Salastatud: häkkerid olid Eesti e-riiki rünnates taaskord edukad

Mäletatavasti sai Eesti riigi küberturvalisuse tasemehinnang tõsise hoobi aasta lõpus, kui selgus, et häkkeritel õnnestus möödunud novembris varastada ligi 350 GB jagu andmeid paljudest riigiasutustest. Nende seas olid välisministeerium, sotsiaalministeeriumi haldusala asutused, veeteede amet, maanteeamet, lennuamet, tarbijakaitse ja tehnilise järelevalve amet, Eesti geoloogiateenistus. Häkkerite saagiks langesid ka 9158 Eesti koroonahaige või nende lähikontaktse delikaatsed isikuandmed terviseameti infosüsteemides.

Pärast neid ründeid korraldati suur pressikonverents, avalikustati kõigi ohvriks langenud asutuste nimed, alustati kriminaalmenetlust ja kinnitati, et juhtunust on õppust võetud ning kasutusele võetud infoturbemeetmed hoiavad ära uusi edukaid ründeid.

Paraku viimase osas see nii ei läinud.

Riigi infosüsteemi amet oli sunnitud märtsis taaskord tõdema, on aasta esimestel kuudel taas näinud eelnevatele rünnakutele sarnase käekirjaga rünnakukatseid ning paaril korral on need olnud ka edukad.

„Sarnase käekirja" all mõtleb RIA seda, et ründaja skaneerib avalikult kättesaadavate tööriistadega mõnd veebiserverit, leiab turvanõrkused, laadib üles ründekoodi ja saab niimoodi serveritele autoriseerimata ligipääsu.

„Rünnati ühe ministeeriumi avalikku dokumendiregistrit ning kahe eraettevõtte IT-süsteeme," ütles täna Fortele RIA küberturbeüksuse CERT-EE juht Tõnu Tammer.

Erinevalt eelmisest edukate rünnakute lainest ei avalikustata sel korral aga ohvrite nimesid. Kuigi ka sel korral langesid ründajate saagiks asutuste dokumendiregistrid.

„Täpsemat infot ei ole praegu võimalik anda," tõdes Tammer.

Ta märkis seda, et ettevõtted teavitasid meid kiiresti uue rünnaku kahtlusest ning CERT aitas neil tuvastada nii ründaja kui ka ründevektorid.

„Ettevõtted paikasid turvanõrkused kiirest ning esialgsel hinnangul jäi suurem kahju seekord olemata," viitas Tammer sellele, et kahju oli, aga pole teada, kui suur.

Kõnealustest eraettevõttetest pakub üks pilveteenuseid ja tarkvara paljudele avaliku sektori asutustele – ministeeriumitele ja kohalikele omavalitsuste.

Teine häkkerite ohver pakub avaliku sektori asutustele kaugligipääsu teenuseid.

Häkkeritel õnnestus Eesti e-riigi andmebaasides olevatele tundlikele andmetele ligi pääseda, kuna veebiserveri andmebaasis hoiti andmeid, mida peaks tegelikult hoiustama infosüsteemi kaitstumates osades. Lisaks kasutati standardrakendustes (Drupal) uuendamata tarkvara. Mittestandardse tarkvara puhul oli aga avalikult kättesaadav veebitarkvara kood .git kataloogi kaudu jäetud kättesaadavaks. Veebirakenduses oli aga ebavajalikke administraatori õigustega kontosid, mis võivad olla lekkinud, ja administraatori õigustega tegevus ei ole IP-piiranguga kaitstud.