29. märts 2017

Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Eelmisel aastal tuvastati Viru Keemia Grupi (VKG) arvutivõrgus pahavarale iseloomulik liiklus, seisab RIA raportis. Tarkvaraekspertiisi tulemusena leiti VKG kontorivõrgu arvutitest tarkvara Mimikatz, mida kasutatakse Windowsi süsteemides identsustõendite (näiteks paroolide, parooliräside jms) kogumiseks. Ühtlasi leiti ka n-ö tagauksetarkvara, mida kasutati kontrollserveriga ühenduse pidamiseks, kirjutab Äripäev. 

Järgnenud seirega tuvastati mitu kahtlast ühendust ning leiti ka sertifikaate, mis sarnanesid tagaukseühenduse puhul kasutatavatega. Sisevõrgu seire rohkem (pahavara) ühendusi kontrollserveriga ei tuvastanud, samuti ei leitud muid pahavaraga nakatunud seadmeid.

2016. aasta juunis tuvastati taas võrguühendus sama kontrollserveriga. Sel korral õnnestus ühenduse andmete põhjal tuvastada ka ühenduse algatanud arvuti nimi. Kontrollimisel selgus, et pahavaraga oli nakatunud SCADA monitoorimissegmendis paiknev tööjaam, mis seejärel võrgust eemaldati. Arvuti tarkvaraekspertiisis selgus, et arvutisse oli paigaldatud sama tagauksetarkvara, mis leiti varasemalt kontorivõrgu arvutitest.

Nii võrguliiklus kui ka arvutitest leitud pahavara näidised viitasid sellele, et tegemist oli suunatud ründega. Kasutatavat pahavara ja kontrollserverit on seostatud APT28-ks nimetatud küberspionaaži grupeeringuga.

Eesti on sihtmärk

RIA kirjutab raportis selle aasta prognoosiks, et Eesti on jätkuvalt Venemaa mõjutustegevuse sihtmärk. Venemaa kasutab RIA teatel küberoperatsioone käsikäes traditsioonilise mõjutustegevusega vastavalt tehnoloogilisele võimekusele, doktriinile ja välispoliitilistele võimalustele. 2017. aastal eesseisvate oluliste sündmustega seoses tuleb valmis olla küberrünnete hoogustumiseks.

Juhtum andmesideteenuse osutaja tuumikvõrgus

Raportis seisab, et veel üks kriitilise iseloomuga intsident toimus oktoobris ühe Eesti suurima andmesideteenuse osutaja tuumikvõrgus. 5. oktoobri varahommikul hakkas osa ettevõtja ülekandevõrgu toimimist tagavatest tuumikvõrgu seadmetest teadmata põhjustel iseeneslikult taaskäivituma. Esmane logide analüüs näitas, et vahetult enne taaskäivitumist raporteerisid seadmed veateadet. 

Selle veateatega pöördus ettevõtja seadmete tootjafirma poole, kes kinnitas teenusetõkestusründe toimumist, mis halvas seadmete käideldavuse. RIA ja sideettevõtja koostöös koguti ründepakettide salvestused ning edastati need seadmete tootjale; saadud paketid aitasid tootjal välja töötada tarkvarauuendused kriitilise vea parandamiseks. Tarkvarauuenduse väljatöötamiseni suutis ettevõtja edukalt rakendada alternatiivseid meetmeid, et vältida intsidendi kordumist.

RIA hinnangul ei saa toimunut pidada tingimata suunatud ründeks. Analoogseid juhtumeid ilma välise sekkumiseta on erinevate tootjate võrguseadmetega varemgi olnud. Praeguse informatsiooni põhjal on tõenäoline, et tegemist oli seadme tarkvaraveaga, mis lihtsalt teatud tüüpi pakette protsessida ei suutnud. On ka võimalik, et seda tüüpi skaneeringuga otsiti Eesti võrkudest SIP/VoIP seadmeid, millega VoIP kõnepettusi teha, kuid seejuures tekitati Eesti ühele suuremale internetiteenust pakkuvale ettevõttele mastaapne käideldavuse intsident. Ettevõtja operatiivne tegutsemine ja tulemuslik reageerimine aitas vältida ohtlikku tuumikvõrgu „nullpäeva” haavatavuse levikut.

Loe pikemalt Äripäevast. 

Autor: Äripäev.ee