Kyberturvallisuus - SecMeter

Sisältöön

Kyberturvallisuus

Yritysturvallisuus > Kyberturvallisuus
Supo varoitti huhtikuussa 2000 vakoilun lisääntyneen. Ulkomaiset tiedustelupalvelut ovat kiinnostuneita valtionhallinnon ja yksityisten yritysten sekä myös yksittäisten kansalaisten tietokoneista kyetäkseen suorittamaan tietomurtoja ja tarvittaessa estämään niiden toiminta. Lähde: (MTV3 -uutislähetys 25.4.2000 klo 22.00)

Vuosituhannen vaihteessa haittaohjelmasodankäynti arvioitiin erääksi tulevaisuuden tärkeimmistä sodankäyntimuodoista.

Virukset nähtiin voimankasvattajina, joiden avulla hyökkäyksen kohteena olevan yhteiskunnan tilanne saadaan eskaloitua kaaokseen.

Nykyisin puhutaan kybersodankäynnistä. Aiempi informaatiosodankäynti (esim. Informaatiosaarto) oli yläkäsite ja sisälsi elektronisen, psykologisen ja verkkosodankäynnin käsitteet.

Aseellinen hyökkäys on fyysisen voiman käyttöä toista valtiota vastaan. Kyberhyökkäys on loogisen voiman käyttöä toisen valtion kyberympäristöjä vastaan. Valtiollisen toimijan hyväksymä kyberhyökkäys Nato-jäsenmaata kohtaan on sotatoimi, joka voidaan tulkita Washingtonin sopimuksen 5:n artiklan mukaiseksi hyökkäykseksi kaikkia Nato-maita kohtaan. Lähde: (theverge.com 2.7.2017)

Kybersodankäynti tarkoittaa valtiollisen toimijan pitkäkestoista kyberhyökkäystä, jonka tavoitteena on vaikuttaa kybertoimintaympäristön kautta poliittiseen päätöksentekoon, häiritsemällä, saartamalla tai tuhoamalla yhteiskunnan toiminnalle keskeisiä palveluja tuottavia kyberympäristöjä.

Taustalla on kansainvälinen kehitys, jonka seurauksena kehittyneelle yhteiskunnalle ja sen yksittäisille kansalaisille keskeiset palvelut ovat riippuvaisia tietojärjestelmien käytettävyydestä. Julkishallinnon, yksityisten yritysten esimerkiksi pankkien ja kauppojen palvelut eivät ole käytettävissä, jos sähköenergian saanti tai tietojärjestelmät eivät toimi. Esimerkiksi sähköisen maksujärjestelmän (maksuliikenneaineiston välitys ja korttimaksaminen) toimivuus vaikuttaa lähes kaikkien yritysten ja kansalaisten elämään.

Useat valtiot ovat perustaneet erikoisjoukkoja tai operatiivisia yksiköitä, joiden tehtävänä on valmistella ja suorittaa julkisen verkon kautta tapahtuvia hyökkäyksiä, kuten esimerkiksi suunnitella, valmistaa ja soluttaa haittaohjelmia potentiaalisten vastustajien järjestelmiin. Hyökkäysoperaatioita tapahtuu julkisessa verkossa päivittäin. Kybersodankäyntiin erikoistuneet yksiköt suorittavat joka päivä hyökkäyksellisiä operaatioita ilman, että operaatiot vaikuttaisivat suoranaisesti kansalaisten turvallisuuteen.

Vallitseva tilanne on johtanut siihen, että kybersodankäynti on maailmalla laajasti tiedostettu ilmiö. Suomessakin herättiin uuden uhkakuvan edessä. Vuoden 2010 lopulla valtioneuvosto antoi periaatepäätöksen yhteiskunnan kokonaisturvallisuudesta (YTS 2010).

Periaatepäätökseen katsottiin sisältyvän myös ns. kyberuhat. Valmisteluvastuu oli Turvallisuus- ja puolustusasiain komitealla (TPAK) (myöhemmin Turvallisuuskomitea). Valmistelutyön TPAK suoritti vuoden 2011 aikana. Vuonna 2012 hallituksen ulko- ja turvallisuuspoliittisen ministerivaliokunnan eli Utvan kokous käsitteli kansallista kyberturvallisuusstrategiaa. Tavoitteena oli saada strategia aikaan vuoden 2012 loppuun mennessä.

CIA:lla lähes rajaton kyvykkyys murtautua myös kuluttajien verkkolaitteisiin
Wikileaks julkaisi tiistaina 7.3.2017 uusia yksityiskohtia CIA:n kyvykkyydestä murtautua kuluttajien verkkolaitteisiin. Tieto ei ollut uusi, eikä yllättävä. Tiedustelupalvelut ovat vuosikymmeniä käyttäneet ns. kaksisuuntaista televisiota poliitikkojen, diplomaattien ja liikemiesten vakoiluun hotelleissa. Verkkoon kytkettyjen kuluttajaelektroniikkalaitteiden kohdalla NSA totesi julkisuudessa vuonna 2012, että tietoverkkoihin ja niiden palveluihin kohdistuvasta vakoilusta ja tarkkailusta tulee jatkossa kaiken viestinnän ja tiedonvälityksen kattavaa. Tämä kyvykkyys on nykyisin FBI:llä, CIA:lla ja NSA:lla sekä useimmilla Euroopan unionin valtion poliisi- ja tiedusteluviranomaisilla.

Ensimmäinen osa julkaistusta aineistosta tunnetaan Vault7-nimellä ja oli laajuudeltaan 7 818 verkkosivua ja 943 liitettä. Koko aineisto on laajuudeltaan satoja miljoonia rivejä. Yksi CIA:n kyberhyökkäyskeskuksista sijaitsee Yhdysvaltain Frankfurtin konsulaatissa. Asiakirjoista ilmeni, että CIA:lla on kyky murtautua mm. Applen iPhone ja Googlen Android älypuhelimiin, Microsoftin Windows käyttöjärjestelmiin sekä Samsungin verkkoon kytkettyihin älytelevisioihin.

CIA:n
murtautumisohjelmaa koodinimelltä Weeping Angel käytetään Samsungin verkkoon kytkettyjen älytelevisioiden mikrofonien kytkemiseksi salakuunteluun. Vaikka televisio olisi sammutettu se pystyy lähettämään huoneesta mm. puheääntä salaa internetin välityksellä CIA:n palvelimille. Wikileaksin mukaan CIA oli kehittänyt yli tuhat haittaohjelmaa ja hankkinut kyvyn murtautua nollapäivähaavoittuvuuksien avulla mm. Whatsappin, Signalin, Telegramin, Wiebon, Confiden ja Cloackmanin viestipalveluihin. Android älypuhelimista viestiliikenne kaapataan jo ennen salausta. Nollapäivähaavoittuvuuksia CIA hankkii mm. kyberaseurakoitsijoilta tai muilta tiedusteluviranomaisilta.

Edellä kuvattuun taktiikkaan pätee yksinkertainen vastatoimi. Tiedon salaava ja salauksen purkava laite ei saa olla julkiseen verkkoon kytkettyinä. Vain salattua informaatiota voidaan käsitellä julkiseen verkkoon kytketyissä päätelaitteissa. Tätä toimenpidettä helpottamaan on kehitetty yleisesti saatavilla olevaa kaupallista teknologiaa.

