Language switcher

Sa oled siin

Trendid ja tähelepanekud küberruumis – I kvartal 2021

Avatud serverite kuu? Tõsised haavatavused MS Exchange’i tarkvaras

Olukord

2. märtsil teatas Microsoft, et tuvastas ja parandas oma meiliserverite tarkvaras Exchange Server neli nullpäeva haavatavust, mille kaudu said ründajad ligipääsu serverites olevatele e-kirjadele, salasõnadele ja administraatori õigustele. Neist nõrkustest ühe (CVE-2021-26855) ohtlikkust hinnati kümnesel skaalal 9,1 – palju halvemaks minna ei saa. Kuni avalikustamiseni teadsid neist haavatavustest vähesed, kuid pärast seda olukord muutus - peagi olid kõik kompetentsed huvilised kursis, mida otsida ja kuidas nõrkusi ära kasutada.

Haistes kerget saaki, asus suur hulk küberrühmitusi ja üksiküritajaid automatiseeritud töövahenditega tuvastama haavatavaid Exchange’i servereid. Leidmise korral need kompromiteeriti ja nakatati pahavaraga. Sellega loodi niinimetatud tagauks, mis võimaldab hiljem naasta ja andmeid varastada. Kui 3. märtsil teatas Microsoft, et ohvreid on „piiratud“ arv, siis 5. märtsil räägiti juba vähemalt 30 000 ohvrist USAs ja 8. märtsil rohkem kui 60 000 üle maailma. Seega kurjategijad tegutsesid kiiresti ja näib, et rünnati valimatult neid, kes parajasti ette jäid.

RIA hinnang

Turvaaukudega tarkvara eest pole kaitstud keegi ja just viimastel kuudel on avalikuks tulnud mitmeid suure mõjuga juhtumeid, kus on kompromiteeritud laialt kasutatava tarkvara komponendid. Microsoft Exchange’i puhul avaldas tarkvaratootja koos haavatavustega ka kriitilise turvauuenduse nende parandamiseks. Paraku ei kiirusta kaugeltki kõik kasutajad seda paigaldama ning tuleb tõdeda, et Eesti on siin olnud pigem aeglasemate seas.

3. märtsil tuvastas CERT-EE Eesti küberruumist 80 mainitud haavatavustega meiliserverit. Teavitasime nende omanikke nii otse kui ka sideteenuse pakkuja kaudu. Lisaks informeerisime avaliku sektori turvajuhte ning elutähtsa ja olulise teenuse osutajaid. Kui 10. märtsil seiret kordasime, oli kaks kolmandikku nendest serveritest endiselt paikamata tarkvaraga ning seetõttu rünnakutele avatud. Võrdluseks, et kui turvaaukude avalikustamise päeval oli üleilmselt internetti ühendatud umbes 400 000 haavatavat Exchange’i serverit, siis nädal hiljem oli nende arv tänu läbi viidud tarkvarauuendustele kahanenud 100 000ni. Teisisõnu: kui ülemaailmselt paigati nädalaga 75% haavatavatest serveritest, siis Eestis võtsid hoiatust tõsiselt vaid kolmandik teate saanuid.

Ettevõtetel ja asutustel, kelle riskid ja regulatsioonid seda lubavad, tasub kaaluda mõne pilvepõhise meiliteenuse kasutamist (kõnealused haavatavused ei puudutanud Exchange Online’i). Sel juhul jääb tarkvara uuendamise ja paikamise vaev teenusepakkuja kanda.

Kui seda aga teha ei saa, tuleb kriitilistesse turvauuendustesse suhtuda täie tõsidusega. Haavatavuste ja turvapaikade avalikustamine on stardipauk nii ründajatele kui kaitsjatele. Pärast seda sõltub kummagi poole kiirusest, kas enne jõuavad kurjategijad seadme kompromiteerida või selle haldajad turvaaugud tarkvarauuendusega paigata. 

