Kyberturvallisuus - SecMeter

Kybersodankäynti

Aseellinen hyökkäys on fyysisen voiman käyttöä toista valtiota vastaan. Kyberhyökkäys on loogisen voiman käyttöä toisen valtion kyberympäristöjä vastaan. Valtiollisen toimijan hyväksymä kyberhyökkäys Nato-jäsenmaata kohtaan on sotatoimi, joka voidaan tulkita Washingtonin sopimuksen 5:n artiklan mukaiseksi hyökkäykseksi kaikkia Nato-maita kohtaan. Lähde: (theverge.com 2.7.2017)

Kybersodankäynnillä tarkoitetaan kyberavaruudessa suoritettavia sotilaallisia operaatioita. Valtiollisen toimijan pitkäkestoisen kyberhyökkäyksen tavoitteena on vaikuttaa kybertoimintaympäristön kautta poliittiseen päätöksentekoon, häiritsemällä, saartamalla tai tuhoamalla yhteiskunnan toiminnalle keskeisiä palveluja tuottavia kyberympäristöjä.

Operaatiot sisältävät mm. vastapuolen tietojärjestelmissä tapahtuvaa tiedustelua, tietojen varastamista, palvelunestohyökkäyksiä, haittaohjelmien levittämistä tai järjestelmän toiminnan lamaannuttamista. Kybersodankäynnillä voi olla monia erilaisia seurauksia, jotka vaihtelevat lyhyen aikavälin vaikutuksista pitkän aikavälin muutoksiin mm.

• Vakavat pitkäkestoiset häiriötilanteet kriittisissä infrastruktuureissa, kuten sähköverkossa, vesihuollossa tai liikenteessä.
• Valtionhallinnon ja yritysten palvelukeskeytykset tai palvelutason merkittävä heikentyminen.
• Huomattavat taloudelliset menetykset, maineen menetykset ja yhteiskuntarauhan heikkeneminen.
• Kansainvälisten jännitteiden kasvu ja konflikteihin ajautuminen.

Kyberhyökkäyksten vaikuttavuuden taustalla on kansainvälinen kehitys, jonka seurauksena kehittyneelle yhteiskunnalle ja sen yksittäisille kansalaisille keskeiset palvelut ovat riippuvaisia tietojärjestelmien käytettävyydestä. Julkishallinnon, yksityisten yritysten esimerkiksi pankkien ja kauppojen palvelut eivät ole käytettävissä, jos sähköenergian saanti tai tietojärjestelmät eivät toimi. Esimerkiksi sähköisen maksujärjestelmän (maksuliikenneaineiston välitys ja korttimaksaminen) toimivuus vaikuttaa lähes kaikkien yritysten ja kansalaisten elämään.

Useat valtiot ovat perustaneet erikoisjoukkoja tai operatiivisia yksiköitä, joiden tehtävänä on valmistella ja suorittaa julkisen verkon kautta tapahtuvia hyökkäyksiä, kuten esimerkiksi suunnitella, valmistaa ja soluttaa haittaohjelmia potentiaalisten vastustajien järjestelmiin. Hyökkäysoperaatioita tapahtuu julkisessa verkossa päivittäin. Kybersodankäyntiin erikoistuneet yksiköt suorittavat joka päivä hyökkäyksellisiä operaatioita ilman, että operaatiot vaikuttaisivat suoranaisesti kansalaisten turvallisuuteen.

Vallitseva tilanne on johtanut siihen, että kybersodankäynti on maailmalla laajasti tiedostettu ilmiö. Suomessakin herättiin uuden uhkakuvan edessä. Vuoden 2010 lopulla valtioneuvosto antoi periaatepäätöksen yhteiskunnan kokonaisturvallisuudesta (YTS 2010).

Periaatepäätökseen katsottiin sisältyvän myös ns. kyberuhat. Valmisteluvastuu oli Turvallisuus- ja puolustusasiain komitealla (TPAK) (myöhemmin Turvallisuuskomitea). Valmistelutyön TPAK suoritti vuoden 2011 aikana. Vuonna 2012 hallituksen ulko- ja turvallisuuspoliittisen ministerivaliokunnan eli Utvan kokous käsitteli kansallista kyberturvallisuusstrategiaa. Tavoitteena oli saada strategia aikaan vuoden 2012 loppuun mennessä.

Valtiollinen kyberhyökkäys

Tavoite

Valtiollisen hyökkääjän tavoitteena on kybervaikuttamisen keinoin hankkia tietoa, tukea ja nopeuttaa kohdevaltion yhteiskuntapoliittista suunnanmuutosta. Kybervaikuttamisen tavoitteena ei ole normaalioloissa kohdevaltion verkkoinfrastruktuurin tuhoaminen, koska julkisen verkon toimivuus on kybervaikuttamisen välttämätön edellytys. Kybervaikuttamista ei ole ilman julkista verkkoa.

Valmistelu

Valtiolliset kyberhyökkäykset ovat huolellisesti valmisteltuja. Kyberhyökkäystä edeltää lähes aina kohteen tiedustelu ja usein myös verkkovakoilu. Hyökkäysmenetelmän valinnan jälkeen on suunniteltava ase (haittaohjelma) ja testattava sen vaikuttavuus hyökkäyskohdetta vastaavassa testiympäristössä. Kyberhyökkäysten valmisteluun liittyvät myös laitevalmistajien ja ohjelmistotoimittajien koodaamat takaportit sekä ohjelmisto- ja laitehaavoittuvuudet.

Hyökkäys

Valtioiden väliset intressiristiriidat ja poliittiset konfliktitilanteet antavat valtioille oikeusperustan huolehtia omasta kansallisesta turvallisuudestaan. Kansallisen turvallisuuden toimeenpanoa edustavat mm. kybersodankäyntiin erikoistuneiden yksiköiden operaatiot.

Kohdevaltioon suuntautuvat hyökkäysoperaatiot käynnistetään eri puolilla maailmaa sijaitsevilta komentopalvelimilta. Hyökkääjä pyrkii yleensä vaikuttamaan vieraan valtion keskeisten tietojärjestelmien käytettävyyteen, eheyteen tai luottamuksellisuuteen.

Vaikuttavuus

Kybervaikuttamisella on mahdollista horjuttaa tai lamaannuttaa yhteiskunnan kriittinen palveluinfrastruktuuri ja saada aikaan kaaos, joka edistää ja nopeuttaa tavoitteiksi asetettujen päämäärien saavuttamista. Keskeinen vaikutusmekanismi on kansalaisten tyytymättömyyden ja epäluottamuksen lisääntyminen poliittisia päätöksentekijöitä kohtaan.

Suomessa pankit ovat kiinni, jos tietojärjestelmät eivät toimi

Hyökkäysten kohteena ovat tyypillisesti valtionhallinnon ja tiedotusvälineiden tietojärjestelmät. Tulevaisuudessa hyökkäykset tulevat kohdistumaan aiempaa laajemmin myös pankki-, liikenteenohjaus- ja logistiikkajärjestelmiin. Palvelurakenteisiin kohdistuvat taloudellisuuden ja tehokkuuden vaatimukset ovat ohjanneet palvelut yksipuolisesti sähköisten jakelukanavien piiriin. Yhteiskunnan huoltovarmuuskriittisten palveluiden perustuessa pääsääntöisesti internet protokollaa käyttäviin sähköisiin palveluihin, on kybersodankäynnin keinoin mahdollista haitata merkittävästi tai estää kokonaan huoltovarmuuskriittisten palveluiden käyttö.

Mahdollisuus vastatoimiin heikkenee oleellisesti, mikäli yhteydet ulkomaailmaan (informaatiosaarto) on katkaistu tai jouduttu puolustuksellisista syistä katkaisemaan. Huoltovarmuuskriittisten palveluiden monitasoiset keskinäiset riippuvuudet ja kansainväliset hajautukset ovat johtaneet tilanteeseen, jossa perinteiset huoltovarmuustoimenpiteet eivät kykene poikkeusolojen aikana takaamaan tietotekniikkainfrastruktuurin palvelukykyä. Tähän seikkaan liittyy edelleen katteetonta toiveajattelua. Huoltovarmuuden kannalta puolustuksellinen kybersodankäynti on aivan keskeisessä roolissa palveluiden käytettävyyden turvaamisessa.

CIA:lla lähes rajaton kyvykkyys murtautua myös kuluttajien verkkolaitteisiin

Wikileaks julkaisi tiistaina 7.3.2017 uusia yksityiskohtia CIA:n kyvykkyydestä murtautua kuluttajien verkkolaitteisiin. Tieto ei ollut uusi, eikä yllättävä. Tiedustelupalvelut ovat vuosikymmeniä käyttäneet ns. kaksisuuntaista televisiota poliitikkojen, diplomaattien ja liikemiesten vakoiluun hotelleissa. Verkkoon kytkettyjen kuluttajaelektroniikkalaitteiden kohdalla NSA totesi julkisuudessa vuonna 2012, että tietoverkkoihin ja niiden palveluihin kohdistuvasta vakoilusta ja tarkkailusta tulee jatkossa kaiken viestinnän ja tiedonvälityksen kattavaa. Tämä kyvykkyys on nykyisin FBI:llä, CIA:lla ja NSA:lla sekä useimmilla Euroopan unionin valtion poliisi- ja tiedusteluviranomaisilla.

