Language switcher

Sa oled siin

Trendid ja tähelepanekud küberruumis – IV kvartal 2020

Õnnestunud küberrünnak riigiasutuste suunal näitas, et küberruumis pole lõpuni kaitstud mitte keegi

Olukord

RIA tuvastas novembris kolmel erineval juhul sarnase käekirjaga rünnakud Eesti riigi IT-taristu vastu. Küberrünnakud tabasid Majandus- ja Kommunikatsiooniministeeriumi (MKM), Sotsiaalministeeriumi (SoM) ja Välisministeeriumi (VäM) servereid. Kõigi kolme ründe käekiri on sarnane – rünnati veebilehti majutavat serverit, proovides ära kasutada nende seadistamisel tehtud vigadega kaasnevaid nõrkuseid.

MKMi puhul õnnestus ründajatel pääseda edasi MKMi haldusala serveriteni, kust lekkis mitmesaja gigabaidi ulatuses andmeid. SoM haldusalas õnnestus kurjategijatel jõuda COVID-19ga seotud ja 9158 inimest puudutava informatsioonini, mis paiknes ajutise lahendusena veebiserveri andmebaasis. Ründaja juurdepääs elimineeriti operatiivselt ning Terviseamet teavitas kõnealuseid inimesi juhtunust. VäM pääses kõige kergemini – nende kodulehelt kurjategija edasi ei pääsenud ega mitteavalikku infot ei saanud.

Intsidendi ulatuslikkusest hoolimata polnud Eesti e-teenused kordagi ohus ning meie digiriik toimis harjumuspäraselt. Teavitasime tuvastatud veebiserverite nõrkustest ning nõrkuste likvideerimise võimalustest teisi riigiasutusi, kohalikke omavalitsusi ning elutähtsa ja olulise teenuse osutajaid. Vastav lühike juhend

RIA hinnang

Tehnoloogiad ja võimalused neid kuritarvitada arenevad väga kiiresti, uusi haavatavusi tuleb ilmsiks pea iganädalaselt ning toimunud rünnakud tõestavad, et kurjategijad kasutavad neid ka reaalselt ära. Eduka küberründe tagajärjeks võib olla andmekadu ja/või tundliku informatsiooni leke, samuti võimaldab ligipääs süsteemile koguda informatsiooni, mis aitab lõpuks veebiserverist edasi liikuda ja infosüsteemi muid osi kompromiteerida. Ründaja võib lisaks informatsioonile olla huvitatud ka rahast, kavandades edasisi lunavararünnakuid või püüdes varastatud andmeid muul moel realiseerida. Novembris Eesti riigisektorit tabanud rünnete mõju minimeerimiseks ja uute rünnete ärahoidmiseks tegid mitmed riigiasutused tihedat koostööd ning tänaseks võib öelda, et suurem kahju õnnestus ilmselt ära hoida. Samas andmevarguse mõju tagantjärele olematuks muuta ei saa, sellega seotud riskid võivad realiseeruda kuid või isegi aastaid hiljem.

Mida sellest kõigest õppida? MKM-i haldusalas juhtunu on ilmekaks näiteks, et küberrünnakutes võivad tõsiselt pihta saada ka rangetele infoturbereeglitele allutatud riigiasutused. Sama tõestavad uudised mujalt maailmast – detsembris sai üldsus teada küberründest SolarWinds Orioni tarkvaravärskenduste kaudu, mille tõttu kompromiteerusid tuhandete organisatsioonide infosüsteemid üle terve maailma, sealhulgas mitmete USA valitsusasutuste omad. Ehkki täielikku kindlust küberrünnete vastu ei olegi võimalik saavutada, tuleb küberturvalisusesse investeerida järjepidevalt ja süsteemselt ning omada läbimõeldud kriisihaldusplaani juhuks, kui rünnak siiski aset leiab. Tuleb luua täielik ja detailne ülevaade oma infosüsteemidest – millised seadmed ja tarkvara on kasutusel, kellel ja mis õigustes on kasutajakontod, panna paika logide kogumine ja haldus, mille abil kiiresti anomaaliaid tuvastada. Ehkki see kõlab elementaarselt, on reaalsus sageli ebatäiuslik, alates vanadest pärandsüsteemidest kuni aja- või rahapuudusel loodud ajutiste lahendusteni, mille küberturvalisus jääb teiste kaalutluste kõrval tagaplaanile. Praegusele digiajastule kohane küberturvalisus ongi kallis, tüütu ja seejuures paljuski nähtamatu, ent muutub järjest enam möödapääsmatuks, sest nii ettevõtetel kui riigiasutustel on kokkuvõtteks odavam probleeme ära hoida, mitte tagantjärele kahjusid likvideerida.

