VKG võis langeda Vene luure ohvriks

Eelmisel aastal tuvastati Viru Keemia Grupi (VKG) arvutivõrgus pahavarale iseloomulik liiklus, seisab RIA raportis. Tarkvaraekspertiisi tulemusena leiti VKG kontorivõrgu arvutitest tarkvara Mimikatz, mida kasutatakse Windowsi süsteemides identsustõendite (näiteks paroolide, parooliräside jms) kogumiseks. Ühtlasi leiti ka n-ö tagauksetarkvara, mida kasutati kontrollserveriga ühenduse pidamiseks.

Järgnenud seirega tuvastati mitu kahtlast ühendust ning leiti ka sertifikaate, mis sarnanesid tagaukseühenduse puhul kasutatavatega. Sisevõrgu seire rohkem (pahavara) ühendusi kontrollserveriga ei tuvastanud, samuti ei leitud muid pahavaraga nakatunud seadmeid.

2016. aasta juunis tuvastati taas võrguühendus sama kontrollserveriga. Sel korral õnnestus ühenduse andmete põhjal tuvastada ka ühenduse algatanud arvuti nimi. Kontrollimisel selgus, et pahavaraga oli nakatunud SCADA monitoorimissegmendis paiknev tööjaam, mis seejärel võrgust eemaldati. Arvuti tarkvaraekspertiisis selgus, et arvutisse oli paigaldatud sama tagauksetarkvara, mis leiti varasemalt kontorivõrgu arvutitest.

Nii võrguliiklus kui ka arvutitest leitud pahavara näidised viitasid sellele, et tegemist oli suunatud ründega. Kasutatavat pahavara ja kontrollserverit on seostatud APT28-ks nimetatud küberspionaaži grupeeringuga.

Eesti on sihtmärk

RIA kirjutab raportis selle aasta prognoosiks, et Eesti on jätkuvalt Venemaa mõjutustegevuse sihtmärk. Venemaa kasutab RIA teatel küberoperatsioone käsikäes traditsioonilise mõjutustegevusega vastavalt tehnoloogilisele võimekusele, doktriinile ja välispoliitilistele võimalustele. 2017. aastal eesseisvate oluliste sündmustega seoses tuleb valmis olla küberrünnete hoogustumiseks.

Juhtum andmesideteenuse osutaja tuumikvõrgus

Raportis seisab, et veel üks kriitilise iseloomuga intsident toimus oktoobris ühe Eesti suurima andmesideteenuse osutaja tuumikvõrgus. 5. oktoobri varahommikul hakkas osa ettevõtja ülekandevõrgu toimimist tagavatest tuumikvõrgu seadmetest teadmata põhjustel iseeneslikult taaskäivituma. Esmane logide analüüs näitas, et vahetult enne taaskäivitumist raporteerisid seadmed veateadet. 

Selle veateatega pöördus ettevõtja seadmete tootjafirma poole, kes kinnitas teenusetõkestusründe toimumist, mis halvas seadmete käideldavuse. RIA ja sideettevõtja koostöös koguti ründepakettide salvestused ning edastati need seadmete tootjale; saadud paketid aitasid tootjal välja töötada tarkvarauuendused kriitilise vea parandamiseks. Tarkvarauuenduse väljatöötamiseni suutis ettevõtja edukalt rakendada alternatiivseid meetmeid, et vältida intsidendi kordumist.

RIA hinnangul ei saa toimunut pidada tingimata suunatud ründeks. Analoogseid juhtumeid ilma välise sekkumiseta on erinevate tootjate võrguseadmetega varemgi olnud. Praeguse informatsiooni põhjal on tõenäoline, et tegemist oli seadme tarkvaraveaga, mis lihtsalt teatud tüüpi pakette protsessida ei suutnud. On ka võimalik, et seda tüüpi skaneeringuga otsiti Eesti võrkudest SIP/VoIP seadmeid, millega VoIP kõnepettusi teha, kuid seejuures tekitati Eesti ühele suuremale internetiteenust pakkuvale ettevõttele mastaapne käideldavuse intsident. Ettevõtja operatiivne tegutsemine ja tulemuslik reageerimine aitas vältida ohtlikku tuumikvõrgu „nullpäeva” haavatavuse levikut.

Raportis on veel kirjas, et eelmisel aastal käsitles RIA infoturbeintsidentide käsitlemise osakond CERT-EE Eesti arvuti- ja andmesidevõrkudes 9135 juhtumit. Neist küberturbeintsidendina – see tähendab juhtumina, millega kaasnes otsene mõju teabe või süsteemide konfidentsiaalsusele,terviklusele või kättesaadavusele – tuvastati 2248 juhtumit ehk ligikaudu neljandik.

RIAni jõuab teave küberturbejuhtumitest kahel viisil: neist teavitavad partnerasutused või puudutatud isikud, või tuvastab CERT-EE need seire käigus kui võimaliku küberintsidendi.

Ühtegi kriitilist küberintsidenti, millega oleks kaasnenud oht inimeste elule ja tervisele, aasta jooksul ei registreeritud. Küll oli aasta vältel 348 kõrge prioriteediga intsidenti, mis mõjutasid riigile olulise teenuse või lehe toimimist. Siia alla loetakse ka katkestused elutähtsa teenuse osutaja infosüsteemi toimimises või ründed nende vastu. Kõrge prioriteediga juhtumitele reageerib RIA otsekohe, sest intsident vajab lahendamist või rünne peatamist vahel minutite jooksul.