Haittaohjelmat - SecMeter

KYBERHYÖKKÄYS KOKEMÄEN KAUPUNGIN VERKKOON

Kyberrikollinen onnistui murtautumaan Kokemäen kaupungin sisäiseen verkkoon ja ujuttamaan tietojärjestelmään kiristyshaittaohjelman. Kiristyshaittaohjelma salakirjoitti osan tietojärjestelmien sisältämästä datasta, jonka johdosta tieto ei ollut käytettävissä.

Kaupungin työntekijät havaitsivat kyberhyökkäyksen maanantaina 29.7.2019. Kyberhyökkäyksen alkuvaiheen tilannekuvaa leimasi epätietoisuus. Kaupungin vastuuhenkilöillä ei ollut selkeää käsitystä hyökkäyksen laajuudesta ja oliko kriittisiä tietoja vuotanut ulkopuolisten käsiin. Kokemäen kaupungin hallintojohtajan mukaan epävarmuus oli huolestuttavaa. Hyökkääjällä on ollut pääsy myös kriittiseenkin tietoon.

Kyberhyökkäyksen johdosta kaupunki joutui organisoimaan palvelutoimintaansa uudelleen mm. ottamalla käyttöön manuaalisia palveluprosesseja. Kaupungin sähköposti ja maksuliikenne olivat kokonaan pois käytöstä.

Kokemäen kaupunki teki mahdollisesta tietosuojaloukkauksesta ilmoituksen tietosuojavaltuutetun toimistolle ja tutkintapyynnön Lounais-Suomen poliisille. Kyberturvallisuuskeskus osallistui myös tapauksen selvittelyyn. Lähteet: (kokemaki.fi tiedote 30.7.2019, yle.fi 30.7.2019, mtvuutiset.fi 30.7.2019)

KYBERHYÖKKÄYS LAHDEN KAUPUNGIN VERKKOON

Lahden kaupungin verkkoon ja työasemiin kohdistettiin kyberhyökkäys. Tapahtuneesta tehtiin tutkintapyyntö poliisille tiistaina 11.6.2019. Hyökkäys kuormitti Lahden kaupungin verkkoa ja haittaohjelma ohjelma levisi ainakin noin tuhanteen työasemaan. Työasemien virustorjuntaohjelma tunnisti haittaohjelman ja eristi sen tartunnan saaneissa työasemissa.

Operaattorin palomuureissa oli myös havaittu haittaohjelmaan liittyviä yhteysavauksia ja verkkoliikennettä, joka onnistuttiin estämään. Lahden kaupungin ja Päijät-Hämeen hyvinvointiyhtymän verkkojen välinen yhteys katkaistiin heti, kun tilanne havaittiin. Yhteyksien katkaisu aiheutti viiveitä hyvinvointiyhtymän asiakaspalvelussa. Hyökkäyksen seurauksena mm. potilaskertomusten tiedot eivät näkyneet, eivätkä laboratoriovastaukset ja röntgenkuvat olleet käytettävissä, sähköiset reseptit eivät toimineet, eikä terveysasemilla saatu otettua verikokeita.

Lahden kaupunki teki tapahtumasta tutkintapyynnön poliisille. Asiantuntijat ryhtyivät selvittämään hyökkäystä yhteistyössä viranomaisten kanssa hyökkäyksen alkuperää. Keskusrikospoliisin tutkintanimike oli törkeä tietojärjestelmän häirintä. Keskusrikospoliisin mukaan Laden kaupungin työasemiin asentunut haittaohjelma oli tyypiltään troijalainen. Lähteet: (lahti.fi ajankohtaista 12.6.2019, phhyky.fi 12.6.2019, poliisi.fi tiedotteet 12.6.2019, 9.7.2019, yle.fi 12.6.2019, 14.6.2019)