Ensimmäinen osa julkaistusta aineistosta tunnetaan Vault7-nimellä ja oli laajuudeltaan 7 818 verkkosivua ja 943 liitettä. Koko aineisto on laajuudeltaan satoja miljoonia rivejä. Yksi CIA:n kyberhyökkäyskeskuksista sijaitsee Yhdysvaltain Frankfurtin konsulaatissa. Asiakirjoista ilmeni, että CIA:lla on kyky murtautua mm. Applen iPhone ja Googlen Android älypuhelimiin, Microsoftin Windows käyttöjärjestelmiin sekä Samsungin verkkoon kytkettyihin älytelevisioihin.

CIA:n murtautumisohjelmaa koodinimelltä Weeping Angel käytetään Samsungin verkkoon kytkettyjen älytelevisioiden mikrofonien kytkemiseksi salakuunteluun. Vaikka televisio olisi sammutettu se pystyy lähettämään huoneesta mm. puheääntä salaa internetin välityksellä CIA:n palvelimille. Wikileaksin mukaan CIA oli kehittänyt yli tuhat haittaohjelmaa ja hankkinut kyvyn murtautua nollapäivähaavoittuvuuksien avulla mm. Whatsappin, Signalin, Telegramin, Wiebon, Confiden ja Cloackmanin viestipalveluihin. Android älypuhelimista viestiliikenne kaapataan jo ennen salausta. Nollapäivähaavoittuvuuksia CIA hankkii mm. kyberaseurakoitsijoilta tai muilta tiedusteluviranomaisilta.

Edellä kuvattuun taktiikkaan pätee yksinkertainen vastatoimi. Tiedon salaava ja salauksen purkava laite ei saa olla julkiseen verkkoon kytkettyinä. Vain salattua informaatiota voidaan käsitellä julkiseen verkkoon kytketyissä päätelaitteissa. Tätä toimenpidettä helpottamaan on kehitetty yleisesti saatavilla olevaa kaupallista teknologiaa.

Wikileasksin haltuunsa saamat asiakirjat osoittivat, että Yhdysvaltain tiedusteluviranomaisten ja kumppaneiden välillä tapahtuu laaja-alaista murtautumismenetelmien ja tietojen vaihtoa. Lähteet: (nytimes.com 7.3.2017, cbsnews.com 7.3.2017)

Yhdysvallat ja Israel ovat kybersodankäynnin pioneereja

Virkakautensa alussa Yhdysvaltain presidentti Barack Obama katsoi, että Yhdysvaltojen tulisi laajentaa merkittävästi kyberaseiden käyttöä Iranin ydinaseohjelmaa vastaan ajamalla uraania rikastavat ydinlaitokset alas. Presidentti George W. Bushin aloittama ja presidentti Barack Obaman vauhdittama kyberhyökkäys tunnettiin nimellä "Olympic Games". Lähde: (nytimes.com 1.6.2012)

Stuxnet ja Flame olivat Yhdysvaltojen ja Israelin yhteistyön näyte Iranin ydinohjelman vastaisessa sodankäynnissä. Tapahtui kuitenkin jotain odottamatonta mitä ei ehkä suunniteltu. Stuxnet ja Flame paljastuivat muulle maailmalle. Niiden toimintatapa ja koodi levisivät salamannopeasti ympäri maailmaa ja liitettiin lukuisina muunnelmina eri valtioiden kybersodankäyntiyksiköiden asearsenaaliin.

Yhdysvallat ja Israel joutuvat ottamaan vakavasti myös vastaiskun mahdollisuuden. Kyberaseet leviävät samoin kuin ydinaseet ympäri maailmaa. Tulevaisuudessa kyberaseet tulevat olemaan kompromissiin painostamisessa tehokkaampia ja taloudellisempia kuin perinteiset aseet. Todennäköisesti niiden käyttöä tullaan myös rajoittamaan kansainvälisin sopimuksin, samaan tapaan kuin ydinaseiden leviämistä.

Vuoden 2013 loppuun mennessä NSA oli käyttänyt 652 miljoonaa dollaria noin Genie ohjelmalla hallittavan 85 000 aktivoitavan (nukkuvan) vakoiluohjelman asentamiseen tietokoneisiin ja kyberkomponentteihin eri puolille maailmaa. Lähivuosina asennettujen vakoiluohjelmien määrän odotetaan nousevan miljooniin.

Genie ohjelmalla hallittiin kaikessa hiljaisuudessa ulkomaisia tietoliikenneverkkoja. Ohjelman avulla ulkomailla sijaitseviin tietokoneisiin, reitittimiin, palomuureihin ja muihin tietoliikenneverkon komponentteihin voitiin hivuttaa haittaohjelmia, joita käytetään tulevaisuuden tietomurto-operaatioissa.

Vuonna 2012 NSA ryhtyi kouluttamaan lisää "nettisotilaita" salaisiin verkko-operaatioihin. Koulutusohjelmaan haki mukaan 20 yliopistoa. Mukaan valittiin Dakotan, Tulsan, Northeasternin ja laivaston yliopistot. Salaisen koulutusohjelman tarkoituksena oli paikata osaavan henkilökunnan puutetta.

Verkossa tapahtuvat hyökkäys- ja puolustusoperaatiot edellyttävät syvällistä tietotekniikan tuntemusta. Koulutusohjelmaan valittavien opiskelijoiden taustat selvitettiin. Edellytyksenä oli myös henkilöturvallisuusluokitus. Lähde: (nsa.gov lehdistötiedote 11.6.2012)

Vakoiluohjelmien toteuttamisesta (suunnittelu, ohjelmointi ja testaus) vastasi ensisijaisesti NSA:n kybersodankäynnin tiedusteluyksikkö TAO (Tailored Access Operations). NSA osti myös yrityksiltä tietoja kyberhyökkäyksiin soveltuvista ohjelmahaavoittuvuuksista.

TAO-yksikössä työskenteli noin 600 eliittihakkeria. Heidät oli sijoitettu NSA:n Fort Meaden päätoimipaikan lisäksi alueellisiin keskuksiin Georgiassa, Texasissa, Coloradossa ja Havaijilla. TAO-yksikön Fort Meaden toimitila tunnetaan organisaatiokaavioissa nimellä S321. Työntekijät kutsuivat sitä termillä "ROC” (Remote Operation Center) lausutaan "rock".

NSA:n itse suunnittelemien vakoiluohjelmien lisäksi se suunnitteli ostavansa vuonna 2013 ulkopuolisilta yrityksiltä mm. tietoja ohjelmistojen nollapäivähaavoittuvuuksista 25,1 miljoonalla dollarilla. Vuonna 2011 Yhdysvallat teki 231 kyberhyökkäystä. Hyökkäysten kohteet sijaitsivat Iranissa, Venäjällä, Kiinassa ja Pohjois-Koreassa. Hyökkäysten tavoitteena oli kybervakoilu ja sabotaasit. Lähde: (washingtonpost.com 29.8.2013, 2.9.2013)

Iranissa havaittiin erittäin vaarallinen kyberase

Iranin tietoturva-asiantuntijat raportoivat Flame (Skywiper) kybervakoiluohjelmasta, jonka he luokittelivat huomattavasti Stuxnet-matoa vaarallisemmaksi. Kyseessä oli vuoteen 2012 mennessä kaikkein kehittynein, monimutkaisin ja vaarallisin tunnettu haittaohjelma. Sen alkuperä viittasi Israelin armeijan kybersodankäyntiyksikön tuotoksiin.

Kyberhyökkäys paljastui asiantuntijoiden tutkiessa toista haittaohjelmaa. Flame oli järjestyksessä neljäs tunnettu kyberase Stuxnetin, Starsin ja Duqun ohella. Haittaohjelma oli kehitetty laaja-alaiseen verkkovakoilun tarpeeseen. Sen tehtävänä oli kerätä tietoja julkisiin tietoverkkoihin liitetyistä tietokoneista mm. seuraamalla verkkoliikennettä, ottamalla kuvakaappauksia, äänittämällä keskusteluja ja tallentamalla näppäimistön käyttöä.

