Põhja-Korea küberluure üritas rünnata interneti kaudu Eesti ametnikke (6)

Kaitsepolitsei peadirektor Arnold Sinisalu ütles täna kaitsepolitsei aastaraamatu tutvustusel, et riikide eriteenistuste jaoks ei ole ületamatu takistus kasutada ära inimeste hoolimatust ja pääseda interneti kaudu sisse veebi vahendusel peetavatele koosolekutele, seega tuleks olla äärmiselt tähelepanelik, kellele koosoleku linke jagatakse ja tasub jälgida, kas netikoosolekul osalevad inimesed on kõik need, kes peavad seal olema.

Kaitsepolitsei kirjutas täna avalikustatud aastaraamatus, et Eesti pole võib-olla kolmandate riikide pidev luuresihtmärk, kuid riigi kasvav rahvusvaheline suhtlus ja positsioon võivad neid rünnakuid kaasa tuua.

Vaevalt kuu pärast Eesti asumist ÜRO julgeolekunõukogu liikmeks 2020. aasta alguses toimusid ÜRO juures töötavate esindajate vastu õngitsuskirjade küberründed. Selle rünnaku taga oli Põhja-Korea küberluureüksus, kelle teadaolevaks sihtmärgiks on just ÜRO julgeolekunõukogu. Samuti jätkusid 2020. aastal Iraanile omistatava, ülikoole sihtmärgiks valiva küberluureüksuse Silent Librarian ründed Eesti ülikoolide vastu.

Kaitsepolitsei täheldas ka riigivõrkude skaneerimist Hiina Rahvavabariigi poolt. Pekingi huvist ja teadlikkusest Eesti suhtes annab mõningast aimu ka 2020. aasta keskel avalikuks tulnud andmetöötlusfirma Zhenhua Data lekkinud andmebaas, mis sisaldas hulgaliselt Eesti ühiskonnas, poliitikas, riigijuhtimises ning muudes olulistes valdkondades tegevate isikute ja nende lähedaste nimesid.

«Arvestades, et lekkinud oli oletuslikult vaid 10 protsenti tegelikust andmebaasist – juba selle hulgas oli mainitud ligi 440 Eesti elanikku ning nende lähedasi –, võib vaid oletada, kui palju nimesid seal tegelikult kirjas on,» märkis kapo.

Eesti on küberluure alaline sihtmärk

Kaitsepolitsei soovitab endale teadvustada, et Eesti on vaenulike riikide küberluure alaline sihtmärk.

«ÜRO Julgeolekunõukogu liikmestaatus tegi meid varemalt Eestit veel mittesihtinud riigi sihtmärgiks ja näitab, kuidas huvipakkuva teema tekkides aktiveerub ka selliste võõrriikide küberluure, keda me varem pole näinud või kelle luurehuvid pole varem Eestiga kattunud. Viiruse levikust tingitud piirangud ja vajadus kodukontorist tööd teha pakkus tõenäoliselt paljude vaenulike riikide küberluurele võimalusi eri suhtlusrakenduste ja meilivahetuse kaudu turvanõrkusi otsida. Oma haavatavused tuleb tuvastada enne ründajaid Küberluures on tavaline sihtmärgiks võetud riikide oluliste võrkude, teenuste ja seadmete skaneerimine, eesmärgiga leida turvahaavatavusi ja auke küberkaitsemüüris. Sellisel viisil leitud nõrkused kasutatakse ära selleks, et pääseda ligi võrkudele ja neis leiduvale teabele. Väikseimgi turvaauk aitab ründajal jala ukse vahele saada ja sõltuvalt ründaja oskustest ning rünnatava võrgu nõrkustest võib kahju olla väga suur. Seda ründemeetodit on kaitsepolitsei näinud nii Venemaa Föderatsiooni kui ka Hiina Rahvavabariigiga seostatavate üksuste poolt,» seisab kaitsepolitsei aastaraamatus.

Küberründed on püsiv oht kõigis Euroopa riikides. Sissemurdmistes on tihti oma roll ka süsteemiadministraatori nigelas töös – vale konfigureerimine, liiga nõrk salasõna või sama salasõna korduskasutus, vead autentimisprotsessis või muu selline.

