Sofacy nime kandev küberluure grupeeringründas Soome suurimatmeediagruppi Sanoma, teatas Yle oma allikatele tuginedes. Lisaks ründas sama grupeering, millel on väidetavalt seosedVenemaa valitsusega, soomlasest Bellingcati liiget.Bellingcat on rahvusvaheline ajakirjanike grupp, mis uurib muuhulgasUkraina konflikti sündmusi.
Infoturbe ettevõtte Trend Micro uurijaFeike Hacquebord selgitas Ylele, etSofacy grupp seadis ilmselt eelmise aasta augustis üles võltsserveri, mis sarnanes väga Sanoma ehtsa veebimeili serveriga. Kasutusel olnud domeen erines ehtsast Sanoma serverist vaid ühe tähe võrra. Tõenäoliselt toimus rünnak Sanoma töötajate valduses oleva info kättesaamiseks või nende nimel kirjade saatmiseks paari nädala vältel.
Sanoma tehnoloogiajuht Kai Taka-Aho kinnitas Ylele, et meediagrupp oli tõesti küberrünnaku sihtmärgiks. Ettevõte informeeris riiklikku küberkaitsekeskust aprillis, kuid Taka-Aho sõnul oli sihtmärkide seas ka teisi Soome meediaettevõtteid. Tema sõnul pole nad leidnud tõendeid, et ründajatelreaalselt infot varastada õnnestus, kuid seda ei saa ka välistada.
Sanoma annab Soomes välja suurimat kvaliteetlehte Helsingin Sanomat, tabloidi Ilta-Sanomat, telekanalit Nelonen ja lisaks suurt hulka teisi väljaandeid. Üks Eesti külastatavamaid veebisaite auto24.ee kuulub Sanomale.
Samad ründajad sihtisid Bundestagi
Hacquebordi sõnul on rünnaku taga olnud Sofacy grupp osa Vene luureaparaadist.
Sama on kinnitanud Saksa luure.Mai alguses kinnitas Saksamaa konstitutsiooni kaitse föderaalbüroo ehk siseluureagentuuri BfV juhtHans-Georg Maassen, et Sofacy grupeering on Saksa riigiasutusi pikka aega rünnanud ja see on seotud Venemaa ametkondadega.Mullu oli sihtmärgiks parlament, nimelt püüdsid ründajad Bundestagi arvutitesse paigaldada nuhkvara, mis oleks neile andnud arvutitele püsiva ligipääsu.Sama grupeering usutakse olevat rünnanud ka kantsler Angela Merkeli parteid CDU.
Sofacy nimega seostatakse küberründamisel kasutatavat tarkvara, mida tuntakse koodnime all APT28. Kaks aastat tagasi avaldas infoturbefirmaFireEye analüüsi, mille järgi viitasid paljudAPT28 iseloomulikud jooned Venemaale. Selle aktiivse kasutuse aeg kattus suuremate vene linnade nagu Peterburi ja Moskva ajatsoonide tööpäevaga, kuue aasta jooksul on selles kordunud vene keelele viitavad sõnad.
Mis olulisem, APT28 pole olnud kasutusel majanduslikku kasu toovatesrünnakutes, vaid Venemaa poliitiliste huvidega kattuvates rünnakutes. Sihtmärkideks on olnud Gruusia ja Kaukaasia ajakirjanikud ja riigiametnikud, Poola ja Ungari valitsus, NATO ja OSCE, kaitseatašeed ja nii edasi.
Väidetavalt on APT28-ga rünnatud ka õppust Baltic Host, mida on mitmel aastal pidanud Eesti, Läti ja Leedu sõjaväelogistikud ja ametkonnad, et harjutadaNATO vägede vastuvõttu.
Foto: Sanoma meediagrupi peakontor Helsingis ehk Sanomatalo (Sektori/CC/Wikipedia)
