GRU möllas Eesti ühes rikkamas ettevõttes: sõjaväeluure ekspluateeris Viru Keemia Gruppi

2016. aastal tuvastati nimelt VKG arvutivõrgus mitu korda pahavarale iseloomulikku liiklust. Aasta esimeses pooles tehti seejärel süsteemidele tarkvaraekspertiis, mis tuvastas VKG kontorivõrgu arvutitest tarkvara Mimikatz, mida kasutatakse Windowsi süsteemides identsustõendite (näiteks paroolide, parooliräside jne) kogumiseks. Leiti ka tagauksetarkvara, millega pahavara pidas kontrollserveriga ühendust. Järgnes seire, millega tuvastati veel mitu kahtlast ühendust ning leiti ka sertifikaate, mis sarnanesid tagaukseühenduste puhul kasutatavatega. Sisevõrgu seire rohkem pahavaraühendusi kontrollserveriga ei tuvastanud, samuti ei leitud muid pahavaraga nakatunud servereid.

2016. juunis tuvastati aga taaskord sama ühendus sama juhtserveriga. Seekord õnnestus ühenduse andmete põhjal tuvastada ka ühenduse algatanud arvuti nimi. Selgus, et pahavaraga oli nakatunud SCADA* monitoorimissegmendis paiknev tööjaam, mis pärast kontrolli võrgust eemaldati. Arvuti tarkvaraekspertiisis selgus, et arvutisse oli paigaldatud sama tagauksetarkvara, mis leiti ka varasema kontrolli käigus.

Vene näpud paistavad?

Võrguliiklus ja leitud pahavara viitasid sellele, et tegemist ei olnud juhusliku nakatumise vaid suunatud rünnakuga. Kasutatavat pahavara ja kontrollserverit on seostatud grupeeringuga, mida nimetatakse ametlikumalt APT28 ja kõnekeelsemalt Fancy Bear, mida võiks tõlkida näiteks Efektseks Karuks. USA edukas küberturvalisusettevõte CrowdStrike peab APT28-t sisuliselt GRU ehk Vene sõjaväeluure teenistuses olevaks grupeeringuks. APT28 võib olla seotud ka küberrünnakutega Saksa parlamendi, USA Valge Maja ja NATO vastu.

VKG on küll eraettevõte, ent RIA spetsialistid andsid VKG-le intsidendi lahendamisel nõu ning aitasid neid ka võrguturbearhitektuuri ja seadistuste valikul ning ettevõtte IT-haldusprotseduuride uuendamisel.

* - SCADA tähendab tehniliste protsesside järgimist arvutivõrkude abil, mida kasutatakse näiteks tööstuses.