Näiteks teavitas Norra 2020. a sügisel küberrünnetest oma parlamendi vastu, mida nende julgeolekuteenistus PST4 omistas Venemaa Föderatsiooniga seostatud APT28-le.

Nii nagu Norra,  tuvastas kaitsepolitsei 2020. aasta alguses ka Eestis Venemaale omistatava APT (riiklikke püsivaid rünnakuid, erialakeeles APT ehk advanced persistant threat)  ebaõnnestunud katse pääseda ligi riigikogu arvutivõrgule. Sisse üritati murda läbi Outlooki veebirakenduse. Peale nimetatud ründe on mitmel korral proovitud ligi pääseda ka teiste Eesti riigiasutuste võrkudele ning teabele.

Vaenulike riikide tegevus kübervaldkonnas on püsiva iseloomuga ning kapoei näe seda tulevikus lõppemas. Seetõttu on küberründekatsete tõkestamiseks hädavajalik pidevalt üle kontrollida olulised arvutivõrgud, et võimalikud turvahaavatavused enne ründajaid avastada. Selleks on tarvis, et iga asutus teaks ja tunneks oma süsteeme ning teeks järjepidevalt süsteemide testimisi ja skaneerimisi, kontrolliks ja paigaldaks regulaarselt turvauuendusi ning tagaks andmete logimise pikemaks ajaperioodiks.

Õngitsuskirjad

Vaenulike riikide küberluureüksuste jaoks on endiselt üheks sissepääsuteeks inimlikud nõrkused. Asutuse töötajate hulgast otsitakse välja huvipakkuvad sihtmärgid ja neile inimestele hakatakse lähenema erakasutuse e-posti kontode kaudu. Eelistatuimaks ründemeetodiks on siin õngitsuskirjad, mille tuvastamiseks tuleb olla tähelepanelik ning valvas.

Kapo tõi näiteks hiljutistest riiklikest rünnetest teadaoleva juhtumi. Ründaja oli leidnud huvipakkuva sihtmärgi ning teadis või oletas isiku nime, kellelt see inimene võiks e-kirja oodata. Sihtmärk saigi kirja aadressilt, mis nimekujult oli väga sarnane tegeli-ku e-posti aadressiga. Sellelt fiktiivselt kontolt saatis ründaja tegelikule sihtmärgile aktuaalsel teemal kirja, millele oli lisatud pahavara.

Võõrriikide küberluureüksused teevad üldiselt korralikku eeltööd oma sihtmärkidega ning oskavad neile saadetavatesse õngitsuskirjadesse valida just hetkel päevakohase teema, näiteks koroonaviirusega seonduva. Riiklike ründajate saadetud õngitsuskirjad on koostatud hoolikalt ja muudetud võimalikult täpselt legaalsete kirjade sarnaseks. Seetõttu on tähtis teiste turvameetmete kõrval usaldada enda sisetunnet: kui kirja saades tundub, et see on kummaline või et selle juures on midagi valesti, siis tuleb võtta aega ning kirja elemente nagu saatja andmeid, manuseid ja linke kontrollida.

Kui õngitsuskiri saavutab oma eesmärgi ning alles manuse avamise, lingil klikkimise või oma kasutajatunnuse ning paroolide sisestamise järel mõistetakse kirja tegelikku olemust, ka siis tuleb sellest oma asutuse teabeturbe töötajaid teavitada – nii on võimalik takistada suurema kahju tekitamist.

Küberründed ja häkkimised üksikute kuritegudena ei ole kaitsepolitseiameti fookuses, kapo ülesanne on tuvastada ja tõrjuda riiklikke püsivaid rünnakuid (APT). Kui praegusel ajal koroonapandeemia on sulgenud füüsilised riigipiirid ning raskendanud sellega inimluure tegevust, siis küberruumis tegutsevad võõrriikide küberluureüksused endiselt intensiivselt, otsides võimalust leida arvutivõrkude ja nende kasutajate kaudu juurdepääs Eesti julgeolekule olulisele teabele.