Haittaohjelmia ja hyökkäyksiä


2014-11-25, 09:28 Kirjoittanut Jani Ekqvist

Sunnuntaina Symantec ja Kaspersky julkaisivat tiedotteen Regin-haittaohjelmasta. Se on nähty ensimmäisen kerran ainakin vuonna 2008, mutta voi olla, että se on ollut liikkeellä jo 2006. Regin on muutenkin mielenkiintoinen tuttavuus, sillä se vaikuttaa olevan monella tavoin kehittynein laajalle levinnyt haittaohjelma tähän mennessä. Siitä on olemassa useita versioita, eivätkä tietoturvayhtiöt ole vieläkään kovin hyvin selvillä siitä, millä kaikilla tavoin se leviää, ja mitä kaikkea sen kymmenet toiminnallisuusmoduulit pitävät sisällään. Kaikki ovat yhtä mieltä siitä, että kyse on valtiotason hyökkääjästä, ja useampi taho antaa ymmärtää, että ohjelman takana on Yhdysvallat, mahdollisesti yhteistyössä Iso-Britannian kanssa. Joidenkin moduulien nimiä löytyy Snowdenin julkistamasta NSA:n tarjoamasta haittaohjelmaluettelosta.

Regin on saastuttanut koneita erityisesti Sauda-Arabiassa ja Venäjällä, mutta myös Euroopassa, Etelä-Amerikassa ja Aasiassa. Ohjelman jälkiä on löytynyt useiden eri alojen yrityksistä, mutta aivan erityisesti teleyhtiöistä. Ainakin yksi moduuli on Kasperskyn mukaan kerännyt tietoja GSM-runkoverkon laitteista. Ohjelman on kerrottu olleen käytössä myös muun muassa hyökkäyksissä Euroopan Unionin hallintoa sekä tunnettua belgialaista kryptograafikkoa, Jean-Jaques Quisquateria vastaan. Suomessa tartuntoja ei ole havaittu.

Symantec viittaa ainakin kahteen selkeästi erilliseen versioon, 1.0 ja 2.0. 1.0 on ollut toiminnassa ainakin vuodesta 2008 vuoteen 2011, ja versio 2.0 ainakin vuodesta 2013 eteenpäin. Symantecin mukaan versio 1.0 on vedetty pois käytöstä äkillisesti jostain syystä vuonna 2011. Syy ei välttämättä ole suuri arvoitus, sillä esimerkiksi Microsoftin suojaustyökalut ovat tunnistaneet ohjelman latauskomponentin Regin – nimellä 9.3.2011 lähtien ja samoihin aikoihin uutisoitiin hyökkäyksestä EU:n järjestelmiin.

Reginin rinnalla verkossa ovat viime vuosina mellastaneet lukuisat ohjelmat, joiden epäillään olevan peräisin eri maiden tiedustelupalveluista. Aletaan jo olla siinä tilanteessa, että vähänkään kiinnostavassa organisaatiossa todennäköisesti on ainakin jonkin vieraan vallan saastuttama kone, pahimmillaan vierailijoita on useammasta maasta samaan aikaan. Yritysten kannalta suurimpia riskejä ovat teollisuusvakoilu ja hallinnan ja sitä kautta luottamuksen menetys järjestelmiin.

Vielä toistaiseksi tavallinen verkkorikollisuus muodostaa kuitenkin isomman riskin, mistä ehkä parhaana esimerkkinä juuri nyt käynnissä oleva hyökkäys Sony Picturesin järjestelmiin. Tunnuksella #GOP esiintyvät hyökkääjät ovat ilmeisesti saaneet hallintaansa kaikki yrityksen työasemat ja melkoisen joukon sosiaalisen median tilejä. Vaatimuksista ei ole täyttä selvyyttä, mutta rikolliset uhkaavat julkistaa yrityksen liikesalaisuuksia, jos vaatimuksiin ei suostuta. Hyökkääjät ovat jo julkaisseet luettelon dokumenttien nimistä, ja listalla on taloustietojen ja lähdekoodin lisäksi esimerkiksi useita tiedostoja, jotka nimien perusteella sisältävät eri järjestelmien salasanoja.

Yhteistä näille molemmille uhkakuville on, ettei niitä välttämättä pysty mitenkään torjumaan. Molemmat todennäköisesti hyödyntävät ns. nollapäivähaavoittuvuuksia, joita turvallisuusohjelmistot eivät ole tunnistaneet. Hyvä ehdokas Sonyn tapauksessa on Microsoftin juuri 18.11. korjaama CVE-2014-6324, joka mahdollistaa tavalliselle käyttäjälle pääkäyttäjäpääsyn järjestelmiin. Ohjelmistot eivät pysty koskaan estämään näitä täydellisesti. Ne ovat kuitenkin välttämätön osa toimivaa tietoturvaprosessia, jonka pääasiallisena tehtävänä on huomata tunkeutumiset ja muut ongelmat, ryhtyä toimiin niiden torjumiseksi ja minimoida vahingot. Mutta näistä tehtävistä pystyvät lopulta vastaamaan vain ihmiset.


comments powered by Disqus