Wikileasksin haltuunsa saamat asiakirjat osoittivat, että Yhdysvaltain tiedusteluviranomaisten ja kumppaneiden välillä tapahtuu laaja-alaista murtautumismenetelmien ja tietojen vaihtoa. Lähteet: (nytimes.com 7.3.2017, cbsnews.com 7.3.2017)

Valtiollinen kyberhyökkäys

Tavoite
Valtiollisen hyökkääjän tavoitteena on kybervaikuttamisen keinoin hankkia tietoa, tukea ja nopeuttaa kohdevaltion yhteiskuntapoliittista suunnanmuutosta. Kybervaikuttamisen tavoitteena ei ole normaalioloissa kohdevaltion verkkoinfrastruktuurin tuhoaminen, koska julkisen verkon toimivuus on kybervaikuttamisen välttämätön edellytys. Kybervaikuttamista ei ole ilman julkista verkkoa.

Valmistelu
Valtiolliset kyberhyökkäykset ovat huolellisesti valmisteltuja. Kyberhyökkäystä edeltää lähes aina kohteen tiedustelu ja usein myös verkkovakoilu. Hyökkäysmenetelmän valinnan jälkeen on suunniteltava ase (haittaohjelma) ja testattava sen vaikuttavuus hyökkäyskohdetta vastaavassa testiympäristössä. Kyberhyökkäysten valmisteluun liittyvät myös laitevalmistajien ja ohjelmistotoimittajien koodaamat takaportit sekä ohjelmisto- ja laitehaavoittuvuudet.

Hyökkäys
Valtioiden väliset intressiristiriidat ja poliittiset konfliktitilanteet antavat valtioille oikeusperustan huolehtia omasta kansallisesta turvallisuudestaan. Kansallisen turvallisuuden toimeenpanoa edustavat mm. kybersodankäyntiin erikoistuneiden yksiköiden operaatiot.

Kohdevaltioon suuntautuvat hyökkäysoperaatiot käynnistetään eri puolilla maailmaa sijaitsevilta komentopalvelimilta. Hyökkääjä pyrkii yleensä vaikuttamaan vieraan valtion keskeisten tietojärjestelmien käytettävyyteen, eheyteen tai luottamuksellisuuteen.

Vaikuttavuus
Kybervaikuttamisella on mahdollista horjuttaa tai lamaannuttaa yhteiskunnan kriittinen palveluinfrastruktuuri ja saada aikaan kaaos, joka edistää ja nopeuttaa tavoitteiksi asetettujen päämäärien saavuttamista. Keskeinen vaikutusmekanismi on kansalaisten tyytymättömyyden ja epäluottamuksen lisääntyminen poliittisia päätöksentekijöitä kohtaan.

Suomen puolustusteollisuus kybervakoilun kohteena
Pohjois-Korea on aktiivinen toimija aseteknologian vakoilussa. Microsoftin raportin mukaan Pohjois-Korean hakkerit onnistuivat murtautumaan mm. Suomen puolustusteollisuuden yrityksiin. Raportin mukaan noin 5 prosenttia Pohjois-Korean vuotuisesta vakoiluaktiviteetista on kohdistunut Suomeen.

Pohjois-Korea on kiinnostunut erityisesti merisotateknologiasta mm. sukellusveneistä laukaistavista ohjuksista ja miehittämättömistä vedenalaisista droneista. Merisotateknologia on kolmen pohjoiskorealaisen kybertiedusteluyksikön kiinnostuksen kohteena, jotka tunnetaan länsimaissa koodinimillä Ruby Sleet (CERIUM), Diamond Sleet (ZINC) ja Sapphire Sleet (COPERNICIUM). Lähde: (Microsoft, Digital threats from East Asia increase in breadth and effectiveness -raportti, syyskuu 2023)

Suomen eduskunta kybervakoilun kohteena
Suomen eduskunta joutui pitkäaikaisen kybervakoilun kohteeksi. Hyökkäys havaittiin eduskunnan sisäisessä teknisessä valvonnassa. Eduskunnan puheenjohtaja Anu Vehviläinen ja presidentti Niinistö pitivät vakoilua vakavana loukkauksena suomalaista demokratiaa ja yhteiskuntajärjestystä kohtaan.

Keskusrikospoliisi tutki tapausta törkeänä tietomurtona ja vakoiluna. Krp kertoi tiedotteessaan, että jutun esitutkinta aloitettiin loppusyksystä 2020.Toistaiseksi tuntematon taho on hankkinut eduskunnasta tietoa joko vieraan valtion hyödyksi tai Suomea vahingoittaakseen. Supon arvion mukaan järjestelmällistä kybervakoilua ja tavanomaista tiedustelutoimintaa Suomeen kohdistuu erityisesti Venäjän ja Kiinan tiedustelupalveluiden toimesta. Suojelupoliisin tiedustelutietojen mukaan kyseessä oli niin kutsuttu APT31-operaatio.

NSA:n Equation Group kehitti (EpMe) Windowsin nollapäivähaavoittuvuutta (virhe CVE-2017-2005 korjattu vuonna 2017) hyödyntävän murtotyökalun vuonna 2013. Kiinalainen APT31-hakkeriryhmä varasti työkalun NSA:lta vuonna 2014 ja kloonasi siitä oman version.  Kiinalainen APT31-ryhmä hyödynsi työkalua useita vuosia hyväksi ennen kuin Microsoft korjasi haavoittuvuuden. Lähteet: (poliisi.fi keskusrikospoliisi tiedote 28.12.2020, aamulehti.fi 28.12.2020, kaleva.fi 29.12.2020, hs.fi 29.12.2020, supo.fi tiedote 18.3.2021)

Naton päämajan tietojärjestelmät jatkuvien kyberhyökkäysten kohteena
Naton pääsihteeri Anders Fogh Rasmussenin mukaan hakkerit hyökkäävät Naton päämajan tietojärjestelmiin noin 100 kertaa päivässä. Rasmussenin mukaan ei ole liioittelua sanoa, että kyberhyökkäykset ovat uudenlainen pysyvä alemman tason sodankäynnin muoto. Lähde: (thenewnewinternet.com 22.10.2010)

USA:n armeijan tietojärjestelmät jatkuvien kyberhyökkäysten kohteena
Yhdysvaltain apulaispuolustusministeri William J. Lynn III mukaan USA:n armeijan tietojärjestelmät ovat jatkuvasti noin sadan (100) ulkomaisen tiedusteluorganisaation kyberhyökkäysten kohteena. Hyökkäysten määrä on kasvanut viimeisen kymmenen vuoden aikana eksponentiaalisesti. Hyökkäyksillä yritetään haitata Yhdysvaltain sotatoimia.

Apulaispuolustusministeri J. Lynn kertoi ensi kertaa julkisuuteen vakavasta vuonna 2008 tapahtuneesta haittaohjelmahyökkäyksestä, joka kohdistui USA:n armeijan salaisiin tietokoneverkkoihin. Haittaohjelma putkahti verkkoon flash-levyltä, joka liitettiin armeijan kannettavaan tietokoneeseen Lähi-idässä.

Haittaohjelma oli asennettu levylle ulkomaisen tiedustelupalvelun toimesta. Haittaohjelma kopioi itsensä edelleen Yhdysvaltain Central Commandin verkkoon ja verkosta edelleen turvaluokiteltuihin ja turvaluokittelemattomiin tietojärjestelmiin. Apulaispuolustusministeri William J. Lynn painotti, että kyseessä oli Yhdysvaltain armeijan tietojärjestelmä vastaan suunnatuista hyökkäyksistä vakavin. Lähde: (Foreign Affairs syys-lokakuu 2010)

Viron tietoliikenneinfrastruktuuria vastaan kohdistui kyberhyökkäys
Viron tietoliikenneinfrastruktuuri joutui massiivisen Venäjältä suunnatun kyberhyökkäyksen kohteeksi Viron pääministeri Andrus Ansipin 22.5.2006 tekemän ns. pronssipatsaan siirtoesityksen johdosta. Viron hallitus hyväksyi esityksen ja päätti siirrättää voitonpäivän-patsaan Tallinnan keskustasta sivummalle rauhallisempaan paikkaan.

