka juhtiv tasand mõistab ja prioriseerib – mitte lihtsalt sõnades, vaid protsessitoe ja ressursiga.

Kiired rahvusvahelised toetusavaldused ja sisuline abi Ukrainale küberrünnetega toimetulemiseks näitab, kuivõrd erinev on olukord tänaseks sellest, mida Eesti koges 2007. aasta kevadel. Toona ei olnud liitlaste seas ei poliitilist tähelepanu, kokkulepitud protsesse ega ka võimekust abi osutada. Tänaseks on NATO-l igakülgne ja praktikas läbiproovitud küberpoliitika, infovahetuse ja küberkaitse kokkulepped, ja 24/7 valmisolek. Eestis on üle kümne aasta korraldatud küberharjutusvälja toel NATO küberkaitseõppusi. NATO küberkaitsekoostöö keskuse õppused – nii tehnilises plaanis kui koostööharjutusena praegu maailma suurimad ja keerukaimad – on harjutanud nii Eesti ekspertide kui liitlaste küberkaitseoskusi.

Teadmine, kui operatiivselt oldi valmis  tuge pakkuma Ukrainale, kes ei ole NATO liige, peaks vaigistama skeptikuid, kes kõhklevad liitlaste abis, kui Eesti peaks sattuma samasuguse ründe sihtmärgiks.

Ennetus on parem kui tahes kvaliteetsest ravist ja seetõttu on iga infosüsteemi omaniku – olgu see riik, ettevõte või vabakond – vastutus kindlustada, et turvauuendused oleksid paigaldatud, mittevajalikud juurdepääsud ei oleks veebis vabalt saadaval, teenustes oleks kasutusel mitmeastmeline autentimine ja et tal oleks pidev ülevaade võrkudes toimuva kohta. Tasub läbi mõelda oma kriisiplaanid ja spetsialistide kättesaadavus võimaliku küberintsidendi puhuks. Seda kõike nii neil, kes Ukraina partneritega suhtlevad, kui kõigil teistel. Riigina on meil nii oma valmisoleku kui liitlaste toe suhtes põhjust tunda end kindlalt. Aga mitte mugavalt.

Veel uudiseid samal teemal

18.05.2022

Võõrale lingile vajutanu võib kaotada Facebooki konto

18.05.2022 – Küberründajad levitavad jätkuvalt Facebooki vestlustes pahaloomuliste veebilehtede linke ühes tekstis „Kas see oled sina selles videos?“. Ründajad proovivad nii Facebooki kontosid üle võtta. Parim vastumeede on linkide eiramine ning nende edasi saatmine CERT-EE-le analüüsimiseks.

06.05.2022

Olukord küberruumis – aprill 2022

6.5.2022 – Aprillis registreerisime 214 mõjuga intsidenti, mis on viimase aasta keskmisest veidi kõrgem näitaja.