Suomessa yli 20 internet-vakoilutapausta
F-Securen tutkimusjohtaja Mikko Hyppönen kertoo, että Suomeen kohdistunut vakoilu on osa maailmanlaajuista hyökkäystä.
Kuva: Kimmo Mäntylä / Lehtikuva
12.6.2008 14:12 Suomen valtionhallintoon ja puolustusteollisuuteen iskeneet internet-vakoilijat ovat vastuussa myös samanlaisista hankkeista muualla maailmassa, kuten Yhdysvalloissa, Britanniassa, Italiassa ja Ruotsissa, kertoo tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen.
Suomessa näitä tarkoin suunnattuja tapauksia on Supon toimintakertomuksiin kirjattu vuoden 2004 jälkeen yli 20. F-Secure on tietoinen 4–5 tapauksesta. Yhdysvalloissa U.S. Homeland Securities laski lähes 13 000 vakoiluiskua viime vuoden aikana.
– Kohdistettuja iskuja tulee todella vähän, kun F-Securen viruslaboratorioon tulee päivittäin 40 000 hyökkäysilmoitusta.
Hyppösen mukaan iskuissa noudatetaan samaa kaavaa. Kohteina ovat huippujohtajat puolustusvälineteollisuudessa ja tärkeät henkilöt valtionhallinnoissa, joille lähetetään oikealta näyttävä henkilökohtainen viesti, jossa voi olla liitteenä pdf-tiedosto, Excel-tiedosto, Word-dokumentti, PowerPoint-esitys tai Access-tietokanta.
– Access-tietokantoja (MDB) on nähty hyökkäyksissä mutta todella vähän, sen sijaan XLS-tiedostoja näkyy enemmän.
Mitä tapahtuu kohdistetussa
hyökkäyksessä?
Hyppönen näyttää F-Securen viruslaboratoriossa mitä tapahtuu, kun kohdistetun hyökkäyksen pdf-liitettä klikataan. Ensin näyttää siltä kuin esiin tuleva Acrobat kaatuu ja virkoaa hetken päästä näyttäen liitetiedoston.
– Samalla kun katsomme esiin tullutta liitetiedostoa, Poison Ivy -takaporttiohjelma on jo ottanut koneen haltuunsa.
Poison Ivy antaa vakoilijalle lähes täyden kontrollin saastuneeseen tietokoneeseen. Sen tiedostoja voi ladata, muuttaa ja lisätä. Lisäksi prosesseja voidaan lopettaa ja muokata Windowsin rekisteriä.
Hyppönen korostaa, että normaalit ihmiset ja yritykset voivat olla rauhassa. Iskut kohdistuvat vain harvoihin paikkoihin. Niissä se voi sitten olla todellinen ongelma. Englannissa saastunut tietokone suolsi tietoa 18 kuukautta ennen kuin se huomattiin.
– Vain osa tapauksista raportoidaan. Huomaamatta jää suuri osa niistä. Hälytyskellojen pitäisi soida käyttäjällä, jos liitteen avaamisen jälkeen Word, Acrobat, PowerPoint tai Access välähtää hetkeksi näkyviin ja poistuu ruudulta palatakseen hetken kuluttua uudelleen.
Jäljitys
Kiinaan
Hyökkäykset on pystytty Hyppösen mukaan jäljittämään Kiinaan, jossa ne ovat uponneet 3322.org-, 8800.org-, 9966.org- ja 8866.org-palvelusivustojen vaihtuviin ip-numeroihin.
Näiden kiinalaisten paikkojen omistaja Peng Young kertoo Business Weekille, että 3322.orgiin on rekisteröitynyt yli miljoona internet-osoitetta. Vuosimaksu .org-, .net- tai.com-päätteen käytöstä on kohtuulliset 14 dollaria vuodessa.
– Kuka tahansa voi perustaa sivuston 3322.org-palveluun, mutta ongelmana on, että kaikki on kiinan kielellä. Se edesauttaa ajatusta, että hyökkääjät ovat kiinalaisia, Hyppönen kertoo.