PETYA-KIRISTYSHAITTAOHJELMA

Windows-järjestelmien haavoittuvuuksia hyödyntävä Petya-kiristyshaittaohjelma (NotPetya, Petrwrap, ExPetr) levisi 27.6.2017 yritysten sisäisissä verkoissa Windows-työasemiin. Ukrainan yleisin kirjanpito-ohjelma on M.E.Doc-ohjelma. Sitä käyttää noin 80 prosenttia Ukrainan yrityksistä. Kirjanpito-ohjelmistoa edustava Intellect Service -yhtiö myönsi, että ohjelmistossa oli takaovi, joka avasi mahdollisuuden käyttää ohjelmaa kyberhyökkäyksen alustana. Alkuperäinen tartuntalähde oli ilmeisesti kyseinen M.E.Doc kirjanpito-ohjelmisto. Lähde: (yle.fi 5.7.2017)

Haittaohjelmasta tehtiin havaintoja eri puolilta maailmaa mm. Ukrainassa, Yhdistyneissä kuningaskunnissa, Espanjassa, Alankomaissa, Norjassa, Tanskassa, Ranskassa, Venäjällä, Yhdysvalloissa ja Australiassa. Petya perustuu edeltäjiensä tavoin NSA:sta vuotaneisiin haittaohjelmistoihin. Tartunta käyttää hyväkseen Microsoftin Windows-käyttöjärjestelmän haavoittuvuutta EternalBlue (Microsoftin tietoturvatiedote MS17-010). EternalBlue exploit on osa Shadow Brokersin julkaisemaa FuzzBunch-työkalua. Tartunnan jälkeen kiristyshaittaohjelma voi levitä yrityksen sisäverkossa useilla eri tavoilla.

Petya korvaa kiintolevyjen MBR-käynnistyslohkot uudella koodilla, joka käynnistää Windows-käyttöjärjestelmän käynnistyslataimen, jolloin käyttäjälle esitetään 300 dollarin lunnasvaatimus Bitcoin-verkkorahassa. Tämän jälkeen NTFS-levyosion käyttämät MTF-tiedostotaulukot salataan. Lähteet: (theguardian.com 27.6.2017, telegraph.co.uk 27.6.2017, fortinet.com 27.6.2017)

Petya-haittaohjelma oli todennäköisesti Venäjän Ukrainaa vastaan suuntaama kyberisku, joka oli naamioitu kiristyshaittaohjelmaksi. Petyan tarkoituksena oli aiheuttaa yksinomaan tuhoa Ukrainassa, mutta se pääsi karkaamaan käsistä yli 60 maahan. Kyberiskun toteuttajan uskotaan olleen BlackEnergy-hakkeriryhmä, joka on tehnyt useita kyberiskuja Ukrainaan. Lähde: (hs.fi 2.7.2017)

WANNACRY-KIRISTYSHAITTAOHJELMA LEVISI MAAILMALLA NOPEASTI
Perjantaina 12.5.2017 WannaCry-kiristyshaittaohjelma (WCry, WanaCrypt, WanaCrypt0r) levisi ennen näkemättömän nopeasti useiden eri organisaatioiden Windows-tietokoneisiin. Ainakin 126 534 päivittämättömän tietokoneen raportoitiin saaneen tartunnan. Sunnuntaina 14.5.2017 Europol kertoi haittaohjelman levinneen jo yli 200 000 tietokoneeseen noin 150 eri maassa. Suurin osa kohteista oli yritysten tietokoneita. Suomessa haittaohjelma saastutti vain joitakin kymmeniä tietokoneita, eikä päässyt leviämään yhtä laajasti, kuin monissa muissa maissa.

Haittaohjelman saastuttamat tietokoneet lukittuivat, ja näytölle ilmaantui kiristysviesti. Ohjelma vaati 300 dollarin suuruista maksua bitcoin-verkkovaluutalla. Lunnasvaatimus kasvoi myöhemmin 600 dollariin. Ellei maksua suoritettu tunnin kuluessa kaikki salakirjoittamalla lukitut tiedostot uhattiin tuhota. Europolin mukaan lunnasmaksuja oli suoritettu yllättävän vähän. Suurin osa tietokoneiden käyttäjistä ei suostunut maksamaan.

