Language switcher

Sa oled siin

Trendid ja tähelepanekud küberruumis – I kvartal 2022

Venemaa agressioon Ukrainas – kas ka kübersõda?

Olukord

Venemaa sõjaline kallaletung Ukrainale on mitmel moel väljendunud ka küberruumis. Alates aasta algusest on Ukraina ettevõtete, riigiasutuste ja teiste organisatsioonide pihta tehtud palju teenusetõkestusründeid (DDoS) ja näotustatud veebilehti ehk ründajad on kuvanud veebilehe asemel oma sõnumi.
Invasiooni algusest alates ulatuslikuima mõjuga rünnak toimus 28. märtsil Ukraina suurima telekomiettevõtte Ukrtelekom vastu, mille tõttu jäi ligi 80% klientidest tundideks ilma internetita. Telekommunikatsioonisektori vastu on toimunud ka teisi, väiksema mõjuga küberründeid ning mõistagi tekitab teenusekatkestusi ka otsene sõjategevus ehk kuulirahe ja pommitamine. 

Massiliselt saadetakse pahavara ja õngitsuskirju Ukraina riigiasutuste ja relvajõudude personalile, aga ka tavalistele Ukraina kodanikele. Õngitsuskirjade sihtmärgiks on olnud ka Ukraina tegutsevad rahvusvahelised organisatsioonid ja nende teemadega tegelevad Euroopa ametnikud. 

Küberründeid on Ukrainas kasutatud ka valeinfo levitamiseks. Näiteks kompromiteeriti kohalike omavalitsuste veebilehed, kuhu postitati omavalitsuste nimel teateid Kiievi langemise kohta. Kompromiteeritud Ukraina uudisteportaalides (nt Ukraine 24) levitati deepfake videot Ukraina presidendist Volodõmõr Zelenskõist. 

Lisaks on alates aasta algusest Ukraina asutuste ja ettevõtete poole teele pandud vähemalt viite tüüpi hävituslikku pahavara, mis kustutab nakatatud seadmest andmed ja muudab need kasutuskõlbmatuks. 

RIA hinnang

Seni Ukraina vastu sooritatud küberründed on valdavalt olnud primitiivsed – nendega ei vii riiki rivist välja ega alluta oma tahtele. Ukrtelekomi puhul oli tegemist juba tõsisema ründega kriitilise tähtsusega taristu vastu, ent üldiselt võib öelda, et laastavaid küberrünnakuid on seni näha olnud vähem, kui eeldati. Põhjuseid võib olla mitu, sealhulgas:

  •  küberründed on viis võimu näitamiseks mittekonventsionaalsel moel, kasutades ära nn halli ala, mis kaob, kui füüsiline sõda on käes; 
  • hävituslikumad küberründed võivad kanduda üle teistesse riikidesse ja Venemaa pelgab seda, st ei taha (veel) eskaleerumist läänega;
  • Venemaa rakendab oma kübervõimekusi Ukraina ja lääneriikide vastu alles hilisemas etapis, kui sõjaline tegevus on ummikusse jooksnud ja sanktsioonide mõju on hakanud rohkem tunda andma.

Praeguses faasis ei pruugi ulatuslikud küberründed lääneriikide pihta Venemaale ka otsest geopoliitilist kasu tuua. Pigem võib neil hoopis olla lääneriike ja Ukrainat ühendav mõju. Samas tegutseb Venemaa hoogsalt nn halli ala piires, kasutades küberründeid lisaks luureinfo kogumisele ka infooperatsioonideks ja teenuste häirimiseks. 

Lisaks lastakse vabalt vohada sealsel kübervandalismil ja -kuritegevusel, kuniks nende sihtmärgid Venemaa omadega kattuvad. Nii on Eesti ja teiste lääneriikide jaoks küberohu tase hetkel küllalt suur, sest Ukrainale häälekalt toetust avaldanud, abi saatnud ja Venemaale ranged sanktsioonid kehtestanud riigid võivad kättemaksus eraldi sihtmärgiks sattuda.
 

