Suomessa yli 20 internet-vakoilutapausta
F-Securen tutkimusjohtaja Mikko Hyppönen kertoo, että Suomeen kohdistunut vakoilu on osa maailmanlaajuista hyökkäystä.
Kuva: Kimmo Mäntylä / Lehtikuva
12.6.2008 14:12 Suomen valtionhallintoon ja puolustusteollisuuteen iskeneet internet-vakoilijat ovat vastuussa myös samanlaisista hankkeista muualla maailmassa, kuten Yhdysvalloissa, Britanniassa, Italiassa ja Ruotsissa, kertoo tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen.
Suomessa näitä tarkoin suunnattuja tapauksia on Supon toimintakertomuksiin kirjattu vuoden 2004 jälkeen yli 20. F-Secure on tietoinen 4–5 tapauksesta. Yhdysvalloissa U.S. Homeland Securities laski lähes 13 000 vakoiluiskua viime vuoden aikana.
– Kohdistettuja iskuja tulee todella vähän, kun F-Securen viruslaboratorioon tulee päivittäin 40 000 hyökkäysilmoitusta.
Hyppösen mukaan iskuissa noudatetaan samaa kaavaa. Kohteina ovat huippujohtajat puolustusvälineteollisuudessa ja tärkeät henkilöt valtionhallinnoissa, joille lähetetään oikealta näyttävä henkilökohtainen viesti, jossa voi olla liitteenä pdf-tiedosto, Excel-tiedosto, Word-dokumentti, PowerPoint-esitys tai Access-tietokanta.
– Access-tietokantoja (MDB) on nähty hyökkäyksissä mutta todella vähän, sen sijaan XLS-tiedostoja näkyy enemmän.
Mitä tapahtuu kohdistetussa
hyökkäyksessä?
Hyppönen näyttää F-Securen viruslaboratoriossa mitä tapahtuu, kun kohdistetun hyökkäyksen pdf-liitettä klikataan. Ensin näyttää siltä kuin esiin tuleva Acrobat kaatuu ja virkoaa hetken päästä näyttäen liitetiedoston.
– Samalla kun katsomme esiin tullutta liitetiedostoa, Poison Ivy -takaporttiohjelma on jo ottanut koneen haltuunsa.
Poison Ivy antaa vakoilijalle lähes täyden kontrollin saastuneeseen tietokoneeseen. Sen tiedostoja voi ladata, muuttaa ja lisätä. Lisäksi prosesseja voidaan lopettaa ja muokata Windowsin rekisteriä.
Hyppönen korostaa, että normaalit ihmiset ja yritykset voivat olla rauhassa. Iskut kohdistuvat vain harvoihin paikkoihin. Niissä se voi sitten olla todellinen ongelma. Englannissa saastunut tietokone suolsi tietoa 18 kuukautta ennen kuin se huomattiin.
– Vain osa tapauksista raportoidaan. Huomaamatta jää suuri osa niistä. Hälytyskellojen pitäisi soida käyttäjällä, jos liitteen avaamisen jälkeen Word, Acrobat, PowerPoint tai Access välähtää hetkeksi näkyviin ja poistuu ruudulta palatakseen hetken kuluttua uudelleen.
Jäljitys
Kiinaan
Hyökkäykset on pystytty Hyppösen mukaan jäljittämään Kiinaan, jossa ne ovat uponneet 3322.org-, 8800.org-, 9966.org- ja 8866.org-palvelusivustojen vaihtuviin ip-numeroihin.
Näiden kiinalaisten paikkojen omistaja Peng Young kertoo Business Weekille, että 3322.orgiin on rekisteröitynyt yli miljoona internet-osoitetta. Vuosimaksu .org-, .net- tai.com-päätteen käytöstä on kohtuulliset 14 dollaria vuodessa.
– Kuka tahansa voi perustaa sivuston 3322.org-palveluun, mutta ongelmana on, että kaikki on kiinan kielellä. Se edesauttaa ajatusta, että hyökkääjät ovat kiinalaisia, Hyppönen kertoo.
Tutkimusjohtaja näyttää tietokoneelta, millainen kiinalainen sivusto on. Siitä ei todellakaan saa mitään selvää läntisen kirjainmaailman perusteella.
Todiste yhteydestä
ihmisoikeussivuihin
F-Securen tutkimusjohtaja mukaan nyt on päästy todistamaan, että samat henkilöt ovat taustalla hyökkäyksissä Kiinan ihmisoikeussivustoihin ja läntisiin koviin kohteisiin, kuten valtionhallintoon ja aseteollisuuteen.