Microsoftin lakiasiainjohtaja ja varatoimitusjohtaja Brad Smithin mukaan hyökkäyksessä käytetty WannaCry-kiristysohjelma perustui NSA:lta varastettuihin tietoihin. Hänen mielestä hyökkäys ei jättänyt mitään arvailujen varaan ja hän vaati tiedusteluviranomaisia kantamaan vastuunsa aiheuttamistaan vahingoista. Hän myös kohdisti kritiikkiä tietojärjestelmistä vastaaviin henkilöihin, jotka eivät ajoissa huolehdi järjestelmien tietoturvapäivityksistä.

Microsoft oli julkaissut jo aiemmin ennen hyökkäystä haavoittuvuuden poistaneen tietoturvapäivityksen, mutta päivittäminen oli laiminlyöty. Mitä tämä kertoo yritysten tietoturvakulttuurista? Lähteet: (kc.mcafee.com Technical Articles ID: KB89335) yle.fi 13.5.2017, 14.5.2017, hs.fi 13.5.2017, blogs.microsoft.com 14.5.2017 Brad Smith, cnbc.com 15.5.2017)

Tutkijat olivat löytäneet teknisiä vihjeitä, joiden perusteella WannaCry-kiristyshaittaohjelma voitiin yhdistää Pohjois-Koreaan mm. Lazarus-konsernin käyttämän ohjelman koodien perusteella, joka tiedettiin Pohjois-Korean hakkeroimaksi,

Yhdysvaltain hallitus syytti virallisesti Pohjois-Koreaa WannaCry-kiristyshaittaohjelman aiheuttamista vahingoista. Yhdysvaltojen mukaan Pohjois-Korean hallinto oli suoraan vastuussa kaaoksesta. Pohjois-Korean YK:n lähettiläs vaati Yhdysvaltoja todistamaan syytteet, joiden mukaan Pohjois-Korea olisi vastuussa WannaCry-kiristysohjelmasta. Lähettilään mukaan kyseessä oli Yhdysvaltojen "perustelematon provokaatio", jonka tarkoituksena oli lisätä jännitteitä ja vastakkainasettelun ilmapiiriä.

Lopulta WannaCry-kiristyshaittaohjelma ehti lukita yli 300 000 tietokonetta 150 eri maassa, sairaaloissa, kouluissa, yrityksissä ja kodeissa. Vaikka hyökkäyksen uhrit maksoivat vaaditut lunnaat, maksaminen ei avannut heidän tietokoneitaan. Lähteet: (telegraph.co.uk 16.5.2017, techcrunch.com 18.12.2017, cbsnews.com 26.12.2017)

BLACKSHADES-HAITTAOHJELMAT POLIISIOPERAATION KOHTEINA
Suomessa yhdeksän poliisilaitosta osallistui laajaan kansainväliseen poliisioperaatioon, joka kohdistui BlackShades-haittaohjelman internetistä ostaneisiin henkilöihin. Ohjelman hankkineita epäiltiin vaaran aiheuttamisesta tietojenkäsittelylle. Ohjelma oli ollut verkkomyynnissä vuodesta 2010 alkaen.

Poliisi suoritti Suomessa lähes kolmekymmentä kotietsintää. Esitutkintaan liittyen poliisi otti myös kahdeksan henkilöä kiinni. Tietokoneita ja tallennusvälineitä poliisi otti takavarikkoon lähes 90 kappaletta. Operaatiota koordinoi keskusrikospoliisi. Operaatioon osallistuivat Oulun, Itä-Suomen, Lounais-Suomen, Helsingin, Sisä-Suomen, Länsi-Uudenmaan, Pohjanmaan, Hämeen ja Itä-Uudenmaan poliisilaitokset.

