Category Archives: küberturvalisus

Tarneahelaründed: võimalik mõju ja kuidas end kaitsta

Kõige suurema majandusliku mõjuga NotPetya-nimeline rünne teostati 2017. aastal, mille põhjustas kompromiteeritud raamatupidamistarkvara. Petya lunavaraga nakatunud ostukeskus Kharkyvis.

Taust

Viimastel aastatel on üha enam toimunud tarneahelaründeid, mille tagajärjel saadakse sihtmärkide võrkudele ja infosüsteemidele ligipääs ühise IT-teenusepakkuja kaudu. Oletame, et sama IT-teenusepakkuja tarkvara kasutavad nii advokaadibüroo, toidukaupluste kett kui ka ehitusettevõte. Selle asemel, et neid ettevõtteid eraldi rünnata, võib olla lihtsam kompromiteerida see tarkvara, mida nad kõik kasutavad ning selle kaudu organisatsioonide süsteemidele korraga ligi pääseda. Tarneahelaründed võivad avaldada mõju nii süsteemide käideldavusele, terviklikkusele kui ka konfidentsiaalsusele ja toovad sageli kaasa nii finants- kui ka mainekahju. Kasutades kolmanda osapoole tarkvara või riistvara, tuleb paratamatult arvestada tarneahela turvalisuse riskidega.

Lähiminevikus on toimunud mitmeid kaalukaid tarneahelarünnakuid. Kõige suurema majandusliku mõjuga NotPetya-nimeline rünne teostati 2017. aastal, mille põhjustas kompromiteeritud raamatupidamistarkvara. Rünnak oli esialgu suunatud Ukraina vastu, kuid levis kiiresti üle kogu maailma. Ründe taga oli Venemaa Föderatsiooni välissõjaväeluure küberrühmitus ning see tekitas kokku 10 miljardi USA dollari ulatuses kahju. Suurfirmadest olid ründest mõjutatud teiste seas Taani laevanduskompanii Maersk, USA farmaatsiafirma Merck, Saksa logistikaettevõte DHL ja Prantsuse ehitusettevõte Saint-Gobain.

2020. aasta detsembris sooritati ülemaailmse mõjuga tarneahelarünnak USA ettevõtte Solarwindsi Orion-nimelise tarkvara[1] vastu. Rünnakut on nimetatud ka IT-maailma Pearl Harboriks. Pahavara levitati tarkvarauuenduse kaudu, mille tuhanded Orioni kasutajad pahaaimamatult endale alla laadisid. Rünnak mõjutas kuni 18 000 sihtmärgi IT-taristut. Nende sihtmärkide hulka kuulusid ka USA valitsusasutused (Pentagon, sisejulgeolekuministeerium, välisministeerium, energeetikaministeerium ja rahandusministeerium) ning suurettevõtted nagu MicrosoftIntel ning Cisco. Rünnaku taga oli Venemaa Föderatsiooni välisluurega seotud küberrühmitus.

2021. aasta juulis tehti tarkvarafirma Kaseya vastu lunavararünnak, mida seostatakse Venemaal tegutseva küberrühmitusega REvil. See mõjutas ligi 1500 ettevõtet 17 riigist, mis kasutasid Kaseya pilvepõhist lahendust IT-süsteemide kaughalduseks. Rünnaku üheks ohvriks oli näiteks ka COOPi kauplusekett Rootsis, mis pidi sulgema ligi 500 poodi, sest nende arveldussüsteemid ei töötanud [2].

Euroopa küberagentuuri ENISA analüüsi[3] kohaselt avastati 2020. aasta jaanuarist kuni 2021. aasta juulini 24 tarneahelarünnakut. 50% juhtudest olid rünnakute taga riiklikud küberrühmitused. Tõenäoliselt on tarneahelarünnete arv tõusuteel, sest nende potentsiaalne mõjuulatus on tihti lai, muutes ründevektori ärakasutamise pahalastele ahvatlevaks.

Tarneahela turvalisuse teema olulisust kirjeldab ka tõik, et selle jaoks on loodud Euroopa Komisjonis vastav töögrupp, kus osalevad paljud liikmesriigid, nende hulgas ka Eesti. Rahvusvahelisel tasandil on samuti loodud mitmeid tarneahela turvalisusega seotud dokumente, näiteks eelpool viidatud ENISA raport ja USA riikliku standardite ja tehnoloogia instituudi NIST (National Institute of Standards and Technology) ning USA valitsuse küber- ja teabetaristu turvalisuse agentuuri CISA (Cybersecurity and Infrastructure Security Agency) koostöös valminud dokument.

