Taloussanomat
Lue uutinen mobiilisivustolla
Maailmanlaajuinen hyökkäys

Suomessa yli 20 internet-vakoilutapausta

F-Securen tutkimusjohtaja Mikko Hyppönen kertoo, että Suomeen kohdistunut vakoilu on osa maailmanlaajuista hyökkäystä.
Kuva: Kimmo Mäntylä / Lehtikuva

12.6.2008 14:12 Suomen valtionhallintoon ja puolustusteollisuuteen iskeneet internet-vakoilijat ovat vastuussa myös samanlaisista hankkeista muualla maailmassa, kuten Yhdysvalloissa, Britanniassa, Italiassa ja Ruotsissa, kertoo tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen.

Suomessa näitä tarkoin suunnattuja tapauksia on Supon toimintakertomuksiin kirjattu vuoden 2004 jälkeen yli 20. F-Secure on tietoinen 4–5 tapauksesta. Yhdysvalloissa U.S. Homeland Securities laski lähes 13 000 vakoiluiskua viime vuoden aikana.

– Kohdistettuja iskuja tulee todella vähän, kun F-Securen viruslaboratorioon tulee päivittäin 40 000 hyökkäysilmoitusta.

Hyppösen mukaan iskuissa noudatetaan samaa kaavaa. Kohteina ovat huippujohtajat puolustusvälineteollisuudessa ja tärkeät henkilöt valtionhallinnoissa, joille lähetetään oikealta näyttävä henkilökohtainen viesti, jossa voi olla liitteenä pdf-tiedosto, Excel-tiedosto, Word-dokumentti, PowerPoint-esitys tai Access-tietokanta.

– Access-tietokantoja (MDB) on nähty hyökkäyksissä mutta todella vähän, sen sijaan XLS-tiedostoja näkyy enemmän.

Mitä tapahtuu kohdistetussa
hyökkäyksessä?

Hyppönen näyttää F-Securen viruslaboratoriossa mitä tapahtuu, kun kohdistetun hyökkäyksen pdf-liitettä klikataan. Ensin näyttää siltä kuin esiin tuleva Acrobat kaatuu ja virkoaa hetken päästä näyttäen liitetiedoston.

– Samalla kun katsomme esiin tullutta liitetiedostoa, Poison Ivy -takaporttiohjelma on jo ottanut koneen haltuunsa.

Poison Ivy antaa vakoilijalle lähes täyden kontrollin saastuneeseen tietokoneeseen. Sen tiedostoja voi ladata, muuttaa ja lisätä. Lisäksi prosesseja voidaan lopettaa ja muokata Windowsin rekisteriä.

Hyppönen korostaa, että normaalit ihmiset ja yritykset voivat olla rauhassa. Iskut kohdistuvat vain harvoihin paikkoihin. Niissä se voi sitten olla todellinen ongelma. Englannissa saastunut tietokone suolsi tietoa 18 kuukautta ennen kuin se huomattiin.

– Vain osa tapauksista raportoidaan. Huomaamatta jää suuri osa niistä. Hälytyskellojen pitäisi soida käyttäjällä, jos liitteen avaamisen jälkeen Word, Acrobat, PowerPoint tai Access välähtää hetkeksi näkyviin ja poistuu ruudulta palatakseen hetken kuluttua uudelleen.

Jäljitys
Kiinaan

Hyökkäykset on pystytty Hyppösen mukaan jäljittämään Kiinaan, jossa ne ovat uponneet 3322.org-, 8800.org-, 9966.org- ja 8866.org-palvelusivustojen vaihtuviin ip-numeroihin.

Näiden kiinalaisten paikkojen omistaja Peng Young kertoo Business Weekille, että 3322.orgiin on rekisteröitynyt yli miljoona internet-osoitetta. Vuosimaksu .org-, .net- tai.com-päätteen käytöstä on kohtuulliset 14 dollaria vuodessa.

– Kuka tahansa voi perustaa sivuston 3322.org-palveluun, mutta ongelmana on, että kaikki on kiinan kielellä. Se edesauttaa ajatusta, että hyökkääjät ovat kiinalaisia, Hyppönen kertoo.

Tutkimusjohtaja näyttää tietokoneelta, millainen kiinalainen sivusto on. Siitä ei todellakaan saa mitään selvää läntisen kirjainmaailman perusteella.

Todiste yhteydestä
ihmisoikeussivuihin

F-Securen tutkimusjohtaja mukaan nyt on päästy todistamaan, että samat henkilöt ovat taustalla hyökkäyksissä Kiinan ihmisoikeussivustoihin ja läntisiin koviin kohteisiin, kuten valtionhallintoon ja aseteollisuuteen.

– Samaa koodia on käytetty tietojen kalasteluun floridalaisessa ihmisoikeusjärjestössä, joka työllistää vain muutamia ihmisiä, kuin suuressa englantilaisessa puolustusvälinevalmistajassa. Missään muualla ei ole nähty samanlaista haittaohjelmakokonaisuutta.

