- Suure intsidentide arvu põhjustasid 183 õngitsuslehe teavitust, üldjuhul oli tegemist kullerifirmade nimel saadetud SMS-sõnumitega.
- Kirjutasime ohuhinnangu e-poodidest, mis on haavatavad Magento platvormi turvanõrkuse vastu. Samuti juhtisime tähelepanu IPv6 internetiprototokolli rakendamise vajalikkusele.
- Šveitsi tehnoloogiahiid ABB sai pihta lunavaraga. Mitu USA linna pidid lunavararünnete tagajärgedega tegelema. Jätkusid ka küberründed seoses Venemaa agressiooniga Ukrainas.
CERT-EE-le teavitatud intsidendid, millel oli mõju andmete või infosüsteemide konfidentsiaalsusele, terviklusele või käideldavusele.
Automaatseire käigus tuvastatud seadmed Eesti küberruumis, mis on pahavaraga nakatunud. CERT-EE teavitab nakatumistest võrkude omanikke.
Õngitsuslehed moodustavad jätkuvalt kõige suurema osa CERT-EE registreeritud intsidentidest.
Olukord Eesti küberruumis
Viljandi Haigla internetiühendus katkes 2. mail ajavahemikul 16.00 kuni 22.30. Rohkem kui kuus tundi kestnud katkestuse põhjuseks oli võrguseadme korralise hoolduse käigus tehtud seadistusviga. Katkestuse ajal ei toiminud haigla sisevõrk, koduleht ega VoIP telefonid, kuid patsientide ravi toimus edasi. 8. mail ajavahemikul 8.48 kuni 9.48 väldanud Riigipilve riistvararike mõjutas mitmeid asutusi, nende hulgas näiteks Majandus-ja Kommunikatsiooniministeeriumit, Tervisekassat, Tervise- ja Heaolu Infosüsteemide Keskust, Riigi Infosüsteemi Ametit, Statistikaametit ja Transpordiametit. 18. maist alates 23.37 kuni 19. maini 7.35 ei olnud võimalik külastada Tervisekassa veebilehte. Katkestuse põhjustas uuenduse käigus tekkinud konfiguratsiooniviga. 22. mail ajavahemikul 18.32 kuni 19.16 oli häireid paljudes Siseministeeriumi infotehnoloogia- ja arenduskeskuse (SMIT) pakutavates teenustes, mille põhjustas võrgukaardiga seotud rike.
Möödunud aasta oktoobris teavitasime paarisadat domeeniomanikku nende halduses olevatest haavatavustega veebilehtedest ja soovitasime esimesel võimalusel rakendada uuendused. Kahjuks sattus nüüd üks teavituse saajatest, kes ei olnud tarkvara uuendanud, küberrünnaku ohvriks. 15. mail viidi läbi küberrünnak tuntud tehnoloogiatootja veebipoe vastu, mille käigus paigaldati lehele pahaloomuline skript.
Eesmärk oli ilmselt klientide pangaandmete varastamine, ent skript ei käivitunud korralikult ning rünnakule saadi jälile. Jätkuvalt soovitame kasutatavat tarkvara regulaarselt uuendada, kuna turvaaukude leidmine ja ära kasutamine on üks häkkerite põhitegevusi.
Sel kuul lekkis ühe Eesti kõrgkooli endiste ja praeguste tudengite isikuandmeid ja paroole sisaldav andmebaas. Lekkinud andmete hulgas olid tudengite ja vilistlaste nimed, kasutajanimed, e-posti aadressid, paroolid, IP-aadressid, passinumbrid jm. Esialgsel hinnangul kasutati andmete varastamiseks paikamata tarkvara haavatavust. Siinkohal saame jällegi tõdeda, kui oluline on turvapaikade regulaarne rakendamine!
Jätkuvalt kaotavad Eesti inimesed tuhandeid eurosid erinevate õngitsuste tõttu. Näiteks saadeti mais tavapärasest rohkem erinevate postiteenuste pakkujate nimel õngitsussõnumeid. Rohkelt teavitati CERT-EEd Omniva nimel saadetud sõnumist, milles kirjutati, et „Teie pakk ootab kohaletoimetamist, palun tasuge tollimaksud". Sõnumis oli link, mis viis kurjategijate loodud andmeid koguvale lehele. Kahjuks on taoliste sõnumite õnge läinud paljud inimesed ja kahjusummad võivad kohati olla päris suured, ületades mais kohati kahe tuhande euro piiri.
Tegevused küberturvalisuse parandamisel Eestis
Millised on infoturbe eesmärgid? Kuidas Eesti Infoturbestandard (E-ITS) aitab asutuse ärieesmärkide saavutamisel? Millal hakata infoturvet planeerima? Eelmise kuu alguses avalikustatud „Infoturbestandardi (E-ITS) ABC” e-kursus vastab just nendele aga ka paljudele teistele olulistele küsimustele. Kursuse saavad kõik soovijad Digiriigi Akadeemias läbi teha. Kursuse läbimine võtab kuni 60 minutit ning on kõigile huvilistele tasuta.
Mais toimusid ka Eesti infoturbestandardi E-ITS kaasamisseminarid, kus rääkisime infoturbe rakendamisest RIA näitel, Infoturbe mõõtmisest, esimestest audititest, töövahenditest E-ITS rakendamisel ja õigusloomest.