Teenusetõkestusründed väljapressimise eesmärgil

Olukord

Lõppenud kvartalis saime mitmeid teateid juhtumitest, kus ettevõttetelt üritati teenusetõkestusrünnetega raha välja pressida. Ettevõtetele saadeti kiri, kus kurjategijad ähvardasid läbi viia teenusetõkestusründe, kui ettevõte ei maksa nõutud lunaraha. Enamasti kaasnes sellega ka näidisrünnak, mille ignoreerimisel ja teatud tähtajaks lunavara mittetasumisel lubati uut ja mahukamat rünnakut. Ähvarduse tõsiseltvõetavuse suurendamiseks väitsid kurjategijad end olevat seotud Fancy Bear või mõne muu tuntud küberrühmitusega ning viitasid väljapressimiskirjas nende poolt maailmas läbi viidud suurt majanduslikku kahju põhjustanud rünnetele. Lunavara nõuti krüptovaluutas ja selle suurus jäi vahemikku 10 000 – 400 000 eurot. Rünnakud olid enamasti sihitud kas telekommunikatsiooniettevõtetele või pankadele, viimastelt küsiti ka kõige suuremat lunavara. Meile teadaolevalt ükski ettevõte väljapressimisele ei allunud ja lunavara ära ei maksnud, samuti ei ole meil teateid, et kellegi vastu oleks läbi viidud kurjategijate poolt lubatud ajal ja mahus kordusrünnak. 

RIA hinnang

Nende rünnete puhul on tegemist globaalse väljapressimislainega, mis hakkas levima augustis ja jõudis sügiseks ka Eestisse. Kurjategijate motivatsioon on teenida kiiret tulu ning kurikuulsate rühmitustega nagu Fancy Bear, Cozy Bear, Armada Collective tegelikku seost ei ole. Ründed on sihitud ja sihtmärgid esindavad enamasti finants-, telekommunikatsiooni ja e-kaubandust ehk neid sektoreid, mille puhul ähvardatava suuremahulise ründe äriline mõju oleks suurem.

Eestis nähtud rünnete mõju oli sõltuvalt ründe mahust ja vastumeetmete olemasolust ja efektiivsusest erinev. Mõnel juhul piirdus see paariminutilise häirega ettevõtte kodulehe kasutamisel, kõige suurema mõjuga ründe puhul (rünnati ühe Eestis tegutseva panga mujal asuvat emapanka) ei saanud tippajal paar tundi kasutada panga makseterminale ja selle tõttu jäi regioonis ära või lükkus edasi miljonite eurode väärtuses tehinguid.

Kui vaadata teenusetõkestusründeid üldiselt, siis lõppenud kvartalis saime teavitusi kokku ligikaudu 140 Eesti IP-aadressi vastu teostatud rünnetest, mis on mõnevõrra rohkem, kui  kolmandas kvartalis. Erineva ründevektori ja võimsusega teenusetõkestusründed on muutunud nii-öelda letitoodeteks, mille kasvava populaarsuse taga on nende kättesaadavus ja suhteliselt madal hind kurjategijate jaoks. Seetõttu prognoosime, et teenusetõkestusrünnete arv kasvab ka järgmisel aastal ning soovitame teha vajalikud investeeringud teenusetõkestusrünnete ära hoidmiseks ja vastumeetmeteks.

Eesti lunavaraintsidendid on enamasti seotud kaugtöölauaprotokolliga

Olukord

2018. aasta lõpus kirjutasime oma esimeses kvartaliülevaates lunavararünnakutest, kus kasutatakse kaugtöölaua protokolli (Remote Desktop Protocol ehk RDP) jaoks lahti jäetud võrguühendusi. Kaks aastat hiljem ei ole olukord muutunud: CERT-EE-ni jõuab iga kuu hulk teateid lunavarast, mille puhul ei oska asutus esialgu öelda, kustkaudu ründajad ligi pääsesid, kuid rünnakut analüüsides tõdetakse, et tõenäoliselt saadi ligi justnimelt kaugtöölaua protokolli nõrkuste kaudu. Vaid eraisikute teated lunavara kohta viitavad pigem piraattarkvarale või pahavarakirjadele.

