- Jätkusid teenusetõkestusrünnete lained riigiasutuste ja ettevõtete pihta.
- Nägime senisest enam Smart-ID kontoandmete õngitsusi.
- Avaldasime RIA küberturvalisuse aastaraamatu ja eelmise aasta viimase kvartali ülevaate trendidest ja tähelepanekutest küberruumis.
- Rahvusvahelisel tasandil toimus mitu suure mõjuga lunavararünnakut ja jätkusid küberründed seoses Venemaa agressiooniga Ukrainas.
CERT-EE-le teavitatud intsidendid, millel oli mõju andmete või infosüsteemide konfidentsiaalsusele, terviklusele või käideldavusele.
Automaatseire käigus tuvastatud seadmed Eesti küberruumis, mis on pahavaraga nakatunud. CERT-EE teavitab nakatumistest võrkude omanikke.
Õngitsuslehed moodustavad jätkuvalt kõige suurema osa CERT-EE registreeritud intsidentidest.
Olukord Eesti küberruumis
Aasta algas taas mitmete teenusekatkestustega. Haigekassa teenuste kasutamisega oli 2., 4. ja 15. jaanuaril probleeme kokku viiel korral. Kõigi intsidentide ajal ei olnud võimalik kasutada Haigekassa põhiteenuseid (näiteks digiretsept ja ravikindlustatuse kontroll) üle x-tee. 2. jaanuaril põhjustas katkestuse tõrge sotsiaalteenuste ja -toetuste andmeregistris STAR. 4. jaanuaril oli probleemide põhjuseks andmelao rakenduse ressursipuudus. Lisaks oli 17. jaanuaril probleeme tervise infosüsteemi päringute teenindamisel. 2. jaanuaril ajavahemikul 17.50 kuni 20.08 polnud tulemüüri tõrgete tõttu kättesaadav Põllumajanduse Registrite ja Informatsiooni Ameti (PRIA) iseteenindus epria.pria.ee.
Jätkusid teenusetõkestusründed, mis on viimase aasta jooksul saanud igapäevasteks. Sihtmärkideks olid nii riigiasutused kui ka eraettevõtted, nende hulgas näiteks finantssektor ja kindlustuspakkujad. Esimene suurem rünnete laine toimus 15. jaanuaril, kui ummistusrünnetega püüti häirida eesti.ee, valitsus.ee, kaitseministeerium.ee, fin.ee, president.ee, just.ee, riigikogu.ee, mkm.ee, eestipank.ee ja terviseamet.ee tööd. Tänu kaitsemeetmele ei olnud neil rünnetel mõju. 19. ja 20. jaanuaril teostati DDoS ründeid Välisministeeriumi nimeserverite vastu, mis põhjustasid lühiajalisi häireid nende teenustes.
Teine suurem rünnete laine toimus 23. jaanuarist kuni 27. jaanuarini, mil rünnati riigiasutusi ja erinevaid finants- ning kindlustusettevõtteid.
Kõige enam registreerisime õngitsuslehtedega seotud intsidente. Suurem osa neist olid erinevate Eesti pankade ja e-posti teenuste pakkujate (nt online.ee) võltslehed, kuid nägime ka logistikaettevõtete nime all tehtud õngitsusi. Lisaks esines senisest enam Smart-ID kasutajaandmete õngitsusi, mis suunavad kasutaja näiliselt Smart-ID portaali, kuid tegelikult kuulub domeen kurjategijatele. Õngitsuslehed ja -kirjad on aina usutavamalt koostatud ja visuaalse välimuse põhjal ei saagi aru, et tegemist on võltslehega. Üldjuhul selgub tõde, kui domeeni aadressile tähelepanu pöörata. Kui see ei ole täht-tähelt sama, mis peaks olema, siis suure tõenäosusega ei ole tegemist legitiimse veebilehega.
Jaanuaris registreeris CERT-EE meeskond 176 Politsei- ja Piirivalveameti nimel saadetud õngitsuskirja ja usutavasti on see vaid jäämäe veepealne tipp. Taolisi kirju saadetakse massiliselt juba suvest saadik ja tõenäoliselt see trend jätkub ka edaspidi. Kirjutasime neist petukirjadest ka 2022. aasta kolmandas kvartaliülevaates. Soovitame kirjaga kaasas olevat manust mitte avada ja kiri kustutada.
RIA tegevused küberturvalisuse parandamisel Eestis
Saime valmis RIA küberturvalisuse aastaraamatu, kus kirjutame eelmisel aastal toimunud laiaulatuslikest ummistusrünnetest. Lisaks anname ülevaate e-petturite tegevusest, lunavararünnakutest, turvanõrkustest ja sellest, mis toimus rahvusvahelises küberuumis, sh kirjutame Venemaa agressioonist Ukrainas. Kõigest olulisest kübermaailmas toimuvast saad täpsemalt lugeda siit.
Jaanuaris avaldasime ülevaate 2022. aasta IV kvartali trendidest ja tähelepanekutest küberruumis. Eelmise aasta viimast kolme kuud iseloomustavad suured õngitsuslained, veebikestad, mis ohustavad kaitsetuid veebilehti, märkimisväärne hulk ummistusründeid ning Eestis toimunud unikaalne küberõppus. Täpsemat ülevaadet loe RIA koduleheküljelt rubriigist olukord küberruumis.
