Suomessa yli 20 internet-vakoilutapausta
F-Securen tutkimusjohtaja Mikko Hyppönen kertoo, että Suomeen kohdistunut vakoilu on osa maailmanlaajuista hyökkäystä.
Kuva: Kimmo Mäntylä / Lehtikuva
12.6.2008 14:12 Suomen valtionhallintoon ja puolustusteollisuuteen iskeneet internet-vakoilijat ovat vastuussa myös samanlaisista hankkeista muualla maailmassa, kuten Yhdysvalloissa, Britanniassa, Italiassa ja Ruotsissa, kertoo tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen.
Suomessa näitä tarkoin suunnattuja tapauksia on Supon toimintakertomuksiin kirjattu vuoden 2004 jälkeen yli 20. F-Secure on tietoinen 4–5 tapauksesta. Yhdysvalloissa U.S. Homeland Securities laski lähes 13 000 vakoiluiskua viime vuoden aikana.
– Kohdistettuja iskuja tulee todella vähän, kun F-Securen viruslaboratorioon tulee päivittäin 40 000 hyökkäysilmoitusta.
Hyppösen mukaan iskuissa noudatetaan samaa kaavaa. Kohteina ovat huippujohtajat puolustusvälineteollisuudessa ja tärkeät henkilöt valtionhallinnoissa, joille lähetetään oikealta näyttävä henkilökohtainen viesti, jossa voi olla liitteenä pdf-tiedosto, Excel-tiedosto, Word-dokumentti, PowerPoint-esitys tai Access-tietokanta.
– Access-tietokantoja (MDB) on nähty hyökkäyksissä mutta todella vähän, sen sijaan XLS-tiedostoja näkyy enemmän.
Mitä tapahtuu kohdistetussa
hyökkäyksessä?
Hyppönen näyttää F-Securen viruslaboratoriossa mitä tapahtuu, kun kohdistetun hyökkäyksen pdf-liitettä klikataan. Ensin näyttää siltä kuin esiin tuleva Acrobat kaatuu ja virkoaa hetken päästä näyttäen liitetiedoston.
– Samalla kun katsomme esiin tullutta liitetiedostoa, Poison Ivy -takaporttiohjelma on jo ottanut koneen haltuunsa.
Poison Ivy antaa vakoilijalle lähes täyden kontrollin saastuneeseen tietokoneeseen. Sen tiedostoja voi ladata, muuttaa ja lisätä. Lisäksi prosesseja voidaan lopettaa ja muokata Windowsin rekisteriä.
Hyppönen korostaa, että normaalit ihmiset ja yritykset voivat olla rauhassa. Iskut kohdistuvat vain harvoihin paikkoihin. Niissä se voi sitten olla todellinen ongelma. Englannissa saastunut tietokone suolsi tietoa 18 kuukautta ennen kuin se huomattiin.
– Vain osa tapauksista raportoidaan. Huomaamatta jää suuri osa niistä. Hälytyskellojen pitäisi soida käyttäjällä, jos liitteen avaamisen jälkeen Word, Acrobat, PowerPoint tai Access välähtää hetkeksi näkyviin ja poistuu ruudulta palatakseen hetken kuluttua uudelleen.
Jäljitys
Kiinaan
Hyökkäykset on pystytty Hyppösen mukaan jäljittämään Kiinaan, jossa ne ovat uponneet 3322.org-, 8800.org-, 9966.org- ja 8866.org-palvelusivustojen vaihtuviin ip-numeroihin.
Näiden kiinalaisten paikkojen omistaja Peng Young kertoo Business Weekille, että 3322.orgiin on rekisteröitynyt yli miljoona internet-osoitetta. Vuosimaksu .org-, .net- tai.com-päätteen käytöstä on kohtuulliset 14 dollaria vuodessa.
– Kuka tahansa voi perustaa sivuston 3322.org-palveluun, mutta ongelmana on, että kaikki on kiinan kielellä. Se edesauttaa ajatusta, että hyökkääjät ovat kiinalaisia, Hyppönen kertoo.
Tutkimusjohtaja näyttää tietokoneelta, millainen kiinalainen sivusto on. Siitä ei todellakaan saa mitään selvää läntisen kirjainmaailman perusteella.
Todiste yhteydestä
ihmisoikeussivuihin
F-Securen tutkimusjohtaja mukaan nyt on päästy todistamaan, että samat henkilöt ovat taustalla hyökkäyksissä Kiinan ihmisoikeussivustoihin ja läntisiin koviin kohteisiin, kuten valtionhallintoon ja aseteollisuuteen.
– Samaa koodia on käytetty tietojen kalasteluun floridalaisessa ihmisoikeusjärjestössä, joka työllistää vain muutamia ihmisiä, kuin suuressa englantilaisessa puolustusvälinevalmistajassa. Missään muualla ei ole nähty samanlaista haittaohjelmakokonaisuutta.
Kohteina olevat ihmisoikeusjärjestöt taistelevat muun muassa Tiibetin, uiguurien ja Kiinan ihmisoikeuksien puolesta. Sinne vakoojat lähettävät takaporttiohjelmia naamioiden viestintä aidon näköisiksi ja etsivät yksityisiltä tietokoneilta pgp-avaimia kryptattujen keskusteluviestien avaamiseksi.
– Samasta lähteestä haittaohjelma on tullut, mutta onko kyseessä virallinen Kiina, siihen ei voida vastata.
Hyppösen mukaan yhtenä mahdollisuutena on kiinalainen rikollisryhmä, joka sitten myisi tietonsa eteenpäin parhaalle maksajalle.