Eesti suurendab vastupidavust küberruumis

Olukord

Ukraina sõja vahetu mõju Eesti küberruumile on siiani olnud piiratud, mõjuga intsidentide arv püsib tavapärasel tasemel ja elu häirivaid ründeid, mida saaks konfliktiga seostada, ei ole toimunud. Samas on CERT-EE täheldanud järgmist:

  1. Välismaistelt IP-aadressidelt lähtuv haavatavuste kaardistamine veebruaris ja märtsis on olnud tavapärasest aktiivsem, sealhulgas vahetult enne Vene invasiooni algust. Seda on näha nii riigiasutuste kui ka näiteks finantssektori internetile avatud teenuste puhul.
  2. Väga palju proovitakse meili teel levitada pahvara (enamasti trooja pahavara erinevaid variatsioone, mis sisalduvad meiliga kaasas olevas dokumendis ja käivituvad selle avamisel). Selliseid laineid oleme näinud ka varem, ent praegused mahud on tavapärasest suuremad. Mõnel juhul on peibutisena kasutatud sõjaga seonduvaid teemasid, ent rohkem liigub varasemast tuttavaid teemasid (arve, hinnapakkumine jne). 
  3. On olnud mõned üksikud intsidendid, mis võivad olla poliitiliselt motiveeritud. Näiteks häkiti sisse ühele kogukonna uudistelehe ja eemaldati sealt Ukraina konflikti kajastav sisu. On olnud ka mõningaid teenusetõkestusründeid meediaettevõtete vastu.
  4. On teateid üksikutest juhtumitest, kus suvalised petturid on püüdnud Ukraina teemat ära kasutades inimestelt raha välja petta.

RIA Hinnang

Geopoliitilised pinged ja vastasseis jäävad ilmselt kauaks püsima ning isegi kui sõjategevus kineetilises maailmas leeveneb ja ühel hetkel vaibub, võib see tähendada, et konflikt kolib järjest enam küberdomeeni. Oht küberrünneteks, nii konkreetselt sihitud kättemaksuaktsioonideks (teenusetõkestusründed, näotustamine, andmete vargus ja/või avalikustamine) kui ka laia kaasmõjuga tarneahelarünneteks (kompromiteeritakse mõni suurem teenusepakkuja või laialt kasutatav tarkvarakomponent) on tavapärasest oluliselt suurem.

Mida arvata ülal mainitud aktiivsest haavatavuste kaardistamisest? Selline kaardistamine (vulnerability scanning) on iseenesest tavapärane tegevus küberruumis, seda teevad nii tavalised küberkurjategijad, organiseeritud rühmitused kui ka riiklikud ohustajad, kes niimoodi oma potentsiaalseid sihtmärke kombivad. Sõltuvalt tellijast on ka kaardistamise eesmärgid erinevad, näiteks veebilehe kaitsemeetmete ja koormustaluvuse testimine, oluliste turvanõrkustega tarkvara tuvastamine, või ka lihtsalt veebilehtedel olevate kontaktide korjamine, et saata neile hiljem suunatud õngitsusi või pahavaraga faile. Kaardistamine ei tähenda, et kõiki tuvastatud nõrkusi kunagi ära kasutatakse, ent nõrkuste olemasolu ja paikamata jätmine suurendab rünnete tõenäosust. Tänases julgeolekukeskkonnas on aga igal inimesel, asutusel ja ettevõttel vaja viia enda vastased ründevõimalused nii madalale kui võimalik.

RIA on sarnaselt mitmete teiste riikide küberametitele andnud ohuhinnanguid ja soovitusi, kuidas end tänasel päeval küberruumis kaitsta. RIA hallatavale riigivõrgule, mida kasutab suur osa avalikust sektorist, on alates veebruarist üles seatud täiendav tulemüür, mis tuvastab ja peab kinni tuhandeid rünnakukatseid igapäevaselt. Mitmed elutähtsate teenuste pakkujad on samuti oma kaitsemeetmeid tugevdanud ja konsulteerivad RIA-ga pidevalt aktuaalse ohupildi osas. Ehkki seni on agressor oma potentsiaali küberdomeenis kasutanud tagasihoidlikult, peame olema valmis, et see muutub.

Sõda on kaasa toonud häktivismi laine

Olukord

Käimasolevas sõjas on poole valinud mitte ainult riigid, vaid ka mitmed tuntud kuritegelikud küberrühmitused ja ideoloogiliselt motiveeritud häkkerid ehk häktivistid. Rahvusvaheline häkkerite grupp Anonymous on teatanud mitmete Venemaa riigiasutuste ja teiste organisatsioonide vastastest rünnetest Ukraina toetuseks, samuti ründasid nad korduvalt Vene riiklikke telekanaleid ja asendasid sealse sisu videokaadritega Venemaa sõjalisest hävitustööst Ukrainas. Ukraina valitsus on kõiki IT-oskustega vabatahtlikke üles kutsunud liituma nn IT-armeega, mis viib läbi teenusetõkestusründeid, näotustamisi, aga ka keerukamaid operatsioone Vene veebilehtede ja ettevõtete vastu. Ent ka Putinit toetavad häkkerid ja rühmitused ei istu niisama – Kremlile on toetust avaldanud näiteks lunavarühmitus Conti ja häkkerite rühmitus Killnet. Ehkki kindlaid teateid napib, arvatakse  venemeelseid häktiviste olevat mitmete Ukraina-vastaste ja valeinfot levitavate rünnete taga. 