BlackShades-haittaohjelman avulla on mahdollista saada kohteena oleva tietokone etähallintaan. Hyökkääjä voi tällöin saada haltuunsa mm. tiedostoja ja salasanoja, käyttää tietokoneen web-kameraa ja mikrofonia käyttäjän tietämättä sekä nauhoittaa näppäimistön painalluksia. Lähteet: (ksml.fi 19.5.2014, aamulehti.fi 19.5.2014, iltasanomat.fi 20.5.2014)

VERKKOPANKKIASIAKKAIDEN TILEILTÄ VIETY RAHAA
Suomalaisten OP, Nordea ja Sampo pankkien verkkopankkiasiakkaiden tileiltä on onnistuttu haittaohjelmien avulla siirtämään rahaa ulkomaisille pankkitileille lähes 20 000 euroa. Keskusrikospoliisin mukaan haittaohjelmia löytyy edelleen verkkopankkiasiakkaiden tietokoneista.

Kyse ei ole verkkopankkijärjestelmään kohdistuneesta hyökkäyksestä, vaan verkkopankkiasiakkaan oman tietokoneen haittaohjelmatartunnasta, josta seuraa järjestelmän eheyden ja luottamuksellisuuden menetys Haittaohjelma voi ottaa tietokoneen täydelliseen kontrolliin, jos tietokoneessa on ominaisuuksiltaan puutteellinen tai päivittämätön suojausohjelmisto tai se puuttuu kokonaan. Virustorjunta ei yksinomaan riitä, vaan tarvitaan muitakin turvaominaisuuksia.

Todennäköisesti Venäjältä suuntautuneen järjestäytyneen rikollisuuden uhreiksi on Suomessa joutunut noin 20 verkkopankkiasiakasta ja määrä saattaa edelleen kasvaa. Haittaohjelma aktivoituu asiakkaan kirjautuessa verkkopankkiin ja käynnistää rinnakkaisistunnon (varjoistunnon), jonka aikana se suorittaa tilillä transaktioita asiakkaan tietämättä.

KRP uskoo, että ainakin viimeisin haittaohjelmahyökkäys on tehty ulkomailta, mahdollisesti Venäjältä. Vastaavia haittaohjelmahyökkäyksiä on ilmennyt ulkomailla jo aiemmin. Lähteet: (yle.fi 20.1.2012, YLE uutislähetykset 20.1.2012 kello 17.00 ja 18.00, mtv3.fi 20.1.2012, MTV3 uutiset 20.1.2012 kello 19.00, op.fi tiedote 20.1.2012, nordea.fi tiedote 20.1.2012)

NORDEAN VERKKOPANKKIASIAKKAAT RIKOLLISTEN UHREINA
Nordean verkkopankkiasiakkaita petkuttava haittaohjelma havaittiin illalla 14.1.2010. Nordea varoitti verkkopankkiasiakkaitaan 15.1.2010 haittaohjelmasta, joka ohjaa asiakkaan varoja väärään paikkaan. Nordean verkkopankin volyymi on noin 300 000 asiointikertaa vuorokaudessa.

Nordea ei kertonut heti, kuinka useasta tapauksesta tai kuinka suurista summista oli yksittäistapauksissa kysymys, eikä myöskään sitä, mihin rahat ohjautuivat. Rikospoliisi ryhtyi tutkimaan tapausta. Myöhemmin Nordean riskienhallintajohtaja kertoi Iltalehden artikkelissa, että 15 Nordean asiakasta oli menettänyt yhteensä 50 000 euroa, eli keskimäärin noin 3300 euroa per asiakas. Nordea lupasi korvata asiakkaiden menetykset.