Useita
kieliversioita
Vakoojat ovat tiettävästi lähettäneet takaporttiohjelmalla kuorrutettuja haittaohjelmiaan ainakin viidellä kielellä, jotka ovat englanti, saksa, italia, ruotsi ja suomi.
Hyppösen mukaan tietojen saaminen suomalaisista tärkeistä henkilöistä hallinnossa ja puolustusteollisuudessa on saatu joko tietomurron tai perinteisen vakoilun keinoin.
– Hyökkääjillä on voinut hyvin olla paikallisia avustajia, ja silloin mennään helposti valtioiden väliseen vakoiluun.
Eri tiedustelulaitoksilla on lonkerot kaikissa länsimaissa, ja voi olla, että jokin sellainen yrittää saada kiinalaiset näyttämään syyllisiltä.
Hyppönen kertoo, että vaikka jäljet vievät Kiinaan, ne voivat vielä jatkua johonkin toiseen valtioon.
Kalevi Nikulainen toimitus@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 16:21 Siri opiskelee kiinaa ja venäjää
- 15:55 Peliskene poimi presidentin palkinnon
- 14:20 Google: Näytä surfailusi, saat rahaa
- 14:16 Skimmaajat teettivät erikoislaitteita Suomen oloihin
- 13:19 Samsungilta ei julkistuksia Barcelonassa
- 13:05 Ciscon tulos parani reippaasti
- 11:02 Angry Birds laskeutui Helsinki-Vantaalle
- 10:22 Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 09:46 Apple myy vihdoin iPhone 4S:ää Kiinassa
- 09:11 Sadan tonnin sakot kuluttajien harhauttamisesta
- 07:00 Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 00:22 Windows 8:n testiversio ilmestyy karkauspäivänä
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Brittilehti sekaantui sähköpostien vakoiluun
- 8.2. Tieto etsii Nokialle korvaajaa Android-töistä
- 8.2. Xbox nousi vuoden ostetuimmaksi
- 8.2. @450-verkko vaihtaa tekniikkaa
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Kiinassa tarjolla miljardien eurojen verkkourakat
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 6.2. Nokia Lumia saa valkoisen värin
- 7.2. Belle-päivitys tuli viimein Symbianiin
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 6.2. Riita roihahti Android Marketin 15 minuutin palautusajasta
- 6.2. Suosittu piraattisivusto antautui
- 6.2. Google pyyhki Atlantiksen kartalta
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 6.2. Nokia Lumia saa valkoisen värin
- 10:22 Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Applen televisio voi saada liikeohjauksen
- 07:00 Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 6.2. Apple hakkasi Nokian ennätyksen
- 7.2. Nokia kertoo miten käy Salon tehtaan
- 7.2. Microsoft poistaa start-napin
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Skimmaajat teettivät erikoislaitteita Suomen oloihin 14:16
- Brittilehti sekaantui sähköpostien vakoiluun 15:46
- Suomalaiset taitavat tietoturvan hopean arvoisesti 21:47
- Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja 13:15
- Äidit käyvät imettämällä Facebookia vastaan 09:21
- Suosittu piraattisivusto antautui 13:02
- Hakkerit veivät tietoa VeriSignin palvelimilta 10:08
- Google palkkasi portsarin Android Markettiin 09:09
- Lisää
Digiyesterday
Viisi vuotta sitten
Jorma Ollila: Lisää jenkaa veronalennuksiin!
09.02.2007 Lisää vauhtia veronalennuksiin, sanoo Nokian ja Shellin hallitusten puheenjohtaja Jorma Ollila EK:n Prima-lehdessä.
Kolme vuotta sitten
Kingston valmisti Duudsoneille nimikkomuistitikun
09.02.2009 Muistituotteita valmistava Kingston on tehnyt suomalaisissa TV-ruuduissa vuodesta 2001 mellastaneille Duudsoneille oman nimikkomuistitikun.
Taloussanomat
- Vihdoinkin, Kreikka: Sopu säästöistä syntyi 16:50
- "Finnair hakee kumppania suuresta joukosta yhtiöitä" 14:43
- Tänne tulevat uudet Prismat 14:48
- Lopullista Kreikka-päätöstä tuskin saadaan tänään 19:18
- Draghi: Epävarmassa taloudessa yhä riskinsä 17:15
- Tätäkö keskusta pelkää – turhaan vai? 15:47
- Hautala Ylelle: Valtio voi luopua enemmistöstä Finnairissa 17:11
- Tasan vuosi – euribor laski taas 1,70 prosenttiin 12:33
- Kotipizza leipoi ennätystuloksen 18:02
- Asunnon ostaja, älä luule – yritä selvittää 06:01
- » Taloussanomat.fi
-
-111 e
HP Z400 (Xeon W3550, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
-110 e
HP Z600 (Xeon E5620, 8 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
-69 e
HP Z400 (Xeon W3565, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
-42 e
Apple Mac Pro (Xeon 2.8 GHz, 8 GB, 2 TB, OS X), keskusyksikkö
-
-42 e
HP Z600 (Xeon E5645, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
Kommentit (8)
Hatun nosto Hyppöselle!
Niinpä niin, olisikohan aika miettiä uudestaan mm. actice-x:n ja javascrptien käyttöä ...
Minä en enää viitsi noita MS:n tuotoksia kommentoida, jokainen vetäköön omat johtopäätöksensä siitä mitä niiden kanssa pitäisi tehdä, mutta Adoben Acrobat-readerista ottaisin active-x- ja javascript-tuen sekä dokumenttien oikeuden käynnistää muita sovelluksia pois päältä, niin tilanne rauhoittuu pdf:ien osalta huomattavasti ...