Mis või kes ründas? IT-sõdurid tulistasid VKG-d tööpäeviti kella 8st 18ni
Riigi Infosüsteemi Ameti küberturbe aastaraamatust selgus, et mullu sattus kriitilise ründe alla Eesti üks varakamaid ettevõtteid, põlevkiviõlitootja Viru Keemia Grupp (VKG).
VKG võrguliiklus ja nende arvutitest leitud pahavara viitasid sellele, et tegemist ei olnud juhusliku nakatumise, vaid suunatud rünnakuga.
Kasutatavat pahavara ja kontrollserverit on seostatud grupeeringuga, mida nimetatakse ametlikumalt APT28 ja kõnekeelsemalt Fancy Bear, mida võiks tõlkida näiteks Efektseks Karuks.
Aga mis siis ikkagi on APT? Riikide poolt lähtuvatest küberohtudest rääkides kasutatakse märksõna APT (Advanced Persistent Threat). APT rünnete all on alates 2006. aastast tavaliselt mõeldud kindlat tüüpi ohvri (näiteks riigiasutused) ründamiseks loodud kõrgetasemelist (Advanced) ründevahendite komplekti, mille abil tungitakse ohvri infosüsteemi ja omandatakse pikaajaline (Persistent) varjatud kontroll seal hoitava ja töödeldava info üle. Tavapäraselt on ründajateks (Threat) isikute organiseeritud grupp, kes tegutseb mõne riikliku eriteenistuse huvides.
APT ründekampaaniaid eristatakse ründeviiside iseloomulike tunnuste kaudu. Küberturbeettevõtte FireEye 2014. aastal avaldatud raportis APT28-ks nimetatud rühmitust seostatakse Venemaa eriteenistustega, täpsemalt GRU-ga (Vene Föderatsiooni kindralstaabi luure peavalitsus). Muu hulgas olid rünneteks kasutatud "tööriistad" vene keelsed ja grupp oli aktiivne tööpäevadel kella 8.00–18.00 Loode-Venemaa ajavööndis.
Tänavu 10. veebruaril avaldas US-CERT põhjaliku ülevaate APT kampaaniast Grizzly Steppe, millega rünnati USA ametiasutusi. APT28 võib olla seotud ka küberrünnakutega Saksa parlamendi, USA Valge Maja ja NATO vastu.