Haittaohjelma havaittiin vain Suomessa. Haittaohjelman tietokoneelleen saaneille asiakkaille verkkopankin sisäänkirjautumissivu muuttui englanninkieliseksi. Sivun yläreunassa oli englanninkielinen huomautus, jossa ilmoitettiin 24 tuntia kestävistä huoltotoimenpiteistä, jonka johdosta kaikki palvelut eivät toimi. Sivulla pyydetyt pankkitunnukset ohjautuivat haittaohjelman toimesta rikollisten käsiin. Lähteet: (MTV3.fi 15.1.2010, HS.fi 16.1.2010, iltalehti.fi 16.1.2010, 18.1.2010)

KEYLOGGER "PALIKKA" LÖYTYI TAMPEREEN TEKNILLISESTÄ YLIOPISTOSTA
Tampereen teknillisen yliopiston mikroluokasta löytyi tietokoneeseen asennettu keylogger. Laite löytyi mikroluokan vuosihuollossa 29.5.2008. Julkisuuteen tullut tapaus on laatuaan ensimmäinen Suomessa, mutta ei varmasti ainoa. Tapaus annettiin poliisin tutkittavaksi. Lähteet: (HS.fi 11.6.2008, Ilta-Sanomat 11.6.2008, Digitoday 11.6.2008, It-viikko 11.6.2008, Kainuun sanomat 11.6.2008, Lapin Kansa 11.6.2008)

VAARAN AIHEUTTAMINEN TIETOJENKÄSITTELYLLE
Porin käräjäoikeus käsitteli 3.6.2008 juttua, jossa syytettynä oli 19-vuotias porilainen nuorimies. Miestä syytettiin vaaran aiheuttamisesta tietojenkäsittelylle. Mies oli myöntänyt esitutkinnassa koodanneensa kymmeniä tietokoneen haittaohjelmia. Valmiit haittaohjelmat välitettiin englantilaiselle miehelle edelleen levitettäviksi. Osana jutun tutkintaa Britannian poliisi pidätti 63-vuotiaan englantilaisen ja 28-vuotiaan skotlantilaisen miehen.

Haittaohjelmat onnistuivat leviämään arvioiden mukaan miljooniin tietokoneisiin ympäri maailmaa. Kyse oli nk. troijalaisista, jotka mahdollistivat rikollisille tietokoneiden kaappaamisen omaan käyttöön. Haittaohjelmien levitystä hoitanut ryhmä tunnettiin nimellä m00p. Käräjäoikeus tuomitsi syytetylle seitsemän kuukauden ehdottoman vankeusrangaistuksen, joka muunnettiin 180 tunnin yhdyskuntapalveluksi. Lähteet: (Tietoviikko 28.6.2008, YLE.fi 3.6.2008, HS.fi 3.6.2008)

ELÄINAKTIVISTIT TUKKIVAT TURKISTUOTTAJIEN KOTISIVUT
Ryhmä eläinaktivisteja (Oikeutta eläimille -internetjaosto) tukki Turkistuottajat Oy:n kotisivut kuormittamalla palvelua ohjelmilla, jotka toistivat jatkuvasti IP -osoitteen päivityspyyntöjä. Turkistuottajat Oy välittää kotisivullaan huutokauppatietoja asiakkailleen ja turkistarhaajille. Kuormituksen johdosta kotisivut eivät olleet käytettävissä kello 11-14 välisenä aikana. Lähteet: (Helsingin Sanomat 29.3.1999, MTV3 uutiset 29.3.1999)

MAKROVIRUS KIUSASI FINNAIRIA
Win95/CIH -makrovirus lamautti joitakin Finnairin työasemia. Virus oli mahdollista havaita vain uusimmilla virustorjuntaohjelmistojen versioilla. Vaikka Finnairissa oltiin varauduttu virusten varalle, tuli tilanne yllätyksenä. Finnair ilmoitti pyrkivänsä selvittämään mistä virus tuli. Lähde: (Helsingin Sanomat 26.11 ja 27.11.1998)

TIETOLIIKENTEEN HÄIRINTÄ
Kuusitoistavuotiaan koulupojan lähettämä roskapostitulva aiheutti ylimääräistä vaivaa ja harmia. Alkuperäisestä sanomasta monistui yhdeksäntuhatta kopiota, jonka seurauksena internet-palveluita tarjoavan yhtiön tietokone kaatui.

