Pahalased võtsid sihikule Eesti finantsasutused
25. november 2020, 12:24
/nginx/o/2019/05/14/12164631t1hfa59.jpg)
Eesti küberruumis toimuvat jälgiv ja analüüsiv riigi infosüsteemi amet (RIA) tuvastas oktoobri alguses teenustõkestusrünnaku Eestis tegutseva finantsasutuse vastu.
Sarnased rünnakud tabasid septembris kahte kommertspanka, mille tulemusena olid mõned teenustest häiritud. Sellise käekirjaga rünnakud (väljapressimiskiri, näidisrünnak ja hoiatus, et raha maksmata jätmisel rünnatakse uuesti) toimusid 8. oktoobril taas ühe finantsasutuse vastu, kelle osa teenuseid oli häiritud või katkesid mitme tunni jooksul.
Samal päeval olid häiritud Swedbanki teenused.
Selliseid väljapressimiskirju said Eesti ettevõtted oktoobris veel, kuid enamasti ei kaasnenud nendega enam isegi näidisrünnakut.
Seega võib hinnata, et kõnealused kurjategijad üritavad imiteerida suuri panku rünnanud kurjategijaid, kes omakorda imiteerivad riiklikke kinnisründe ehk APT gruppe. RIA teatel on eemärk jätta endast tõsisem ja ohtlikum mulje.
Möödunud kuul tuvastas RIA 279 küberintsidenti, juhtumite arv kasvas suuresti Emoteti pahavara leviku tõttu, mis pole endiselt raugenud.
Nakatusid hotellide ja omavalitsuste seadmed
Emoteti pahavara peidetakse tavaliste .doc ja .docx failide sisse ning seda levitatakse e-kirja manustes. Viirus nakatab Windowsi operatsioonisüsteemiga seadmeid, kui kasutaja avab dokumendi ja teeb veel ühe kliki, lubades makrod.
Ingliskeelne Word küsib kasutajalt «Enable Editing» ja «Enable Content», eestikeelne «Luba redigeerimine» ja «Luba sisu». Klikkides lubamise nupule, nakatub arvuti Emoteti pahavaraga, kusjuures seadme kasutaja nakatumist ei märka.
Oktoobris nakatusid Emotetiga hotellidele, projekteerimisfirmale, erameditsiinipakkujale ning ka kohalikele omavalitsustele kuuluvad seadmed. Emotetiga nakatumine on ohtlik, sest pahavara võib paigaldada arvutisse uusi viirusi, mis varastavad või krüpteerivad andmeid.
Suurt tähelepanu sai intsident, kus kurjategijad võtsid üle Eestis asuva serveri ning kasutasid seda, et saata ähvarduskirju Ameerika Ühendriikide valijatele. Pahalased pääsesid serverile ligi, sest serveri turvanõrkus oli jäänud paikamata.
Näiliselt tulid need aadressilt, mis viitaks kohalikule äärmusparempoolsele neofašistlikule grupeeringule Proud Boys, kuid metaandmetest selgus, et kirjade saatmiseks kasutati Koolibri kirjastuse serverit Eestis.
See tähendab, et ründajad kasutasid ära Elkdata serveris majutatud Koolibri kodulehe haavatavust, lisades lehele pahatahtliku koodi, mille abil need kirjad välja saata.
Koolibri ja Elkdata tegid intsidendi asjaolude selgitamiseks igakülgset koostööd CERT-EEga. RIA suhtles operatiivselt partneritega USA küberturvalisuse agentuurist CISA. Päev hiljem teatas USA föderaalne juurdlusbüroo, et kirjade taga on Iraani päritolu tegutseja.