Kuidas kineetiline konflikt kandub üle küberruumi
Arvestades ühiskondade järjest suuremat põimingut tehnoloogiaga ja uute tehisaru lahenduste lisandumist on küberturvalisusse investeerimine vältimatu.
Oktoobri alguses taas lahvatanud Iisraeli ja Hamasi konflikt näitab sarnaselt Venemaa kallaletungiga Ukrainale, et tänapäeval kaasneb kineetilise sõjaga pea alati küberruumis pulbitsev vastasseis, kus kasutatakse küberrelvi. Nende relvadega on pihta saanud ka Eesti ja paljud teised riigid, kes konfliktis küll otseselt ei osale, kuid on üht või teist vaenupoolt toetanud või kasutavad tema tehnoloogiat.
Lähis-Idas ägenenud vastasseisu on sekkunud küberjõud mõlemalt poolelt. Kokku on konfliktiga olnud eri hinnangutel seotud juba mitukümmend häktivistide rühmitust, sealhulgas vähemalt üks grupeering, kes on varem ka Eestit Ukraina-sõbralikkuse eest rünnanud. Enamasti on tegemist üht vaenupoolt toetavate küberaktivistidega, kes näitavad oma meelsust küberrünnakuid korraldades. Samal ajal on selle konflikti käigus tulnud teateid ka vähemalt ühest riiklike sidemetega rühmitusest, keda seostatakse Iraaniga.1
Seni on kübertandril nähtud DDoS-rünnakuid, mitut sorti pahavara, sh hävitusvara, ja näotustatud veebilehti, kuid on tulnud teateid ka küberrünnakutega kaasnenud andmeleketest ning on üritatud rünnata kriitilist taristut.
DDoS-rünnakud
DDoS-rünnakute (distributed denial-of-service attacks) ehk hajutatud ummistusrünnete käigus saadetakse suurelt hulgalt seadmetelt väljavalitud veebilehe või -teenuse suunas päringuid, et selle tavapärast tööd häirida. Piltlikult võib olukorda võrrelda restoraniga, mille uksel seisab uksehoidja. Kui korraga tuleb liiga palju kliente, ei suuda uksehoidja neid enam vastu võtta ja alates sellest hetkest ei ole kellelgi enam võimalik restorani siseneda.
Kui Hamas 7. oktoobri hommikul alustas Iisraeli linnade ründamisega, siis juba umbes 12 minutit hiljem tuvastati DDoS-rünnakud veebilehtede vastu, kus pakutakse Iisraeli tsiviilisikutele raketirünnakute kohta kriitilist teavet ja hoiatusi.2 DDoS-ründed meedia- ja tarkvaraettevõtete, pankade, valitsusasutuste ja teiste tähtsate organisatsioonide vastu jätkusid ka hilisematel tundidel ja päevadel.
Paljud häktivistid eelistavadki küberkonfliktides ründevahendina DDoS-rünnakuid, kuna neid on suhteliselt lihtne teha ja nende mõju võib olla vägagi nähtav.3 Sama käitumismustrit on paljud analüütikud, sh Riigi Infosüsteemi Amet, näinud ka Ukraina sõja puhul.
Ukraina toetamise tõttu on Eesti olnud alates eelmise aasta kevadest regulaarselt häktivistide ummistusrünnete all, millest enamik on küll tänu vastumeetmetele jäänud mõjuta. Samal ajal ei ole Iisraeli ja Hamasi konflikt Eesti küberruumi vastu tehtud DDoS-rünnakute hulka seni panustanud. Küll aga on sealsest vastasseisust ajendatuna korraldatud ummistusründeid rahvusvaheliste ettevõtete ja teiste riikide vastu.4 Seda ei ole võimalik täielikult välistada, et mõne poliitilise sõnavõtu või otsuse tagajärjel paisatakse ajutiselt DDoS-rünnakute ründeteravik ka Eesti teenuste vastu, kuid selle ohu realiseerumise võimalus on praegu vähene.
Pahavara
Peale DDoS-rünnakute on küberrühmituste arsenalis tavaliselt mitut sorti pahavarad. Erandiks ei ole ka antud konflikt. Sõltuvalt selle kasutaja eesmärkidest võivad pahavara funktsioonid varieeruda. Üldiselt üritatakse pahavarade abil süsteemi sisse tungida, ligipääs säilitada, andmeid varastada või süsteemid krüpteerida ja need kasutuskõlbmatuks muuta.