Vaata oma teenuseid ründaja silmadega

Olukord

Detsembris avalikustatud rünnakud Eesti riigi IT-taristu suunas ei lõppenud hetkel, mil me koos majandus- ja kommunikatsiooniministeeriumi, sotsiaalministeeriumi ja välisministeeriumiga rünnakud ja andmelekked avalikustasime. Aasta esimestel kuudel oleme taas näinud sarnase käekirjaga rünnakukatseid ning paaril korral on need olnud ka edukad. Sarnase käekirja all mõtleme seda, et ründaja skaneerib avalikult kättesaadavate tööriistadega mõnd veebiserverit, leiab turvanõrkused, laadib üles ründekoodi ja saab niimoodi serveritele autoriseerimata ligipääsu. Veebruaris teavitas meid kompromiteerimisest üks ettevõte, kes pakub pilveteenuseid ja tarkvara paljudele avaliku sektori asutustele (ministeeriumid ja kohalikud omavalitsused) ning teine, kes pakub samuti avaliku sektori asutustele kaugligipääsu teenuseid. 

Mõjutatud ettevõtted reageerisid intsidentidele asjatundlikult: paikasid oma teenused, teavitasid kliente, tegid CERT-EEga koostööd. Kuna ründevektor oli tuttav, otsustasime kasutada ka ise sama tööriista ning pakkuda avaliku sektori asutustele võimalust oma veebid üle kontrollida. Eesmärk on vaadata neile veebidele otsa ründaja silmadega: milliseid turvanõrkusi välja paistab ja kas oleks võimalik ründaja elu keerulisemaks teha. 

CERT-EE teavitas novembri lõpus riigi infoturbejuhte, kuidas end taoliste rünnete eest kaitsta (pööra tähelepanu nähtavatele .git kataloogidele ning uuenda tarkvara; vaata nõuandeid). Samad põhimõtted kehtivad ka täna ning meenutasime neid märtsis ka riigiasutuste juhtkondadele.

RIA Hinnang

Ründevektorit ja ründaja taktikat võib laias laastus võrrelda kõige tavapärasema ukselinkidega logistamisega: ründaja käib mööda veebe ringi, otsib lukustamata või nõrga lukuga uksi, nõrkuse avastades astub uksest sisse ja vaatab, kas leidub mingit väärtuslikku kraami. Mõnes serveris pole midagi sellist, mõne kaudu on võimalik jõuda teiste teenuste ja oluliste andmeteni. Mida täpselt nende ligipääsude ja andmetega edasi teha, mõtleb ründaja hiljem välja.

Kuna aasta alguses kompromiteeritud ettevõtted pakuvad teenuseid mitmetele avaliku sektori asutustele, jääb mulje, justkui püüaks ründaja endiselt just Eesti riigiasutuste serveritesse sisse murda. Kuid see järeldus võib olla ennatlik. Avalikus internetis nähtavaid servereid skaneeritakse erinevate tööriistadega iga päev, iga tund, iga sekund. Mõni teenus annab tõhusama skaneeringu ja mõni pealiskaudsema. Süvaanalüüse pakkuvad tööriistad on kallimad ja ründajatel pole tulus neid väikeste asutuste peal katsetada. 

Igal juhul soovitame kõigile teenuseomanikele ja ka ettevõtete turvalisuse eest vastutavatele töötajatele teatud aja tagant oma serveritele ründaja pilguga otsa vaadata – kasutades skaneerijaid või tellides ründeteste. Selliseid teenuseid pakuvad paljud eraettevõtted ja need annavad reaalse pildi selle kohta, mida potentsiaalne ründaja näeb. Ning kui ründaja skaneerib sadat veebilehte, 99 neist näitavad rohelist ja vaid sina oled nii-öelda punases, on suurem tõenäosus, et kõigepealt satud sihtmärgiks just sina.

DDoS väljapressimised jätkuvad

Olukord

Eelmises kvartaliülevaates kirjutasime sügisel toimunud hajusatest teenusetõkestusrünnetest (inglise keeles Distributed Denial of Service attacks ehk lühidalt DDoS), mille eesmärk oli valitud ettevõtetelt raha välja pressida. Sihtmärgiks olid mõned pangad ja tehnoloogiaettevõtted, kellele tehti näidisrünnak ja saadeti väljapressimiskiri, milles nõuti lunaraha ründe lõpetamise eest. Lunarahanõude ignoreerimise korral ähvardati tagasi tulla uute ja hullemate rünnetega, ent tähtaja kukkudes esialgu midagi ei juhtunud.

