01.12.2020, 13:55

FOTOD JA VIDEO | Häkkerid avastasid Eesti e-riigis tohutu turvaaugu – kümnekonnalt asutuselt varastati kokku sadu gigabaite andmeid

Name: FOTOD JA VIDEO | Häkkerid avastasid Eesti e-riigis tohutu turvaaugu – kümnekonnalt asutuselt varastati kokku sadu gigabaite andmeid
Uploaded: 2020-12-01T11:55:25.000Z
Description: Teadmata veebikurjategijad avastasid novembris vähemalt kümne Eesti riigiasutuse veebiserveri ja dokumendihalduse tarkvaras süsteemse turvaprobleemi ja varastasid labast võtet kasutades tohutu koguse salastatuid andmeid.

Ainuüksi MKMi haldusalast varastati 350 GB andmeid
TEHIK: ründed jätkuvad
Häkkerite käes on 9158 terviseameti jälgimise all olnud inimese andmed
Kas tõesti oli Drupal uuendamata ja delikaatsed andmed veebiserveris?

Aivar Pau

aivar.pau@forte.ee

Teadmata veebikurjategijad avastasid novembris vähemalt kümne Eesti riigiasutuse veebiserveri ja dokumendihalduse tarkvaras süsteemse turvaprobleemi ja varastasid labast võtet kasutades tohutu koguse salastatuid andmeid.

Välisministeerium, sotsiaalministeeriumi haldusala asutused, veeteede amet, maanteeamet, lennuamet, tarbijakaitse ja tehnilise järelevalve amet, Eesti geoloogiateenistus - need on tänaseks kindlalt tuvastatud riigiasutused, mida ühendab kõiki asjaolu, et nad kasutavad ühe ja sama tootja tarkvara, milles olev turvanõrkus, tegi kurjategijatele kättesaadavaks serveritel olevad andmed.

„Põhiline kahju on andmeleke. Kõige suurem oht on maha võetud. Nüüd me vaatame, et sellist süsteemset viga tulevikus ei esineks," ütles majandus- ja kommunikatsiooniministeeriumis (MKM) töötav riigi küberturvalisuse juht Raul Rikk.

Rikk ütles Fortele, et käekiri, millega ründeid organiseeriti, ette valmistati ja läbi viidi, on sama. See annab uurijatele aluse uskuda, et tegemist võib olla sama ründajaga.

Riigi Infosüsteemi Ameti (RIA) küberturvalisuse teenistuse juht Lauri Aasmann märkis, et tegemist ei olnud kõrgtehnoloogilise ründega.

„Pigem me näeme, et kasutatud on tööriistasid, mis on internetis avalikult kättesaadaval," tunnistas Aasmann asjaolu, kui lihtne oli riigilt kodanike ja asutuste andmeid varastada. Kurjategija oli pikalt uurinud veebiserverite seadistust ja sai seeläbi ligipääsu infosüsteemidele - sealjuures kasutajate kontodele, isikuandmetele, asutusesiseseks kasutamiseks mõeldud andmetele.

Ta märkis, et RIA on ühendust võtnud juba ka tarkvara tootjaga ja palunud teha oma tootes vastavad muudatused.

Tootja nime keeldus ta täna ütlemast ning kinnitas, et lunarahanõudeid riigile esitatud ei ole.

Mis puudutab MKMi haldusala asutusi, siis Raul Rikki sõnul omastasid kurjategijad umbes 350 GB ulatuses andmeid. Sisaldas see kogus suures osas avalikus dokumendihaldussüsteemis talletatud andmeid, aga tõenäoliselt saadi ligi ka muudele andmetele.

Sotsiaalministeeriumi haldusalas õnnestus kurjategijatel ligi pääseda informatsioonile, mis puudutab 9158 inimest. Tegemist oli nakkushaiguste leviku asjaolude väljaselgitamisega seotud andmetega.

Tervise ja Heaolu Infosüsteemide Keskus (TEHIK) elimineeris ründaja juurdepääsu süsteemidele 8 tunniga. Terviseamet koostöös TEHIKuga saadavad lähipäevil personaalse teavituse inimestele, keda juhtum puudutab.

Välisministeeriumi pressiesindaja Britta Tarvis kinnitas Fortele, et Eesti välispartnerite tundlik informatsioon kurjategijate kätte ei pääsenud.

„RIA tuvastas kolm kuritegelikku rünnet Eesti riigi IT-taristu vastu, millest üks puudutas ka välisministeeriumi haldusala välisveebi www.mfa.ee ja www.vm.ee servereid ja nendes paiknevaid teenuseid. Töökohtade võrku ja sisevõrgus olevaid teenuseid see ei puudutanud. Antud intsidendis kopeeriti avalikelt lehtedelt materjale, mis on nagunii avalikult kättesaadavad. Asutusesiseseks kasutamiseks (AK) mõeldud dokumente ega tundlikke isikuandmeid välisministeeriumist kätte ei saadud," ütles Tarvis.

Aimu sellest, kuidas küberkurjategijad võisid serveritele ligi saada, annab RIA kiri kõigile elutähtsate teenuste osutajatele. Selles juhitakse tähelepanu, et tähelepanu on vaja pöörata järgnevatele nõrkustele veebiserverites (järgneb tsitaat kirjast):

standardrakendustes (nt Drupal) erinevad kriitilised nõrkused, mis on peamiselt põhjustatud vananenud/uuendamata tarkvarast;
mittestandardsete tarkvara puhul on avalikult kättesaadav veebitarkvara kood .git kataloogi kaudu jäetud kättesaadavaks. Lisainfo, miks .git kataloogi ei tasuks kättesaadavana hoida: https://iosentrix.com/blog/git-source-code-disclosure-vulnerability/
veebirakenduses on ebavajalikke admin õigustes kontosid, mis võivad olla lekkinud ning admin õigustes tegevused ei ole IP piiranguga kaitstud;
veebiserverite vähene/ebaturvaline eraldatus ülejäänud infosüsteemist ehk segmenteerimine on puudulik;
veebiserveri andmebaasis andmete hoidmine, mis peaks tegelikult olema hoiustatud infosüsteemi kaitstumates osades.

Keskkriminaalpolitsei alustas kriminaalmenetlust seoses süsteemidele ebaseadusliku ligipääsu hankimisega. Menetlust juhib riigiprokuratuur.

Riigiprokurör Eleliis Rattam selgitas, et rünnakute uurimisel tehakse koostööd välisriikidega ja see on aeganõudev.

"Me oleme tuvastatud juhtlõngu, mille suunas aktiivselt töötame, kuid detailse info avalikustamine selle kohta, mida õiguskaitseasutused on teada saanud, ei ole praegusel hetkel võimalik," täpsustas riigiprokurör Rattam.

RIA-l on praegu olemas esialgne info, kuidas küberrünnakuid toime pandi ning jagas seda avaliku sektori, sealhulgas kohalike omavalitsuste infoturbejuhtide ning elutähtsat teenust osutavate asutuste IT-kogukonnaga.

TEHIKu turvajuht Tõnis Komp märkis täna, et ründekatsed serverite vastu paistavad jätkuvat.

Kommenteeri Loe kommentaare