Iisraeli-Hamasi konfliktis on tuvastatud pahavarade valik lai. Üheks kõneainet pakkunud näiteks on pahavara nimetusega SysJoker, mille uuendatud versiooniga sihiti oktoobris Iisraeli kriitiliselt tähtsaid tööstusharusid. Pahavara oli kirjutatud võrreldes algse versiooniga teises programmeerimiskeeles ja analüütikute hinnangul võis selle taga olla soov jääda turbesüsteemidele märkamatuks. Pahavara abil oli võimalik nakatatud süsteemidest teavet koguda ja sellesse laadida täiendavaid pahaloomulisi programme.5
Samuti on leitud märke hävitusvara kasutamise kohta. See on üks pahavara alamliike, mille kasutamine on alates sõjategevuse laienemisest Ukrainas mullu talvel rohkem tähelepanu pälvinud. Hävitusvara eesmärgiks, nagu nimetuski viitab, on süsteemid täielikult kasutuskõlbmatuks muuta. Näiteks kirjeldati oktoobri lõpus avaldatud raportis, kuidas Hamasiga seotud küberrühmitus üritas tungida Iisraeli ettevõtetesse ja teha nende taristu katki. Rünnaku puhul ei täheldatud lunarahanõuete esitamist ega juhtserverite kasutamist, mis võis viidata sellele, et tegu oli andmete hävitamiseks mõeldud hävitusvaraga.6
Pahavara on üritatud inimeste seadmetesse paigaldada ka legitiimseid rakendusi jäljendades. Näiteks avastati 13. oktoobril pahaloomulised nutiseadmetele mõeldud rakendused, mis imiteerisid Iisraeli riiklikku raketihoiatusrakendust, mille abil saab rahvas teavitusi lähenevatest õhurünnakutest. Nende rakenduste paigaldamise korral oleksid ründajad saanud nakatatud seadmetest kätte mitut sorti teavet: mobiiltelefoni kontaktide loendi, SMS-sõnumid, telefonikõnede ajaloo, paigaldatud rakenduste nimekirja ning teavet telefoni ja SIM-kaardi kohta.7
Ukrainas toimuva sõja ja Lähis-Ida konflikti taustal on küberruumis üha rohkem näha hävitusvara juurutamise katseid, mida kasutatakse paralleelselt kineetiliste vahenditega, selleks et saavutada püstitatud sõjalisi eesmärke. Iisraeli-Hamasi konflikti intensiivistudes võib hävitusvara kasutamise sagedus ka kasvada, eriti kui kineetilised vahendid ei ole edukad.
Andmelekked ja näotustamised
Alates sõja algusest oktoobris on suhtluskanalites postitatud väiteid, et Iisraeli küberruumiga seotud veebilehti on õnnestunud näotustada. See tähendab, et ründajad on kasutanud ära veebilehe turvanõrkusi, näiteks vananenud tarkvara, et leht nakatada ja kuvada seal teade eduka häkkimise kohta. Tihti on teade poliitilise sõnumiga.
Iisraeli-Hamasi konflikti esimestel päevadel häiriti ummistusrünnaku või näotustamise abil rohkem kui 100 Iisraeli veebilehte.8 Samuti on tulnud teateid, et mõnel juhul on õnnestunud küberründajatel ka andmeid varastada. Enamik andmelekete juhtumeid on osutunud siiski vanade lekete või avalikult kättesaadavate andmete uuesti postitamiseks.9
Hoolimata andmelekkeid puudutavate teadete ümberlükkamisest on paar juhtumit siiski meedias rohkem kõneainet pakkunud. Esimese intsidendi puhul teatas Hamasi toetav rühmitus, et neil õnnestus kohe konflikti alguses 8. oktoobril tungida ühe Iisraeli erakolledži süsteemidesse, millest olevat varastatud töötajate ja tudengite andmeid ning kolledžiga seotud videovalvesüsteemide jäädvustatud kaadreid.10 Detsembri alguses kajastati aga rahvusvahelises meedias väiteid, et Hamasi toetaval rühmitusel olevat õnnestunud kätte saada 500 GB mahus andmeid ühest Iisraeli haiglast. Iisraeli tervishoiuministeerium tegi novembri lõpus avalduse, et haigla arvutisüsteemides tuvastati tõesti küberintsident, kuid see suudeti ohjeldada ja mõju puudus. 18. detsembril teatas Iisraeli riiklik küberkaitsekeskus, et rünnaku taga olid Iraan ja Hezbollah ja et nende eesmärk oli haigla tööd häirida, mis lõpuks ebaõnnestus. Siiski õnnestus ründajatel haigla süsteemidest kätte saada andmeid, kuigi varastatud andmete hulka teates ei täpsustatud.11,12
Andmelekete avalikustamine ja veebilehtede näotustamine on kujunenud üheks laiemalt kasutatavaks häktivistide tegevusvormiks. Sama käitumismustrit on RIA näinud tänavu venemeelsete häktivistide puhul. See tegevus võib olla osa infooperatsioonidest, mille eesmärk on sihitavat ühiskonda destabiliseerida ja hirmu külvata. Tõenäoliselt jätkub sellesarnane tegevus Iisraeli-Hamasi konflikti ajal ka edaspidi.