Käesoleva aasta alguses pöördusid kurjategijad aga meie andmetel uuesti vähemalt nelja ettevõtte poole, keda sügisel juba oli rünnatud. Uues väljapressimiskirjas viidati ka eelnenud rünnetele, nentides, et “teie makse ei ole meieni jõudnud” ning “oleme nüüd tagasi”. Kirjaga kaasnesid mitme tunnised ründed ning taas kord ähvardus edaspidi naasta, kui krüptoraha (sõltuvalt ettevõttest 1–10 bitcoini) ära ei maksta. Intsidendid toimusid seegi kord lainena, leides aset jaanuari keskpaigast veebruari alguseni.

RIA hinnang

Kurjategijad on ka varem kasutanud väljapressimiseks teenusetõkestusründeid, ent samade ettevõtete juurde naasmine suhteliselt lühikese aja tagant on siiski ebatavaline. On alust arvata, et sügiseste ja aasta alguse rünnete taga on sama rühmitus (kasutatakse sama krüptovaluuta rahakoti aadressi ning ka mõned muud tunnused viitavad, et tegemist on teadliku korduva tegevusega). Seejuures on nende haare võrdlemisi lai - samalaadseid ning sarnases ajaraamis läbi viidud kordusründeid ja väljapressimiskirju on CERT-EE-le teadaolevalt nähtud veel vähemalt viies Euroopa riigis. Nii rünnete maht kui meetodite mitmekesisus viitavad kurjategijate valduses olevale suhteliselt heale infrastruktuurile. Küllap motiveerib neid uuesti üritama ka asjaolu, et bitcoini rahaline väärtus on sügisega võrreldes mitmekordistunud.

Selline väljapressimine ei ole Eestis siiski väga levinud, meile teada olevad praeguseks mõjutatud ettevõtted võib üles lugeda kahe käe sõrmedel ning avalik sektor mõjutatud ei ole. Samas on tõenäoline, et kord juba väljapressimiskirja saanud ettevõtete poole pöördutakse varem või hiljem uuesti ning rühmitusel näib olevat ressursse oma ähvardused sageli ka ellu viia. Meie andmetel ei ole ükski Eesti ettevõte seni väljapressimisele allunud, küll aga on mitmed pärast esmaseid ründeid hoopis parandanud oma valmisolekut ummistusrünnetega toime tulemiseks. See on igati mõistlik, sest suurema ja väiksema mõjuga DDoSe toimub Eesti küberruumis iga kuu ning nende arv on kerges kasvutrendis. 

Tarneahela ründed maailmas kui õppetunnid baashügieenist

Olukord

Viimase poole aasta jooksul on avalikuks tulnud mitmed rünnakud, kus eri asutuste võrkudele saadakse ligi läbi IT-teenuseid pakkuvate ettevõtete. Nendest suurimat tähelepanu saanud SolarWindsi Sunbursti tarneahelarünnaku puhul kompromiteeriti juba 2019. aasta detsembris ühe ettevõtte töötaja Office365 konto, mille kaudu liikus ründaja ettevõtte süsteemides edasi ning rakendas pahavara, et pääseda läbi tarkvarauuenduse ka teiste SolarWindsi teenust kasutavate ettevõtete – ning hiljem ka kolmandate asutuste, kes SolarWindsi tooteid ei kasutanud – süsteemidesse. Veebruaris avalikustatud Accellioni rünnaku puhul kasutati ära turvanõrkust pilveteenuse failijagamisprotokollis, läbi mille jõuti ka sadade teiste ohvrite süsteemidesse üle maailma. Samuti veebruaris ilmsiks tulnud Prantsusmaa valitsussektorile küberturbe teenuseid pakkuvat Stormshieldi tabas rünnak veebimajutuse pakkujate kaudu, kes kasutasid Centreoni IT-monitoorimistarkvara vananenud versiooni, mida ei ole toetatud juba viis aastat.

RIA hinnang

Taolised tarneahelarünnakud ei ole uus nähtus. Ka maailmas seni üks enim kahju toonud NotPetya pahavaraintsident 2017. aastal sai alguse sellest, et ühe raamatupidamistarkvara versiooniuuendus oli kompromiteeritud. Kolmandate osapoolte tarkvara kasutamisel peab paratamatult arvestama tarneahela riskidega. Seni aga puuduvad head mehhanismid, kuidas veenduda koostööpartneri ettevõtte üldises suhtumises küberturvalisusesse: kas tal on läbivalt kasutuses näiteks mitmeastmeline autentimine või milline on nende poliitika juhul, kui keegi pöörab tähelepanu turvanõrkusele või andmelekkele. Need mehhanismid ei ole puudu ainult Eestis, vaid üle maailma.