Poliisi arveli pojan syyllistyneen rikoslaissa tarkoitettuun "tietoliikenteen häirintä" -nimikkeen mukaiseen tekoon, jonka enimmäisrangaistus on kaksi vuotta vankeutta. Tapaus on ensimmäinen Suomessa havaittu "roskapostihyökkäys". Lähde: (Iltalehti 16.9.1997)

VIESTINTÄTOIMISTO PROMOTIVA LEVITTI LEHDISTÖMATERIAALIN MUKANA TIETOKONEVIRUSTA
Viestintätoimiston Microsoftin uutuustuotteesta kertova lehdistötiedote sisälsi "Wuzzy" -makroviruksen. Yhtiö pahoitteli tapahtunutta ja lähetti viruksen tuhoamisohjeet. Lehdistötiedote lähetettiin sähköpostiviestinä lukuisille toimittajille. Sähköpostiviestin liitetiedosto sisälsi lisämateriaalia sekä kyseisen "Wuzzy" -makroviruksen. Microsoft ei osannut kertoa mistä virus oli päässyt liitetiedostoon. Lähde: (Ilta-Sanomat 29.1.1997)

RAKENNUSYHTIO SKANSKA OY SAI MAKROVIRUKSEN VENÄJÄLTÄ
Rakennusyhtiö Skanska Oy sai "Demon" -makroviruksen Venäjältä ja ehti jaella sitä yhteistyökumppaneilleen sähköpostin liitetiedostoissa. "Demon" -makrovirus leviää Word -tekstitiedostojen mukana, mutta ei tuhoa tiedostoja. Virus aiheuttaa ilmoituksen "Winword hidden Demon is happy to see his master!!! Great Day!!!". Skanskan vanhat virustorjuntaohjelmat eivät tunnistaneet virusta. Makrovirusten leviämisen ehkäisee tehokkaasti tallentamalla tiedoston RTF -formaatissa. Tilanteen seurauksena Skanska Oy ryhtyi seuraaviin toimenpiteisiin:

• Ilmoitus kaikille yhteistyökumppaneille, joille on jaeltu viruksen sisältäviä tiedostoja.
  
• Virustorjuntaohjelman päivitys.
  

Lähde: (Kauppalehti 5.8.1997)

UUSISSA LEVYKKEISSÄ VIRUKSIA
PC -Superstore Oy julkaisi maksullisen ilmoituksen 3,5" tehdasformatoidusta halpalevyke-erästä, josta oli löytynyt "LZR" -niminen MBR -virus. Asiakkaille jaettiin ostokuittia vastaan puhdistusohjelma ja kehotettiin alustamaan levykkeet uudelleen. Lähde: (Helsingin Sanomat 28.10.1994)

VÄÄRENNETYLLÄ PASSILLA LIIKKUNUT VENÄLÄINEN MIES LEVITTI TIETOKONEVIRUKSIA
Väärennetyllä brittipassilla Suomessa liikkunut venäläinen mieshenkilö jäi kiinni Helsingissä myymälävarkaudesta 21.5.1992. Poliisi takavarikoi miehen hallusta tietokonevirusten saastuttamia levykkeitä. Miehen epäiltiin levittäneen Michelangelo- tai Stoned tietokoneviruksia Suomessa.

Suomessa mies esiintyi englantilaisena Michael George Levenberginä. Hän liikkui Lahden, Heinolan ja Porin seuduilla tekemässä metallialan kauppoja. Kuulusteluissa mies kertoi nimekseen Mihail Ossetinky. Hän tuli Suomeen Vaalimaan raja-aseman kautta 19.5.1992. Lähde: (Helsingin Sanomat 30.5.1992)