У 2020 році хакери російської військової розвідки (ГРУ) викрали тисячі конфіденційних естонських документів, включно з комерційною таємницею та даними про здоров’я. Естонія розшукує трьох осіб за причетність до кібератак.
У четвер увечері міжнародна спільна операція, включно зі службами безпеки Естонії, приписала серію кібератак на країни-члени НАТО, Україну та ЄС підрозділу 29155 військової розвідки Росії (ГРУ).
Це перший випадок, коли Естонія приписала кібератаки на державу виконавцю атак.
Міністерство економіки та зв’язку (MKM) найбільше постраждало від інциденту в листопаді 2020 року, де було вкрадено 360 гігабайт даних. Але транспортна адміністрація, Морська адміністрація, Геологічна служба, Управління захисту прав споживачів та технічного регулювання та Адміністрація цивільної авіації також зазнали атаки.
Генеральний директор Служби внутрішньої безпеки (ISS) Марго Паллосон заявила в п’ятницю, що жодні державні таємниці не отримали доступу. Проте частина конфіденційної інформації, призначеної для внутрішнього використання, була вилучена.
«Звичайно, вся інформація про естонську інфраструктуру, особливо про критичну інфраструктуру, провайдерів критичних послуг, це все в центрі уваги російських спецслужб», — сказав Паллосон. «Це інформація, яку вони намагаються зібрати та нанести на карту, і вона, безсумнівно, циркулює в Міністерстві економіки та комунікацій».
Хакери, які зламали інформаційні системи, без розбору завантажували все, що могли.
«Щодо більш істотного боку, ми говоримо про загальні стратегічні документи, штатні розписи, шкали оплати праці та інші подібні робочі документи», — сказав Аго Амбур, голова Бюро боротьби з кіберзлочинністю Національної кримінальної поліції Естонської поліції та Департаменту прикордонної охорони ( PPA).
ГРУ викрало особисті дані та бізнес-таємниці
Генеральний секретар MKM Ахті Кунінгас сказав, що хакери могли отримати доступ до всього в реєстрах відкритих документів міністерства. На момент нападу це були документи кількарічної давності.
“Наприклад, персональні дані співробітників, документи про зарплату, різні стратегічні документи, інші робочі документи. І листування з компаніями, де компанії також мали певні конфіденційні дані”, – сказав він.
Кунінгас сказав, що важко оцінити, скільки комерційних таємниць компаній могло бути вкрадено, оскільки весь пакет витоку документів не був розглянутий.
“Як правило, компанії також не діляться з нами комерційною таємницею”, – сказав генсек. «Є більш прямий зв’язок із власними державними компаніями, які можуть містити інформацію, чутливу до конкретної компанії».
Він додав, що ніяких конфіденційних навігаційних даних не було витоку, і їх значення все одно швидко зникає.
“І все, що стосується державної таємниці та стратегічних документів високого рівня держави, не рухається в цій системі. Вони рухаються в окремій системі”, – підкреслив Кунінгас.
Безкоштовне програмне забезпечення, що використовується в атаці
Агенти ГРУ також викрали дані про стан здоров’я майже 10 000 людей, інфікованих коронавірусом, із Центру інформаційних систем охорони здоров’я та соціального забезпечення (TEHIK), який знаходиться в управлінні Міністерства соціальних справ.
Але отримати публічну інформацію на веб-сервері вдалося лише від міністерства закордонних справ, яке найменше постраждало під час атаки.
Амбур сказав, що хакери потрапили на внутрішні мережі установ через діри в безпеці веб-серверів. За його словами, ГРУ використовувало досить поширені та вільно доступні інструменти для картографування прогалин у безпеці та викрадення даних.
Органи безпеки Естонії можуть лише здогадуватися, що було зроблено з викраденою інформацією.
«Ці дані, безумовно, можна використовувати для планування майбутніх розвідувальних операцій. Як для людського інтелекту, так і для кіберрозвідки», — сказав Паллосон. «Ці дані також часто змінюються та витікають, щоб завдати шкоди репутації естонської держави».
Паллосон додав, що на сьогодні ця інформація не просочувалася на МКС.
Підрозділ 29155 атакував 26 країн
Амбур сказав, що першого підозрюваного було ідентифіковано незабаром після нападів: «З цього моменту ми знайшли час, щоб попрацювати як з національними, так і з міжнародними партнерськими установами, щоб скласти повну картину».