Flame hyödynsi kaikkia mahdollisia tapoja tiedon kaappaamiseen, kuten näppäimistöä, näyttöä, mikrofonia, tallennuslaitteita, videokameraa, verkkoa, WiFiä, Bluetoothia, USB-laitteita ja järjestelmän prosesseja. Flame (Worm.Win32.Flame aka #) koostui ohjelmamoduuleista. Ohjelman noin kuuden megatavun suuruinen moduuli asentui tietokoneeseen esimerkiksi muistitikulta. Tämän jälkeen se latasi komentopalvelimelta lisämoduuleja tarpeen mukaan (työkalupakki).

Kerätyt tiedot lähetettiin eri puolilla maailmaa sijaitseville komentopalvelimille, josta tiedon hyödyntäjät saivat ne käyttöönsä. Haittaohjelman toimintoja operoitiin myös komentopalvelimilta. Ohjelman koodaajilla oli mahdollisuus kirjoittaa uutta koodia ja muuttaa eri moduulien toimintoja ja käyttäytymistä ilman, että muut moduuleita käyttävät ”haittaohjelman operaattorit” sitä havaitsivat.

Ohjelmamoduuleihin voitiin tehdä uusia toimintoja ja toiminnallisia korjauksia. Muutokset ja päivitykset voitiin ottaa käyttöön yksinkertaisesti ohittamalla tietoturvatuotteiden kontrollit. Flame pystyi kasvamaan noin 20 megatavun suuruiseksi ohjelmistoksi. Yleensä haittaohjelmien koko oli ollut korkeintaan muutamia satoja kilotavuja.

Haittaohjelma oli noin 20 kertaa suurempi kuin Stuxnet -mato. Eugene Kasperskyn mukaan se oli myös 20 kertaa monimutkaisempi, kuin Stuxnet-mato. Flame pystyi varastamaan tiedot mm. kaikista lähellä olevista avoimista Bluetooth-laitteista ja ottamaan ruutukaappauksia sähköpostiviesteistä ja ohjelmista.

Flame havaittiin Iranissa ja muissa Israelin vihollismaissa. Se onnistui piiloutumaan tietoturvaohjelmistoilta mahdollisesti jo vuodesta 2008 ja varmuudella maaliskuusta 2010 lähtien. Flame haittaohjelma oli löydetty ainakin 600 ennalta kohteeksi valikoidusta tietojärjestelmästä Iranissa (189), Syyriassa (30), Libanonissa (18), Egyptissä (5), Sudanissa (32), Saudi Arabiassa (10) ja palestiinalaishallinnossa. Lähteet: (israelnationalnews.com 28.5.2012, ibtimes.co.uk 28.5.2012, telegraph.co.uk 28.5.2012, bbc.co.uk 28.5.2012)

Näin Yhdysvaltojen ja Israelin kyberase toimi Iranissa

• Yhdysvalloissa NSA:n ohjelmoijat ja Israelin armeijan kybersodankäyntiyksikön asiantuntijat kirjoittivat syvätiedustelua suorittavan beacon-ohjelman (majakka), jolla kartoitettiin hyökkäyksen kohteena olevien laitosten toimintaa.
• Ohjelma solutettiin laitosten tietojärjestelmiin mm. laitoksen työntekijöiden toimesta heidän tietämättään.
• Ohjelma keräsi yksityiskohtaista tietoa laitosten tietokoneiden kokoonpanoista ja välitti tiedot takaisin tiedustelupalvelujen komentopalvelimille.
• Beacon-ohjelman keräämien tietojen avulla NSA:n ohjelmoijat ja Israelin armeijan kybersodankäynnin yksikön asiantuntijat suunnittelivat laitosten tietojärjestelmiä häiritseviä haittaohjelmia, jotka olivat pääsääntöisesti matoja.
• Haittaohjelma suunnattiin valittuihin laitoksiin erikseen valituilla vaihtoehtoisilla menetelmillä (muistitikulla, huoltokäyntien yhteydessä, laitoksen laitetoimittajien henkilöstön avustuksella, laitoksen henkilökunnan avustuksella, verkon kautta ym.) Asennettuaan haittaohjelma häiristi ja sotki eri tavoin laitoksen prosesseja.
• Mossad tuki kyberhyökkäystä paikallisella epäsuoralla sodankäynnillä eliminoimalla laitoksen avainhenkilöstöä (mm. tietotekniikka-asiantuntijoita ja tutkijoita).
• NSA teki jatkuvasti uusia kyberiskuja koodaamalla ja aktivoimalla komentopalvelimilta uusia haittaohjelmaversioita, jotka aiheuttivat toistuvia erilaisia häiriöitä ja sotkua laitosten prosesseihin. Lopulta laitoksia jouduttiin pysäyttämään.
• Kyberiskun vaikutuksia seurattiin tiedusteluverkoston avulla. Mitä laaja-alaisempi vaikutus saatiin aikaan, sitä paremmin kyberiskut edistivät ja nopeuttivat poliittisen kompromissin aikaansaamista.

ITU ilmoitti antavansa jäsenmailleen varoituksen

YK:n alainen Kansainvälinen televiestintäliitto ITU (International Telecommunication Union) ilmoitti antavansa varoituksen jäsenmailleen Flame haittaohjelmasta. ITU:n koordinaattori Marco Obiso piti Flame haittaohjelmaa vakavampana uhkana kuin Stuxnetiä. Lähteet: (yle.fi 30.5.2012, mtv3.fi 30.5.2012)

Iranin kybersodankäyntiohjelman johtaja murhattiin

Iranin kybersodankäyntiyksikön johtaja Mojtaba Ahmadi löydettiin murhattuna Karajin kaupungin läheisyydestä. Ahmadi oli poistunut työpaikaltaan lauantaina 28.9.2013, eikä häntä sen jälkeen nähty elossa. Ahmadia oli ammuttu lähietäisyydeltä kaksi kertaa rintaan. Poliisin mukaan tekoon liittyy kaksi mottoripyörällä liikkunutta henkilöä. Lähde: (teleghraph.co.uk 4.10.2013)

Digitaalinen Frankestein syntyi vuonna 2012

Yhdysvalloissa Dallasissa Texasin yliopiston (University of Texas at Dallas) tutkijat Vishwath Mohan ja Kevin W. Hamlen kehittivät (proof of concept) itsensä kokoavan haittaohjelman, joka soveltui mm. tulevaisuuden kyberaseeksi. Haittaohjelma sai nimekseen "Frankenstein". Tutkimustyön rahoittajina olivat National Science Foundation ja Yhdysvaltain ilmavoimat.

Haittaohjelmalle kuvattiin suunnitelma mitä tehtäviä sen tulee suorittaa. Suunnitelman perusteella haittaohjelma koosti itsensä hyökkäyksen kohteena olevassa tietokoneessa. Hyökkääjän tarvitsi lähettää kohdekoneelle vain suunnitelma tehtävän toteuttamiseksi. Kaikki tehtävän suorittamiseksi tarvittava ohjelmakoodi koostettiin tietokoneen sisältämästä tavanomaisesta ohjelmakoodista.

Frankenstein ei ollut metamorfinen haittaohjelma, vaan loi mutantteja parsimalla yhteen laillisia ohjelmakoodeja. Se kokosi itsensä aina eri tavalla, vaikka suoritettava tehtävä oli sama ja tuotti itsestään ainutkertaisia mutaatioita, joita turvaohjelmat eivät havainneet.

Tutkimustyön tulokset julkistettiin. Tarkoituksena oli viestittää, että turvaohjelmia oli tulevaisuudessa kehitettävä niin, että ne havaitsevat suunnitelmakoodit ja niiden käynnistämät operaatiot. Tutkijat kertoivat jatkavansa Frankesteinin kehittämistyötä. Lähteet: (economist.com 25.8.2012, nbcnews.com 25.8.2012) Julkaistu tutkimus: Frankenstein: Stitching Malware from Benign Binaries, School of Electrical and Computer Science University of Texas at Dallas)

Punainen lokakuu haittaohjelma vakoili myös Suomessa

Kybervakoiluun erikoistunut Punainen lokakuu (Rocra, Red October) on Sputnik perheeseen kuuluva haittaohjelma, joka on erikoistunut vakoilemaan diplomaatti- (EU), tiede-, sotilas- (Nato) ja hallituslähteitä sekä ilmailu-, energia- ja ydinenergiayhtiöitä. Haittaohjelma vakoili mm. hyökkäyskohteiden tietokoneita, FTP-palvelimia, sähköpostiliikennettä ja matkapuhelimia.

Vakoilun kohteeksi olivat joutuneet ainakin Länsi-Euroopassa, Itä-Euroopassa, Pohjois-Amerikassa, entisen Neuvostoliiton alueella ja Keski-Aasiassa toimivia organisaatioita. Suomessa haittaohjelma pääsi asentumaan onnistuneesti mm. useiden ministeriöiden mm. ulkoministeriön yhteen työasemaan.