Millised on erinevad viisid tarneahelarünnakute läbiviimiseks?

  • Kesksete tarkvarauuenduste kaudu süsteemide kompromiteerimine. Paljude seadmete ja tarkvarade tootjad pakuvad oma klientidele võimalust uuendada tooteid automaatselt. Sageli pakutakse uuendusi läbi kesksete serverite. Kui ründajal õnnestub kompromiteerida süsteem, mis uuenduste jagamisega tegeleb, annab see talle võimaluse manipuleerida klientidele jagatavate uuendustega ja seeläbi kompromiteerida ka klientide süsteemid. Sellist ründetüüpi kasutati NotPetyarünnakus 2017. aastal. 
  • Tarkvarakoodi usaldusväärsuse ja terviklikkuse kinnitamiseks mõeldud sertifikaatide kuritarvitamine. Legitiimsete programmide terviklikkuse ja usaldusväärsuse tõestamiseks mõeldud sertifikaatide varastamise korral on ründajal võimalik jätta mulje, et pahavara näol on tegu usaldusväärse programmiga. 2022. aasta märtsis tabas videokaartide tootjat NVIDIA küberrünnak, mille tagajärjel õnnestus kurjategijatel varastada ka kaks ettevõtte programmide usaldusväärsuse ja terviklikkuse kinnitamiseks kasutatud sertifikaati.[4] Selle abil on võimalik pahalasel jätta ohvri Windowsi operatsioonisüsteemile mulje, et pahavara näol on tegu NVIDIA draiveritega ning seeläbi lihtsamalt ohvrite masinates seda käivitada[5].  
  • Avaliku lähtekoodihoidla kompromiteerimine. Repositoorium ehk hoidla on keskkond, mille kaudu on võimalik näiteks koodimuudatusi ülesse või alla laadida. Ründajal on võimalik lähtekoodihoidla kompromiteerida ja sinna lisada pahaloomuline koodijupp. Kõik, kes selle muudetud koodiga tarkvara endale alla laevad, võivad nakatuda pahavaraga. Ründajaks võib olla nii pahaloomuliste kavatsustega tarkvaraarendaja kui ka kolmas osapool, kes on saanud pearepositooriumile ligipääsu. Näiteks 2020. aastal avastas GitHubi turvatiim, et GitHubi kasutavad 26 avatud lähtekoodiga tarkvaraprojekti olid kompromiteeritud. Projektide koodid sisaldasid Octopus Scanneri nimelist pahavara, mis võimaldas ründajatel tarkvara allalaadijate süsteemi paigutada tagaukse[6].
  • Pahaloomulise komponendi lisamine riistvarale. Lisaks tarkvaraga seotud tarneahelarünnakutele oleks teoorias võimalik sooritada rünne ka riistvara abil. Kuigi selle kohta puuduvad hetkel ametlikult kinnitatud elulised näited, on mitmed uurijad leidnud, et pahaloomulise mooduli lisamine riistvara komponendile rünnaku läbiviimiseks on teostatav. Näiteks õnnestus ühel Rootsi uurijal edukalt ühildada pahaloomuline mikrokiip ühe võrguseadme emaplaadiga, mille abil oli tal võimalik luua seadme süsteemi uus kõrgendatud õigustega kasutaja [7]. Mikrokiibiga pääses ta ligi võrguseadme konfiguratsiooniseadetele, mille abil oleks tal olnud võimalik tekitada seadmele kaugligipääs, eemaldada seadme turvameetmed või uurida seadmega seotud logisid.

Mõju Eestis

Eesti organisatsioonid ei ole jäänud tarneahelarünnakutest puutumata, kuid seni on rünnakute mõju ulatus olnud siiski suhteliselt väike. 