Kyberhyökkäys alkoi perjantaina, 27.4.2007 kello 22.30. Voimakkain läpimurtohyökkäys alkoi voitonpäivänä 9.5.2007. Venäjältä oli vuokrattu mm. suuria botnet-verkkoja hyökkäyksen toteuttamiseksi, joiden avulla generoitiin miljoonia tietoliikennepaketteja pommittamaan palvelimia alas.

Hyökkäyksen vaikutukset näkyivät nopeasti suurten liikepankkien, teleoperaattoreiden, tiedotusvälineiden ja nimipalvelimen toiminnassa. Kyberhyökkäyksen vaikutukset ulottuivat suurimpaan osaan Viron väestöä. Ensimmäistä kertaa internetin historiassa kyberhyökkäys uhkasi kansallista turvallisuutta.

Wikileaksin julkaiseman cablegate-raportin mukaan Kremliä tukeva nuorten aktivistien ryhmä Nashi Transnistrian oli vastuussa osasta kyberhyökkäyksiä. Viron hallituksen mielestä sillä on riittävästi aihetodisteita yhdistää hyökkäykset Moskovasta organisoiduiksi. Osa palvelunestohyökkäyksistä oli toteutettu ja koordinoitu suunnitelmallisesti erittäin pitkälle kehitetyin menetelmin.

Hyökkäyksessä oli käytetty salaperäistä tuntemattomaksi jäänyttä datapakettia, joka kaatoi Viron hallituksen ja Viron suurimman teleoperaattorin Elionin reitittimet niin nopeasti, että viranomaiset eivät onnistuneet selvittämään miten se tehtiin. Lähde: (Wikileaks viitetunnus 07TALLINN366)

Suomessa pankit ovat kiinni, jos tietojärjestelmät eivät toimi
Hyökkäysten kohteena ovat tyypillisesti valtionhallinnon ja tiedotusvälineiden tietojärjestelmät. Tulevaisuudessa hyökkäykset tulevat kohdistumaan aiempaa laajemmin myös pankki-, liikenteenohjaus- ja logistiikkajärjestelmiin. Palvelurakenteisiin kohdistuvat taloudellisuuden ja tehokkuuden vaatimukset ovat ohjanneet palvelut yksipuolisesti sähköisten jakelukanavien piiriin. Yhteiskunnan huoltovarmuuskriittisten palveluiden perustuessa pääsääntöisesti internet protokollaa käyttäviin sähköisiin palveluihin, on kybersodankäynnin keinoin mahdollista haitata merkittävästi tai estää kokonaan huoltovarmuuskriittisten palveluiden käyttö.

Mahdollisuus vastatoimiin heikkenee oleellisesti, mikäli yhteydet ulkomaailmaan (informaatiosaarto) on katkaistu tai jouduttu puolustuksellisista syistä katkaisemaan. Huoltovarmuuskriittisten palveluiden monitasoiset keskinäiset riippuvuudet ja kansainväliset hajautukset ovat johtaneet tilanteeseen, jossa perinteiset huoltovarmuustoimenpiteet eivät kykene poikkeusolojen aikana takaamaan tietotekniikkainfrastruktuurin palvelukykyä. Tähän seikkaan liittyy edelleen katteetonta toiveajattelua. Huoltovarmuuden kannalta puolustuksellinen kybersodankäynti on aivan keskeisessä roolissa palveluiden käytettävyyden turvaamisessa.

Yhdysvallat ja Israel ovat kybersodankäynnin pioneereja
Virkakautensa alussa Yhdysvaltain presidentti Barack Obama katsoi, että Yhdysvaltojen tulisi laajentaa merkittävästi kyberaseiden käyttöä Iranin ydinaseohjelmaa vastaan ajamalla uraania rikastavat ydinlaitokset alas. Presidentti George W. Bushin aloittama ja presidentti Barack Obaman vauhdittama kyberhyökkäys tunnettiin nimellä "Olympic Games". Lähde: (nytimes.com 1.6.2012)

Stuxnet ja Flame olivat Yhdysvaltojen ja Israelin yhteistyön näyte Iranin ydinohjelman vastaisessa sodankäynnissä. Tapahtui kuitenkin jotain odottamatonta mitä ei ehkä suunniteltu. Stuxnet ja Flame paljastuivat muulle maailmalle. Niiden toimintatapa ja koodi levisivät salamannopeasti ympäri maailmaa ja liitettiin lukuisina muunnelmina eri valtioiden kybersodankäyntiyksiköiden asearsenaaliin.

Yhdysvallat ja Israel joutuvat ottamaan vakavasti myös vastaiskun mahdollisuuden. Kyberaseet leviävät samoin kuin ydinaseet ympäri maailmaa. Tulevaisuudessa kyberaseet tulevat olemaan kompromissiin painostamisessa tehokkaampia ja taloudellisempia kuin perinteiset aseet. Todennäköisesti niiden käyttöä tullaan myös rajoittamaan kansainvälisin sopimuksin, samaan tapaan kuin ydinaseiden leviämistä.

Vuoden 2013 loppuun mennessä NSA oli käyttänyt 652 miljoonaa dollaria noin Genie ohjelmalla hallittavan 85 000 aktivoitavan (nukkuvan) vakoiluohjelman asentamiseen tietokoneisiin ja kyberkomponentteihin eri puolille maailmaa. Lähivuosina asennettujen vakoiluohjelmien määrän odotetaan nousevan miljooniin.

Genie ohjelmalla hallittiin kaikessa hiljaisuudessa ulkomaisia tietoliikenneverkkoja. Ohjelman avulla ulkomailla sijaitseviin tietokoneisiin, reitittimiin, palomuureihin ja muihin tietoliikenneverkon komponentteihin voitiin hivuttaa haittaohjelmia, joita käytetään tulevaisuuden tietomurto-operaatioissa.

Vuonna 2012 NSA ryhtyi kouluttamaan lisää "nettisotilaita" salaisiin verkko-operaatioihin. Koulutusohjelmaan haki mukaan 20 yliopistoa. Mukaan valittiin Dakotan, Tulsan, Northeasternin ja laivaston yliopistot. Salaisen koulutusohjelman tarkoituksena oli paikata osaavan henkilökunnan puutetta.

Verkossa tapahtuvat hyökkäys- ja puolustusoperaatiot edellyttävät syvällistä tietotekniikan tuntemusta. Koulutusohjelmaan valittavien opiskelijoiden taustat selvitettiin. Edellytyksenä oli myös henkilöturvallisuusluokitus. Lähde: (nsa.gov lehdistötiedote 11.6.2012)

Vakoiluohjelmien toteuttamisesta (suunnittelu, ohjelmointi ja testaus) vastasi ensisijaisesti NSA:n kybersodankäynnin tiedusteluyksikkö TAO (Tailored Access Operations). NSA osti myös yrityksiltä tietoja kyberhyökkäyksiin soveltuvista ohjelmahaavoittuvuuksista.