У центрі сюжету в/ч 29155 ГРУ. Діючий з 2008 року підрозділ був пов’язаний з отруєнням у 2018 році колишнього офіцера ГРУ Сергія Скрипаля у Великобританії та спробою державного перевороту в Чорногорії в 2016 році. Чехи також звинувачують підрозділ у зв’язку з вибухами на складі боєприпасів у 2014 році.
«І станом на 2020 рік те саме ГРУ також розвинуло кіберпотенціал і активно бере участь у атаках на країни НАТО та ЄС», — сказав Паллосон.
Атаки, що вчинили Естонію в листопаді того ж року, були лише початком. За його словами, на сьогоднішній день атак зазнали 26 країн, у тому числі Україна, яка особливо сильно постраждала у 2022 році безпосередньо перед повномасштабним вторгненням Росії.
За даними Міністерства юстиції США, у серпні 2022 року ця ж група також атакувала транспортну інфраструктуру центральноєвропейської країни, яка підтримує Україну.
В Естонії розшукують трьох підозрюваних
Зі збільшенням кількості атак до міжнародного розслідування приєднувалося все більше і більше країн, і співпраця отримала назву «Операція «Іграшковий солдатик». У четвер ввечері країни оприлюднили операцію.
Міністерство юстиції США розшукує п’ятьох офіцерів ГРУ і одну цивільну особу у зв’язку з нападами. За спіймання їх усіх призначено винагороду в 10 мільйонів доларів.
Серед них начальник кіберпідрозділу ГРУ полковник Юрій Денисов і співробітник цього підрозділу Микола Корчагін. Прокуратура Естонії заявила, що обидва чоловіки також були причетні до нападів, які вчинили в Естонії. Крім того, окружний суд Харьюма санкціонував арешт Віталія Шевченка, іншого члена кіберпідрозділу.
“Державна прокуратура має підстави підозрювати їх у підготовці комп’ютерного злочину, незаконному отриманні доступу до комп’ютерної системи та розвідувальній діяльності проти Естонської Республіки”, – сказав державний прокурор Вахур Верте. «Це злочини, за які їм може загрожувати до 20 років позбавлення волі, якщо їх визнають винними».
За його словами, наразі всі підозрювані перебувають у Росії.
Зростає кількість успішних кібератак
Це перший випадок в історії, коли Естонія приписує кібератаки на державу винуватцям злочину.
«Якісне значення цієї атрибуції полягає в тому, що ми можемо показати, що Естонія сама здатна проводити такі дослідження та досягати реальних результатів», — сказав Танель Сепп, посол з особливих повноважень з питань кібердипломатії Міністерства закордонних справ, і додав, що міністерство є намагаючись пропагувати відповідальну поведінку в кіберпросторі.
«Атрибуції — це віхи того, як ми можемо закликати країни до відповідальності», — сказав Сепп.
Паллосон зазначив, що спроби ГРУ атакувати Естонію та інформаційні системи інших країн тривають досі.
Однак це лише невелика частина атак, які обрушилися на Естонію.
Керівник Центру кібербезпеки Управління інформаційних систем (RIA) Герт Ауверт заявив, що у 2023 році в Естонії було близько 3300 кіберінцидентів.
“Я маю на увазі інцидент, в якому зловмисник частково або повністю досяг своєї мети. За сім місяців цього року ми вийшли на стільки ж”, – сказав він.
RIA: MKM оштрафували на €8 тис
Після атаки 2020 року RIA виявила системні помилки, які уможливили атаку.
«Цей конкретний нагляд призвів до порушення справи проти Міністерства економіки та комунікацій», — сказав Ауверт. Міністерству передали 8 тис. євро, оскільки воно не змогло досить швидко виправити помилки.
Це також визнав Кунінгас. «Раніше робота йшла дещо повільно, але коли я сам увійшов у процес, зміни відбулися дуже швидко», — сказав генсек міністерства, який обійняв посаду восени 2022 року.
Він підкреслив, що критичні ремонтні роботи в міністерстві почалися відразу після нападу. «Всю систему автентифікації було негайно змінено. Усі паролі були змінені, а також надіті щитки безпеки», — перерахував Кунінгас.
«Але RIA було незадоволене внутрішніми процесами в міністерстві, тобто тим, як оцінюються ризики та як картуються активи», — додав він. «Управління документами та ведення господарства ще не були такими хорошими, як хотілося б RIA».
За словами Кунінгаса, міністерство витратило понад 2 мільйони євро на вдосконалення інформаційних систем. «Було закрито все бек-енд програмне забезпечення, оновлено наявні активи, оновлено серверний парк», — сказав він і додав, що сьогодні ІТ-справи міністерства організовані зовсім інакше.