Viru Keemia Grupis tegutses keerukas nuhkvara, mida seostatakse Vene sõjaväeluurega

Pane tähele! Artikkel on ilmunud enam kui 5 aastat tagasi ning kuulub Geeniuse digitaalsesse arhiivi.
Foto: Scanpix

Riigi infosüsteemi amet avaldas täna 2016. aasta küberturvalisuse ülevaates, et Viru Keemia Grupp (VKG) langes mullu ilmselt Vene küberspionaaži ohvriks.

Nimelt avastati VKG võrgus mullu pahavarale iseloomulik liiklus ja sealt leiti tarkvara Mimikatz, mida kasutatakse Windowsi-süsteemides näiteks paroolide ja parooliräside kogumiseks. Lisaks avastati ka niiöelda tagauksetarkvara, millega peeti ühendust kontrollserveriga.

Pärast esmast avastamist tuvastati mullu juunis VKG võrgus teist korda ühendus sama kontrollserveriga.

“Sel korral õnnestus ühenduse andmete põhjal tuvastada ka ühenduse algatanud arvuti nimi. Kontrollimisel selgus, et pahvaraga oli nakatanud SCADA monitoorimissegmendis paiknev tööjaam, mis seejärel võrgust eemaldati,” seisab RIA raportis. Samuti leiti sama tagauksetarkvara, mis eelmise avastuse korral.

GRU jäljed

“Nii võrguliiklus kui ka arvutitest leitud pahavara näidised viitasid sellele, et tegemist oli suunatud ründega. Kasutatavat pahavara ja kontrollserverit on seostatud APT28-ks nimetatud küberspionaaži grupeeringuga,” seisab raportis.

APT28 nimega on seostatud nii konkreetset grupeeringut kui ka ründevahendeid ja maailma küberkaitsetööstuses levinud hinnangul on selle taga või sellega seotud Venemaa sõjaväeluure GRU.

Näiteks CrowdStrike avaldas pärast USA demokraatliku partei komitee häkkimist raportis, et APT28, tuntud ka kui Sofacy või FANCY BEAR, on seotud GRU-ga.

RIA spetsialistid aitasid VKG-l pahavarast lahti saada ning võrguturvalisust ja töötajate turvateadlikkust tõsta.

Populaarsed lood mujal Geeniuses

Igal argipäeval

Ära jää ilma päeva põnevamatest lugudest

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto-, raha- ja meelelahutusportaali olulisematest lugudest.