2017. aastal jõudis NotPetya rünnaku mõju Eesti ettevõteteni, kuna Prantsuse tööstusgruppi Saint-Gobaini kuulusid mitu Eesti ettevõtet. Ehituse ABC sulges oma kauplused rünnaku tõttu umbes nädalaks. Lisaks olid mõjutatud ka klaasitootja GLASSOLUTIONS Baltiklaas ning uuringufirma Kantar Emor [8]. Klaasitootja kuulub samuti Saint-Gobaini gruppi ning tehase arvuteid ei olnud võimalik ründe tagajärjel kasutada. Kantar Emor sulges enda arvutisüsteemid ennetavalt, kuid teadaolevalt nende süsteeme ei krüpteeritud [9].

Venemaa agressiooni tõttu Ukrainas on küberrünnakute ja sealhulgas ka tarneahelarünnakute oht Eestis tavapärasest suurem. Esiteks tõdeti aprillis avaldatud Microsofti raportis, et juba 2021. aasta keskpaigaks olid võtnud Venemaaga seotud küberrühmitused sihikule teenusepakkujad Ukrainas ja mujal maailmas, et tagada edasine juurdepääs mitte ainult Ukraina IT-süsteemidele, vaid ka NATO liikmesriikide süsteemidele laiemalt [10]. Rünnak Viasati KA-SAT võrgusüsteemi pihta 24. veebruaril mõjutas kümnete tuhandete ettevõtte klientide internetiühendust nii Ukrainas kui ka mujal Euroopas[11].  

Teiseks kasutatakse väliseid teenusepakkujaid nii Eestis kui ka mujal maailmas üha rohkem, sest see on kuluefektiivsem. Seega ei sõltu Eesti organisatsioonide küberturvalisus paraku ainult nende enda süsteemidest vaid ka välistest teenusepakkujatest. Üheks tarneahelarünnakute potentsiaalse kasvu võimalikuks põhjuseks on ka asjaolu, et sihtmärkideks valitud organisatsioonide infosüsteemide turvameetmed on liiga heal tasemel ja neid on keeruline otse rünnata. Seega analüüsitakse ründe planeerimisel väliseid teenusepakkujaid, kelle süsteemide kaudu õnnestuks seatud pahaloomulised eesmärgid saavutada. 

Kolmandaks on potentsiaalselt võimalik saavutada tarneahelarünnakuga palju suuremat mõju võrreldes sellega, kui rünnata sihtmärki otse. Näiteks oleks võimalik tarneahelarünnakuga krüpteerida lisaks teenusepakkuja süsteemidele ka klientide süsteemid. See tekitab ründajale palju laiaulatuslikuma mõjupositsiooni, mida tihti sihtmärkide survestamiseks saab ära kasutada.  See tähendab seda, et kui ründaja näiteks ohvriga läbirääkimisi peab, siis saab ta viidata, et on krüpteerinud ka mitmete teenusepakkuja klientide süsteemid ning seeläbi mõjutada teenusepakkujat lunaraha maksma. 

Nõuanded

  1. Soovitame organisatsioonidel läbi mõelda, kuidas hallata logisid ja monitoorida oma võrke nii, et sissemurdmise ja muu pahaloomulise tegevuse puhul jääks sellest märk maha. Erinevaid ründeid on keeruline uurida, kui puuduvad logid ja tõestusmaterjal. Logisid soovitame minimaalselt säilitada vähemalt ühe aasta.
  2. Jagage erinevaid õiguseid ja ligipääse lähtuvalt vähima õiguse printsiibist. See tähendab, et tuleb kaardistada täpselt, millised õigused ja ligipääsud on kasutajale või programmile töö tegemiseks vajalikud ning anda õiguseid üksnes lähtuvalt sellest (mitte rohkem).
  3. Võrk tuleks segmenteerida. Erinevate eesmärkidega teenused ja seadmed peaksid asuma erinevates võrkudes või tsoonides ning nende ligipääsud üksteisele peavad olema piiratud, lähtudes vähima õiguse printsiibist. Soovitame lisainformatsiooni saamiseks tutvuda Eesti infoturbestandardi peatükiga “NET.1.1: Võrgu arhitektuur ja lahendus” siin.
  4. Võimalusel veenduge selles, et lepingupartnerite turvaauditid on tehtud ning nendes on kaetud organisatsiooni jaoks olulised valdkonnad. Selle tagamiseks tuleks võimalusel sõlmida leping, milles oleksid eelnimetatud punktid kajastatud. 
  5. Pöörake tähelepanu tarneahela turvalisusega seotud riskihaldusele: dokumenteerige teenusepakkujad ja määratlege, millised riskid võivad kaasneda kolmanda osapoole tarkvara või riistvara kasutamisega.
  6. Määrake toodete ja teenuste turbenõuded ning kajastage need kahepoolses lepingus. 
  7. Kontrollige, kas lepingus sätestatud küberturbenõuetest peetakse kinni ja tehke kindlaks, kuidas teenusepakkuja intsidente, haavatavusi, turvapaikasid ja turvanõudeid käsitleb.
  8. Riskide vähendamiseks soovitame tutvuda Eesti infoturbestandardi (E-ITS) riskihaldusjuhendiga (siin) kui ka standardi rakendamisega laiemalt.

