Jāņu brīvdienu laikā, 22. jūnijā, konstatēts kiberdrošības incidents AS “Latvijas valsts meži” (LVM) IT infrastruktūrā. Kopš incidenta sākuma drošības apsvērumu dēļ atslēgtas un nav pieejamas LVM uzturētās ārējās IT sistēmas – LVM GEO, karšu pakalpojumu sistēma, kā arī medību lietotne “Mednis”. “Nra.lv” pamanīja, ka nedarbojas arī Zemkopības ministrijas meliorācijas kadastra informācijas sistēma “melioracija.lv”.
Tāpat ir atslēgtas arī vairākas LVM iekšējās sistēmas, kas nodrošina uzņēmuma informācijas apmaiņu ar LVM pakalpojumu sniedzējiem un uzņēmuma klientiem. Uzņēmuma IT komanda strādā ciešā sadarbībā ar Kiberincidentu novēršanas institūciju CERT.LV un citām valsts atbildīgajām drošības iestādēm, risinot kiberdrošības incidenta radīto seku novēršanu.
Skaidrs ir viens - vecās koalīcijas kašķi par LVM kontos uzkrāto naudu nu ir sasnieguši dzirdīgas ausis un vēlas ar šo naudiņu padalīties.
LVM IT infrastruktūras un attīstības direktors Māris Kuzmins LVM mājaslapā pauž: “Uzņēmums sadarbībā ar ekspertiem turpina jau svētku dienās uzsākto darbu, lai novērstu kiberdrošības incidenta radītās sekas un mazinātu līdzīgu situāciju atkārtošanās iespējas nākotnē. Vēlēšanu sistēmas izstrādei nepieciešamā IT vide bija nodalīta no pārējās IT infrastruktūras. Strādājam ārkārtas režīmā un informēsim par situācijas attīstību.”
Uzbrukums pamanīts starptautiskā kiberdrošības izdevumā
“Dark Web Informer” lapa, kas raksta par kiberuzbrukumiem visā pasaulē, interneta sociālajā vietnē “X” 24. jūnijā vēstīja, ka, iespējams, notikusi informācijas noplūde no uzņēmuma LVM. Paskaidrots, ka “Latvijas valsts meži” ir Latvijas valstij piederošs mežu apsaimniekošanas uzņēmums, kas atbild par publisko mežu zemes un mežsaimniecības darbību pārvaldību. “Hakeris apgalvo, ka ir apdraudējis LVM infrastruktūru, iespējams, pārņemot iekšējās sistēmas un nopludinot piekļuves apliecinājuma ekrānuzņēmumus,” raksta “Dark Web Informer”.
Iespējamie atklātie un ietekmētie dati ietver:
Hakeris vai hakeru grupējums darbojas ar segvārdu ByteToBreach.
“Dark Web Informer” gan piebilst, ka apgalvojums nav verificēts, un sniedz padomu, ka Latvijas organizācijām ir jāpārskata atklātā attālā piekļuve, jāmaina akreditācijas dati, jāveic AD un “vCenter” darbību audits un jāapstiprina dublējuma integritāte.
24. jūnija rītā bijusi atbildīgo ministru sanāksme, lai apspriestu situāciju, kas nav visai laba. IT speciālists, kurš nevēlējās, lai publiski tiktu nosaukts viņa vārds, lēš, ka iespējamais nodarītais posts LVM un valsts struktūrām ir diezgan liels. Nav izslēgts, ka hakeris ieguvis pārsimt tūkstošus LVM darbinieku e-pastus un to pielikumus, pievācis paroļu menedžeri ar 7000 parolēm, izdzēsis vai nošifrējis lielu daļu no sistēmas virtuālajām bāzēm.
Vēlēšanu sistēmai hakeris neesot ticis klāt
“Nra.lv” rakstīja, ka valsts ir nodevusi vēlēšanu IT sistēmu un reģistru izstrādi un uzlabošanu trim lieliem Latvijas uzņēmumiem - "Latvijas Mobilais telefons" (LMT), "Tet" un "Latvijas valsts meži" (LVM). LVM tika uzticēts izstrādāt un uzlabot Elektroniskā tiešsaistes vēlētāju reģistra (ETVR) programmatūras papildinājumus gaidāmajām vēlēšanām. Tomēr šīm izstrādēm hakerim nav izdevies piekļūt.
