- Teenusetõkestusründeid korraldati nii koolide, riigiasutuste kui ka ettevõtete vastu.
- Jätkusid erinevad pankade ja riigiasutuste nimel saadetud petukirjad ja SMS-sõnumid.
- Aprillis sai avalikuks RIA Kübertest, avaldasime uue kvartaliülevaate ja osalesime küberõppusel Locked Shields.
- Taiwani riistvaratootjat ja Ühendkuningriigi riigiametit ACRO tabasid küberründed. Jätkusid ka Venemaa Ukraina-vastase sõjaga seotud küberründed.
CERT-EE-le teavitatud intsidendid, millel oli mõju andmete või infosüsteemide konfidentsiaalsusele, terviklusele või käideldavusele.
Automaatseire käigus tuvastatud seadmed Eesti küberruumis, mis on pahavaraga nakatunud. CERT-EE teavitab nakatumistest võrkude omanikke.
Õngitsuslehed moodustavad jätkuvalt kõige suurema osa CERT-EE registreeritud intsidentidest.
Olukord Eesti küberruumis
Sel kuul registreerisime kokku 27 erinevat teenusekatkestust, mis on viimase poole aasta keskmisest veidi kõrgem näitaja. Ida-Viru Keskhaigla veebilehe ivkh.ee töö katkes 4. aprillil alates 18.03 kuni 5. aprillini 16.29. Katkestuse põhjustas tulemüüri plaanilise hoolduse käigus tekkinud rike. Töö taastus pärast tulemüüri taaskäivitamist, mis omakorda põhjustas 10–15 minutilise katkestuse haigla põhiprogrammides ja -protsessides. 19. aprillil ajavahemikul 7.30 kuni 8.00 ei töötanud Smart-ID-ga autentimine ega allkirjastamine. 25. aprillil alates 0.24 kuni 9.09 ei olnud Töötukassa veebileht kättesaadav. Katkestuse põhjustas hooldustööde käigus tekkinud tõrge.
Aprillis nägime taas mitmeid koolide vastu suunatud DDoS ründeid. Nii nagu ka varasemalt, arvame, et taoliste rünnete taga on kooliõpilased, kes ei soovi näiteks kontrolltööd teha. Enamasti toimuvad need koolitundide ajal ja on üsna väikese mõjuga, kuid vahel siiski õnnestub lühikeseks ajaks kooli internetiühenduse kiirust vähendada.
Kuu ei möödunud ilma ettevõtete ja riigiasutuste vastu suunatud ummistusrünneteta. Suuremal osal neist ei olnud mõju, kuid näiteks 18. aprilli hommikul algas ummistusrünne Tallinna Linnavalitsuse veebilehtede tlt.ee, transport.tallinn.ee ja etend.tallinnlt.ee vastu. Rünnaku tõttu polnud kaks viimast lehte ligi kahe tunni jooksul kättesaadavad. 25. aprillil tehti masspäringuid Riigikontrolli veebilehe vastu, mis oli seetõttu ligi poole tunni jooksul kättesaamatu. 26. aprillil rünnati taas veebilehti transport.tallinn.ee ja tpilet.ee lehti, mõlema töö oli lühiajaliselt häiritud.
Jätkusid erinevad pankade nimel saadetud õngitsuskirjad – ja sõnumid. Sel kuul nägime rohkem näiliselt LHV ja SEB pankade nimel saadetud kirju, mis näiteks väitsid et kasutaja pangakonto seadetes on leitud viga ja kutsusid klienti oma isikuandmeid uuendama. Taoliste kirjade ja sõnumite juures on alati link, mis ei vii õigele panga kodulehele, vaid suunab kasutaja petiste loodud õngitsuslehele. Soovitame alati jälgida kas kirjas olev domeen on täht-tähelt sama, mis peaks olema. Samuti hea nipp on salvestada endale panga koduleht veebilehitseja järjehoidjate alla ning panka alati just sealt sisse logida.
Aprillis levisid ka näiliselt Maksu- ja Tollimeti poolt saadetud SMS-sõnumid, milles oli kirjas „Saatsime teile tasumata trahviteate, logige sisse siin: emta.võlts.domeen.net“. Kui kasutaja avas sõnumis oleva lingi, suunati ta õngitsuslehele, milles prooviti isiku panga autentimisandmeid kätte saada.
Tegevused küberturvalisuse parandamisel Eestis
Alates aprillist 2023 pakub RIA enda loodud kübertesti, mis asub paljudele tuttaval Moodle'i platvormil. Uue Kübertesti eesmärk on tõsta ja hoida asutuse töötajate küberturbeteadlikkust. Kübertest on suunatud eelkõige riigiasutustele, sh valitusasutused, põhiseaduslikud institutsioonid ja kohalikud omavalitsused, kuid ootame küberturvalisuse koolituskeskkonda läbima kõiki huvilisi. Kõik Kübertesti teemalised päringud või küsimused, sh täidetud Kübertesti kasutamise taotlused saab edastada aadressile: [email protected].
RIA 2023. aasta esimese kvartaliülevaade võtab kokku viimase kolme kuu tähtsamad kübersündmused Eestis ja maailmas.