2020. aasta jooksul meile teada antud lunavaraintsidentidest kolm neljandikku olid kindlasti või suure tõenäosusega RDP kaudu sooritatud. Kui asutus suutis ründevektori tuvastada, oli see peaaegu alati RDP. Eelmise aasta jooksul said pihta (teiste hulgas) koolid, perearstikeskused, tootmisettevõtted, majutusasutused, automüüjad ja muidugi eraisikud. Meil on hea meel, et need rünnakud ei viinud suurema rahalise kahjuni (enamasti oli kahjuks pigem taastamisele läinud tööaeg).

RIA hinnang

Lunaraha makstes on paljud ettevõtted üle maailma aidanud kurjategijatel oma pahavara täiustada, taristut uuendada ja kinnipidamist vältida. Näiteks paistab lunavaratrende jälgides silma, et üha enam kasutatakse taas ära õngitsuskirjade abil ohvritele saadetud pahavara (näiteks Eestiski laialt levivat Emoteti, mis pakub teenuseid teistele pahavaraperekondadele, sealhulgas lunavaralaadijatele). Nendes õngitsuskirjades viidatud pahavara hoiustatakse lausa Google’i, Microsofti või Amazoni avalikes pilvedes, ehk täiesti legitiimsetes keskkondades. Seega tuleb taas oma töötajaid koolitada, et nad taolisi kirju paremini ära tunneks.

Kuid uutmoodi ründemeetodite kõrval on vaja tähelepanu pöörata ka ohtudele, mis reaalselt Eesti ettevõtteid ja asutusi igapäevaselt varitsevad.  Kaks aastat tagasi nentisime, et ettevaatusabinõud võetakse tihtipeale kasutusele alles pärast edukat lunavaraintsidenti – RDP võimaliku ründevektorina on teada juba 2016. aastast ja varemgi. Seetõttu kutsume jätkuvalt üles hoolitsema selle eest, et teie asutuse serveritele ja arvutitele ei oleks võimalik ligi pääseda kogu internetist. RIA soovitused lunavarajuhtumite ennetamiseks kehtivad siiani, isegi kui rünnakud on läinud jõhkramaks ja lunaraha maksmise tõenäosuse suurendamiseks ähvardatakse ohvrilt varastatud andmeid lekitada.

NIS 2.0 – Euroopa Liit uuendab võrgu- ja infosüsteemide turbe direktiivi

Detsembri keskel esitas Euroopa Liidu Komisjon liikmesriikidele oma nägemuse uuest võrgu- ja infosüsteemide turbe direktiivist, mida üldiselt tuntakse NIS direktiivi nime all. Seni kehtiv NIS direktiiv jõustus 2016, nüüd uuendamisel olev versioon ehk NIS 2.0 saab reaalsuseks ilmselt umbes kahe – kolme aasta pärast. Direktiivi eesmärk on tõsta üldist minimaalset küberturvalisuse taset Euroopa Liidu riikides ning võtta arvesse järjest suurenevat ristsõltuvust erinevate teenuste ja sektorite vahel. Samuti on pandeemia tõttu fookusesse tõusnud vajadus paremini kaitsta meditsiinialast teadus- ja arendustööd ning sellega seonduvat. Kuna küberturvalisuse tase on riigiti väga erinev, nagu ka riikide nägemus suurema strateegilise autonoomia saavutamisest, seisavad ees pingelised läbirääkimised.

Milliseid muudatusi NIS 2.0 ettepanek praegusel kujul kaasa tooks? Põhilised muudatused puudutavad direktiivi kohaldamisala, teabevahetust, turvanõudeid ja trahvimäärasid. Kui kehtiva NIS direktiivi järgi on liikmesriikidel küllaltki palju paindlikkust määratleda, millistele ettevõtetele direktiivi nõudeid kohaldada, siis NIS 2.0 toob sisse suuruse kriteeriumi: direktiivi nõudeid tuleb kohaldada keskmise suurusega (alates 50 töötajat)  ja suurtele ettevõtetele. On ka erandeid, mil ettevõtetele peaksid nõuded kohalduma olenemata suurusest, nt kui ta on oma sektoris ainus pakkuja või oma teenuse tõttu regionaalsel või riiklikul tasandil olulise tähtsusega. Esmapilgul tundub, et praegune üpris paindlik, ent konkreetne süsteem muutuks jäigemaks ja laialivalguvamaks.