Haittaohjelma levisi verkossa ympäri maailmaa vuodesta 2007 alkaen ja onnistui pysyttelemään piilossa tutkijoilta viiden vuoden ajan.  Lopulta tietoturvayhtiö Kaspersky Lab onnistui löytämään haittaohjelman vuonna 2012.

Haittaohjelman toimintaa ohjattiin komento- ja valvontapalvelimien avulla, jota voi verrata toteutuksen monimutkaisuudessa Flame haittaohjelmaan. Haittaohjelma hyödynsi ainakin kolmea eri hyväksikäyttömenetelmää CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) ja CVE-2012-0158 (MS Word).

Punainen lokakuu haittaohjelmalla on käytössä yli 1000 erilaista hyökkäysmoduulia, joiden avulla se räätälöi itsensä kunkin hyökkäyskohteen tietojärjestelmän erityispiirteet huomioiden. Tämä ominaisuus tekee siitä ylivertaisen hyökkäysvälineen. Haittaohjelma kopioituu tietokoneelle mm. sähköpostiviestiin liitettyjen tiedostojen mm. Microsoft Excel ja Word sekä PDF-tiedostojen välityksellä. Esimerkkejä moduuleista:

Tiedustelumoduuli

Käytetään hyökkäyksen ensimmäisessä vaiheessa välittömästi, kun haittaohjelma on asentunut tietokoneisiin. Tämän tiedon perusteella tehdään päätös mitä muita moduuleja hyökkäyksessä käytetään. Muut moduulit keräävät selaushistorian, salasanat ja FTP asetukset kertaluonteisena toimenpiteenä.

Salasanamoduuli

Salasanamoduuli kerää mm. käytössä olevien ohjelmistojen tilitiedot mm. Windows ja Microsoft Outlook – sähköpostitilien tiedot.

Sähköpostimoduuli

Sähköpostimoduuli kopioi viestit mm. Outlookista ja POP3 tai IMAP sähköpostipalvelimilta.

USB-ajurimoduuli

USB-ajurimoduuli hyökkää tietokoneen USB-liityntöjen yli niihin kytkettyihin medioihin. Moduuli kerää yksityiskohtaista tietoa tietokoneiden tiedostonimien laajennuksista (*.exe. *.xls), tiedostojen koosta ja päivämääristä.

USB-injektiomoduuli

USB-injektiomoduuli kopioi lokitiedot ja tiedostot USB medioilta.

Näppäimistömoduuli

Tallentaa näppäimistön painallukset, salasanakenttiin kirjoitetut salasanat ja suorittaa kuvaruutukaappauksia.

Palautusmoduuli

Palautusmoduuli sisältää haittaohjelman eri osien uudelleen asentamiseen tarvittavat ominaisuudet, jolla tietokoneet palautetaan hyökkääjän valvontaan esimerkiksi, virustorjuntaohjelman suorittaman puhdistusoperaation jälkeen. Moduuli etsii uusia isäntäkoneita toimistoverkosta ja kopioituu niihin hyödyntämällä aiemmin käytettyjä tietojärjestelmän sisältämiä päivittämättömiä haavoittuvuuksia.

Matkapuhelinmoduuli

Matkapuhelinmoduuli kopioi älypuhelimista yhteystiedot, kalenteritiedot, SMS ja sähköpostiviestit.

Soluttautumismoduuli

Soluttautumismoduuli siirtää tallennetut tiedot paikallisista kiintolevyistä ja käytettävissä olevista FTP-palvelimista hyökkääjän haltuun. Moduuleita ajetaan toistuvasti. Kasperskyn mukaan hyökkäykset olivat edelleen käynnissä ja jäljet viittasivat venäläisiin koodaajiin ja kiinalaisiin hakkereihin. Lähde: (kaspersky.com 14.1.2013, threathpost.com 14.1.2013, yle.fi 14.1.2013) Lähteet: (hs.fi 14.1.2013)

APT-hyökkäys (Advanced Persistent Threat) tarkoittaa kehittynyttä jatkuvaa uhkaa. Se on kyberhyökkäyksen muoto, jossa hyökkääjät yleensä valtiolliset toimijat tai hyvin organisoidut rikollisryhmät pyrkivät pääsemään kohdeorganisaation järjestelmiin pitkällä aikavälillä ja huomaamattomasti.

APT-hyökkäyksen pääpiirteet

• Käytetään monimutkaisia tekniikoita, kuten nollapäivähaavoittuvuuksia, haittaohjelmia ja sosiaalista manipulointia.
• Hyökkäys ei ole kertaluonteinen, vaan se jatkuu kuukausia tai jopa vuosia. Tavoitteena on pysyä järjestelmässä huomaamattomasti.
• Hyökkäykset suunnataan tiettyyn organisaatioon, usein hallituksiin, suuryrityksiin tai kriittiseen infrastruktuuriin.

Tyypillinen tavoite

• Vakoilu (valtio tai yritys)
• Tietojen varastaminen (valtiosalaisuudet, patentit, asiakastiedot)
• Sabotointi tai vaikutusvalta (esim. tietojen manipulointi, disinformaatio tai järjestelmien toiminnan häiritseminen).

Miten APT-hyökkäys etenee

APT-hyökkäys etenee useissa vaiheissa, jotka tähtäävät siihen, että hyökkääjä pääsee järjestelmiin, pysyy siellä pitkään ja saa haluamansa tiedot ilman että huomataan. Tässä on tyypillinen APT-hyökkäyksen eteneminen vaihe vaiheelta:

1. Tiedustelu (Reconnaissance)

Hyökkääjä selvittää kaiken mahdollisen kohteesta, kuten verkkosivut, työntekijät, sähköpostit, ohjelmistot ja muut mahdolliset heikot kohdat esim. vanhentuneet ohjelmistot. Tavoitteena on löytää tapa eli hyökkäysvektori, joka mahdollistaa pääsyn järjestelmään.

2. Ensimmäinen sisäänpääsy (Initial Compromise)

Hyökkääjä murtautuu järjestelmään, usein kohdennettu huijaussähköpostin, haittaohjelman tai hyödyntämällä haavoittuvuuksia.

3.  Asennus (Establish Foothold)

Kun hyökkääjä on onnistunut pääsemään järjestelmään, hän asentaa takaoven (backdoor) tai komentokanavan (C2 = Command and Control), jotka mahdollistavat yhteydenpidon kohdejärjestelmään myöhemmin.

4. Liikkuminen järjestelmässä (Lateral Movement)

Hyökkääjä alkaa laajentaa pääsyään ja siirtyy muihin koneisiin tai verkkoihin. Hän etsii järjestelmänvalvojan tunnuksia ja kartoittaa verkon rakennetta.

5. Tiedonkeruu (Data Exfiltration)

Hyökkääjä kerää järjestelmästä haluamansa tiedot, kuten esimerkiksi asiakastiedot, immateriaalioikeudet, sähköpostit ja valtiosalaisuudet. Kerätyt tiedot salakirjoitetaan ja lähetetään hiljaisesti ulos.

6. Pysyvyys (Maintain Persistence)

Hyökkääjä varmistaa, että voi palata järjestelmään myöhemmin käyttäen luomiaan takaovia ja piiloutumistekniikoita (esim. rootkitit).

Hyökkäysohjelmat

Valtiollisten toimijoiden työkalut ovat edistyneitä tietojenkalastelu-, vakoilu- ja haittaohjelmatyökaluja, joita valtiolliset tai valtiollisten tukemat tahot. Tyypillisiä valtiollisten toimijoiden käyttämiä työkaluja ovat APT-haittaohjelmat.

X-Agent on tunnettu haittaohjelma, jota on käyttänyt erityisesti venäläiseksi arvioitu valtiollinen hakkeriryhmä APT28 (tunnetaan myös nimellä Fancy Bear tai Sofacy). Se on monialustainen vakoiluohjelma, jonka päätarkoitus on tiedustelu ja tietojen varastaminen.

Cobalt Strike on laillinen penetration testing -työkalu, mutta sitä käytetään myös laajasti valtiollisten ja rikollisten toimijoiden toimesta hyökkäyksissä, koska se tarjoaa erittäin tehokkaat hyökkäys- ja hallintatoiminnot. Se toimii eräänlaisena "komentokeskuksena" haittaohjelmille ja toimii hyvin APT-tyyppisissä operaatioissa.

Htran haittaohjelmaa käytetään APT-hyökkäystyökalun osana. HTran eli Http Tunnel on kiinalaisen APT1-ryhmän usein käyttämä työkalu, jota käytetään verkkoliikenteen uudelleenreitittämiseen (traffic redirector) ja jälkien peittämiseen. Sen päätarkoitus on ohjata hyökkääjän ja uhrin välinen C2-liikenne eri reitille, jotta liikenteen alkuperä (hyökkääjä) pysyy piilossa ja vaikeammin jäljitettävissä. Htran kyberhaittaohjelman toimintaperiaate on seuraava:

1. Käyttäjä aloittaa ohjelman käytön

Käyttäjä käynnistää HTran-ohjelman ja valitsee asetukset, kuten reitityksen määritykset.