Tutkimusjohtaja näyttää tietokoneelta, millainen kiinalainen sivusto on. Siitä ei todellakaan saa mitään selvää läntisen kirjainmaailman perusteella.
Todiste yhteydestä
ihmisoikeussivuihin
F-Securen tutkimusjohtaja mukaan nyt on päästy todistamaan, että samat henkilöt ovat taustalla hyökkäyksissä Kiinan ihmisoikeussivustoihin ja läntisiin koviin kohteisiin, kuten valtionhallintoon ja aseteollisuuteen.
– Samaa koodia on käytetty tietojen kalasteluun floridalaisessa ihmisoikeusjärjestössä, joka työllistää vain muutamia ihmisiä, kuin suuressa englantilaisessa puolustusvälinevalmistajassa. Missään muualla ei ole nähty samanlaista haittaohjelmakokonaisuutta.
Kohteina olevat ihmisoikeusjärjestöt taistelevat muun muassa Tiibetin, uiguurien ja Kiinan ihmisoikeuksien puolesta. Sinne vakoojat lähettävät takaporttiohjelmia naamioiden viestintä aidon näköisiksi ja etsivät yksityisiltä tietokoneilta pgp-avaimia kryptattujen keskusteluviestien avaamiseksi.
– Samasta lähteestä haittaohjelma on tullut, mutta onko kyseessä virallinen Kiina, siihen ei voida vastata.
Hyppösen mukaan yhtenä mahdollisuutena on kiinalainen rikollisryhmä, joka sitten myisi tietonsa eteenpäin parhaalle maksajalle.
Useita
kieliversioita
Vakoojat ovat tiettävästi lähettäneet takaporttiohjelmalla kuorrutettuja haittaohjelmiaan ainakin viidellä kielellä, jotka ovat englanti, saksa, italia, ruotsi ja suomi.
Hyppösen mukaan tietojen saaminen suomalaisista tärkeistä henkilöistä hallinnossa ja puolustusteollisuudessa on saatu joko tietomurron tai perinteisen vakoilun keinoin.
– Hyökkääjillä on voinut hyvin olla paikallisia avustajia, ja silloin mennään helposti valtioiden väliseen vakoiluun.
Eri tiedustelulaitoksilla on lonkerot kaikissa länsimaissa, ja voi olla, että jokin sellainen yrittää saada kiinalaiset näyttämään syyllisiltä.
Hyppönen kertoo, että vaikka jäljet vievät Kiinaan, ne voivat vielä jatkua johonkin toiseen valtioon.
Kalevi Nikulainen toimitus@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 10:14 Facebook ja mokkula paljastivat mafian tappajan
- 10:12 Palmin näkymät eivät vakuuttaneet
- 09:24 Vankilan korvaava seurantapanta lähestyy
- 09:23 Kärkipelit vaihtuvat tiuhaa tahtia
- 18.3. Nokia, Apple ja Google oikeudessa samalla puolella
- 18.3. Osakesijoittajan menestyksen salaisuus: vakoiluohjelma
- 18.3. Roskaposti jyskyttää täydellä höyryllä
- 18.3. Krakkeri sai sata autoa tööttäämään
- 18.3. Google höllentää Nexus Onen kauppaa
- 18.3. Googlen kiinalaiskirje voi olla väärennös
- 18.3. Salasanoja varastetaan Facebookin nimissä
- 18.3. Markkinavalvoja viittasi kintaalla Jungnerin laskelmille
- 18.3. HTC:n valmistama 4G-puhelin julki ensi viikolla?
- 18.3. Verkkokortti altistaa HP:n tietokoneita pahanteolle
- 18.3. 4G-verkkosopua Venäjän kanssa odotetaan vasta 2012
- 18.3. Nokia palkkasi menestyneitä uranaisia E72-mannekiineiksi
- 18.3. Incap siirtää tehtaan Viroon - 124 irtisanotaan Suomessa
- 17.3. Suomalainen Supermatrix innostaa Inteliä
- 17.3. Facebookista värvätyt ahtaajat aloittivat työt
- 17.3. Motorola Droid päihitti iPhonen - Nexus One floppasi
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 18.3. Krakkeri sai sata autoa tööttäämään
- 17.3. Luottaisitko sinä näihin sähköposteihin?