Kriitilise taristuga seotud rünnakud
Kriitilise taristu toimimine on igale riigile eluliselt tähtis, mistõttu tunnevad selle sektori vastu kõrgendatud huvi ka küberruumis tegutsejad – eriti veel konflikti või sõja olukorras.
See trend on jätkunud ka Iisraeli-Hamasi konfliktis, kus kriitilise taristu vastu tehtud rünnakutest on teatatud omajagu. Samal ajal ei ole paljud neist ametlikku kinnitust leidnud.
Vähemalt üks kriitilise taristu pihta tehtud ründekampaania on siiski tabanud mitmeid riike üle maailma, sealhulgas Eestit. Selle ründelainega võeti sihikule Iisraeli ettevõttes Unitronics toodetud tööstusautomaatika juhtseadmed. Rünnakud algasid novembri lõpus ning need tabasid näiteks paari USA elutähtsa teenuse osutajat, mistõttu avaldas kohalik küberjulgeoleku ja infrastruktuuri turvalisuse agentuur (CISA) 29. novembril ka ohuhinnangu.13 Samalaadsed ohuteated on laiali saatnud mitme teisegi riigi küberkaitseasutused. Esmapilgul näib, et ründekampaania korraldajaid ajendas tööstusautomaatika juhtseadmeid ründama just tootja päritolumaa.
Kuigi Eesti ei ole konfliktis otsene osaline, jõudsid ründed ka meie küberruumi. Nimelt sai RIA intsidentide käsitlemise osakond (CERT-EE) 30. novembril teada, et vähemalt kolme Eesti ettevõtte tööstusautomaatika kontrollereid (PLC) ehk juhtseadmeid on rünnatud. Sihtmärkide seas olid kaugkütte- ja vee-ettevõte ning ehitusmaterjalide tootja, kes kasutasid just Unitronicsi tehnikat. Küberrünnakute käigus kirjutati seadmete tarkvara üle viisil, mille eesmärk oli teha need kasutuskõlbmatuks.
Ühe rünnaku tõttu katkes kaheksas katlamajas kaugjuhtimisjuhtseadmete töö. Mõjutatud katlamajad viidi üle käsijuhtimisele ja soojatootmine jätkus. Teise rünnaku tagajärjel seiskusid üheksa reovee ja ühe joogivee pumbajaama kontrollerid, kuid tarbijate veega varustamine jätkus. Kolmas samalaadne rünnak tabas ehitusmaterjalide tootjat, aga neil oli olemas varuseade ja juhtum ettevõtte tegevust märkimisväärselt ei mõjutanud.
Neljandast intsidendist teavitati CERT-EE-d 12. detsembri õhtul. Küberrünnakuga sihiti taas ühe katlamaja Unitronicsi juhtseadmeid ja ründe tagajärjel seiskus põhikatla juhtimissüsteem. Sellest katlamajast sõltuvad nii põhikool, rahvamaja, lasteaed kui ka hooldekodu. Soojavarustuse tagamiseks pandi tööle varukatel ja hakati tegelema süsteemide taastamisega. Kõiki neid rünnakuid seostatakse Iisraeli-vastase küberrühmitusega, kelle puhul on nähtud ka seoseid Iraaniga.14
Unitronicsi juhtseadmete vastu tehtud rünnakud ilmestavad, kuidas küberruumis võib konflikt kahe osapoole vahel mõjutada kaudselt paljusid riike üle maailma. Eesti küberruumis asuvate seadmete vastu suunatud rünnakud olid üks osa laiemast ründelainest ega olnud taotluslikult Eesti pihta sihitud.
Sel korral ei olnud konkreetse küberrünnaku mõju Eesti ettevõtete teenuste toimimisele väga suur. Trend tekitab siiski muret, kuna maailm on nii tihedalt ühendatud, et väga kaugete geopoliitiliste pingete ja sõjaliste konfliktide tõttu sooritatud küberrünnakud võivad kanduda üle Eesti küberruumi ka siis, kui meil ei ole konfliktis isegi mitte kaudset osalust.
Samuti tekitab muret see, et tööstusautomaatika seadmed jäetakse avaliku interneti kaudu kättesaadavaks või muud moodi haavatavasse seisu. CERT-EE saadab interneti teenusepakkujatele iga päev teavitusi nende klientide teenuste kohta, mis ei tohi olla avalikult kättesaadavad. 30. novembril tehti veel eraldi teavitus, sest internetist leiti mitukümmend kaitsetut Unitronicsi tööstusautomaatika kontrollerit. Küberturvalisusse ja RIA teavitustesse tasub suhtuda tõsiselt.