TAO-yksikössä työskenteli noin 600 eliittihakkeria. Heidät oli sijoitettu NSA:n Fort Meaden päätoimipaikan lisäksi alueellisiin keskuksiin Georgiassa, Texasissa, Coloradossa ja Havaijilla. TAO-yksikön Fort Meaden toimitila tunnetaan organisaatiokaavioissa nimellä S321. Työntekijät kutsuivat sitä termillä "ROC” (Remote Operation Center) lausutaan "rock".

NSA:n itse suunnittelemien vakoiluohjelmien lisäksi se suunnitteli ostavansa vuonna 2013 ulkopuolisilta yrityksiltä mm. tietoja ohjelmistojen nollapäivähaavoittuvuuksista 25,1 miljoonalla dollarilla. Vuonna 2011 Yhdysvallat teki 231 kyberhyökkäystä. Hyökkäysten kohteet sijaitsivat Iranissa, Venäjällä, Kiinassa ja Pohjois-Koreassa. Hyökkäysten tavoitteena oli kybervakoilu ja sabotaasit. Lähde: (washingtonpost.com 29.8.2013, 2.9.2013)

Iranissa havaittiin erittäin vaarallinen kyberase
Iranin tietoturva-asiantuntijat raportoivat Flame (Skywiper) kybervakoiluohjelmasta, jonka he luokittelivat huomattavasti Stuxnet-matoa vaarallisemmaksi. Kyseessä oli vuoteen 2012 mennessä kaikkein kehittynein, monimutkaisin ja vaarallisin tunnettu haittaohjelma. Sen alkuperä viittasi Israelin armeijan kybersodankäyntiyksikön tuotoksiin.

Kyberhyökkäys paljastui asiantuntijoiden tutkiessa toista haittaohjelmaa. Flame oli järjestyksessä neljäs tunnettu kyberase Stuxnetin, Starsin ja Duqun ohella. Haittaohjelma oli kehitetty laaja-alaiseen verkkovakoilun tarpeeseen. Sen tehtävänä oli kerätä tietoja julkisiin tietoverkkoihin liitetyistä tietokoneista mm. seuraamalla verkkoliikennettä, ottamalla kuvakaappauksia, äänittämällä keskusteluja ja tallentamalla näppäimistön käyttöä.

Flame hyödynsi kaikkia mahdollisia tapoja tiedon kaappaamiseen, kuten näppäimistöä, näyttöä, mikrofonia, tallennuslaitteita, videokameraa, verkkoa, WiFiä, Bluetoothia, USB-laitteita ja järjestelmän prosesseja. Flame (Worm.Win32.Flame aka #) koostui ohjelmamoduuleista. Ohjelman noin kuuden megatavun suuruinen moduuli asentui tietokoneeseen esimerkiksi muistitikulta. Tämän jälkeen se latasi komentopalvelimelta lisämoduuleja tarpeen mukaan (työkalupakki).

Kerätyt tiedot lähetettiin eri puolilla maailmaa sijaitseville komentopalvelimille, josta tiedon hyödyntäjät saivat ne käyttöönsä. Haittaohjelman toimintoja operoitiin myös komentopalvelimilta. Ohjelman koodaajilla oli mahdollisuus kirjoittaa uutta koodia ja muuttaa eri moduulien toimintoja ja käyttäytymistä ilman, että muut moduuleita käyttävät ”haittaohjelman operaattorit” sitä havaitsivat.

Ohjelmamoduuleihin voitiin tehdä uusia toimintoja ja toiminnallisia korjauksia. Muutokset ja päivitykset voitiin ottaa käyttöön yksinkertaisesti ohittamalla tietoturvatuotteiden kontrollit. Flame pystyi kasvamaan noin 20 megatavun suuruiseksi ohjelmistoksi. Yleensä haittaohjelmien koko oli ollut korkeintaan muutamia satoja kilotavuja.

Haittaohjelma oli noin 20 kertaa suurempi kuin Stuxnet -mato. Eugene Kasperskyn mukaan se oli myös 20 kertaa monimutkaisempi, kuin Stuxnet-mato. Flame pystyi varastamaan tiedot mm. kaikista lähellä olevista avoimista Bluetooth-laitteista ja ottamaan ruutukaappauksia sähköpostiviesteistä ja ohjelmista.

Flame havaittiin Iranissa ja muissa Israelin vihollismaissa. Se onnistui piiloutumaan tietoturvaohjelmistoilta mahdollisesti jo vuodesta 2008 ja varmuudella maaliskuusta 2010 lähtien. Flame haittaohjelma oli löydetty ainakin 600 ennalta kohteeksi valikoidusta tietojärjestelmästä Iranissa (189), Syyriassa (30), Libanonissa (18), Egyptissä (5), Sudanissa (32), Saudi Arabiassa (10) ja palestiinalaishallinnossa. Lähteet: (israelnationalnews.com 28.5.2012, ibtimes.co.uk 28.5.2012, telegraph.co.uk 28.5.2012, bbc.co.uk 28.5.2012)

Näin Yhdysvaltojen ja Israelin kyberase toimi Iranissa

  • Yhdysvalloissa NSA:n ohjelmoijat ja Israelin armeijan kybersodankäyntiyksikön asiantuntijat kirjoittivat syvätiedustelua suorittavan beacon-ohjelman (majakka), jolla kartoitettiin hyökkäyksen kohteena olevien laitosten toimintaa.
  • Ohjelma solutettiin laitosten tietojärjestelmiin mm. laitoksen työntekijöiden toimesta heidän tietämättään.
  • Ohjelma keräsi yksityiskohtaista tietoa laitosten tietokoneiden kokoonpanoista ja välitti tiedot takaisin tiedustelupalvelujen komentopalvelimille.
  • Beacon-ohjelman keräämien tietojen avulla NSA:n ohjelmoijat ja Israelin armeijan kybersodankäynnin yksikön asiantuntijat suunnittelivat laitosten tietojärjestelmiä häiritseviä haittaohjelmia, jotka olivat pääsääntöisesti matoja.
  • Haittaohjelma suunnattiin valittuihin laitoksiin erikseen valituilla vaihtoehtoisilla menetelmillä (muistitikulla, huoltokäyntien yhteydessä, laitoksen laitetoimittajien henkilöstön avustuksella, laitoksen henkilökunnan avustuksella, verkon kautta ym.) Asennettuaan haittaohjelma häiristi ja sotki eri tavoin laitoksen prosesseja.
  • Mossad tuki kyberhyökkäystä paikallisella epäsuoralla sodankäynnillä eliminoimalla laitoksen avainhenkilöstöä (mm. tietotekniikka-asiantuntijoita ja tutkijoita).
  • NSA teki jatkuvasti uusia kyberiskuja koodaamalla ja aktivoimalla komentopalvelimilta uusia haittaohjelmaversioita, jotka aiheuttivat toistuvia erilaisia häiriöitä ja sotkua laitosten prosesseihin. Lopulta laitoksia jouduttiin pysäyttämään.
  • Kyberiskun vaikutuksia seurattiin tiedusteluverkoston avulla. Mitä laaja-alaisempi vaikutus saatiin aikaan, sitä paremmin kyberiskut edistivät ja nopeuttivat poliittisen kompromissin aikaansaamista.