Asutusi määratletaks nüüd nende kriitilisuse järgi ühiskonna toimimisele, võttes arvesse ka ristsõltuvused - kui ühe füüsilise taristu üksuse töö sõltub digitaalse taristu ettevõttest, siis võib mõlema kaalu sama hinnaliseks pidada. Lisaks elutähtsatele üksustele on loodud olulise üksuse mõiste. Nende vaheline erinevus seisneb peamiselt järelevalves, kus oluliste üksuste puhul - erinevalt elutähtsast üksusest - ennetavalt järelevalvet teha ei saa. Sektoritest lisanduks muuhulgas elutähtsate üksuste alla ravimi- ja meditsiiniliste aparaatide tööstus, avaliku sektori ning kosmosega tegelevad asutused; oluliste üksuste sekka lisataks suurem osa tööstusest, sh toidu-, masina-, elektroonika-, töötlev tööstus kui ka sotsiaalmeedia platvormid. Võrreldes praeguse NIS direktiiviga oleks kohaldamisala seega märgatavalt laiem.

NIS 2.0-ga proovitakse luua õhkkonda suuremaks teabevahetuseks: suhtluskanaleid riiklike küberasutuste ja seadmete tootjate vahel, platvorme elutähtsatele üksustele omavaheliseks suhtluseks kui ka üle-Euroopalist registrit turvanõrkuste kohta. 
Uuendatud turvanõuete täitmine eeldab, et elutähtsate üksuste juhtkonnad on küberturvalisuse meetmetest ja riskidest teadlikud ning läbivad küberturbe alaseid baaskoolitusi. Samuti võib lisanduda teatud üksustele kohustusi kasutada vaid sertifitseeritud tooteid. Drastilise muutuse läbiksid karistusmeetmed, mis ühtlustatakse andmekaitse üldmäärusega ning näevad nõuete eiramise eest ette trahve kuni 10 000 000€ või 2% ettevõtte aastakäibest. 

Tasakaal, kuidas parandada küberturvalisuse baastaset üle Euroopa ning samas vältida ülereguleerimist ja liigset halduskoormust, saab lõplikult paika eelseisvate läbirääkimiste käigus. RIA analüüsib komisjoni ettepaneku mõjusid Eestile ja esmased seisukohad on plaanis esitada Vabariigi Valitsusele juba veebruaris.

 

Läheb hästi

2019. aastast on meile muret teinud sarnase käekirjaga õngitsuskatsed, millega kurjategijad üritasid välja petta internetipanka sisenemiseks vajalikke Smart-ID või Mobiil-ID koode. Eestis jõudsid õngitsuskirjad ja -sõnumid kuni 100 tuhande inimeseni, kellest vähemalt 400 kontole õnnestus petturitel ligi pääseda. 28. septembril peeti rahvusvahelise politseikoostöö raames Rumeenias kinni kolm meest, keda kahtlustakse õngitsuskampaaniate läbiviimises. Me ei eeldanud, et sellega on pangakontode õngitsuste probleem lahendatud, küll aga on rõõm näha, et nende arv on langenud: kui kolmandas kvartalis saime infot tosina, siis aasta viimases veerandis viie kohta.

Saaks paremini

20. oktoobril jõudis USA Demokraatliku erakonna liikmete e-postkastidesse ähvardava pealkirjaga e-kiri: „Vote for Trump or else!”, milles nõuti hääle andmist Trumpile. Näiliselt tulid valimisi mõjutada üritanud kirjad aadressilt info [at] officialproudboys.com, kuid metaandmetest selgus, et nende saatmiseks kasutati Eestis asuvat serverit. Ründajad kasutasid ära Koolibri kodulehe haavatavust, lisades sellele pahatahtliku koodi, mille abil kirjad välja saadeti. See võinuks juhtuda ükskõik, mis riigis asuva serveri ja kodulehega, aga juhtus Eestis, kuna paljud kodulehed ja serverid on jäetud unarusse. Veendu, et nende tarkvara oleks uuendatud ja turvaaugud paigatud.

 

Trendid ja tähelepanekud küberruumis – IV kvartal 2020 failina (1.82 MB, PDF)

Veel uudiseid samal teemal

24.09.2021

MKM: Valitsus suunab 2022. aastal täiendavad 30 miljonit eurot digiriigi ja küberturvalisuse kindlustamisse

Valitsus eraldab 2022. aasta riigieelarvest täiendavad 30 miljonit eurot digiriigi kestlikkuse ja küberturvalisuse kindlustamiseks.

23.09.2021

MKM: Valitsus eraldas 2 miljonit eurot riigivõrgu turvalisuse tõstmiseks

23.9.2021 – Valitsus otsustas tänasel istungil eraldada Vabariigi Valitsuse reservist 2 miljonit eurot, et teha täiendavaid investeeringuid riigivõrgu turvalisuse tõstmiseks.