Sotsiaalmeedias, sealhulgas ka Eesti kasutajate gruppides on veebruarist alates levinud mitmeid üleskutseid toetada Ukrainat osalemisega teenusetõkestusrünnetes erinevate Vene propagandakanalite vastu. Loodud on spetsiaalseid veebilehti, mida külastades võimaldab inimene oma seadmes oleval rakendusel (brauseril) osaleda DDoS rünnete läbiviimisel erinevatele sihtmärkidele. 

RIA hinnang

Kuitahes õilsate eesmärkide nimel, ei soovita RIA kindlasti Eesti inimestel kaasa minna mistahes üleskutsetega osaleda küberrünnetes. Võib ju tunduda, et lasta oma telefonis oleval rakendusel sooritada ummistavaid päringuid mõne Vene propagandalehe vastu on hea võimalus midagi omalt poolt ära teha, aga tegelikult on see tegevus ohtlik. Praktiliselt annab kasutaja oma seadme robotvõrgustiku käsutusse ja käitab tundmatut koodi – mõlemad tegevused on küberturvalisuse seisukohast lubamatud. 

Selline DDoS-ide populariseerimine ja vajalike tehniliste lahenduste (veebilehel sisalduv spetsiaalne skript) levitamine on juba inspireerinud ka vastaspoolt ning on teateid üldkasutatavatest veebilehtedest Ukrainas, mis on kompromiteeritud ning mille külastamisel saab kasutaja seadmes olev rakendus korralduse hakata ummistama teatud veebilehti. See toimub kasutaja teadmata, rääkimata sellest, et ta saaks sihtmärke määrata või kontrollida.
Kindlasti kuuleme nii vene- kui ukrainameelsete häkkerite ja rühmituste tegevusest veel palju. Soovitame neisse uudistesse suhtuda ettevaatlikult, sest paljudel juhtudel puudub sõltumatu kinnitus või tõestus, kes ikkagi ründe taga oli ja kas mõju oli see, mida rühmitus väidab. Mõned väited edukatest rünnakutest võivad olla osa infooperatsioonist või lähtuda muudest rühmituse omakasupüüdlikest motiividest.

Ehkki kübervaldkonda on ühe sõjapidamise domeenina tunnistatud juba aastaid, on seal kehtivad reeglid siiski veel paljuski ähmased ning tihti on raske ajada jälgi, keda ühe või teise rünnaku eest vastutusele võtta. Rahvusvahelised häkkerite kooslused muudavad selle pildi veelgi segasemaks ning oma kodanike ja teenuste adekvaatne kaitsmine küberruumis muutub riikide jaoks järjest suuremaks väljakutseks.

Loe ka RIA pikemat vahekokkuvõtet Ukrainas toimuvast siit (PDF).

Tegevjuhi petuskeem on tagasi, aga suurema eduta

Olukord

„Tere hommikust Mis on meie pangasaldo, kas saame maksta 25,000€ täna?“

„Tere  Mul on arve, mis nõuab kiiret tasumist. kas sa saad sellega kohe hakkama? Andke mulle teada, et saaksin teile pangarekvisiidid ja arved saata.“

Need on väljavõtted petukirjadest, mis on viimaste kuude jooksul jõudnud Eesti ettevõtete ja asutuste raamatupidajate, finantsjuhtide või muude töötajateni, kelle ülesannete hulka kuulub arvete tasumine. Kirjade saatjaks on näiliselt sama ettevõtte või asutuse tegevjuht. 

Kui sellisele pöördumisele positiivselt vastata, saabub järgmiseks arve või makse sooritamiseks vajalikud pangarekivisiidid. Petturid rõhutavad alati sellele, et maksmisega on väga kiire. 