[1] Orion on IT-taristu haldus- ja monitoorimistarkvara

[2] https://www.bbc.com/news/technology-57707530

[3] https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks

[4] https://cyware.com/news/nvidias-code-signing-certificates-stolen-and-abused-in-attacks-3cc710e1

[5] https://blog.malwarebytes.com/awareness/2022/03/stolen-nvidia-certificates-used-to-sign-malware-heres-what-to-do/

[6] https://www.techtarget.com/searchsecurity/news/252483808/Supply-chain-attack-hits-26-open-source-projects-on-GitHub

[7] https://www.wired.com/story/plant-spy-chips-hardware-supermicro-cheap-proof-of-concept/

[8] https://blog.ria.ee/petya-voi-notpetya/

[9] https://www.err.ee/604539/rahvusvahelise-kuberrunnaku-tottu-suleti-koik-ehituse-abc-poed

[10] https://blogs.microsoft.com/on-the-issues/2022/04/27/hybrid-war-ukraine-russia-cyberattacks/

[11] https://www.viasat.com/about/newsroom/blog/ka-sat-network-cyber-attack-overview/

Suuremahuline õngitsuskampaania sihib Eesti ettevõtteid

12.05.2022

Viimastel päevadel on mitmed ettevõtted teatanud RIA-le, et nad saanud oma koostööpartneritelt e-kirju, mis viivad peale klõpsates lõngitsuslehele. E-kiri saadetakse välja ehtsalt meiliaadressilt. See tähendab, et koostööpartneri meilikonto on kompromiteeritud ehk kurjategijate kontrolli all ja seda kasutatakse õngitsuskirjade saatmiseks. Õngitsuse esmane eesmärk on saada kätte töötajate kasutajatunnused ja paroolid, et nende abil uusi kontosid üle võtta ja järjest uusi õngitsusi saata ning levida. CERT-EE-le teadaolevat sai üks suur Eesti ettevõte taolisi õngitsusi kümnekonnalt koostööpartnerilt, kellest ainuüksi ühe kaudu oli juba läinud liikvele tuhatkond õngitsuskirja. Nendest lõviosa ei saavuta oma eesmärki, aga piisab vaid mõnest õngeminejast, et kurikaelad saaks kiiresti oma haaret laiendada.

Kuidas õngitsust ellu viiakse?

  1. Koostööpartneri meiliaadressilt tuleb kiri, mis teavitab, et saatja on saajaga jaganud faili

Vajutades Open nupule, suunatakse kirja saaja legitiimsele Adobe leheküljele, millelt avaneb järgnev vaade

Kui vajutad Access Document, suunatakse lõplikule õngitsuslehele, mis palub end sisse logida

Sisestades oma kasutajatunnuse ja parooli, liiguvad need automaatselt kurjategijatele, kes võtavad konto enda kontrolli alla ja saadavad sealsetele kontaktidele sadu uusi analoogseid õngitsusmeile. Nii on võimalik lühikese aja jooksul tekitada endale võrgustik üle võetud meilikontodest, mille kaudu juba tõsisemaid rünnakuid sooritada.

Seda tüüpi õngitsused on edukad, kuna kasutatakse tegelikke meiliaadresse ja legitiimseid keskkondi. Sestap ei ole selle õngitsuslaine saajatel ilmselgeid ohumärke lihtne leida. CERT-EE soovitab kahtlustäratava kirja saajatel käituda järgmiselt:

  1. Mõtle rahulikult, kas sa ootad kirja saatjalt mõne faili jagamist. Igaks juhuks küsi koostööpartnerilt üle, näiteks telefoni teel, kas ta päriselt ka saatis selle e-kirja.
  2. Kahtluse korral soovitame kirja edastada cert@cert.ee. CERT-EE aitab tuvastada, kas tegemist on pahaloomulise kirjaga või mitte.

