11 aastat pronksiööde küberrünnakutest – meenutame, mis juhtus

jaga E-post prindi artikkel saada vihje loe ja lisa kommentaare

Pronkssõduri teisaldamine tõi kaasa ka Venemaalt lähtuva küberrünaku

FOTO: Eero Vabamaegi / PM/SCANPIX BALTICS

Neil päevil 11 aastat tagasi tabas Eestit maailma toonase küberajaloo suurim välisriigi korraldatud küberrünnak. Pihta said nii riigi, pankade, ajakirjanduse kui erakondade veebilehed ning tuleb tõdeda, et kõigi nende aastate järel pole mitte midagi muutunud allika osas – kurja juur peitus siis ja peitub täna Venemaal.

Postimehe käsutuses oleva NATO küberkaitsekeskuse raporti kohaselt toimusid Eesti vastu korraldatud rünnakud kahe suurema lainena vahemikus 27. aprill kuni 18. mai 2007.

Rünnakud ise olid korraldatud tänapäeva mõistes väga lihtsate, ent samavõrd tõhusate vahenditega: veebilehtedele saadeti massiliselt päringuid – veebilehed pandi arvama, et neid on tabanud korraga tohutu külastajaskond ning see muutis nad tavakasutajatele ligipääsematuks.

Täpsemalt oli tegemist DDoS rünnakuga, mille sisuks oli päring HTTP GET. Õnneks olid ründajad piisavalt rumalad ja panid nende päringute kirjapilti venekeelseid roppusi, mis muutis nende eraldamise muust liiklusest kergeks saagiks. Mõned näited toonastest päringutest:

  • GET /est/0427_05.html?id=493&AnSSip=_A_M_E_R_I_C_A_N__W_H_O_R_E_ HTTP/1.1
  • GET /est/0427_05.html?id=584605968&AnSSip=PIZDA HTTP/1.1
  • GET /failid/s_ansip1..jpg?id=1387140556&ANSIP_PIDOR=FASCIST HTTP/1.1
  • GET /est/0427_05.html?id=346417123&AnSSip=CHMO HTTP/1.1
  • GET /est/0427_05.html?id=426791941&AnSSip=HUEPLET HTTP/1.1
  • GET /est/0427_02.html?id=418374093&AnSSip=PEZDOHUI HTTP/1.1

Ühtesid ja samu päringuid saadeti lühikese aja jooksul tuhandeid kordi, näiteks sai üks veebikeskkond 15 000 päringu osaliseks 30 minuti jooksul – toonase veebimaailma jaoks oli tegemist tohutu n-ö kasutajate hulgaga.

Selleks olid Venemaa häkkerid võtnud oma virtuaalsesse valdusesse kümneid tuhandeid arvuteid üle maailma. Tuvastatud on 21 678 erinevat IP-aadressi, kust päringud meie veebidee laekusid.  

Kui vaadata nende päritoluriikide esikümmet, siis selgub, et kõige vähem kaitstud olid Venemaa häkkerite eest Egiptuse arvutisüsteemid:

  • Egiptus 6082
  • USA 5231
  • Vietnam 1601
  • Türgi 988
  • Peruu 789
  • Poola 620
  • Saksamaa 587
  • Venemaa 527
  • India 521
  • Brasiilia 510

Paljudes venekeelsetes foorumites kutsuti toona korraldama ka käsitsi «masspingimist» Eesti veebilehtede vastu, tavaliselt tehti see 1000-baidiste infopäringutega ning peamised ründajad olid Venemaalt, Ukrainast, Lätist ja Saksamaalt.

Siin graafikul on näha, kuidas normaalne internetiliiklus asendus masspärigutega

FOTO: CCDCOE

Lisaks tabas Eesti servereid ligi 270 miljonit päringut veebiaadressidega, mida tegelikult ei eksisteerinud, näiteks:

  • query: pop.dddddddd.dns.estpak.ee
  • query: ftp.ooo.ns.online.ee
  • query: mail.wwwwwwwwwwww.ns.online.ee
  • query: ns.eeeeeeeeeeeee.dns.estpak.ee
  • query: ns.oeeee.dns.estpak.ee

Selliseid ründeid korraldati kokku 1038 IP-aadressilt ning enim tuli neid taas Venemaalt, USAst, Ukrainast, Koreast ja Taiwanilt.

Paljude toonaste veebilehtede, nagu valitsus.ee, peaminister.ee, riik.ee ja kmin.ee, veebilogid näitavad, oli ka katseid pääseda läbi veebiserverite turvanõrkuste (SQL injection) ning seda 40 erinevalt IP-aadressilt.

Nagu märgitud, jagunesid ründed aktiivsuselt kahte suuremasse faasi. Riigi Infosüsteemi Ameti (RIA) andmeil toimus neist esimene vahemikus 27.–29.aprillil ja selle käigus langesid rivist välja paljud ajalehtede ja riigiasutuste veebid, aga näiteks ka Reformierakonna veebileht.

Teine ründelaine toimus vahemikus 30. aprill kuni 18. mai ning see oli märgatavalt paremini organiseeritud ja massiivsem ning selle sihtmärkideks olid näiteks riigiside ruuterid, DNS serverid ja  pangasüsteemid (üks neist langes rivist välja 1,5 tunniks).

RIA peamisiks vastumeetmeiks neile rünnakutele oli välismaalt igasuguse ligipääsu katkestamine riiklikele veebiserveritele. Teiseks paigaldati päringute filtreerimise tõhusamad töövahendid ning lisati veebiserveritele mahtu juurde, et need suudaksid teenindada rohkem üheaegseid kasutajaid. Selle kõige tulemusel olid meie veebiteenused välismaale kättesaamatud vaid väga lühikest aega.

Kõik kogutud andmed viitavad selgelt sellele, et rünnakud korraldasid Venemaa võimule lojaalsed häkkerid, kes soovisid sel viisil toetada massirahutusi, mis olid ajendatud pronkssõduri ausamba teisaldamisest Tallinnast Tõnismäelt.

Kui Eesti sai küberründeid oma nahal tunda juba 11 aastat tagasi, siis aasta 2017 selgendas märgatavalt vett seni tegelikult vaid uduselt tajutud üleilmse küberohu ümber –  selgemalt kui kunagi varem jõudis kõigi teadvusesse, et rünnata võib igaüks, igaüht, üleilmselt ja kust iganes maailma otsast.

Põhja-Korea võimude juhitud rühmituse loodud lunarahavara Wannacry abil mullu maikuus korraldatu oli esimene globaalne rünne – kannatada said 155 maailma riigi inimesed, ettevõtted, riiklikud infrastruktuurid, haiglad, koolid. Kohe juunis järgnes Venemaa organiseeritud NotPetya rünnak Ukraina vastu – ning maailm oli šokis.

Ilmsiks on tulnud ka veel leidlikumad küberründe vahendid, kus otseselt tehnilisi teadmisi vaja ei lähegi: tänaseks on selgunud, et Venemaa internetitrollide armee mõjutas läbi veebipõhise ajupesu otseselt USA presidendivalimisi.

Tagasi üles