Kohteina olevat ihmisoikeusjärjestöt taistelevat muun muassa Tiibetin, uiguurien ja Kiinan ihmisoikeuksien puolesta. Sinne vakoojat lähettävät takaporttiohjelmia naamioiden viestintä aidon näköisiksi ja etsivät yksityisiltä tietokoneilta pgp-avaimia kryptattujen keskusteluviestien avaamiseksi.

– Samasta lähteestä haittaohjelma on tullut, mutta onko kyseessä virallinen Kiina, siihen ei voida vastata.

Hyppösen mukaan yhtenä mahdollisuutena on kiinalainen rikollisryhmä, joka sitten myisi tietonsa eteenpäin parhaalle maksajalle.

Useita
kieliversioita

Vakoojat ovat tiettävästi lähettäneet takaporttiohjelmalla kuorrutettuja haittaohjelmiaan ainakin viidellä kielellä, jotka ovat englanti, saksa, italia, ruotsi ja suomi.

Hyppösen mukaan tietojen saaminen suomalaisista tärkeistä henkilöistä hallinnossa ja puolustusteollisuudessa on saatu joko tietomurron tai perinteisen vakoilun keinoin.

– Hyökkääjillä on voinut hyvin olla paikallisia avustajia, ja silloin mennään helposti valtioiden väliseen vakoiluun.

Eri tiedustelulaitoksilla on lonkerot kaikissa länsimaissa, ja voi olla, että jokin sellainen yrittää saada kiinalaiset näyttämään syyllisiltä.

Hyppönen kertoo, että vaikka jäljet vievät Kiinaan, ne voivat vielä jatkua johonkin toiseen valtioon.

Jutun kirjoitti: Kalevi Nikulainen

Kalevi Nikulainen

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (8)

Huono 0
Suomen valtionhallintoon ja puolustusteollisuuteen iskeneet internet-vakoilijat ovat vastuussa myös samanlaisista hankkeista muualla maailmassa, kuten Yhdysvalloissa, Britanniassa, Italiassa ja Ruotsissa, kertoo tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen.
Digitoday
Huono 0
Toimituksella tuntuu riittävän noita Hyppös-kuvia joka viikolle. Litteä maapallokin taustalla on käynyt varsin tutuksi. Jotain uutta välleen please...
TT
Huono 0
Sen lauluja laulat kenen leipää syöt.
Mörköjä siellä, mörköjä täällä
Huono 0
Ehkä tärkeässä asemassa oleville voisi toimittaa tiedon jollain muulla tavalla kuin liitetiedostona?
Simuna
Huono 0
Tai ehkä tärkeässä asemassa olevien (tai ylipäänsä kenenkään) ei pitäisi pitää kovin arkaluontoista dataa sisältäviä koneita Internetissä?
Sami
Huono 0
Harmi vaan että kyseessä on todella harvoin valtiot... Teollinen vakoilu on huomattavasti todennäköisempää yksityisten tahojen suorittamana. Valtioista on vaan alettu jauhamaan sen jälkeen kun Yhdysvaltain hallitus näytti keksivän että on helppo synnyttää jälleen uusi mörkö propagandamoottoriksi.
Peelo
Huono 0
loistavaa , että f-secure ottaa asian esille ja hyvin selkeästi osoittaa missä on ongelmien lähteet. Kiinan valtiovakoilusta huhutaan jatkuvasti, mutta tämän tyyppinen osoiteen mihin jäjet johtaa -toiminta on tervetullutta, koska vähitellen Kiina joutuu asemaan jossa joutuu vastaamaan näistä asioista kansainvälisessä kaupassa ja 20 vuoden päästä myös omalle kansalleen kun tietoisuus ja ymmärrys vähitellen kasvaa kiinalaistenkin keskuudessa.

Hatun nosto Hyppöselle!
Hatun nosto Hyppöselle
Huono 0
"pdf-tiedosto, Excel-tiedosto, Word-dokumentti, PowerPoint-esitys tai Access-tietokanta."

Niinpä niin, olisikohan aika miettiä uudestaan mm. actice-x:n ja javascrptien käyttöä ...

Minä en enää viitsi noita MS:n tuotoksia kommentoida, jokainen vetäköön omat johtopäätöksensä siitä mitä niiden kanssa pitäisi tehdä, mutta Adoben Acrobat-readerista ottaisin active-x- ja javascript-tuen sekä dokumenttien oikeuden käynnistää muita sovelluksia pois päältä, niin tilanne rauhoittuu pdf:ien osalta huomattavasti ...
J-P Laine
Sivut: 1 Edellinen Seuraava

Uusimmat uutiset

Digiyesterday

Viisi vuotta sitten

Leffateatterin paikannäyttäjä saalistaa piraatteja yölaseilla

27.05.2007 Malesiassa on keksitty uusi ase taisteluun elokuvapiratismia vastaan: yölasit, joilla käräytetään videokameralla elokuvateatterissa kuvaavia katsojia. Lasien käyttökoulutusta tarjoaa - mikäs muukaan - amerikkalainen elokuvayhtiöiden järjestö MPAA, joka on vienyt Malesiaan jopa dvd-vainukoiria.

.