ITU ilmoitti antavansa jäsenmailleen varoituksen
YK:n alainen Kansainvälinen televiestintäliitto ITU (International Telecommunication Union) ilmoitti antavansa varoituksen jäsenmailleen Flame haittaohjelmasta. ITU:n koordinaattori Marco Obiso piti Flame haittaohjelmaa vakavampana uhkana kuin Stuxnetiä. Lähteet: (yle.fi 30.5.2012, mtv3.fi 30.5.2012)

Iranin hallinto jatkuvien kyberhyökkäysten kohteena
Stars haittaohjelma oli Dugu haittaohjelman varhaisempi versio. Iranin siviilipuolustusorganisaation johtaja Gholam Reza Jalali kertoi Iranin havainneen ja estäneen uuden maata vastaan kohdistetun kyberiskun, jonka tavoitteena oli vakoilla hallituksen tietojärjestelmiä.

Hyökkäys toteutettiin Stars-haittaohjelmalla (mato), jonka toimintaa Iran selvitti. Jalalin mukaan haittaohjelma ei aiheuttanut toistaiseksi suurta vahinkoa, mutta sitä on voitu erehtyä pitämään hallituksen eri organisaatioiden lähettämäksi asianmukaiseksi tiedostoksi.

Iranin tutkimusten mukaan Stars-haittaohjelmahyökkäys oli peräisin Yhdysvalloista ja Israelista. Iranin mukaan amerikkalaiset ja israelilaiset hyökkäsivät sen tietojärjestelmiä vastaan lainsäädännöstä välittämättä. Stars-haittaohjelma oli jo toinen kohdennettu kyberisku Irania vastaan kahdeksan kuukauden sisällä. Katso myös Stuxnet Siemens SCADA haittaohjelma. Lähde: (mehrnews.com 25.4.2011)

Iranin finanssilaitokset kyberhyökkäysten kohteina
Heinäkuussa 2012 israelilainen tietoturvayhtiö Seculert ja venäläisyhtiö Kaspersky Lab ilmoittivat löytäneensä havainneensa uuden Mahdi Trojan -nimisen haittaohjelman, joka oli kohdistettu mm. Iranin finanssilaitoksien (mm. Bank Hapoalim) ja suurlähetystöjen työntekijöille. Haittaohjelma oli järjestyksessä jo viides paljastunut kyberase.

Haittaohjelmaa levitettiin sähköpostiviesteillä, jotka sisälsivät väärennetyn Word-asiakirjaliitteen. Liitetiedoston avaus suoritti haittaohjelmakoodin. Word-asiakirjan aiheena oli Israelin ja Iranin välinen elektroninen sodankäynti. Haittaohjelman uskottiin olevan kybersodankäyntiin tarkoitettu ja sen taustalla jokin valtio. Koodi oli kirjoitettu Delphi – ohjelmointikielellä, jonka tulkittiin viittaavan harrastelijoihin tai kovaan kiireeseen.

Haittaohjelma toimi kuten Flame-haittaohjelma. Se kopioi koneilla olevia tiedostoja, valvoi sähköposti- ja pikaviestiliikennettä, teki ääninauhoituksia, tallensi näppäinpainalluksia ja otti ruutukaappauksia.  Haittaohjelman ja sen komentopalvelimien (C&C command-and-control) välinen liikenne oli salattu. Lähteet: (seculert.com 17.7.2012, israelinsider.net 17.7.2012)

Lopulta Iran ilmoitti kyllästyneensä jatkuviin kyberhyökkäyksiin ja kytki irti keskeisten ministeriöiden ja valtion laitosten internet-yhteydet. Iranin tietoliikenteestä vastaava ministeri Reza Taghipour totesi, että toimenpiteisiin oli ryhdyttävä, koska internet-yhteyksiä käytetään Iranin infrastruktuuria vastaan ja koska internetiä kontrolloi yksi tai kaksi Iranille vihamielistä valtiota. Iran ilmoitti korvaavansa maailmanlaajuisen Internetin kansallisella intranet-järjestelmällä 18 kuukauden kuluessa vuoteen 2014 mennessä.

Iranin kybersodankäyntiohjelman johtaja murhattiin
Iranin kybersodankäyntiyksikön johtaja Mojtaba Ahmadi löydettiin murhattuna Karajin kaupungin läheisyydestä. Ahmadi oli poistunut työpaikaltaan lauantaina 28.9.2013, eikä häntä sen jälkeen nähty elossa. Ahmadia oli ammuttu lähietäisyydeltä kaksi kertaa rintaan. Poliisin mukaan tekoon liittyy kaksi mottoripyörällä liikkunutta henkilöä. Lähde: (teleghraph.co.uk 4.10.2013)

Lähi-idän pankit kyberhyökkäysten kohteina
Elokuussa 2012 Venäläinen Kaspersky Lab kertoi jälleen löytäneensä Lähi-idästä valtion liikkeelle laskeman uuden haittaohjelman Trojan-Spy.Win32.Gauss. Haittaohjelma oli järjestyksessä jo kuudes paljastunut kyberase. Haittaohjelma vakoili Libanonin pankeissa olevia Syyrian ja Iranin tilitietoja.

Kasperskyn mukaan analyysi osoittaa, että saksalaisen matemaatikko Johann Carl Friedrich Gaussin mukaan nimetty haittaohjelma on aktivoitunut syyskuussa 2011. Se havaittiin ensimmäisen kerran kesäkuussa 2012.
Gauss –nimi löytyi haittaohjelman koodista. Se havaittiin Moskovassa sattumalta, kun Kasperskyn tutkijat analysoivat Flamea. Kasperskyn mukaan haittaohjelma on peräisin samasta lähteestä kuin Flame. Molemmat haittaohjelmat on kirjoitettu C + + -ohjelmointikielellä.

Haittaohjelma löydettiin 2 500 tietokoneesta, niistä useimmat olivat Libanonissa. Haittaohjelma keräsi tietoja mm. pankkien sähköposti- ja pikaviestiliikenteestä sekä Libanonin suurimpien pankkien kuten Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank ja Credit Libanais tilijärjestelmistä sekä Citibankin tilijärjestelmistä ja PayPalin online-maksujärjestelmästä.

Haittaohjelman liikkeellelaskija on pitänyt ilmeisenä, että Libanonin pankeista on mahdollista löytää tietoja Syyrian johdon rahaliikenteestä ja terrorismin rahoittamisesta. Libanonin suurimmat pankit ovat mm. sveitsiläisten pankkien kumppaneita. Asiantuntijat arvelivat haittaohjelman vaarantavan myös Sveitsin pankkisalaisuuden. Lähteet: (kaspersky.com 9.8.2012, nytimes.com 9.8.2012)

Digitaalinen Frankestein syntyi vuonna 2012
Yhdysvalloissa Dallasissa Texasin yliopiston (University of Texas at Dallas) tutkijat Vishwath Mohan ja Kevin W. Hamlen kehittivät (proof of concept) itsensä kokoavan haittaohjelman, joka soveltui mm. tulevaisuuden kyberaseeksi. Haittaohjelma sai nimekseen "Frankenstein". Tutkimustyön rahoittajina olivat National Science Foundation ja Yhdysvaltain ilmavoimat.

Haittaohjelmalle kuvattiin suunnitelma mitä tehtäviä sen tulee suorittaa. Suunnitelman perusteella haittaohjelma koosti itsensä hyökkäyksen kohteena olevassa tietokoneessa. Hyökkääjän tarvitsi lähettää kohdekoneelle vain suunnitelma tehtävän toteuttamiseksi. Kaikki tehtävän suorittamiseksi tarvittava ohjelmakoodi koostettiin tietokoneen sisältämästä tavanomaisesta ohjelmakoodista.

Frankenstein ei ollut metamorfinen haittaohjelma, vaan loi mutantteja parsimalla yhteen laillisia ohjelmakoodeja. Se kokosi itsensä aina eri tavalla, vaikka suoritettava tehtävä oli sama ja tuotti itsestään ainutkertaisia mutaatioita, joita turvaohjelmat eivät havainneet.