21. aprilli hommik tõi häid uudiseid! Tallinnas lõppes 18.–21. aprillil toimunud NATO Cooperative Cyber Defence Centre of Excellence korraldatud küberõppus Locked Shields, kus auväärse teise koha pälvis Eesti-USA ühistiim, kuhu kuulusid ka paljud RIAkad. Eesti-USA ühistiimi juhtis RIA kriitilise informatsiooni infrastruktuuri kaitse osakonna juhataja Raimo Peterson. Locked Shields on ligi 3000 osalisega maailma suurim omataoline küberõppus, mis võimaldab osalejatel kaitsta päris arvutisüsteeme reaalajas toimuvate rünnakute eest ning mängida läbi, kuidas langetada aegkriitilises situatsioonis nii taktikalisi kui ka strateegilisi otsuseid.
RIA uuendas ID-tarkvara! Uue versiooni kõige märkimisväärsem muudatus puudutab dokumendifotot, mida enam rakenduses DigiDoc4 klient ei kuvata. Teise peamise muudatusena lõppeb macOS 10.15 ja Ubuntu 18.04 tugi. Pikemalt saab uue versiooni kohta lugeda ja selle alla laadida veebilehelt https://www.id.ee.
Ülevaate sellest, kuidas riigi infoturve ei ole ainult Tiktoki ja Huawei keelustamine, vaid palju enamat, annab RIA infoturbejuht Martin Paas taskuhäälingus “Kriitiline intsident”. Soovitame kuulata ka selle varasemat osa ettevõtetele suunatud küberpöördest. Kõiki episoode saab kuulata Apple Podcastist, SoundCloudist või Spotifyst.
RIA teaduse ja arenduse koordineerimisosakond korraldas 28. aprillil koostöös kodutütardega noortele küberturbe teemalise laagri. Küberturvalisus on riigikaitse valdkonnas kodanike silmis aina enam silmapaistev teema ning sellest lähtuvalt sündis ka küberturbe laagri idee. Teemadena võeti läbi võrgu skaneerimine, Kali Linux, paroolid ning räsid, turvanõrkuste otsimine ja eetika. Osalejatele näidati praktiliselt küberruumis valitsevaid ohte ja selgitati, kuidas end nende vastu kaitsta.
Rahvusvaheline keskkond
Ühendkuningriigi riigiametit ACRO (UK Criminal Records Office), mis kontrollib UKst lahkuvate inimeste karistustausta, tabas küberrünnak. Seetõttu olid kaks kuud häiritud ACRO veebiteenused. Näiteks oli probleeme viisataotluste lahendamisega, kuna inimese kriminaalset tausta ei saanud sujuvalt enam ACRO kaudu kontrollida ja selleks pidi kasutama e-maili.
Taiwani riistvaratootja Micro-Star International (MSI) kinnitas, et sai pihta küberrünnakuga. MSI disainib ja arendab arvuti riistvara, sh sülearvuteid, kuvareid, emaplaate, graafikakaarte. Ründajate väitel varastasid nad ettevõttelt lähtekoodi, püsivara jm. MSI sõnul polnud ründel märkimisväärset mõju äritegevusele, ent samas rõhutati, et tarkvarauuendusi peaks alla laadima üksnes ettevõtte ametlikult veebilehelt.
Kanadas Ontario osariigis oli küberrünnaku tõttu häiritud haigla töö (Cornwall Community Hospital, CCH). Näiteks olid edasi lükatud plaanilised ja mittekiireloomulised protseduurid. Samuti oli haigla teatel häiritud kasutajate ligipääs terviseandmeid koondavasse portaali. Olukorra lahendamisse olid kaasatud ka välised küberturvalisuse eksperdid.
Jätkusid ka Venemaa Ukraina-vastase sõjaga seotud küberründed. Aasta esimese kolme kuu jooksul on Vene häkkerid intensiivistanud pahatahtlikku kübertegevust Ida-Euroopa energiasektori suunal. Vene riiklike sidemetega küberrühmitused on korraldanud mitu õngitsuskampaaniat, mille peamiseks sihtmärgiks on Ukraina organisatsioonid ja inimesed. Üks aktiivsematest rühmitustest olevat Vene sõjaväeluure GRUga seotud Sandworm (tuntud ka kui Frozenbarents), mille fookuses olevat mh olnud ka Caspian Pipeline Consortium (CPC), mille kontrolli all on üks suurimad gaasitorusid maailmas Kasahstani ja Musta mere vahel.
Euroopa lennujuhtimisagentuur Eurocontrol teatas, et nad olid 19. aprillil kremlimeelsete häkkerite küberrünnakute sihtmärgiks. Ründed mõjutasid agentuuri veebilehte ja veebiteenused, kuid lennundusele mõju puudus. Tõenäoliselt olid rünnete taga Vene häktivistid, mis Eurocontroli ka oma Telegrami kanalil sihtmärgina välja kuulutasid.
Venemaa julgeolekuteenistuse FSB sõnul on NATO riigid alates 2022. aasta algusest korraldanud üle 5000 küberrünnaku Venemaa kriitilise infrastruktuuri pihta. Väidetavalt on rünnakud pärit Ukraina territooriumilt, mida FSB sõnul kasutatakse oma „jälgede peitmiseks“. Samas avaldas Venemaa nn internetivalvur Rostelecom raporti, kus nimetas neli kõige aktiivsemat küberrühmitust Venemaa suunal ja vastuolulisel kombel on kolm nendest hoopis Hiina sidemetega (APT27, APT41, APT10) ning üks Põhja-Koreast (Lazarus).