Iseasi, kas parem küberhügieen ettevõttes oleks päriselt suutnud ära hoida näiteks SolarWindsi laadset teise riigi poolt korraldatud rünnakut – sellist hinnangut anda oleks kindlasti ennatlik.

Viimastel kuudel on tarneahela turvalisusele pööratud kõrgendatud tähelepanu ka seadusloome vaatevinklist – uues ELi võrgu- ja infosüsteemide turbe direktiivi ettepanekus on kriitilise taristu ettevõtetele ette nähtud nõuded, mille kohaselt peaksid nad vastu võtma eeskirjad tarneahela turvalisuse tagamiseks. Tarneahela olulisust rõhutab ka ELi uus küberturvalisuse strateegia. Lisaks on sel aastal oodata uut ELi horisontaalset seadusakti, millega pannakse senisest rohkem vastutust ka seadmete ning teenuste tootjatele.

Eelpool mainitud rünnete otsene mõju Eestile on väike – nimetatud tarkvarad ei ole siin üldiselt kasutusel. Samas on ilmselt vaid aja küsimus, millal peame ka Eestis hakkama hindama mõne laiaulatusliku tarneahelaründe kahjusid ning suutma need alustuseks üldse tuvastada. Soovitame organisatsioonidel läbi mõelda, kuidas hallata logisid ja monitoorida oma võrke nii, et sissemurdmise ja muu pahaloomulise tegevuse puhul jääks sellest märk maha. Veenduda tasub ka selles, et lepingupartnerite turvaauditid on tehtud ning katavad antud organisatsiooni jaoks olulisi valdkondi.

 

Läks hästi

Ühe Eesti ehitusettevõtte tähelepanelikud töötajad said veebruaris jälile arvepettusele, millega üritati välja petta üle 900 000 euro. Ettevõtte ühte meilikontosse oli sisse tungitud ja kurjategijad hakkasid jälgima suhtlust tarnijatega. Sobival hetkel sekkudes ja arvete kontoandmeid muutes lootsid kurjategijad raha kantida hoopis ühele Euroopa Liidust väljas asuvale pangaarvele. See plaan läks aga untsu, sest töötajad märkasid pettusekatset ja peatasid maksete tegemise.

Saaks paremini

Kodukontorist töökoha infosüsteemiga ühendumiseks kasutatakse sageli RDP-na tuntud kaugtöölaua tarkvara (Remote Desktop Protocol), mis ei ole aga alati turvaliselt seadistatud. Ebaturvaline seadistus tähendab, et RDP jaoks lahti jäetud võrguühenduste kaudu saab arvutile või serverile ligi kogu internetist. CERT-EE saab igakuiselt teateid intsidentidest, kus rünne on toimunud just RDP nõrkuste kaudu; märtsis rünnati sel moel ka üht valitsusasutust.

 

Trendid ja tähelepanekud küberruumis – I kvartal 2021 failina (1.86 MB, PDF)

Veel uudiseid samal teemal

12.10.2021

Trendid ja tähelepanekud küberruumis – III kvartal 2021

12.10.2021 – Teemad: Confluence'i turvaaugu kaudu rünnati Eesti riigiasutuste siseveebe, taakvara on valupunkt nii avalikus kui ka erasektoris, krüptorahaga seotud petuskeemid tõusuteel, ööpäev Eesti küberruumis: nakatumised, rünnakud ja haavatavused.

06.10.2021

MKM: Riik võtab uuel aastal ette digiriigi taakvara probleemi

6.10.2021 – Ettevõtlus- ja infotehnoloogiaminister Andres Suti sõnul keskendub riik järgmisel aastal riigi oluliste infosüsteemide uuendamisele ja ülalhoiu tagamisele, et vähendada küberturbe riske ja tagada digiriigi jätkusuutlikkus. Selleks eraldati 2022. aasta riigieelarvest täiendavad 14,4 miljonit eurot.