Avaldasime ohuhinnangu DDoS lainete jätkumisest, kus kirjutasime ummistusrünnete sihtmärkidest, rünnete iseloomust ja mõjust ning andsime soovitused teenuste ja veebilehtede omanikele.
Infot on alati hea saada allikale võimalikult lähedalt. Sestap oligi meil rõõm rääkida 26. jaanuaril peaminister Kaja Kallasele otse, millega Riigi Infosüsteemi Amet tegeleb. Esmalt andis juhtkond ülevaate kümnetest olulistest teenustest, mis RIA õlul ja vastutada on, edasi suunduti maja peale väikesele ringkäigule. Peaminister kuulis CERT-EE tiimi ekspertidelt, kuidas ja mida nad seiravad Eesti küberruumis ning mismoodi lahendatakse küberintsidente. Seejärel kohtus ta analüüsi- ja ennetusosakonna analüütikutega, kes kirjutavad ka tema lauale jõudvaid küberruumi ohuhinnanguid ja ülevaateid. Juttu tuli ka valimistest ja nende toimumiseks hädavajalike infosüsteemide arendamistest. Edasi liiguti Riigivõrgu osakonda. Sealne tiim vastutab selle eest, et Eesti riigiasutustel oleks olemas andmeside ja internet.
Eesti valmistub avalikustama riiklikku mobiilirakendust mRIIK, mis teeb riigiga suhtlemise ja teenuste kättesaadavuse veelgi paremaks. Alates veebruarist on kõigil huvilistel võimalik panustada Eesti mRiigi arendusse ning registreerida end rakenduse testijaks.
Järgmised Riigikogu valimised toimuvad juba 5. märtsil 2023. Elektrooniline hääletamine algab 27. veebruaril ning kestab 4. märtsini 2023. RIA valimiste valdkonna juhataja Alo Einla ja valmisteenistuse juht Arne Koitmäe annavad taskuhäälingus “Kriitiline intsident” ülevaate sellest, kuidas tagatakse valimiste turvalisus ja kuidas valmistutakse e-valimisteks. Kuula 13.01.2023 ilmunud osa Apple Podcastist, SoundCloud'ist või Spotifyst.
Rahvusvaheline olukord
Jaanuaris jätkusid küberründed seoses Venemaa agressiooniga Ukrainas. Poola julgeolekuteenistus teatas, et Poola on olnud pidevate venemeelsete häkkerite küberrünnete sihtmärgiks. Sihtmärkide seas on nii riigiteenused, eraettevõtted kui ka meediaväljaanded. Eriliselt on ohus strateegilised sektorid nagu energia ja relvatööstus.
Vene häktivistid võtsid teenusetõkestusrünnetega (DDoS) sihikule Saksa veebilehed. Rünnete ajendiks oli Berliini otsus saata Ukrainale tanke. Ründe tõttu olid osad veebilehed mõnda aega kättesaamatud, kuid Saksa küberagentuuri BSI teatel oli mõju väike. Kremlimeelsete häktivistide teatel ummistasid nad näiteks riigiasutuste, pankade ja lennujaamade veebilehti.
Samuti võtsid Kremlimeelsed häktivistid teenusetõkestusrünnetega sihikule haiglate veebilehed Euroopas ja USAs. Näiteks kukkus maha Hollandis Groningeni linnas asuva UMCG haigla veebileht, samuti oli tõrkeid HUSi ehk Helsingi ja Uusimaa haiglapiirkonna veebilehega. Lisaks kuulutasid nad sihtmärgina välja mitmed USA tervishoiu-organisatsioonid ja haiglad, millest mitme veebilehed olid ka rivist väljas. Rünnete ajendiks taaskord kõnealuste riikide toetus Ukrainale sõjas Venemaa vastu.
Jaanuaris toimus ka mitu mõjuga lunavararünnakut. Näiteks Briti postiettevõte Royal Mail sai pihta lunavararündega, mis häiris tõsiselt nende igapäevast tööd. Põhiliselt oli mõjutatud eksporditeenused ja seetõttu polnud ajutiselt võimalik kaupu välismaale teele panna. Väidetavalt olevat ründe taga LockBiti lunavaraoperatsioon.
Lisaks tabas üht suurimat merendusevaldkonna tarkvara pakkuvat ettevõtet DNV lunavararünnak. Rünne toimus 7. jaanuaril ja ettevõte lülitas seepeale välja ShipManageri süsteemiga seotud serverid. Muu tarkvara ja andmed olevat DNV teatel puutumata jäänud. Ründest olid mõjutatud umbes tuhat alust.
Taani pankade veebilehti tabasid ummistusründed. Rünnete sihtmärgiks oli keskpanga veebileht, mille tööd rünnak ei mõjutanud, ja ettevõte Bankdata, mis pakub finantssektorile IT-lahendusi. Bankdata ründe tõttu oli seitsme erapanga veebilehed lühiajaliselt rivist väljas. Ummistusrünnete taga olevat jälle venemeelsed häktivistid, kes on taolisi ründeid korraldanud mitme NATO riigi ja Ukraina pihta.
Globaalse haardega telekomiettevõte T-Mobile teatas, et neilt on varastatud 37 miljoni kliendi andmed. Lekkisid näiteks kliendi nimi, arveldamise aadress, e-mail, telefoninumber, sünnipäev. Küberohustaja ei pääsenud ligi tundlikule infole nagu isikukood, dokumendinumber ja paroolid.