- 18.3. Osakesijoittajan menestyksen salaisuus: vakoiluohjelma
- 16.3. Nokia kysyy kuluttajilta vinkkejä huippukännykkään
- 17.3. Facebookista värvätyt ahtaajat aloittivat työt
- 16.3. Facebookissa värvätään ahtaajia lakkoilijoiden tilalle
- 18.3. Nokia palkkasi menestyneitä uranaisia E72-mannekiineiksi
- 17.3. Motorola Droid päihitti iPhonen - Nexus One floppasi
- 17.3. Ikea vaihtoi sähköpostijärjestelmää
- 17.3. Suomalainen Supermatrix innostaa Inteliä
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 18.3. Krakkeri sai sata autoa tööttäämään
- 18.3. Osakesijoittajan menestyksen salaisuus: vakoiluohjelma
- 16.3. Nokia kysyy kuluttajilta vinkkejä huippukännykkään
- 16.3. Facebookissa värvätään ahtaajia lakkoilijoiden tilalle
- 17.3. Luottaisitko sinä näihin sähköposteihin?
- 17.3. Motorola Droid päihitti iPhonen - Nexus One floppasi
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 16.3. Nokia kysyy kuluttajilta vinkkejä huippukännykkään
- 18.3. Krakkeri sai sata autoa tööttäämään
- 17.3. Motorola Droid päihitti iPhonen - Nexus One floppasi
- 17.3. Facebookista värvätyt ahtaajat aloittivat työt
- 16.3. Facebookissa värvätään ahtaajia lakkoilijoiden tilalle
- 17.3. Windows Phone luopuu leikepöydästä
- 18.3. Nokia palkkasi menestyneitä uranaisia E72-mannekiineiksi
- 17.3. Seuraavan Internet Explorerin prototyyppi kokeiltavissa
- 17.3. Ikea vaihtoi sähköpostijärjestelmää
- 16.3. IPhonen myynti laajenee maakuntiin
- Kommentoiduimmat
Uutispäivä
Vuorokauden kaikki uutiset yhdellä sivulla.
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Osakesijoittajan menestyksen salaisuus: vakoiluohjelma 16:26
- Roskaposti jyskyttää täydellä höyryllä 15:26
- Krakkeri sai sata autoa tööttäämään 13:35
- Salasanoja varastetaan Facebookin nimissä 12:11
- Verkkokortti altistaa HP:n tietokoneita pahanteolle 10:08
- Luottaisitko sinä näihin sähköposteihin? 15:27
- Venezuelan presidentti tulistui vapaalle internetille 13:14
- Twitter seuloo vaaralliset verkko-osoitteet 11:27
- Lisää
-
45 e
Fujitsu Esprimo P2550 (Pentium Dual Core E5400, 2 Gt, 320 Gt, Win 7 Professional), keskusyksikkö
-
27 e
ASUS EeeBox PC B202 (Atom N270, 1 Gt, 160 Gt, WinXP), keskusyksikkö
-
21 e
Apple iMac (Intel Core i5 2,66 GHz, 4 Gt, 1 Tt, 27", OS-X), pöytäkone
-
13 e
Acer Veriton M670G (Core 2 Quad Q9400, 4 Gt, 750 Gt, Win 7 Professional), keskusyksikkö
-
11 e
Fujitsu Esprimo P7935 (Core 2 Quad Q9400, 2 Gt, 320 Gt, Win 7 Professional), keskusyksikkö
Kommentit (8)
Hatun nosto Hyppöselle!
Niinpä niin, olisikohan aika miettiä uudestaan mm. actice-x:n ja javascrptien käyttöä ...
Minä en enää viitsi noita MS:n tuotoksia kommentoida, jokainen vetäköön omat johtopäätöksensä siitä mitä niiden kanssa pitäisi tehdä, mutta Adoben Acrobat-readerista ottaisin active-x- ja javascript-tuen sekä dokumenttien oikeuden käynnistää muita sovelluksia pois päältä, niin tilanne rauhoittuu pdf:ien osalta huomattavasti ...