Kaks videovalvekaamerate kriitilist turvanõrkust ohustavad kaamerate kasutajaid

Nimetus:  CVE-2021-33044
Turvanõrkuse riskiskoor: 9.8/10 [1]

Nimetus: CVE-2021-33045
Turvanõrkuse riskiskoor: 9.8/10 [2]


Taust

Viimastel aastatel on mitmetes maailma meediaväljannetes kajastatud küberintsidente, mis viidi ellu kasutades kurjategijate kontrolli all olevaid IoT- (Internet of Things) seadmeid, sh videovalvekaameraid[1] [2]. IoT-seadmed on väiksemad internetti ühendatud seadmed nagu näiteks kaamerad, nutilambid, nutitelerid, kõlarid, termostaadid jms [3]. Selliseid nutikaid lahendusi kasutatakse üha rohkem[4]. Sageli on need mitmete turvanõrkuste tõttu ahvatlevaks sihtmärgiks küberründajatele.

2021. aasta sügisel avalikustati Dahua videovalvekaameraid mõjutavad kriitilised turvanõrkused CVE-2021-33044 ja CVE-2021-33045. Need võimaldavad ründajal parooli teadmata haavatavate kaamerate haldusliidesesse lihtsalt ligi pääseda. Nõrkuste ärakasutamiseks on ründajale vaja, et haavatava seadme haldamiseks mõeldud keskkond oleks internetist kättesaadav või et tulemüüri taga oleva seadme haldusliidesele oleks tehtud pordisuunamine. Pahalane saab sellisel juhul haavatava seadme haldusliidese kompromiteerida ja kasutada seda ära vastavalt enda eesmärkidele. Muuhulgas on tal võimalik jälgida kompromiteeritud kaamera videopilti, koguda selle abil tundlikku informatsiooni (paroole, ärisaladusi vms), kasutada kogutud informatsiooni väljapressimiseks või liita kompromiteeritud seade robotvõrgustikuga, mille abil panustab seade omaniku teadmata enda ressurssi teenusetõkestusrünnete sooritamiseks teiste sihtmärkide vastu.  

Mõju Eestis

2022. aasta 10. mai seisuga on Riigi Infosüsteemi Ameti analüüsi tulemusel Eesti küberruumis ligi poolteist tuhat Dahua seadet, mis on internetist nähtavad. CERT-EE tuvastas, et ligi 13% seadmetest on endiselt potentsiaalselt vähemalt ühe turvanõrkuse vastu haavatavad. CERT-EE on teavitused võimalike haavatavate seadmete kohta edastanud vastavatele osapooltele, et nõrkused paigataks. Seni ei ole CERT-EEle teada ühtegi kuritarvitamise juhtumit. 

Turvanõrkuste abiga on ründajal potentsiaalselt võimalik haavatavad seadmed üle võtta ja kasutada neid ülalnimetatud pahaloomuliste tegevuste sooritamiseks. Arvestades, et avalikult on kättesaadavad erinevad tööriistad nõrkuste ärakasutamiseks ja nende kasutamine on suhteliselt lihtne, kujutavad need haavatavused potentsiaalselt ohtu mõjutatud seadmete omanikele ja ka teistele kasutajatele (kompromiteeritud seadmeid saab kasutada näiteks teenusetõkestusrünnete sooritamiseks). Lisaks sellele võib intsidendi korral tegu olla ka GDPRi nõuete rikkumisega. Tulenevalt menetluse käigust võib rikkumise korral seadme omanikku oodata rahatrahv.

Turvanõrkuste olemus

Mõlema turvanõrkuse puhul on kasutusviis ja saavutatav tulemus sarnane. Turvanõrkuste ärakasutamiseks tuleb ründajal saata haavatava seadme suunas spetsiaalne andmepakett. Piltlikult öeldes saab ründaja kasutada võtit, mis kõik talle nähtavad haavatavad videokaamerate haldusliideste „uksed“ avab.  