Teateid taolistest tegevjuhi petuskeemidest hakkas eelmise aasta lõpus saabuma tavapärasest rohkem ning see jätkus ka jaanuaris. Esimeses kvartalis teavitati CERT-EE-d tegevjuhi petuskeemidest 44 korral, eelmisel aasta samal ajavahemikul 11. Kasv on neljakordne.

Enamus neist katsetest kukuvad läbi: petukirja saaja on sellistest skeemidest teadlik, tal tekib kahtlus kirja sisu või saatja suhtes või on ettevõttes või asutuses paika pandud reeglid, kuidas sissetulevate arvetega käituda, et pettuseriski vähendada.

Kuid paraku on ka erandeid. Detsembris kandis ühe Eesti ettevõtte raamatupidaja petturite kontole ligi 15 000 eurot. Jaanuaris tegi sama teise ettevõtte töötaja, kahjusumma oli samas suurusjärgus. Viimase juhtumi puhul olid ettevõttes küll paika pandud protsessid, et taolise pettuste ohvriks langemist vältida, ent paraku neid ei järgitud, kuna raamatupidaja pidas saabunud kirja väga kiireloomuliseks. 

RIA hinnang

Kuigi pettusekatsete kiire kasv teeb meile muret, jääb lõviosa neist ebaõnnestunud üritusteks ning rahalist kahju kandnud ohvreid on suhteliselt vähe. 

Sellegipoolest kordame üle mõned soovitused:

  • Kui saad tegevjuhilt või finantsjuhilt kirja, mis nõuab arve kiiret tasumist, kontrolli, kas saatja aadress on õige. Töökamad ja püüdlikumad petised võltsivad vahel ka meiliaadressi, kuid enamasti on muudetud vaid saatja nime. Vajadusel küsi abi oma asutuse IT-spetsialistidelt.
  • Helista inimesele, kellelt kiri (näiliselt) tuli ja küsi, kas selle saatis ikka tema. Kasuta endale teadaolevat, mitte kirjas toodud numbrit.
  • Kahtluse korral edasta saabunud kiri cert [at] cert.ee.
  • Kui kahtlus tekib alles pärast ülekande tegemist, helista kohe oma panka ja palu makse tühistada.
  • Kehtesta oma organisatsioonis reeglid, kuidas toimida sissetulevate arvetega. 
  • Pea meeles, et reeglitest on kasu ainult juhul, kui neist ka kinni peetakse. 
 

Läks hästi

Vene-Ukraina sõja taustal on märgatavalt kasvanud erinevate sektorite huvi küberturbe vastu. RIA on kohtunud osapooltega telekomi-, finants- ja  kaubandussektorist, et anda nõu, millele tuleks küberruumis tähelepanu pöörata. Oleme saanud parema pildi sektorite valmisolekust ning sellest, kuidas saab RIA erinevates olukordades osapooli toetada. Soovitame kõikidel asutustel olla praegusel pingelisel ajal eriliselt tähelepanelik. Vaata ka soovitusi RIA kodulehel ja CERT-EE hoiatusi ja teateid Twitteris.

Saaks paremini

Esimeses kvartalis teavitati meid keskmisest enam kasutajakontode ülevõtmistest. Üldjuhul oli tegemist sotsiaalmeedia või e-posti kontode kompromiteerimisega ning tihti võeti üle mitu kontot korraga. Näiteks saadi esialgu ligipääs Gmaili kontole ja selle kaudu vahetati ära teiste seotud kontode paroolid. Sellise olukorra vältimiseks soovitame kasutada kahetasemelist autentimist ja igas keskkonnas erinevat tugevat salasõna. Üks võimalus on kasutada paroolihaldurit, et ei peaks kümneid salasõnu meeles pidama. Oluline on ka paroole regulaarselt uuendada.

 

Trendid ja tähelepanekud küberruumis – I kvartal 2022 failina (2.16 MB, PDF)

Veel uudiseid samal teemal

20.09.2022

RIA: küberrünnakud meediamajade vastu kasvasid

21.09.2022 Riigi infosüsteemi amet (RIA) koostas neile teatatud andmete põhjalt ülevaate Eesti meediaportaale tabanud küberrünnakutest. Võrreldes kahe eelmise aastaga on mõjuga küberrünnakute arv tõusnud.

14.09.2022

CERT-EE hoiatab: uuenda oma Apple'i seade esimesel võimalusel

Uuendamata Apple´i seadmed sisaldavad olulist turvanõrkust, mistõttu CERT-EE hoiatab, et oma seadet võiks uuendada esimesel võimalusel!