Tutkimustyön tulokset julkistettiin. Tarkoituksena oli viestittää, että turvaohjelmia oli tulevaisuudessa kehitettävä niin, että ne havaitsevat suunnitelmakoodit ja niiden käynnistämät operaatiot. Tutkijat kertoivat jatkavansa Frankesteinin kehittämistyötä. Lähteet: (economist.com 25.8.2012, nbcnews.com 25.8.2012) Julkaistu tutkimus: Frankenstein: Stitching Malware from Benign Binaries, School of Electrical and Computer Science University of Texas at Dallas)

Punainen lokakuu haittaohjelma vakoili myös Suomessa
Kybervakoiluun erikoistunut Punainen lokakuu (Rocra, Red October) on Sputnik perheeseen kuuluva haittaohjelma, joka on erikoistunut vakoilemaan diplomaatti- (EU), tiede-, sotilas- (Nato) ja hallituslähteitä sekä ilmailu-, energia- ja ydinenergiayhtiöitä. Haittaohjelma vakoili mm. hyökkäyskohteiden tietokoneita, FTP-palvelimia, sähköpostiliikennettä ja matkapuhelimia.

Vakoilun kohteeksi olivat joutuneet ainakin Länsi-Euroopassa, Itä-Euroopassa, Pohjois-Amerikassa, entisen Neuvostoliiton alueella ja Keski-Aasiassa toimivia organisaatioita. Suomessa haittaohjelma pääsi asentumaan onnistuneesti mm. useiden ministeriöiden mm. ulkoministeriön yhteen työasemaan.

Haittaohjelma levisi verkossa ympäri maailmaa vuodesta 2007 alkaen ja onnistui pysyttelemään piilossa tutkijoilta viiden vuoden ajan.  Lopulta tietoturvayhtiö Kaspersky Lab onnistui löytämään haittaohjelman vuonna 2012.

Haittaohjelman toimintaa ohjattiin komento- ja valvontapalvelimien avulla, jota voi verrata toteutuksen monimutkaisuudessa Flame haittaohjelmaan. Haittaohjelma hyödynsi ainakin kolmea eri hyväksikäyttömenetelmää CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) ja CVE-2012-0158 (MS Word).

Punainen lokakuu haittaohjelmalla on käytössä yli 1000 erilaista hyökkäysmoduulia, joiden avulla se räätälöi itsensä kunkin hyökkäyskohteen tietojärjestelmän erityispiirteet huomioiden. Tämä ominaisuus tekee siitä ylivertaisen hyökkäysvälineen. Haittaohjelma kopioituu tietokoneelle mm. sähköpostiviestiin liitettyjen tiedostojen mm. Microsoft Excel ja Word sekä PDF-tiedostojen välityksellä. Esimerkkejä moduuleista:

Tiedustelumoduuli
Käytetään hyökkäyksen ensimmäisessä vaiheessa välittömästi, kun haittaohjelma on asentunut tietokoneisiin. Tämän tiedon perusteella tehdään päätös mitä muita moduuleja hyökkäyksessä käytetään. Muut moduulit keräävät selaushistorian, salasanat ja FTP asetukset kertaluonteisena toimenpiteenä.

Salasanamoduuli
Salasanamoduuli kerää mm. käytössä olevien ohjelmistojen tilitiedot mm. Windows ja Microsoft Outlook – sähköpostitilien tiedot.

Sähköpostimoduuli
Sähköpostimoduuli kopioi viestit mm. Outlookista ja POP3 tai IMAP sähköpostipalvelimilta.

USB-ajurimoduuli
USB-ajurimoduuli hyökkää tietokoneen USB-liityntöjen yli niihin kytkettyihin medioihin. Moduuli kerää yksityiskohtaista tietoa tietokoneiden tiedostonimien laajennuksista (*.exe. *.xls), tiedostojen koosta ja päivämääristä.

USB-injektiomoduuli
USB-injektiomoduuli kopioi lokitiedot ja tiedostot USB medioilta.

Näppäimistömoduuli
Tallentaa näppäimistön painallukset, salasanakenttiin kirjoitetut salasanat ja suorittaa kuvaruutukaappauksia.

Palautusmoduuli
Palautusmoduuli sisältää haittaohjelman eri osien uudelleen asentamiseen tarvittavat ominaisuudet, jolla tietokoneet palautetaan hyökkääjän valvontaan esimerkiksi, virustorjuntaohjelman suorittaman puhdistusoperaation jälkeen. Moduuli etsii uusia isäntäkoneita toimistoverkosta ja kopioituu niihin hyödyntämällä aiemmin käytettyjä tietojärjestelmän sisältämiä päivittämättömiä haavoittuvuuksia.

Matkapuhelinmoduuli
Matkapuhelinmoduuli kopioi älypuhelimista yhteystiedot, kalenteritiedot, SMS ja sähköpostiviestit.

Soluttautumismoduuli
Soluttautumismoduuli siirtää tallennetut tiedot paikallisista kiintolevyistä ja käytettävissä olevista FTP-palvelimista hyökkääjän haltuun. Moduuleita ajetaan toistuvasti. Kasperskyn mukaan hyökkäykset olivat edelleen käynnissä ja jäljet viittasivat venäläisiin koodaajiin ja kiinalaisiin hakkereihin. Lähde: (kaspersky.com 14.1.2013, threathpost.com 14.1.2013, yle.fi 14.1.2013) Lähteet: (hs.fi 14.1.2013)

MiniDuke vakoiluohjelma sisälsi uusia ominaisuuksia
Venäläisen Kaspersky Labin ja unkarilaisen CrySyS Labin tutkijat löysivät teknisesti aikaisemmista poikkeavan MiniDuke-vakoiluohjelman. Ohjelman eräät piirteet muistuttivat Duqu-vakoiluohjelmaa. MiniDuke keräsi kohdennetusti tietoja 23 valtiosta, Belgiasta, Brasiliasta, Bulgariasta, Tšekistä, Georgiasta, Saksasta, Unkarista, Irlannista, Israelista, Japanista, Latviasta, Libanonista, Liettuasta, Montenegrosta, Portugalista, Romaniasta, Venäjältä, Sloveniasta, Espanjasta, Turkista, Ukrainasta, Yhdistyneestä kuningaskunnasta ja Yhdysvalloista.

Arvion mukaan vakoiluohjelman uhreiksi oli joutunut 59 organisaatiota. Eräs yksittäinen kohde oli sotilasliitto Nato. Sen tietojärjestelmiin yritettiin hyökätä, mutta hyökkäys epäonnistui. Suomessa ei ole tehty MiniDuke-havaintoja. Ohjelma asensi saastuneelle kohdekoneelle pienen 20 KB kokoisen Assemblerilla kirjoitetun downloader-ohjelman, joka sisälsi takaportin. Ohjelma suoritti matemaattisia operaatioita ja loi saastuneelle koneelle ainutkertaisen sormenjäljen, jolla kone voitiin myöhemmin identifioida ja jolla se salasi komentopalvelimen väliset viestit.