CVE-2021-33044 turvanõrkuse ärakasutamine on tehtud seejuures väga lihtsaks, kuna selle jaoks on avalikult kättesaadav brasuerilaiendus. Ründajale piisab vaid külastada haavatava Dahua videokaamera haldusliidese sisselogimislehekülge ja klikata brauseris vastava laienduse nupule. Selle tagajärjel on võimalik liidesesse ilma autentimata ligi pääseda. CVE-2021-33045 haavatavuse puhul ei ole sellist laiendust veebilehitsejatele loodud, kuid ründamiseks piisab samuti spetsiifilise andmepaketi saatmisest haavatava seadme suunas. 

Millised seadmed on haavatavad?

2021. aasta 15. novembri seisuga on tootja hinnangul vähemalt ühe turvanõrkuse vastu haavatavaid seadmeid ja tarkvaraversioone palju. Tootja on haavatavad seadmed ja nende versioonid koos paikadega välja toonud järgneval veebileheküljel: https://www.dahuasecurity.com/support/cybersecurity/details/957

Vastumeetmed

Haavatavate seadmete haldajatel tuleb lähtuda tootjapoolsest informatsioonist ja uuendada seadmete tarkvara. Tootja juhendi, kuidas Dahua seadme mudelit ja versiooni tuvastada, leiate siit. Samuti tuleks lisaks seadmete uuendamisele piirata haldusliidese kättesaadavust, rakendades IP-põhist piirangut (nt ACL reeglitega) või kasutades VPNi. 

RIA nõuanded:

  1. Veenduda, et haldusliidese kasutajad ei kasutaks nõrku, korduvkasutatavaid või vaikimisi tootja poolt seatud paroole. Kuigi parooli tugevus ei aita siin ohuhinnangus mainitud konkreetsete turvanõrkuste vastu, kompromiteeritakse sageli videovalvekaameraid ja teisi IoT-seadmeid just seetõttu, et haldusliidese kasutajad kasutavad nõrku, korduvkasutatavaid või vaikimisi seatud paroole, mida on ründajal kerge ära arvata. 
  2. Võimalusel luua kaamera haldamiseks unikaalse kasutajanime ja tugeva parooliga uus kasutaja ning deaktiveerida vaikimisi seatud administraatori konto. See vähendab tõenäosust, et jõurünnete jooksul kasutatavad levinud kasutajatunnused (nt. admin/admin, administrator/admin) toimiksid. 
  3. Soovitame kaaluda võrgu segmenteerimist, kui see on võimalik ja seda ei ole juba tehtud. Selle meetme abil vähendatakse riski, et kaamera/kaamerate kompromiteerimise korral oleks ründajal potentsiaalselt võimalik mõjutada ka teisi seadmeid.
  4. Võimalusel rakendada kaamerale/kaameratele automaatne uuendamine. Kui see ei ole võimalik, siis tuleks luua kindel uuendamisprotseduur (vähemalt kord kuus veenduda, kas tootja on väljastanud uuendusi – kui jah, siis need installeerida).
  5. Teatud juhtudel võib intsident põhjustada isikuandmetega seotud rikkumise. Sel puhul tuleb sellest teavitada ka Andmekaitse Inspektsiooni (täpsem infomatsioon siit). Isikuandmetega seotud rikkumine tähendab andmete ebaseaduslikku või juhuslikku hävimist, kättesaamatuks muutumist või lubamatut juurdepääsu ja avalikuks saamist. 
  6. Intsidendi kahtluse korral soovitame ühendust võtta CERT-EE-ga, kirjutades nende meiliaadressile cert@cert.ee
  7. Soovitame tutvuda ka Andmekaitse Inspektsiooni teabelehega, mis käsitleb nõudeid videovalve korraldajale.

[1] https://duo.com/decipher/mirai-based-botnet-infects-vulnerable-surveillance-cameras

[2] https://firedome.io/blog/smart-camera-manufacturer-recall-mirai-iot-malware-attack/

[3] https://www.bleepingcomputer.com/news/security/honeypot-experiment-reveals-what-hackers-want-from-iot-devices/

[4] https://dataprot.net/statistics/iot-statistics/

[5] https://www.bleepingcomputer.com/news/security/honeypot-experiment-reveals-what-hackers-want-from-iot-devices/

[6] https://dataprot.net/statistics/iot-statistics/