– Samaa koodia on käytetty tietojen kalasteluun floridalaisessa ihmisoikeusjärjestössä, joka työllistää vain muutamia ihmisiä, kuin suuressa englantilaisessa puolustusvälinevalmistajassa. Missään muualla ei ole nähty samanlaista haittaohjelmakokonaisuutta.
Kohteina olevat ihmisoikeusjärjestöt taistelevat muun muassa Tiibetin, uiguurien ja Kiinan ihmisoikeuksien puolesta. Sinne vakoojat lähettävät takaporttiohjelmia naamioiden viestintä aidon näköisiksi ja etsivät yksityisiltä tietokoneilta pgp-avaimia kryptattujen keskusteluviestien avaamiseksi.
– Samasta lähteestä haittaohjelma on tullut, mutta onko kyseessä virallinen Kiina, siihen ei voida vastata.
Hyppösen mukaan yhtenä mahdollisuutena on kiinalainen rikollisryhmä, joka sitten myisi tietonsa eteenpäin parhaalle maksajalle.
Useita
kieliversioita
Vakoojat ovat tiettävästi lähettäneet takaporttiohjelmalla kuorrutettuja haittaohjelmiaan ainakin viidellä kielellä, jotka ovat englanti, saksa, italia, ruotsi ja suomi.
Hyppösen mukaan tietojen saaminen suomalaisista tärkeistä henkilöistä hallinnossa ja puolustusteollisuudessa on saatu joko tietomurron tai perinteisen vakoilun keinoin.
– Hyökkääjillä on voinut hyvin olla paikallisia avustajia, ja silloin mennään helposti valtioiden väliseen vakoiluun.
Eri tiedustelulaitoksilla on lonkerot kaikissa länsimaissa, ja voi olla, että jokin sellainen yrittää saada kiinalaiset näyttämään syyllisiltä.
Hyppönen kertoo, että vaikka jäljet vievät Kiinaan, ne voivat vielä jatkua johonkin toiseen valtioon.
Kalevi Nikulainen toimitus@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. Nokia luopuu isosta massatapahtumasta
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IPhoneen uusi alihankkija
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Uusimmat uutiset
- IBM pitää iPhonen Siriä tietoturvariskinä 15:40
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Anonymous löysi reitin jenkkiministeriön palvelimelle 22:24
- ”Apple ei anna kehittää virustorjuntaa iPhoneen” 16:55
- Uutuustuotteen lupaus verkkopelaajille: ei enää ärsyttäviä salasanoja 13:55
- Mobiilikonnat entistä ovelampia: Esimerkkinä uusi Angry Birds 14:24
- Äärijuutalaisten nettikokous täyttää kaksi stadionia 07:00
- Lisää
Poiminnat
Digiyesterday
Viisi vuotta sitten
Leffateatterin paikannäyttäjä saalistaa piraatteja yölaseilla
27.05.2007 Malesiassa on keksitty uusi ase taisteluun elokuvapiratismia vastaan: yölasit, joilla käräytetään videokameralla elokuvateatterissa kuvaavia katsojia. Lasien käyttökoulutusta tarjoaa - mikäs muukaan - amerikkalainen elokuvayhtiöiden järjestö MPAA, joka on vienyt Malesiaan jopa dvd-vainukoiria.
Taloussanomat
- Asuntopula ja 24 600 tyhjää asuntoa, mikä kaupunki? 06:01
- Suomikin oli hukkua liian vahvaan valuuttaan 06:09
- Yritysguru: Facebook tappaa Piilaakson 10:17
- Muhkean muovinen Nissan Juke 06:05
- Facebookissa vihainen vastaanotto – IMF-johtaja pehmensi Kreikka-lausuntojaan 09:18
- Yllätys? Aurinkohan säteilee täällä Saksan malliin 06:09
- Ainakin 2000 saa potkut RIMiltä 09:44
- Jos Kreikka lähtee, Saksa kärsii 11:08
- Suomi löysi taas Nokian älypuhelimet 06:01
- Autonvuokrauksessa hurjat eurohintaerot 06:09
- » Taloussanomat.fi
Kommentit (8)
Hatun nosto Hyppöselle!
Niinpä niin, olisikohan aika miettiä uudestaan mm. actice-x:n ja javascrptien käyttöä ...
Minä en enää viitsi noita MS:n tuotoksia kommentoida, jokainen vetäköön omat johtopäätöksensä siitä mitä niiden kanssa pitäisi tehdä, mutta Adoben Acrobat-readerista ottaisin active-x- ja javascript-tuen sekä dokumenttien oikeuden käynnistää muita sovelluksia pois päältä, niin tilanne rauhoittuu pdf:ien osalta huomattavasti ...