Kriitiline infrastruktuur on varasemast rohkem ründajate tähelepanu all ja küberrünnakud taristu vastu on konflikti olukorras levinud. Seda illustreerivad nii Unitronicsi seadmete vastu sooritatud rünnakud kui ka Venemaa küberründed Ukraina elektrivõrgu ja teiste sealsete energiasektori organisatsioonide pihta. Peale energiaettevõtete vastaste rünnakute on sihitud ka Ukraina sidesektorit, mille kõige värskemaks näiteks on hiljutine küberrünnak sealse suure sideettevõtte Kyivstar vastu.15 Seetõttu on kriitilise taristu kaitse küberkaitse peateemasid, millega peab üldise valmisoleku ja kriisikerksuse tagamisel iga päev tegelema.
Kokkuvõte
Iisraeli-Hamasi konflikt ilmestab koos Ukrainas aset leidvate sündmustega hästi, kuidas tänapäeva sõjas on peale kineetiliste relvade üha tavapärasem ka küberrünnakute kasutamine. Seni on Lähis-Ida vastaseisus nähtud pea kõiki kübermaailmas tuntud meetodeid alates DDoS-rünnakutest ja lõpetades näotustamistega. Ühtlasi on ründajate kõrgendatud tähelepanu all olnud kriitiline taristu.
Naiivne oleks arvata, et küberründed sõjaliste eesmärkide saavutamisel tulevikus vähenevad. Arvestades ühiskondade järjest suuremat läbipõimitust tehnoloogiaga, selle pidevat arengut ja uute lahenduste (tehisaru) tulekut on küberturvalisusse investeerimine vältimatu.
Appi ei tule ainult tehnilised lahendused, vaid tähtsal kohal on ka täiesti elementaarne küberhügieen. Riigi Infosüsteemi Amet on koostanud selle parandamiseks palju kasulikke materjale, mis on leitavad nii ameti veebisaidilt (ria.ee) kui ka IT-vaatliku portaalist (itvaatlik.ee). Muu hulgas koostati sel sügisel RIA tellimusel küberturvalisuse lühijuhend,16 mis on ettevõtetele küberkaitse edendamisel heaks abimeheks. Kõigi nende materjalidega tasub tutvuda ja loetut rakendada, sest küberünnakud ei kao paraku kuhugi.
Reiko Lill on Riigi Infosüsteemi Ameti (RIA) analüüsi- ja ennetusosakonna analüütik.
1 Dan Raywood, Debate Roils Over Extent of Nation-State Cyber Involvement in Gaza. – Dark Reading 12. XII 2023.
2 Omer Yoachimik, Jorge Pacheco, Cyber attacks in the Israel-Hamas war. – Cloudflare Blog 23. X 2023.
3 Lessons Learned From Israel-Hamas Conflict: A Cybersecurity Perspective. – SOCRadar 10. XI 2023.
4 Davey Winder, ChatGPT Down As Anonymous Sudan Hackers Claim Responsibility. – Forbes 10. XI 2023.
5 Daryna Antoniuk, Suspected Hamas-linked hackers target Israel with new version of SysJoker malware. – Recorded Future News 27. XI 2023.
6 Security Joes, BiBi-Linux: A New Wiper Dropped By Pro-Hamas Hacktivist Group. – Security Joes 30. X 2023.
7 Blake Darché, Armen Boursalian, Javier Castro, Malicious “RedAlert – Rocket Alerts” Application Targets Israeli Phone Calls, SMS, and User Information. – Cloudflare Blog 14. X 2023.
8 Christopher Bing, Raphael Satter, Hacktivists stoke Israel-Gaza conflict online. – Reuters 11. X 2023.
9 Check Point Research, The Iron Swords War – Cyber Perspectives from the First 10 Days of the War in Israel. – Check Point Research blog 18. X 2023.
10 Samas.
11 Iran and Hezbollah behind an attempted cyber attack on an Israeli Hospital. – GovIL 18. XII 2023.
12 Daryna Antoniuk, Iran-linked hackers claim to leak troves of documents from Israeli hospital. – Recorded Future News 4. XII 2023.
13 Exploitation of Unitronics PLCs used in Water and Wastewater Systems. – CISA.gov 28. XI 2023.
14 IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors, Including U.S. Water and Wastewater Systems Facilities. – CISA.gov 14. XII 2023.
15 Briti kaitseministeerium: Ukrainat tabas sõja suurima mõjuga küberrünnak. – Postimees 16. XII 2023.
16 Ettevõtte küberturvalisuse lühijuhend. Riigi Infosüsteemi Amet 2023.