Kirjutasime ohuhinnangu e-poodidest, mis on haavatavad Magento platvormi turvanõrkuse vastu. Paljud e-poed kasutavad siiani tarkvara aegunud versiooni, milles avastati juba möödunud sügisel turvanõrkused. Vaatamata sellele, et CERT-EE teavitas mitutsada e-poe haldajat, on paljud siiski jätnud turvapaigad rakendamata. Ohuhinnangus kirjutame, mida võib haavatavuse kuritarvitamine kaasa tuua (vt ka eelpool kirjeldatud juhtum veebipoega) ja anname konkreetsed soovitused Magento platvormi kasutajatele.
Juhtisime tähelepanu IPv6 internetiprototokolli rakendamise vajalikkusele. Dokumendis kirjutame mis IPv6 on, miks seda peaks kasutama ja kuidas alustada kasutuselevõtuga. Eestis on viimase kümne aastaga tehtud IPv6 rakendamisel küll edusamme, kuid töö selle kasutusele võtmisel peab kiirenema, kuna see on konkurentsivõimelise digiriigi säilitamise vaatepunktist oluline. Paljude uute tehnoloogiate kasutuselevõtt eeldab IPv6 olemasolu ja selle kasutamine suurendab vastupidavust küberrünnetele, lisaks on see ka odavam ja efektiivsem.
Sulgeme alates 1. novembrist 2023 erakirjavahetuseks loodud e-posti teenuse, mille tulemusel ei ole enam võimalik kasutada [email protected] ja ettevõ[email protected] aadressi. Otsus ei puuduta ametlikke e-posti aadresse [email protected] ja [email protected], kuhu saavad teateid saata ainult riigiasutused. Inimesed, kes on @eesti.ee lõpuga nimelisi e-posti aadresse kasutanud ja neid enda kontaktina jaganud, peaksid hiljemalt 31. oktoobril oma kontaktandmed teenusepakkujate juures uuendama. Rohkem infot teenuse sulgemise kohta leiab eesti.ee veebilehelt.
Rahvusvaheline keskkond
Möödunud kuul tekitasid küberkurjategijad kahju ettevõtetes üle maailma. Näiteks sai Šveitsi tehnoloogiahiiglane ABB pihta lunavaraga ja väidetavalt olid ründe tõttu häiritud ettevõtte äritoimingud, mõned tehased ja mitmed seadmed.
Ka mitu USA linna pidid mais lunavararünnete tagajärgedega tegelema. Näiteks juba mitmendat kuud olid mõjutatud Oaklandi linna pea kõik IT-süsteemid, v.a. politsei, hädaabiliin ja päästeteenused. Sama lunavara-rühmitus ründas ka Lowelli linna, mistõttu olid mais rivist väljas linna serverid, telefonid ja mitmed teised süsteemid, ühtlasi lekitati linnast varastatud andmeid. Lunavaraga sai pihta ka Dallase linn Texases.
Jätkusid ka ründed seoses Venemaa agressiooniga Ukrainas. CERT-UA teatel saatsid Vene sõjaväeluure häkkerid Ukraina valitsusasutustele õngitsuskirju, milles suunati inimesi paigaldama oma seadmesse Windowsi uuendust, mis tegelikult oli pahavara.
Lisaks saadeti ühe Ukraina ministeeriumi töötajatele õngitsuskirju, mis tulid kompromiteeritud e-maililt Tadžikistani saatkonnast Ukrainas. E-kirjas kutsuti justkui saatkonnaga kohtumisele, kuid tegelik eesmärk oli sihtmärki pahatahtlike programmidega nakatada. Eraldi kampaaniaga sihiti ka Ida-Ukraina organisatsioone, kasutades peibutusteemana viiteid Luhanski ja Donetski separatistlikele regioonidele. Õngitsuste eesmärk on sihtmärkide seadmetest infot varastada, sh teha kuvatõmmiseid, salvestada klahvivajutusi, laadida alla mikrofonisalvestusi jm.
Lisaks teatas CERT-UA, et Vene sõjaväeluure häkkerid Sandwormi rühmitusest kompromiteerisid Ukraina riigiasutuste töötajate VPN kasutajad, et pääseda ligi riigi kriitilistele võrkudele.
Ent tegevus toimus ka Venemaa suunal. USA valitsus teatas, et neutraliseeris Venemaa julgeolekuteenistuse FSB kasutatava nuhkvara nimega Snake, mille erinevaid variante on kasutatud juba ligi 20 aastat, sihtides sellega üksuseid Euroopas, NATOga seotud riike ja hiljuti ka Lähis-Ida riike. Ühtlasi olevat Ukraina häktivistid rünnanud Vene tehnoloogiaarenduslinnakut haldavat agentuuri Skolkovo Foundation (ehk Vene nn Silicon Valley).
Ka Hiina küberohustajate tegevus oli mais päevakorral. Microsofti teatel sihib Hiina riiklik küberrühmitus nimega Volt Tyhphoon on alates 2021. aasta keskpaigast aktiivselt sihtinud USA kriitilist infrastruktuuri, sh Guami saart, kus asub mitu sõjaväebaasi. Lisaks teatas küberturvalisuse ettevõte Trellix, et kasvanud pinged Hiina ja Taiwani vahel väljenduvad ka küberruumis, sest viimastel kuudel on Hiina küberründed Taiwani suunal intensiivistunud.