LVM pārstāvis Tomass Kotovičs intervijā “nra.lv” pastāstīja, ka apdraudējums ir novērsts, bet nepieciešams laiks, lai varētu pieslēgt sistēmas darbam. Uzņēmumā vēlas būt pilnīgi droši, ka tajās nav palikusi ļaunatūra. Kotovičs akcentēja, ka vēlēšanu sistēmas izstrādei nepieciešamā IT vide bija nodalīta no pārējās IT infrastruktūras un nav cietusi - darbi pie vēlēšanu sistēmas nenotiek LVM, bet gan Valsts digitālās attīstības aģentūras digitālajā vidē. Bet drošības dēļ arī tas tiks pārbaudīts.
Oficiālās informācijas tehnoloģiju drošības incidentu novēršanas institūcijas "Cert.lv" vadītāja Baiba Kaškina LSM paskaidroja, ka uzbrukumu novērsa uzreiz. Pēc viņas teiktā, nav pamata domāt, ka tas mērķēts īpaši uz Latviju. "Cert.lv" sliecas domāt, ka tas ir komerciāli motivēts uzbrukums, lai prasītu izpirkuma maksu, kā arī parādītu savu varēšanu.
Valsts policijas Kibernoziegumu apkarošanas pārvalde, balstoties uz publiski pieejamo informāciju, pēc savas iniciatīvas ir sākusi resorisko pārbaudi, lai noskaidrotu notikušā apstākļus un identificētu iespējamo personu, kura veikusi šīs darbības, vēsta aģentūra LETA.
Augsti kvalificēts kibernoziedznieks
Dažādu valstu plašsaziņas līdzekļi ir rakstījuši, ka ByteToBreach ir ražīgs un augsti kvalificēts kiberdraudu izpildītājs un datu noplūdes operators, kas darbojas vismaz kopš 2025. gada vidus. Darbojoties globāli, grupa vai indivīds uzbrūk aviokompānijām, bankām, universitātēm, veselības aprūpes sniedzējiem un valdības iestādēm. Draudu izpildītājs ir labi pazīstams ar veiksmīgu milzīga datu apjoma “nopumpēšanu” un plašu savu darbību publiskošanu.
ByteToBreach darbība ir konstatēta vairākos reģionos, tostarp Eiropā, Latīņamerikā un Āfrikā. Ievērojami upuri ir Zviedrijas e-pārvaldes platformas, Nigērijas finanšu un komunālo pakalpojumu infrastruktūra (piemēram, “Sterling Bank”, “Remita”, “Ikeja Electric”) un Meksikas UNAM.
ByteToBreach galvenokārt izmanto neaizsargātas interneta sistēmas, vājas konfigurācijas un nedrošu programmatūru. Viņi parasti iegūst piekļuvi, izmantojot trūkumus tādās platformās kā uzņēmumu IT pakalpojumu pārvaldības (ITSM) rīki, VPN vai satura pārvaldības sistēmas.
Pēc datu “nopumpēšanas” viņi apvieno tehniskās iespējas ar ļoti agresīvu mārketinga pieeju. Viņi nopludina vai pārdod nozagtas datubāzes nelegālos kibernoziedznieku forumos un uztur pašzīmola “WordPress” vietni, kas atdarina ielaušanās testēšanas uzņēmumu, bet darbojas kā upuru kaunināšanas un datu noplūdes platforma. Hakeri paši vai noziedznieki, kas nopērk hakeru iegūto informāciju, to mēdz izmantot, lai izspiestu naudu no upuriem, piedāvājot, ka atjaunos viņu zudušās datu bāzes, vai arī šantažē un izspiež naudu, ja izdevies uziet informāciju, kas var kompromitēt uzņēmumus vai personas.
Uzbrūk uzbeku aviokompānijai
Pagājušā gada augustā mediji vēstīja, ka hakeris, izmantojot pseidonīmu ByteToBreach, ir uzņēmies atbildību par ielaušanos “Uzbekistan Airways” sistēmās, it kā nozogot simtiem tūkstošu cilvēku, tostarp vairāku ASV valdības aģentūru darbinieku, personisko informāciju.