2. HTran ottaa vastaan verkkoliikenteen

HTran toimii välikätenä verkkoliikenteelle ja vastaanottaa kaikki saapuvat pyynnöt käyttäjältä.

3. HTran ohjaa liikenteen välityspalvelimelle

HTran ohjaa liikenteen toiselle palvelimelle, jolloin liikenteen alkuperäinen lähde ja kohde piilotetaan.

4. Liikenteen manipulointi (protokolla, salaus, muotoilu)

HTran voi muokata liikenteen protokollaa, kuten käyttää eri portteja, salata liikenteen tai muokata sen muotoa, jotta jäljittäminen on vaikeampaa.

5. Reititys Tor-verkon tai toisen reitittimen kautta

HTran voi ohjata liikenteen Tor-verkkoon tai muihin reitittimiin, jolloin liikenne kulkee useiden solmujen kautta, mikä parantaa anonymiteettiä.

6. Alkuperäisen IP-osoitteen piilottaminen

HTran piilottaa alkuperäisen IP-osoitteen ja korvataan se välikäytön palvelimen IP-osoitteella, mikä estää liikenteen alkuperän jäljittämisen.

7. Lopullinen liikenne kulkee salattuna ja muutettuna kohteeseen

Liikenne kulkee kohteeseen, mutta sen alkuperä ja reititys ovat piilossa, joten liikenteen analysointi tai jäljittäminen on hankalaa.

DTrack on vakoilu- ja jäljityshaittaohjelma, jonka taustalla on pohjoiskorealainen Lazarus Group. Se suunniteltiin ensisijaisesti tiedonkeruuseen, mutta sitä voidaan käyttää myös hyökkäyksen valmisteluun ja lateraaliseen liikkeeseen verkossa. DTrack on havaittu erityisesti hyökkäyksissä pankkeihin, tutkimuslaitoksiin ja jopa ydinvoimaloihin esimerkiksi Intiassa 2019.

Regin on erittäin kehittynyt haittaohjelma ("implantti"), jota on käytetty kybervakoiluun, ei niinkään tavanomaisiin verkkohyökkäyksiin kuten palvelunestohyökkäyksiin tai ransomwareen. Se on monivaiheinen, modulaarinen ja hyvin piilotteleva. Ohjelman tarkempi toiminta riippuu siitä, mihin tarkoitukseen se on asennettu. Yllä kuvassa on yleiskatsaus siitä, miten Regin toimii vakoiluoperaation osana.

SUOMEN PUOLUSTUSTEOLLISUUS KYBERVAKOILUN KOHTEENA

Pohjois-Korea on aktiivinen toimija aseteknologian vakoilussa. Microsoftin raportin mukaan Pohjois-Korean hakkerit onnistuivat murtautumaan mm. Suomen puolustusteollisuuden yrityksiin. Raportin mukaan noin 5 prosenttia Pohjois-Korean vuotuisesta vakoiluaktiviteetista on kohdistunut Suomeen.

Pohjois-Korea on kiinnostunut erityisesti merisotateknologiasta mm. sukellusveneistä laukaistavista ohjuksista ja miehittämättömistä vedenalaisista droneista. Merisotateknologia on kolmen pohjoiskorealaisen kybertiedusteluyksikön kiinnostuksen kohteena, jotka tunnetaan länsimaissa koodinimillä Ruby Sleet (CERIUM), Diamond Sleet (ZINC) ja Sapphire Sleet (COPERNICIUM). Lähde: (Microsoft, Digital threats from East Asia increase in breadth and effectiveness -raportti, syyskuu 2023)

SUOMEN EDUSKUNTA KYBERVAKOILUN KOHTEENA

Suomen eduskunta joutui pitkäaikaisen kybervakoilun kohteeksi. Hyökkäys havaittiin eduskunnan sisäisessä teknisessä valvonnassa. Eduskunnan puheenjohtaja Anu Vehviläinen ja presidentti Niinistö pitivät vakoilua vakavana loukkauksena suomalaista demokratiaa ja yhteiskuntajärjestystä kohtaan.

Keskusrikospoliisi tutki tapausta törkeänä tietomurtona ja vakoiluna. Krp kertoi tiedotteessaan, että jutun esitutkinta aloitettiin loppusyksystä 2020.Toistaiseksi tuntematon taho on hankkinut eduskunnasta tietoa joko vieraan valtion hyödyksi tai Suomea vahingoittaakseen. Supon arvion mukaan järjestelmällistä kybervakoilua ja tavanomaista tiedustelutoimintaa Suomeen kohdistuu erityisesti Venäjän ja Kiinan tiedustelupalveluiden toimesta. Suojelupoliisin tiedustelutietojen mukaan kyseessä oli niin kutsuttu APT31-operaatio.

NSA:n Equation Group kehitti (EpMe) Windowsin nollapäivähaavoittuvuutta (virhe CVE-2017-2005 korjattu vuonna 2017) hyödyntävän murtotyökalun vuonna 2013. Kiinalainen APT31-hakkeriryhmä varasti työkalun NSA:lta vuonna 2014 ja kloonasi siitä oman version.  Kiinalainen APT31-ryhmä hyödynsi työkalua useita vuosia hyväksi ennen kuin Microsoft korjasi haavoittuvuuden. Lähteet: (poliisi.fi keskusrikospoliisi tiedote 28.12.2020, aamulehti.fi 28.12.2020, kaleva.fi 29.12.2020, hs.fi 29.12.2020, supo.fi tiedote 18.3.2021)

APT31-ryhmä koostuu pääosin Kiinan valtion tiedusteluvirkailijoista ja sopimushakkereista. Ryhmä tunnetaan myös nimellä Zirconium. APT31-ryhmä on toteuttanut maailmanlaajuisia kyberhyökkäyksiä, jotka kohdistuivat mm. poliittisiin toisinajattelijoihin Kiinan sisällä ja ulkomailla, valtioiden hallintoihin ja virkamiehiin sekä yrityksiin eri puolilla maailmaa.

APT31-ryhmä toimi toimi Wuhan Xiaoruizhi Science and Technology (Wuhan XRZ) yhtiön sateenvarjon alla ainakin vuodesta 2010 tammikuuhun 2024. Yhtiö on Wuhanissa sijaitseva Kiinan valtion turvallisuusministeriön (HSSD) peiteyhtiö. Vuonna 2010 HSSD perusti Wuhan XRZ:n peiteyritykseksi suorittamaan kyberoperaatioita. Yhtiö harjoittaa virallisesti teknologian kehittämistä ja konsultointia ja työllistää alle 50 henkilöä. Se sijaitsee Kiinan teknologian kehittämisvyöhykkeellä Wuhanin kaakkoisosassa.

APT31-ryhmän jäsenet lähettivät yli 10 000 haitallista sähköpostiviestiä eri puolille maailmaa sijaitseville organisaatioille ja henkilöille. Viestit näyttivät saapuneen tunnetuilta uutistoimistoilta tai toimittajilta, ja ne näyttivät tavanomaisilta uutisartikkeleilta. Viestit sisälsivät myös piilotettuja seurantalinkkejä. Vastaanottajan klikatessa viestin auki, kaikki vastaanottajaa koskevat tiedot, kuten vastaanottajan sijainti, IP-osoitteet, verkkokaaviot ja tietyt laitteet, joita käytettiin sähköpostitilien hallinnointiin, lähetettiin eteenpäin hyökkääjien hallitsemalle palvelimelle.

APT31-ryhmän jäsenet käyttivät näitä tietoja APT-hyökkäyksen toteuttamisessa. APT31-ryhmän jäsenilllä oli käytössään pitkälle kehitettyjä laitteistoja ja tietomurtotekniikoita, mukaan lukien nollapäivä haavoittuvuuksia. Toinen Kiinan valtion tukema vastaava hakkeriryhmä tunnetaan nimellä APT40, joka oli Uuden-Seelannin parlamenttiin vuonna 2021 suoritetun kyberhyökkäyksen takana. Lähteet: (Reuters 26.3.2024, justice.gov 25.3.2024)

NATON PÄÄMAJA JATKUVIEN KYBERHYÖKKÄYSTEN KOHTEENA

Naton pääsihteeri Anders Fogh Rasmussenin mukaan hakkerit hyökkäävät Naton päämajan tietojärjestelmiin noin 100 kertaa päivässä. Rasmussenin mukaan ei ole liioittelua sanoa, että kyberhyökkäykset ovat uudenlainen pysyvä alemman tason sodankäynnin muoto. Lähde: (thenewnewinternet.com 22.10.2010)

USA:N ARMEIJA JATKUVIEN KYBERHYÖKKÄYSTEN KOHTEENA

Yhdysvaltain apulaispuolustusministeri William J. Lynn III mukaan USA:n armeijan tietojärjestelmät ovat jatkuvasti noin sadan (100) ulkomaisen tiedusteluorganisaation kyberhyökkäysten kohteena. Hyökkäysten määrä on kasvanut viimeisen kymmenen vuoden aikana eksponentiaalisesti. Hyökkäyksillä yritetään haitata Yhdysvaltain sotatoimia.

Apulaispuolustusministeri J. Lynn kertoi ensi kertaa julkisuuteen vakavasta vuonna 2008 tapahtuneesta haittaohjelmahyökkäyksestä, joka kohdistui USA:n armeijan salaisiin tietokoneverkkoihin. Haittaohjelma putkahti verkkoon flash-levyltä, joka liitettiin armeijan kannettavaan tietokoneeseen Lähi-idässä.

Haittaohjelma oli asennettu levylle ulkomaisen tiedustelupalvelun toimesta. Haittaohjelma kopioi itsensä edelleen Yhdysvaltain Central Commandin verkkoon ja verkosta edelleen turvaluokiteltuihin ja turvaluokittelemattomiin tietojärjestelmiin. Apulaispuolustusministeri William J. Lynn painotti, että kyseessä oli Yhdysvaltain armeijan tietojärjestelmä vastaan suunnatuista hyökkäyksistä vakavin. Lähde: (Foreign Affairs syys-lokakuu 2010)

VIRON TIETOLIIKENNEINFRASTRUKTUURI KYBERHYÖKKÄYSTEN KOHTEENA

Viron tietoliikenneinfrastruktuuri joutui massiivisen Venäjältä suunnatun kyberhyökkäyksen kohteeksi Viron pääministeri Andrus Ansipin 22.5.2006 tekemän ns. pronssipatsaan siirtoesityksen johdosta. Viron hallitus hyväksyi esityksen ja päätti siirrättää voitonpäivän-patsaan Tallinnan keskustasta sivummalle rauhallisempaan paikkaan.

Kyberhyökkäys alkoi perjantaina, 27.4.2007 kello 22.30. Voimakkain läpimurtohyökkäys alkoi voitonpäivänä 9.5.2007. Venäjältä oli vuokrattu mm. suuria botnet-verkkoja hyökkäyksen toteuttamiseksi, joiden avulla generoitiin miljoonia tietoliikennepaketteja pommittamaan palvelimia alas.

Hyökkäyksen vaikutukset näkyivät nopeasti suurten liikepankkien, teleoperaattoreiden, tiedotusvälineiden ja nimipalvelimen toiminnassa. Kyberhyökkäyksen vaikutukset ulottuivat suurimpaan osaan Viron väestöä. Ensimmäistä kertaa internetin historiassa kyberhyökkäys uhkasi kansallista turvallisuutta.

Wikileaksin julkaiseman cablegate-raportin mukaan Kremliä tukeva nuorten aktivistien ryhmä Nashi Transnistrian oli vastuussa osasta kyberhyökkäyksiä. Viron hallituksen mielestä sillä on riittävästi aihetodisteita yhdistää hyökkäykset Moskovasta organisoiduiksi. Osa palvelunestohyökkäyksistä oli toteutettu ja koordinoitu suunnitelmallisesti erittäin pitkälle kehitetyin menetelmin.

Hyökkäyksessä oli käytetty salaperäistä tuntemattomaksi jäänyttä datapakettia, joka kaatoi Viron hallituksen ja Viron suurimman teleoperaattorin Elionin reitittimet niin nopeasti, että viranomaiset eivät onnistuneet selvittämään miten se tehtiin. Lähde: (Wikileaks viitetunnus 07TALLINN366)

IRANIN HALLINTO JATKUVIEN KYBERHYÖKKÄYSTEN KOHTEENA

Stars haittaohjelma oli Dugu haittaohjelman varhaisempi versio. Iranin siviilipuolustusorganisaation johtaja Gholam Reza Jalali kertoi Iranin havainneen ja estäneen uuden maata vastaan kohdistetun kyberiskun, jonka tavoitteena oli vakoilla hallituksen tietojärjestelmiä.

Hyökkäys toteutettiin Stars-haittaohjelmalla (mato), jonka toimintaa Iran selvitti. Jalalin mukaan haittaohjelma ei aiheuttanut toistaiseksi suurta vahinkoa, mutta sitä on voitu erehtyä pitämään hallituksen eri organisaatioiden lähettämäksi asianmukaiseksi tiedostoksi.

Iranin tutkimusten mukaan Stars-haittaohjelmahyökkäys oli peräisin Yhdysvalloista ja Israelista. Iranin mukaan amerikkalaiset ja israelilaiset hyökkäsivät sen tietojärjestelmiä vastaan lainsäädännöstä välittämättä. Stars-haittaohjelma oli jo toinen kohdennettu kyberisku Irania vastaan kahdeksan kuukauden sisällä. Katso myös Stuxnet Siemens SCADA haittaohjelma. Lähde: (mehrnews.com 25.4.2011)

IRANIN FINANSSILAITOKSET KYBERHYÖKKÄYSTEN KOHTEINA

Heinäkuussa 2012 israelilainen tietoturvayhtiö Seculert ja venäläisyhtiö Kaspersky Lab ilmoittivat löytäneensä havainneensa uuden Mahdi Trojan -nimisen haittaohjelman, joka oli kohdistettu mm. Iranin finanssilaitoksien (mm. Bank Hapoalim) ja suurlähetystöjen työntekijöille. Haittaohjelma oli järjestyksessä jo viides paljastunut kyberase.

Haittaohjelmaa levitettiin sähköpostiviesteillä, jotka sisälsivät väärennetyn Word-asiakirjaliitteen. Liitetiedoston avaus suoritti haittaohjelmakoodin. Word-asiakirjan aiheena oli Israelin ja Iranin välinen elektroninen sodankäynti. Haittaohjelman uskottiin olevan kybersodankäyntiin tarkoitettu ja sen taustalla jokin valtio. Koodi oli kirjoitettu Delphi – ohjelmointikielellä, jonka tulkittiin viittaavan harrastelijoihin tai kovaan kiireeseen.

Haittaohjelma toimi kuten Flame-haittaohjelma. Se kopioi koneilla olevia tiedostoja, valvoi sähköposti- ja pikaviestiliikennettä, teki ääninauhoituksia, tallensi näppäinpainalluksia ja otti ruutukaappauksia.  Haittaohjelman ja sen komentopalvelimien (C&C command-and-control) välinen liikenne oli salattu. Lähteet: (seculert.com 17.7.2012, israelinsider.net 17.7.2012)

Lopulta Iran ilmoitti kyllästyneensä jatkuviin kyberhyökkäyksiin ja kytki irti keskeisten ministeriöiden ja valtion laitosten internet-yhteydet. Iranin tietoliikenteestä vastaava ministeri Reza Taghipour totesi, että toimenpiteisiin oli ryhdyttävä, koska internet-yhteyksiä käytetään Iranin infrastruktuuria vastaan ja koska internetiä kontrolloi yksi tai kaksi Iranille vihamielistä valtiota. Iran ilmoitti korvaavansa maailmanlaajuisen Internetin kansallisella intranet-järjestelmällä 18 kuukauden kuluessa vuoteen 2014 mennessä.

LÄHI-IDÄN PANKIT KYBERHYÖKKÄYSTEN KOHTEINA

Elokuussa 2012 Venäläinen Kaspersky Lab kertoi jälleen löytäneensä Lähi-idästä valtion liikkeelle laskeman uuden haittaohjelman Trojan-Spy.Win32.Gauss. Haittaohjelma oli järjestyksessä jo kuudes paljastunut kyberase. Haittaohjelma vakoili Libanonin pankeissa olevia Syyrian ja Iranin tilitietoja.

Kasperskyn mukaan analyysi osoittaa, että saksalaisen matemaatikko Johann Carl Friedrich Gaussin mukaan nimetty haittaohjelma on aktivoitunut syyskuussa 2011. Se havaittiin ensimmäisen kerran kesäkuussa 2012.

Gauss –nimi löytyi haittaohjelman koodista. Se havaittiin Moskovassa sattumalta, kun Kasperskyn tutkijat analysoivat Flamea. Kasperskyn mukaan haittaohjelma on peräisin samasta lähteestä kuin Flame. Molemmat haittaohjelmat on kirjoitettu C + + -ohjelmointikielellä.

Haittaohjelma löydettiin 2 500 tietokoneesta, niistä useimmat olivat Libanonissa. Haittaohjelma keräsi tietoja mm. pankkien sähköposti- ja pikaviestiliikenteestä sekä Libanonin suurimpien pankkien kuten Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank ja Credit Libanais tilijärjestelmistä sekä Citibankin tilijärjestelmistä ja PayPalin online-maksujärjestelmästä.

Haittaohjelman liikkeellelaskija on pitänyt ilmeisenä, että Libanonin pankeista on mahdollista löytää tietoja Syyrian johdon rahaliikenteestä ja terrorismin rahoittamisesta. Libanonin suurimmat pankit ovat mm. sveitsiläisten pankkien kumppaneita. Asiantuntijat arvelivat haittaohjelman vaarantavan myös Sveitsin pankkisalaisuuden. Lähteet: (kaspersky.com 9.8.2012, nytimes.com 9.8.2012)

NSA:N KYBERASEITA PÄÄTYI HAKKEREIDEN KÄSIIN

The Shadow Brokers hakkeriryhmä kertoi saaneensa haltuun NSA:n operatiivisen tietomurtoihin keskittyneen Equation Groupin käyttämiä kyberaseita. Asiantuntijoiden mukaan The Shadow Brokers esitti väitteelleen myös uskottavia todisteita ja oli halukas myymään kyberaseet eniten tarjoavalle taholle. Hakkeriryhmän taustat olivat tapauksen paljastumisen aikaan epäselviä.

NSA:n Equation Groupia pidettiin erittäin kehittyneiden ja monimuotoisten tietomurtotekniikoiden osaajana. Sen uskottiin kehittäneen mm. Qwerty KeyLogger, Stuxnet, Flame ja Regin haittaohjelmat sekä Cisco Systems Inc, Juniper Networks Inc ja Fortinet Inc valmistamien reitittimien murtotekniikoita. Edellä mainittuja kyberaseita käytetiin maailmanlaajuisesti Five Eyes osapuolten toimesta. Lähteet: (thehackernews.com 15.8.2016, wired.com 15.8.2016, dailydot.com 15.8.2016, reuters.com 15.8.2016)

Ciscon ASA-palomuurit sisälsivät nollapäivähaavoittuvuuksia, joita mm. NSA:n hyökkäysohjelmistot Extrabacon, Epicbanana pystyivät hyödyntämään. Hyökkäysohjelmistot hyödynsivät SNMP:n (Simple Network Management Protocol) nollapäivän puskurin ylivuotoa haitallisen koodin suorittamiseen. Cisco julkaisi asiasta tietoturvatiedotteen (CVE-2016-6366).

Hyökkäysohjelmistot voivat hyödyntää myös vanhempaa Cisco ASA-palomuurin nollapäivähaavoittuvuutta, johon Cisco oli julkaissut korjauksen jo vuonna 2011 (CVE-2016-6367). Hyökkäys hyödynsi ASA (Adaptive Security Appliance) ohjelman komentorivikäyttöliittymän (CLI) RCE virhettä, jolloin hyökkääjällä oli mahdollisuus toteuttaa mm. palvelunestohyökkäys (DoS) tai suorittaa haluamaansa koodia laitteella.

UROBUROS (SNAKE, TURLA)

Uroburos oli kehittyneempi versio Agent.BTZ  -haittaohjelmasta. Uroburos on ikivanhan symbolin nimi, jossa käärme tai lohikäärme syö omaa häntäänsä. Symboli esiintyy uskonnollisessa ja mytologisessa symboliikassa, ja alkemian kuvituksissa. Epäilykset suuntautuivat Venäjän suuntaan ohjelmakoodista löytyneiden Venäjän kieleen viittaavien piirteiden johdosta.

Vakoiluohjelman kehittäminen oli aloitettu ilmeisesti jo vuonna 2003. Ensimmäiset havainnot siitä tehtiin vuonna 2010. Kremlin kyberase Uroburos tarttui Ukrainan pääministerin toimiston 60 tietokonetta käsittävään tietojärjestelmään toukokuussa 2012. Ukrainassa tehtiin vuonna 2013 kahdeksan havaintoa Uroburos-haittaohjelmasta. Vuoden 2014 alussa Ukrainassa tehtiin jo 14 havaintoa Uroburos-haittaohjelmasta. Kaikkiaan havaintoja oli kertynyt vuoden 2014 alkuun mennessä 56, joista 32 oli tehty Ukrainassa. Uroburos onnistui tarttumaan myös kymmeneen Ukrainan lähetystön ja yhdeksän muun maan lähetystön tietojärjestelmään itäisen Euroopan alueella.

Uroburos toimi ympäristöissä, joista ei ole suoraa yhteyttä internetiin. Uroburos osasi muodostaa tietokoneista vertaisverkon, jonka jokainen solmu toimi välityspalvelimena ja pystyi muodostamaan yhteyden komentopalvelimeen. Lähde: (thehackernews.com 7.3.2014)

Vakoiluohjelma onnistui kaikessa rauhassa saastuttamaan kymmenien eri valtioiden virastojen tietojärjestelmiä Euroopassa ja Yhdysvalloissa. Tietoturvayhtiö Symantecin arvion mukaan se ehti asentua kaikessa rauhassa noin tuhanteen tietoverkkoon. Uroburos oli vuoteen 2014 mennessä eräs kaikkein kehittyneimmistä ja vaikeimmin havaittavista Kremlin -vakoiluohjelmista.

Uroburos avasi mm. tietojärjestelmään takaportin ja lähetti kopioidut tiedot verkon kautta komentopalvelimille, latasi uusia tiedostoja tietojärjestelmään, päivitti ajureita, lopetti prosesseja ja kirjoitti tietoja lokeille. Kyberhyökkäyksiin ja vakoiluohjelmien analysointiin erikoistuneet turvallisuusyritykset ehtivät seurata Uroburos–vakoiluohjelmaa useita vuosia. Uroburos-vakoiluohjelmasta saatiin yli sata näytettä vuodesta 2010 alkaen. Ukrainasta oli saatu 32 näytettä, Liettuasta 11 näytettä ja Isosta-Britanniasta 4 näytettä.

Uroburos toimi 32-ja 64-bittisissä Microsoft Windows-käyttöjärjestelmissä. Kyseessä oli teknisesti erittäin huolellisesti toteutettu monimutkainen ohjelma, jossa havaittiin vain vähän virheitä. Uroburos ohjelman avulla Venäjän tiedustelu FSB onnistui hankkimaan mm. arkaluontoisia ulkopoliittisia asiakirjoja ja diplomaattisia viestejä 50 eri maasta, erityisesti Nato-maista.

Vakoiluohjelman havaitseminen ja tuhoaminen tietokoneissa oli tehty erittäin vaikeaksi. Uroburos ei aktivoitunut, jos tietokoneelle oli jo asentunut Agent.BTZ -haittaohjelma. Yhdysvalloissa Agent.BTZ –haittaohjelma jäljitettiin venäläisten tekemäksi. Agent.BTZ –haittaohjelma pääsi aktivoitumaan, kun haittaohjelman sisältävä USB-muistitikku oli tarkoituksella jätetty Yhdysvaltain puolustusministeriön pysäköintialueelle.

Uroburos oli suunniteltu toimimaan yritysten ja virastojen toimistoverkoissa. Ohjelma asentui kaikkiin toimistoverkosta löytämiinsä tietokoneisiin ja rakensi niistä oman verkoston. Mikäli yksikin verkoston tietokoneista oli yhteydessä julkiseen verkkoon, se pystyi lähettämään tietonsa sitä ohjaavalle komentopalvelimelle. Tutkijat uskoivat, että Uroburos –haittaohjelmasta oli olemassa vieläkin kehittyneempiä versioita, joita ei toistaiseksi pystytty havaitsemaan.

TIETOTURVAYHTIÖ SYMANTEC PALJASTI HALLITUKSIA VAKOILEVAN HAITTAOHJELMAN

Tietoturvayhtiö Symantec kertoi havainneensa Regin-nimisen (Backdoor.Regin) vakoiluohjelman, joka oli ehtinyt kuuden vuoden ajan levitä mm. Venäjällä (28 %), Saudi-Arabiassa (24 %), Irlannissa (9 %) ja Intiassa (9 %). Kyseessä oli yksi kehittyneimmistä tähän asti tunnetuista vakoiluohjelmista. Ohjelman monimutkaisuus ja toiminnallisuus viittasi nimenomaan länsimaiseen valtiolliseen tahoon, joka oli käyttänyt sen kehittämiseen kuukausia tai jopa vuosia. Symantec vertasi Reginiä Yhdysvaltain ja Israelin kehittämään Stuxnet-matoon.

Regin-vakoiluohjelman rakenne noudatti valtiollisille vakoiluohjelmille tyypillistä modulaarista rakennetta, joka koostui kohteen mukaisista räätälöidyistä ominaisuuksista. Vastaavaa rakennetta noudattivat myös mm. Duqu ja Stuxnet. Ohjelmassa oli useita piilo-ominaisuuksia mm. erikoisvalmisteinen salattu virtuaalinen tiedostojärjestelmä (EVFS), ja vaihtoehtoinen salausmuunnelma (RC5), jota ei yleisesti käytetä.

Ohjelmassa oli viisi eri tasoa. Jokainen taso oli salattu erikseen ja salaukseen on käytetty erikseen räätälöityä salausmenetelmää. Ohjelma pystyi kaappaamaan mm. salasanoja, palauttamaan poistettuja tiedostoja ja ottamaan kuvaruutukopioita. Vakoiluohjelma tunnistettiin 12.12.2013. Pian sen jälkeen sitä vastaan julkaistiin torjuntamenetelmä. Regin-vakoiluohjelma toimi aktiivisesti vuosina 2008 - 2011. Vuonna 2013 ilmaantui uudelleen aiempaa tehokkaampana. Lähteet: (symantec.com 23.11.2014, bbc.co.uk 23.11.2014, hs.fi 23.11.2014, iltalehti.fi 23.11.2014)

MINIdUKE-VAKOILUOHJELMA SISÄLSI UUSIA OMINAISUUKSIA

Venäläisen Kaspersky Labin ja unkarilaisen CrySyS Labin tutkijat löysivät teknisesti aikaisemmista poikkeavan MiniDuke-vakoiluohjelman. Ohjelman eräät piirteet muistuttivat Duqu-vakoiluohjelmaa. MiniDuke keräsi kohdennetusti tietoja 23 valtiosta, Belgiasta, Brasiliasta, Bulgariasta, Tšekistä, Georgiasta, Saksasta, Unkarista, Irlannista, Israelista, Japanista, Latviasta, Libanonista, Liettuasta, Montenegrosta, Portugalista, Romaniasta, Venäjältä, Sloveniasta, Espanjasta, Turkista, Ukrainasta, Yhdistyneestä kuningaskunnasta ja Yhdysvalloista.

Arvion mukaan vakoiluohjelman uhreiksi oli joutunut 59 organisaatiota. Eräs yksittäinen kohde oli sotilasliitto Nato. Sen tietojärjestelmiin yritettiin hyökätä, mutta hyökkäys epäonnistui. Suomessa ei ole tehty MiniDuke-havaintoja. Ohjelma asensi saastuneelle kohdekoneelle pienen 20 KB kokoisen Assemblerilla kirjoitetun downloader-ohjelman, joka sisälsi takaportin. Ohjelma suoritti matemaattisia operaatioita ja loi saastuneelle koneelle ainutkertaisen sormenjäljen, jolla kone voitiin myöhemmin identifioida ja jolla se salasi komentopalvelimen väliset viestit.

MiniDuke käytti hallinnointiin komentopalvelimia, mutta se pystyi kommunikoimaan isäntiensä kanssa myös Twitter-tilien kautta, jotka antoivat vakoiluohjelmalle ohjeita saastuneiden tietokoneiden hallintaan. Toinen ohjeistuskanava vakoiluohjelmalle oli Googlen hakukone. MiniDuke levisi sähköpostissa pdf-liitetiedostojen välityksellä (exploit CVE-2013-0640). PDF-tiedostot sisälsivät muun muassa väärennettyjä dokumentteja Ukrainan Nato-jäsenyyssuunnitelmista. Lähde: (securelist.com 27.2.2013)

KREML HYÖKKÄSI KYBERASEIN UKRAINAA VASTAAN

Venäjä harrastaa kybervakoilua kultivoitujen ja aggressiivisten vakoiluohjelmien avulla. Kohteina olivat erityisesti länsimaisten hallitusten ulkoasianhallintojen tietojärjestelmät. Ukrainan Kansallinen turvallisuus- ja puolustusneuvosto kertoi Venäjän hyökänneen Ukrainan viranomaisten tietojärjestelmiä vastaan useita kymmeniä kertoja. Venäjä toteutti kyberhyökkäykset toistuvina hyökkäyssarjoina, ei yksittäisenä hyökkäyksenä.

Krimin niemimaalle asennettujen viestiliikenteen häirintälaitteiden lisäksi Venäjä käynnisti palvelunestohyökkäyksiä ja levitti Ukrainan tietoverkkoihin mm. Uroburos-haittaohjelmia. Uroburos-haittaohjelman koodi sisältää venäjänkielistä tekstiä ja sen kehittäjät operoivat Moskovan aikavyöhykkeellä. Hyökkäyskohteita olivat mm. Ukrainan kansallinen turvallisuus- ja puolustusneuvosto ja Ukrainan uutistoimisto Ukrinformin. Uroburos-haittaohjelma muistuttaa Stuxnet -haittaohjelmaa. Venäjän kyberasevalikoimaan kuuluvat mm. seuraavat haittaohjelmat:

• Agent.BTZ
• Uroburos (tunnetaan myös nimillä Snake ja Turla)
• Red October

Agent.BTZ oli muistitikkujen kautta tietokoneeseen siirtyvä haittaohjelma. Haittaohjelmasta tehtiin ensimmäinen havainto Suomessa vuonna 2008, jonka jälkeen siitä on tehty lukuisia havaintoja. Agent.BTZ –haittaohjelmaa ei ole suunniteltu tietojen kopiointiin, vaan tutkimaan tietokoneen sisältöä ja lähettämään tiedot komentopalvelimille. Mikäli kyseinen tietokone oli kiinni esimerkiksi valtionhallinnon verkossa, käytetiin Agent.BTZ:ia lataamaan verkkoon muita haittaohjelmia esimerkiksi Uroburos, jolla verkko otetiin hallintaan ja tietoja kopioitiin.

TIETOTURVAOHJELMISTOT EIVÄT TUNNISTANEET CARETO-HAITTAOHJELMAA

Vuoteen 2014 mennessä paljastuneista APT-haittaohjelmista kaikkein kehittynein oli espanjankielinen Careto (Mask = naamio). Careto on espanjankielinen slangitermi, joka tarkoittaa maskia. Kyseessä oli valtiollinen kyberhyökkäysase, jota haittaohjelmat eivät tunnistaneet. Haittaohjelman levitys oli alkanut jo vuonna 2007. Haittaohjelman havaitsi venäläinen tietoturvayhtiö Kaspersky Lab vuonna 2014. Kasperskyn havaintojen mukaan ohjelman tekijät vetivät ohjelman pois tammikuussa 2014 pian sen jälkeen, kun sen olemassaolo paljastui.

Ohjelma oli vakoillut kaikessa hiljaisuudessa valtioiden virastoja, lähetystöjä, energia- ja öljy-yhtiöitä, tutkimuslaitoksia, rahoituslaitoksia sekä eri maissa toimivia kansalaisaktivisteja. Haittaohjelma levisi social engineering -taktiikkaa hyödyntäen kohdennettujen sähköpostiviestien avulla. Sähköpostiviestit sisältävät linkkejä, jotka ohjaavat liikenteen esimerkiksi Washington Postin, Guardianin ja Youtuben väärennetyille sivustoille.

Haittaohjelmatartuntoja löytyi 31 eri maasta mm. Saksasta, Ranskasta, Britanniasta, Puolasta ja Belgiasta. Ohjelma kopioi tartunnan saaneista tietokoneista mm. tiedostoja ja salausavaimia. Se pystyi tuhoamaan myös tiedostoja ja pyyhkimään lokimerkintöjä.

Careto-haittaohjelma oli rakenteeltaan modulaarinen eli osista koostuva ja se pystyi muuttamaan toiminnallisuuttaan tilanteen mukaisesti lataamalla komentopalvelimelta uusia ominaisuuksia. Ohjelma osasi myös piiloutua tehokkaasti tietoturvaohjelmilta. Hyökkäyksissä käytettiin kahta ohjelmistopakettia ja useita toisiinsa liittyviä apuohjelmia. Tärkeimmät ohjelmapaketit olivat nimeltään "Careto" ja "SGH".

Careto oli yleiskäyttöinen ohjelmistokomponentti ja asennusmoduuli, joka keräsi järjestelmätason tietoja ja suoritti ohjelmakoodia. Ohjelmistopaketti asentui esimerkiksi Windows-versiossa standalone executable asennusohjelman avulla. SGH oli tätä kehittyneempi ohjelmistokomponentti. Se sisälsi rootkit komponentit ja kopioi tiedostoja ja ylläpiti yhteyttä komentopalvelimille.

Careto ja SGH komponentit pystyivät toimimaan erillisinä "implantteina" tai ne pystyivät toimimaan myös saman paketin osina. Ohjelmistopaketit oli allekirjoitettu käyttämällä bulgarialaisen yrityksen TecSystem Ltd:n sertifikaattia. Haittaohjelmasta oli vuonna 2014 olemassa Windows, Linux ja Mac OS –versiot sekä mahdollisesti myös iOS- ja Android-versiot. Lähteet: (Kasbersy Lab raportti “Unveiling “Careto” - The Masked APT”)