SA VALDEF: Me esitasime Kaitsepolitseiametisse avalduse FSB küberründe osas. (UUENDATUD 17.09.21)

SA VALDEF esitas 14. septembril 2021 Kaitsepolitseiametisse avalduse seoses FSB poolt läbiviidava küberründe osas meie võrguressursside osas eesmärgiga hõivata nende üle täielik kontroll. 9. septembril 2021 alustas FSB kaua plaanitud hõivamist DDoS rünnakuga, mida suudeti  õigeaegselt märgata ja ohjata ulatuseni, et see muutus FSB ründeisikutele kurnavaks ettevõtmiseks. DDoS ründe eesmärgiks oli masspäringute esitamisega murda tulemüür viisil, mis annaks võimaluse saada kontrolli kogu SA VALDEF ressursside üle, kaasaarvatud meie uudisteportaal. Ründe aluseks on teemad, mida me kajastame oma põhitegevusena ning oleme suutnud II MS ajaloo ja Vene Föderatsioonis soome-ugri põlisrahva osas toimepandavate etnilise tasalülitamise kajastamisega tõmmata Venemaa eriteenistuse tähelepanu. Praegune rünne on üks eesmärgistatuimad, millel pole näha mingit lõppu ning FSB toimetajate püsivus meie ressursside kättesaamisel viitab juba ametlikule ametkonna poolsele korraldusele likvideerida meie ressurss internetist.

9. septembril 2021 toimund DDoS rünnak kaasa endaga üle 54 riigi, üle 119 ASN võrgusõlmpunkti ja ligi 1000 IP-aadressi, andes tulemuseks ligi 1200 päringut kahe tunnise rünnaku jooksul.

Alates 13. septemberist 2021 muutusid FSB ründajat taktikat, ning nad on valinud teostada rünnet Eesti internetipakkujate rendiserverite kaudu. Tulenevalt väga spetsiifilistest ründepäringustest, on SA VALDEF võtnud ühendust vastavate teenusepakkujatega ja kokku leppinud kuidas ametliku menetluse käigus andmetele ligi pääseda.

Päeva edenedes rünnete raskuse ja suunitluse tõsiduse arvestusega sai avaldus esitatud Kaitsepolitseiametile.

Avalduse koostamise hetkel tuli ilmsiks FSB ründajate võimekus saada enda valdusesse Riigi Infosüsteemide Ameti RIA rendiressurssidele ning nad teostasid kaks ründepäringut vastu https://valdef.org ressurssi.

See sündmus suudeti kinni püüda ja lisatud Kaitsepolitseiametisse.

Praegune võitlus SA VALDEF ja FSB vahel käib selle peale, kes suudab vastaspoolt esimesena nokauti lüüa.

Antud küberrünnak on üks tõsisemaid, mida me oleme näinud või varem kohanud.

Me jääme ootama Kaitsepolitseiameti poolset vastust avaldusele. Menetluse alustamise otsus jääb täies ulatuses vastava institutsiooni pädevusse.

 

RIA ASN kaudu toimunud ründe pilt, kus sama päeval kasutasid FSB ründajat identsed brauserit ESTPAK internetiressursside kaudu ründepäringute tegemiseks.

 

 

UUENDATUD 17. september 2021

Kaitsepolitseiamet saatis meie avalduse Politsei- ja Piirivalveametile seisukoha võtmiseks meie suhtes toime pandava küberründe osas. Nagu me ennist mainisime on menetluse alustamine või mittealustamine pädevate instantside otsustada ning me lähtume vastava instantsi otsusest. Samuti me soovime välja tuua, et see on meie poolt seni esitatud avaldustest kiiremini menetletud. Me jääme ootama PPA või Keskkriminaalpolitsei küberkuritegude büroo otsust.

Ühtlasi on meie rünne muutunud oma sisus, kus vastaspool on muutnud oma taktikat ja on loobunud massiivsetest teenusetõkestusrünnetes, mille eesmärgis on potentsiaalse tuvastatud süsteemi nõrkuse ära kasutamine hajutatud tihedate pöördumistega, mille tulemusena nad suudavad esile tuua süsteemi murdumise või veateate, mis annab neil võimaluse kasutada ära see uueks ründevektoriks. Samuti on vastaspoole hakanud kasutama märkimisväärses koguses automatiseeritud bote, mis käivad meie ressursse kompamas nii ründe ajal, enne või peale rünnet, kus nad üritavad leida meie infrastruktuuri seest spetsiifilisi faile ja seadistusi, mille abil saada ligi meie süsteemile.

Vaadates millise kustumatu entusiasmiga meie vastaspool meid aktiivselt ründab viimast 12  päeva ning vaadates millist ressurssi nad enda käes valdavad, sõltumata kas kasutatav botnet on nende poolt loodud, see renditakse, või vajalikud ründeallikad otsitakse üldisest pakutavatest juurdepääsuga tagatud seadmetest, on tegu üsna pretsedenditu ulatusega rünnakuga, mille üheks suurimaks uuendusfaktoriks on tõdemus, et vastaspool suudab hankida uusi ründeallikaid, milleks on nähtavasti uute virtuaalserverite rentimine puhtalt ründe teostamiseks.

Me oleme jätkuvalt arvamusel, et meie vastu sooritab rünnet FSB. Ründe intensiivsuse ja katkematu järjekindlusest tulenevalt, vaatamata et neid saadab 14 päeva pidevat ebaedu, oleme me arvamusel, et vastaspoolel on eelarve ning see eelarve on põhjatu. Mõiste põhjatu tähendab siin tõdemust, et rünneteks kasutatavate masinate IPv6 aadresside kogus on alates esmaspäevast, 13. septembrist, tõusnud märgatavalt.

Igal juhul on rünnak reaalne, me oleme suhtlemas Eesti internetipakkujatega, kelle juurest meie suhtes ründepäringuid sooritatakse. Me oleme saavutanud kontakti kahe asutusega nendelt tulnud ründepäringute allikate elimineerimiseks ning meie praegune eesmärk on muuta ründajate ründevõimekust Eesti internetis olematuks.

Me jääme ootama vastust meie edasi saadetud avaldusele.

 

16. septembril 2021 23:58-00:05 kestnud lühike proovi DDoS rünnak https://valdef.org ressursi suunas eesmärgiga tõestada, et läbi fondi ründamise on võimalik esilekutsuda turvasüsteemi tõrke, mille kaudu on võimalik haarata kontroll üle kogu ressursi.