MiniDuke käytti hallinnointiin komentopalvelimia, mutta se pystyi kommunikoimaan isäntiensä kanssa myös Twitter-tilien kautta, jotka antoivat vakoiluohjelmalle ohjeita saastuneiden tietokoneiden hallintaan. Toinen ohjeistuskanava vakoiluohjelmalle oli Googlen hakukone. MiniDuke levisi sähköpostissa pdf-liitetiedostojen välityksellä (exploit CVE-2013-0640). PDF-tiedostot sisälsivät muun muassa väärennettyjä dokumentteja Ukrainan Nato-jäsenyyssuunnitelmista. Lähde: (securelist.com 27.2.2013)

Kreml hyökkäsi kyberasein Ukrainaa vastaan
Venäjä harrastaa kybervakoilua kultivoitujen ja aggressiivisten vakoiluohjelmien avulla. Kohteina olivat erityisesti länsimaisten hallitusten ulkoasianhallintojen tietojärjestelmät. Ukrainan Kansallinen turvallisuus- ja puolustusneuvosto kertoi Venäjän hyökänneen Ukrainan viranomaisten tietojärjestelmiä vastaan useita kymmeniä kertoja. Venäjä toteutti kyberhyökkäykset toistuvina hyökkäyssarjoina, ei yksittäisenä hyökkäyksenä.

Krimin niemimaalle asennettujen viestiliikenteen häirintälaitteiden lisäksi Venäjä käynnisti palvelunestohyökkäyksiä ja levitti Ukrainan tietoverkkoihin mm. Uroburos-haittaohjelmia. Uroburos-haittaohjelman koodi sisältää venäjänkielistä tekstiä ja sen kehittäjät operoivat Moskovan aikavyöhykkeellä. Hyökkäyskohteita olivat mm. Ukrainan kansallinen turvallisuus- ja puolustusneuvosto ja Ukrainan uutistoimisto Ukrinformin. Uroburos-haittaohjelma muistuttaa Stuxnet -haittaohjelmaa. Venäjän kyberasevalikoimaan kuuluvat mm. seuraavat haittaohjelmat:

  • Agent.BTZ
  • Uroburos (tunnetaan myös nimillä Snake ja Turla)
  • Red October

Agent.BTZ oli muistitikkujen kautta tietokoneeseen siirtyvä haittaohjelma. Haittaohjelmasta tehtiin ensimmäinen havainto Suomessa vuonna 2008, jonka jälkeen siitä on tehty lukuisia havaintoja. Agent.BTZ –haittaohjelmaa ei ole suunniteltu tietojen kopiointiin, vaan tutkimaan tietokoneen sisältöä ja lähettämään tiedot komentopalvelimille. Mikäli kyseinen tietokone oli kiinni esimerkiksi valtionhallinnon verkossa, käytetiin Agent.BTZ:ia lataamaan verkkoon muita haittaohjelmia esimerkiksi Uroburos, jolla verkko otetiin hallintaan ja tietoja kopioitiin.

Uroburos (Snake, Turla)
Uroburos oli kehittyneempi versio Agent.BTZ  -haittaohjelmasta. Uroburos on ikivanhan symbolin nimi, jossa käärme tai lohikäärme syö omaa häntäänsä. Symboli esiintyy uskonnollisessa ja mytologisessa symboliikassa, ja alkemian kuvituksissa. Epäilykset suuntautuivat Venäjän suuntaan ohjelmakoodista löytyneiden Venäjän kieleen viittaavien piirteiden johdosta.

Vakoiluohjelman kehittäminen oli aloitettu ilmeisesti jo vuonna 2003. Ensimmäiset havainnot siitä tehtiin vuonna 2010. Kremlin kyberase Uroburos tarttui Ukrainan pääministerin toimiston 60 tietokonetta käsittävään tietojärjestelmään toukokuussa 2012. Ukrainassa tehtiin vuonna 2013 kahdeksan havaintoa Uroburos-haittaohjelmasta. Vuoden 2014 alussa Ukrainassa tehtiin jo 14 havaintoa Uroburos-haittaohjelmasta. Kaikkiaan havaintoja oli kertynyt vuoden 2014 alkuun mennessä 56, joista 32 oli tehty Ukrainassa. Uroburos onnistui tarttumaan myös kymmeneen Ukrainan lähetystön ja yhdeksän muun maan lähetystön tietojärjestelmään itäisen Euroopan alueella.

Uroburos toimi ympäristöissä, joista ei ole suoraa yhteyttä internetiin. Uroburos osasi muodostaa tietokoneista vertaisverkon, jonka jokainen solmu toimi välityspalvelimena ja pystyi muodostamaan yhteyden komentopalvelimeen. Lähde: (thehackernews.com 7.3.2014)

Vakoiluohjelma onnistui kaikessa rauhassa saastuttamaan kymmenien eri valtioiden virastojen tietojärjestelmiä Euroopassa ja Yhdysvalloissa. Tietoturvayhtiö Symantecin arvion mukaan se ehti asentua kaikessa rauhassa noin tuhanteen tietoverkkoon. Uroburos oli vuoteen 2014 mennessä eräs kaikkein kehittyneimmistä ja vaikeimmin havaittavista Kremlin -vakoiluohjelmista.

Uroburos avasi mm. tietojärjestelmään takaportin ja lähetti kopioidut tiedot verkon kautta komentopalvelimille, latasi uusia tiedostoja tietojärjestelmään, päivitti ajureita, lopetti prosesseja ja kirjoitti tietoja lokeille. Kyberhyökkäyksiin ja vakoiluohjelmien analysointiin erikoistuneet turvallisuusyritykset ehtivät seurata Uroburos–vakoiluohjelmaa useita vuosia. Uroburos-vakoiluohjelmasta saatiin yli sata näytettä vuodesta 2010 alkaen. Ukrainasta oli saatu 32 näytettä, Liettuasta 11 näytettä ja Isosta-Britanniasta 4 näytettä.

Uroburos toimi 32-ja 64-bittisissä Microsoft Windows-käyttöjärjestelmissä. Kyseessä oli teknisesti erittäin huolellisesti toteutettu monimutkainen ohjelma, jossa havaittiin vain vähän virheitä. Uroburos ohjelman avulla Venäjän tiedustelu FSB onnistui hankkimaan mm. arkaluontoisia ulkopoliittisia asiakirjoja ja diplomaattista viestintää.tietoa 50 eri maasta erityisesti Nato-maista.

Vakoiluohjelman havaitseminen ja tuhoaminen tietokoneissa oli tehty erittäin vaikeaksi. Uroburos ei aktivoitunut, jos tietokoneelle oli jo asentunut Agent.BTZ -haittaohjelma. Yhdysvalloissa Agent.BTZ –haittaohjelma jäljitettiin venäläisten tekemäksi. Agent.BTZ –haittaohjelma pääsi aktivoitumaan, kun haittaohjelman sisältävä USB-muistitikku oli tarkoituksella jätetty Yhdysvaltain puolustusministeriön pysäköintialueelle.

Uroburos oli suunniteltu toimimaan yritysten ja virastojen toimistoverkoissa. Ohjelma asentui kaikkiin toimistoverkosta löytämiinsä tietokoneisiin ja rakensi niistä oman verkoston. Mikäli yksikin verkoston tietokoneista oli yhteydessä julkiseen verkkoon, se pystyi lähettämään tietonsa sitä ohjaavalle komentopalvelimelle. Tutkijat uskoivat, että Uroburos –haittaohjelmasta oli olemassa vieläkin kehittyneempiä versioita, joita ei toistaiseksi pystytty havaitsemaan.
Tietoturvaohjelmistot eivät tunnistaneet Careto-haittaohjelmaa
Vuoteen 2014 mennessä paljastuneista APT-haittaohjelmista kaikkein kehittynein oli espanjankielinen Careto (Mask = naamio). Careto on espanjankielinen slangitermi, joka tarkoittaa maskia. Kyseessä oli valtiollinen kyberhyökkäysase, jota haittaohjelmat eivät tunnistaneet. Haittaohjelman levitys oli alkanut jo vuonna 2007. Haittaohjelman havaitsi venäläinen tietoturvayhtiö Kaspersky Lab vuonna 2014. Kasperskyn havaintojen mukaan ohjelman tekijät vetivät ohjelman pois tammikuussa 2014 pian sen jälkeen, kun sen olemassaolo paljastui.

