Venemaaga seotud häkkerirühmitus ründas Soome ettevõtet, tagajärjed on „väga tõsised”

Kui keegi oleks tahtnud reedel Soomeski tegutseva Rootsi kaubamaja Rusta kodulehel oste sooritada, poleks sellest midagi välja tulnud.

Veebilehe ülaosa kattis punane riba, vahendab Helsingin Sanomat.

„Hetkel ei saa Oma lehtede rubriiki sisse logida ega veebis oste sooritada. Töötame selle nimel, et see võimalikult kiiresti lahendada!” oli kirjas punasel ribal.

Rootsikeelsetel lehtedel oli sama riba ja sama teade. „Vi jobbar på en snabb lösning!” oli kirjas (tõlkes: „Töötame kiire lahenduse kallal!”).

Rusta on selles loos nii ohver kui ohvri klient. Rusta veebipood pole neli nädalat töötanud, sest kasutab Soome suure tarkvarafirma Tietoevry teenuseid.

Tietoevry seevastu oli laupäeva, 20. jaanuari öösel küberrünnaku sihtmärgiks. Lunaraha häkkerirühmitus Akira suutis läbi viia lunavararünnaku Tietoevry andmekeskusele Rootsis.

Lunavararünnaku korral lukustab ründaja ettevõtete või avalik-õiguslike isikute (nt haigla) teabe ja nõuab selle vabastamise eest lunaraha. Tavaliselt saadavad väljapressimist ähvardused avaldada kogu teave nn tumedas veebis.

Tegevus on organiseeritud ja viimastel aastatel sagenenud. Sellise tegevuse populaarsus on kasvanud seoses raskesti jälgitavale makseliiklusega, mida võimaldab krüptoraha bitcoin.

Tietoevry andmebaasi murdnud rühmitus Akira on viimastel kuudel Põhjamaid kõvasti rünnanud. Rootsi väljaande Svenska Dasgbladeti andmetel on grupil Venemaaga „selged sidemed”.

Andmekeskuse kaudu langesid ohvriteks arvukad Tietoevry kliendid, lisaks Rustale näiteks Rootsi parlament ja Rootsi omavalitsused. Parlamendi riigikaitsekomisjoni esimees, endine kaitseminister Peter Hultqvist nimetas probleemi SVT-s „äärmiselt tõsiseks” ja „suureks”.

Rootsi väljaanne Dagens Nyheter teatas kolmapäeval, et küberkurjategijatel on õnnestunud hävitada ka andmete varukoopiad, mis on spetsiaalselt mõeldud selliste olukordade eest kaitsmiseks.

Näiteks ütles Rootsi hambaravi ja arstiabi hüvitamise agentuuri TLV kommunikatsioonijuht Dagens Nyheterile, et asutuse andmebaasi ei saa enam taastada rünnakueelsesse olekusse ning kogu teave alates 2016. aastast on kadunud.

Tagajärjed rootslaste rahakotile on käegakatsutavad. TLV teatas juba varem, et lükkab teatud ravimite seadusest tulenevad hinnaalandused mitme kuu võrra edasi, kuna puuduvad vajalikud andmed.

Kuigi kaubamaja Rusta koduleht lubab kiiret lahendust, teeb selle rünnaku erakordseks just see, et sellest kiiresti lahti ei saa.

Helsingin Sanomat küsitles Tietoevry olukorra kohta kaht eksperti, hiljuti F-secure’ist lahkunud Withsecure’i uuringujuhti Mikko Hyppöneni ja Tietoevryt jälgivat Danske Banki analüütikut Sami Sarkamiest.

Mõlema hinnangul on juhtumi puhul eriline tagajärgede pikk kestvus.

„Lõppude lõpuks on see erakordselt kauakestev juhtum,” ütleb Hyppönen.

Kestvust pikendab ründe ulatus ja loomulikult ka see, et Tietoevry ei soovi põhimõttelistel põhjustel kurjategijatele lunaraha maksta.

„See on erakordselt suur süsteem, millele ründaja on saanud ligipääsu. Ohver ei ole ainult üks ettevõte ja selle süsteem, vaid teenusepakkuja, kes pakub teenuseid suurele hulgale ettevõtetele,” ütleb Hyppönen.

Reedel üritas Helsingin Sanomat mitmel korral Rusta esindajatega ühendust saada, et rääkida juba tekitatud kahjust ja võimalikest nõuetest Tietoevry vastu. Kontaktidele ei vastatud.

Tietoevry peab aga valmistuma vähemalt hüvitisenõueteks. Rahaliste nõuete järjekord on ilmselt pikk.

Analüütik Sarkamies ütleb, et Tietoevry neljapäeval välja kuulutatud juhtumiga seotud kulutused ei näita tõenäoliselt kogu tõde.

„Eile teatas ettevõte üllatavalt väikesest mõjust. Mõju müügile paar miljonit eurot ja lisakulutused paar miljonit eurot. See tundub üllatavalt väike, kui Rootsi klientidele on sellest tekkinud nii märkimisväärne mõju,” märgib ta.

Sarkamies tõlgendab, et neljapäeval välja kuulutatud summade puhul arvestati ilmselt vaid otseseid kulusid, näiteks välisabi palkamist, aga kaudseid kulusid üldse mitte.

Võimalike kahjude suurust ja lepingutes sisalduvaid parandusmeetmeid ei ole esialgu võimalik hinnata. Nende vajadus sõltub iga kliendi lepingutest ja poolte kindlustuspoliisidest.

Sel põhjusel on Sarkamies veendunud, et Akira rünnaku lõpptulemus pole sel aastal veel teada. Esialgu püüab Tietoevry koostöös klientidega süsteeme ja andmeid taastada. Alles pärast seda saab hinnata kahju ulatust.

Sarkamies juhib tähelepanu, et veelgi keerulisem on kahju väärtust määrata Rootsi meedias kajastatud juhtumite puhul, kus infot ei suudeta taastada isegi varukoopiatest.

„Kui veebileht nädal aega ei tööta, on kahju suurust lihtne näha. Aga kui ajaloolised andmed kaotsi lähevad, on tekitatud kahju raske hinnata,” sõnab ta.

Juhtum tõstatab ka usaldusväärsuse küsimuse. Tarkvaratööstuses tegutsev ettevõte esineb infoturbe teerajajana.

Hyppöneni sõnul pole ebatavaline, et IT-sektori ettevõtted satuvad lunaraharünnakute sihtmärgiks. Üle maailma on juhtumeid, kus küberkurjategijad on suutnud lunaraha nõuda isegi politseijaoskondadelt.

Tietoevry ei ole avaldanud, kuidas sissemurdmine õnnestus. Hyppönen ütleb üldisel tasandil, et näiteks koroonapandeemia ajal loodud kaugjuurdepääsu serverid on olnud kurjategijate seas populaarsed, kui nad üritavad teabele ligi pääseda.

„Seal võib olla mõni tegemata jäetud tarkvarauuendusega seotud haavatavus,” sõnab ta.

Hyppöneni väitel on Tietoevryt rünnanud Akira üks suurimaid tegijaid selles valdkonnas. Peaaegu kõik suurimad väljapressijad on seotud venekeelse maailmaga, ütleb Hyppönen.

Hyppöneni sõnul on Akirat Venemaaga seostatud, kuna tema kasutataval koodil on sarnasusi hiljuti laiali läinud Conti grupi koodiga. Conti oli kindlasti Venemaaga seotud, kuid lagunes grupi sisemiste erimeelsuste tõttu Venemaa agressioonisõja asjus.

Küberväljapressimise gruppide võimalikest ühendustest riikidega pole Hyppöneni sõnul täpselt räägitud. Vähemalt puuduvad tõendid selle kohta.

Teisalt on Hyppönen näinud viiteid sellele, et Venemaalt tegutsevad küberkurjategijad jäeti Venemaa võimude poolt rahule olla pärast seda, kui Venemaa alustas 2022. aasta veebruaris Ukrainas täiemahulist agressioonisõda.

„Neid [Vene võimud] ei huvita lunavara tegevus seni, kuni ohvrid on väljaspool Venemaad Euroopas või USA-s. Neid ei aeta taga, vaid pigem kaitstakse,” sõnab ta.

Kommentaarid
(Külastatud 4,268 korda, 1 külastust täna)