Par šo apgalvojumu pirmo reizi ziņoja izdevums “Straight Arrow News”, kas pārskatīja nopludināto datu paraugus. Saskaņā ar publikāciju, datu kopā it kā ir 503 000 pasažieru e-pasta adreses, 285 korporatīvās e-pasta adreses, kas saistītas ar “Uzbekistan Airways” darbiniekiem, 379 000 aviokompānijas lojalitātes programmas dalībnieku personīgā informācija, piemēram, vārdi, dzimšanas datumi, tālruņu numuri un tautības. Tāpat arī pasu un personas apliecību skenējumi no vairāk nekā 40 valstīm Hakeris apgalvoja, ka starp cietušajiem ir ASV Valsts departamenta, Enerģētikas departamenta darbinieki, kā arī ICE, TSA un CBP darbinieki. Uzbrucējs ir arī pieprasījis no aviokompānijas 150 000 eiro bitkoinos apmaiņā pret datu turpmāku nepublicēšanu. “Uzbekistan Airways” noliedza apgalvojumus, sakot, ka tās iekšējās pārbaudes nav atklājušas neatļautas piekļuves pazīmes. “Publicētajai informācijai nav nekāda sakara ar mūsu sistēmām, un, iespējams, tā ir mākslīgi ģenerēta vai mainīta, lai radītu maldīgu iespaidu par pārkāpumu,” paziņojumā norādīja aviokompānija. Kiberdrošības speciālists, “Have I Been Pwned” dibinātājs Trojs Hants atzīmēja šādu gadījumu sarežģītību: “Hakeri bieži vien izdomā pārkāpumus, savukārt uzņēmumi var arī noliegt īstus pārkāpumus. Patiesība vienmēr slēpjas pašos datos.” “Straight Arrow News” žurnālisti sazinājušies ar vairākām personām, kuru informācija parādījās failos. Daži apstiprināja, ka patiešām ir izmantojuši “Uzbekistan Airways” pakalpojumus, radot papildu jautājumus par noplūdes autentiskumu.
Kāpēc tieši “Latvijas valsts meži”?
Partija “Progresīvie” ir aicinājusi Saeimu lemt par LVM finanšu līdzekļu uzkrājuma - vismaz 130 300 000 eiro - iemaksu valsts budžetā.
Opozīcijā esošā partija sagatavojusi attiecīgu Saeimas lēmuma projektu.
Tajā "Progresīvie" atsaucas uz Valsts kontroles revīziju par LVM pārraudzības problēmām, kurā tostarp konstatēts, ka LVM ilgstoši uzkrājusi finanšu līdzekļus, kas 2025. gada beigās bija 405,3 miljoni eiro.
“Progresīvie” kā “navodčica” Ņina
Ikviens indivīds, hakerus ieskaitot, mūsdienās var izmanto mākslīgā intelekta tulkošanas programmas un saprast latviski rakstīto, ka ir mūsu zemē viens uzņēmums, kas operē ar tik milzīgām naudas summām, ka “nezina, kur tās likt” - ieskaitīt tās budžetā vai nebudžetā?
Tātad LVM ir nauda - daudz naudas. Tas taču var būt motivējis kiberlaupītājus iekļūt LVM “guļamistabā” un pamēģināt uzlauzt virtuālo skapi ar tur noglabātajiem svarīgajiem datiem?
Iespējams, partija “Progresīvie”, trokšņodama ap LVM un varbūt pati to negribēdama, ir padarbojusies kā “navodčica” - virknē slāvu valodu tā apzīmē personu, kas, uzdodoties par kalponi, izspiego bagātnieku dzīvokļus un pēc tam informē par viņu adresi ļaudis ar kriminālām nosliecēm.
Krievu aktierim Vladimiram Visockim bija dziesma par “navodčicu” Ņinu, kuru liriskais varonis ļoti mīl. Dziesma ir dialoga formā, kur draugs mēģina vest mīlētāju pie prāta, norādot, ka Ņina ir netīrīga, viņa ģērbjas kā apkopēja, viņai ir zila acs un viena kāja garāka par otru. Tomēr dziesmas liriskais varonis ir nelokāms un tik un tā Ņinu mīl un grib.