Ohjelma oli vakoillut kaikessa hiljaisuudessa valtioiden virastoja, lähetystöjä, energia- ja öljy-yhtiöitä, tutkimuslaitoksia, rahoituslaitoksia sekä eri maissa toimivia kansalaisaktivisteja. Haittaohjelma levisi social engineering -taktiikkaa hyödyntäen kohdennettujen sähköpostiviestien avulla. Sähköpostiviestit sisältävät linkkejä, jotka ohjaavat liikenteen esimerkiksi Washington Postin, Guardianin ja Youtuben väärennetyille sivustoille.

Haittaohjelmatartuntoja löytyi 31 eri maasta mm. Saksasta, Ranskasta, Britanniasta, Puolasta ja Belgiasta. Ohjelma kopioi tartunnan saaneista tietokoneista mm. tiedostoja ja salausavaimia. Se pystyi tuhoamaan myös tiedostoja ja pyyhkimään lokimerkintöjä.

Careto-haittaohjelma oli rakenteeltaan modulaarinen eli osista koostuva ja se pystyi muuttamaan toiminnallisuuttaan tilanteen mukaisesti lataamalla komentopalvelimelta uusia ominaisuuksia. Ohjelma osasi myös piiloutua tehokkaasti tietoturvaohjelmilta. Hyökkäyksissä käytettiin kahta ohjelmistopakettia ja useita toisiinsa liittyviä apuohjelmia. Tärkeimmät ohjelmapaketit olivat nimeltään "Careto" ja "SGH".

Careto oli yleiskäyttöinen ohjelmistokomponentti ja asennusmoduuli, joka keräsi järjestelmätason tietoja ja suoritti ohjelmakoodia. Ohjelmistopaketti asentui esimerkiksi Windows-versiossa standalone executable asennusohjelman avulla. SGH oli tätä kehittyneempi ohjelmistokomponentti. Se sisälsi rootkit komponentit ja kopioi tiedostoja ja ylläpiti yhteyttä komentopalvelimille.

Careto ja SGH komponentit pystyivät toimimaan erillisinä "implantteina" tai ne pystyivät toimimaan myös saman paketin osina. Ohjelmistopaketit oli allekirjoitettu käyttämällä Bulgarialaisen yrityksen TecSystem Ltd:n sertifikaattia. Haittaohjelmasta oli vuonna 2014 olemassa Windows, Linux ja Mac OS –versiot sekä mahdollisesti myös iOS- ja Android-versiot. Lähteet: (Kasbersy Lab raportti “Unveiling “Careto” - The Masked APT”)

Tietoturvayhtiö Symantec paljasti hallituksia vakoilevan haittaohjelman
Tietoturvayhtiö Symantec kertoi havainneensa Regin-nimisen (Backdoor.Regin) vakoiluohjelman, joka oli ehtinyt kuuden vuoden ajan levitä mm. Venäjällä (28 %), Saudi-Arabiassa (24 %), Irlannissa (9 %) ja Intiassa (9 %). Kyseessä oli yksi kehittyneimmistä tähän asti tunnetuista vakoiluohjelmista. Ohjelman monimutkaisuus ja toiminnallisuus viittasi nimenomaan länsimaiseen valtiolliseen tahoon, joka oli käyttänyt sen kehittämiseen kuukausia tai jopa vuosia. Symantec vertasi Reginiä Yhdysvaltain ja Israelin kehittämään Stuxnet-matoon.

Regin-vakoiluohjelman rakenne noudatti valtiollisille vakoiluohjelmille tyypillistä modulaarista rakennetta, joka koostui kohteen mukaisista räätälöidyistä ominaisuuksista. Vastaavaa rakennetta noudattivat myös mm. Duqu ja Stuxnet. Ohjelmassa oli useita piilo-ominaisuuksia mm. erikoisvalmisteinen salattu virtuaalinen tiedostojärjestelmä (EVFS), ja vaihtoehtoinen salausmuunnelma (RC5), jota ei yleisesti käytetä.

Ohjelmassa oli viisi eri tasoa. Jokainen taso oli salattu erikseen ja salaukseen on käytetty erikseen räätälöityä salausmenetelmää. Ohjelma pystyi kaappaamaan mm. salasanoja, palauttamaan poistettuja tiedostoja ja ottamaan kuvaruutukopioita. Vakoiluohjelma tunnistettiin 12.12.2013. Pian sen jälkeen sitä vastaan julkaistiin torjuntamenetelmä. Regin-vakoiluohjelma toimi aktiivisesti vuosina 2008 - 2011. Vuonna 2013 ilmaantui uudelleen aiempaa tehokkaampana. Lähteet: (symantec.com 23.11.2014, bbc.co.uk 23.11.2014, hs.fi 23.11.2014, iltalehti.fi 23.11.2014)

NSA:n kyberaseita hakkereiden käsiin
The Shadow Brokers hakkeriryhmä kertoi saaneensa haltuun NSA:n operatiivisen tietomurtoihin keskittyneen Equation Groupin käyttämiä kyberaseita. Asiantuntijoiden mukaan The Shadow Brokers esitti väitteelleen myös uskottavia todisteita ja oli halukas myymään kyberaseet eniten tarjoavalle taholle. Hakkeriryhmän taustat olivat tapauksen paljastumisen aikaan epäselviä.

NSA:n Equation Groupia pidettiin erittäin kehittyneiden ja monimuotoisten tietomurtotekniikoiden osaajana. Sen uskottiin kehittäneen mm. Qwerty KeyLogger, Stuxnet, Flame ja Regin haittaohjelmat sekä Cisco Systems Inc, Juniper Networks Inc ja Fortinet Inc valmistamien reitittimien murtotekniikoita. Edellä mainittuja kyberaseita käytetiin maailmanlaajuisesti Five Eyes osapuolten toimesta. Lähteet: (thehackernews.com 15.8.2016, wired.com 15.8.2016, dailydot.com 15.8.2016, reuters.com 15.8.2016)

Ciscon ASA-palomuurit sisälsivät nollapäivähaavoittuvuuksia, joita mm. NSA:n hyökkäysohjelmistot Extrabacon, Epicbanana pystyivät hyödyntämään. Hyökkäysohjelmistot hyödynsivät SNMP:n (Simple Network Management Protocol) nollapäivän puskurin ylivuotoa haitallisen koodin suorittamiseen. Cisco julkaisi asiasta tietoturvatiedotteen (CVE-2016-6366).

Hyökkäysohjelmistot voivat hyödyntää myös vanhempaa Cisco ASA-palomuurin nollapäivähaavoittuvuutta, johon Cisco oli julkaissut korjauksen jo vuonna 2011 (CVE-2016-6367). Hyökkäys hyödynsi ASA (Adaptive Security Appliance) ohjelman komentorivikäyttöliittymän (CLI) RCE virhettä, jolloin hyökkääjällä oli mahdollisuus toteuttaa mm. palvelunestohyökkäys (DoS) tai suorittaa haluamaansa koodia laitteella.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön