perjantai 15. tammikuuta 2016

Jäljet johtavat sylttytehtaalle - Venäjälle - se ei ole uutta eikä yllättävää...

Mitäpä tuohon muuta sanomaan/kirjoittamaan...

Suora nettilainaus Helsingin Sanomista hiukan tuunattuna:

Kybervakoilijoiden ryhmä iskenyt ministeriöihin, yrityksiin ja suurlähetystöihin – jäljet johtavat Venäjälle

Suomen ulkoministeriötä vakoillut ryhmä tunnetaan monella nimellä: Uroburos, Snake, Turla ja Waterbug.

KOTIMAA  
HS kertoi ulkoministeriöön kohdistuneesta verkkovakoilusta marraskuussa 2013.
HS kertoi ulkoministeriöön kohdistuneesta verkkovakoilusta marraskuussa 2013.

Suomen ulkoministeriön tietoverkosta vuonna 2013 paljastunutta vakoiluohjelmaa ja sen taustavoimia on jäljitetty jo kymmenkunta vuotta.
Salaperäisellä ryhmällä ei ole kuitenkaan yleisesti hyväksyttyä nimeä. Ryhmän jäljittäjät käyttävätkin eri nimiä, jotka yleensä riippuvat siitä, minkä tietoturvayrityksen palveluksessa he ovat.
Yleisimmin ryhmä tunnetaan nimillä Uroburos, Snake tai Turla. Ne kaikki tarkoittavat samaa asiaa. Ryhmästä käytetään myös nimeä Waterbug (Vesilude).
HS paljasti (HS 27.9.2014) toissa vuonna, että ulkoministeriöstä löytynyt haittaohjelma oli nimeltään Uroburos (Snake, Turla). Se on niin sanottu rootkit-haittaohjelma, joka kätkeytyy syvälle käyttöjärjestelmän sisälle.
Haittaohjelma avaa tietokoneeseen niin sanotun takaoven aina, kun tietokoneen käyttäjä avaa internetselaimen. Takaoven kautta hyökkääjä voi kopioida tiedostoja saastuneesta tietokoneesta, ottaa yhteyden palvelimiin, tuhota tiedostoja ja ladata uusia haittaohjelmia.
Uroburos/Snake/Turla-haittaohjelmaa ja sen lähisukulaisiksi luettavia ohjelmia ovat tutkineet muun muassa tietoturvayhtiöt Kaspersky ja Symantec sekä saksalainen G-Data.
Tietoturvayhtiöiden julkaisemissa raporteissa haittaohjelman sylttytehtaan on epäilty olevan Venäjällä. Päätelmiä on tehty esimerkiksi lähdekoodista löydetyistä venäjänkielisistä sanoista.
Täyttä varmuutta venäläisyydestä ei ole kuitenkaan vielä saatu. Yle kertoikeskiviikkona nimettömiin asiantuntijalähteisiin perustuen, että vakoiluohjelmaa käyttävä ryhmä olisi venäläinen.
Amerikkalainen tietoturvayhtiö Symantec kutsuu verkkovakoiluryhmää nimellä Waterbug. Sen mukaan ryhmä on ollut aktiivinen jo vuodesta 2005 lähtien. Se pitää ryhmää todennäköisesti syypäänä muun muassa kuuluisaan vuonna 2008 tehtyyn kyberhyökkäykseen Yhdysvaltain asevoimia vastaan.
Symantecin mukaan Waterbug-ryhmä pääsee käsiksi uhrien tietokoneisiin yleensä joko sähköpostin liitetiedostoon asennetun haittaohjelman tai niin sanotun juomapaikka-huijauksen (watering hole) kautta.
Juomapaikka-huijauksessa saastutetaan haittaohjelmalla ensin jokin internetsivusto, jota varsinaisen kohteen työntekijän tiedetään käyttävän työpaikallaan ollessaan. Kun työntekijä käy saastutetulla sivustolla, haittaohjelma saattaa siirtyä huomaamatta hänen työkoneelleen.

Symantecin mukaan ryhmän takana onkin jokin valtio, jonka tavoitteena on kerätä tiedustelutietoa.
Symantecin raportin mukaan Waterbug-ryhmä on erittäin taitava, ja se on onnistunut vakoilemaan eri maiden hallintoja ja suurlähetystöjä. Ryhmä on myös kehittänyt työkalujaan vuosien mittaan, mikä osoittaa sen käytössä olevan suuret resurssit.
Haittaohjelmaa on tutkinut erityisesti venäläinen tietoturvayhtiö Kaspersky Lab. Se kutsuu ohjelmaa ja sen taustalla olevaa ryhmää Turlaksi. Kaspersky on hyvin arvostettu korkeasta ammattitaidostaan, mutta sen mahdolliset yhteydet Venäjän hallintoon ovat herättäneet keskustelua.
Kaspersky julkaisi viime vuoden syyskuussa lisätietoja haittaohjelmasta ja sen käyttämistä tekniikoista. Yksi päätelmä oli se, että ainakin osa ryhmään kuuluvista on venäjänkielisiä.
Kaspersky onkin löytänyt yli sata ryhmän hyökkäyksen kohteiksi joutunutta verkkoa. Joukossa on muun muassa EU-maan sisäministeriö, kauppaministeriö ja ulkoministeriö sekä suurlähetystöjä ja tiedusteluorganisaatioita. Myös lääkeyhtiöitä on ollut kohteina. Suurin osa kohteista on ollut Romaniassa.
Ryhmän taidosta kertoo sen monipuolinen kyky hyödyntää erilaisia ohjelmistojen haavoittuvuuksia sekä muita keinoja järjestelmiin tunkeutumisessa. Hyökkääjät ovat käyttäneet myös niin sanottuja nollapäivähaavoittuvuuksia eli ennestään tuntemattomia tietoturva-aukkoja.
Haittaohjelmat tarvitsevat toimiakseen suuren määrän komentopalvelimia, jotka ohjaavat niiden toimintaa. Komentopalvelimet muodostavat mutkikkaan verkon, jonka taakse hyökkääjät pyrkivät kätkeytymään. Viranomaiset ja internetin palveluntarjoajat pääsevät niihin kuitenkin halutessaan lopulta käsiksi.
Kasperskyn mukaan Turla-ryhmä kiertää komentopalvelimiin liittyvää paljastumisriskiä käyttämällä satelliitteihin perustuvaa järjestelmää. Se perustuu satelliitteihin nojautuvien internetyhteyksien tietoturvan puutteisiin.
Tyypillinen edullinen satelliittiyhteys on sellainen, jossa yhteys toimii vain yhteen suuntaan. Toisin sanoen tietoa tulee vain satelliitista käyttäjän tietokoneelle. Sen sijaan käyttäjän tietokoneen lähettämä tieto kulkee pitkin perinteisiä lankalinjoja tai maanpäällistä langatonta yhteyttä pitkin.
Satelliittiteknologiassa on se heikkous, että satelliitista maanpäälliseen satelliittilautaseen kulkeva bittivirta välitetään salaamattomana. Kybervakoilijat pääsevät tämän vuoksi oman satelliittiantenninsa kautta kiinni viattoman käyttäjän internetliikenteeseen ilman, että tämä huomaa mitään. Tätä yhteyttä voidaan sitten hyödyntää haittaohjelmien tiedonvälityksessä.
Satelliittilähetykset lähetetään hyvin laajalle alueelle, joten viranomaisten on käytännössä mahdotonta löytää kybervakoilijoita lukemattomien satelliittiantennien joukosta.
Kasperskyn mukaan kybervakoilijat hyödyntävät esimerkiksi Afrikassa ja Lähi-idässä olevia satelliittipalveluja, joita on erityisen hankala jäljittää.

Ei kommentteja:

Lähetä kommentti