Tiistaina 2.8.2011 tietoturvayritys McAfee julkaisi koko (IT-)maailmaa kohtauttaneen uutisen/raportin, jossa väitetään paljastuneen tähän mennessä maailman suurin tietomurtojen sarja. Kyseinen ”Operation: Shady RAT” -raportti on luettavissa McAfeen blogista.
Jokaisen asiasta kiinnostuneen kannattaa lukea yllä mainittu McAfeen Dmitri Alperovitchin julkaisema blogiviesti. Alla oleva teksti on referoitu/suomennettu kyseisestä artikkelista ja jaettu osiin, jotta aihetta olisi helpompi käsitellä eri näkökulmista.
Toinen tietoturvayritys Symantec on myös julkaissut aiheeseen liittyvän oman blogiviestinsä 4.8.2011. Siinä kerrotaan hieman tarkemmin käytetyistä hyökkäyksistä
Uutinen lyhyesti:
McAfee pääsi käsiksi erääseen tietomurroissa käytettyyn ns ohjauspalvelimeen (Command & Control server). Palvelimella olevat lokitiedot paljastavat, että ainakin vuodesta 2006 eteenpäin rikollinen taho on pystynyt tunkeutumaan ainakin 72 eri toimijan järjestelmiin. Uhreja voi olla useita lisää, mutta lokitietojen perusteella vain 72 pystyttiin varmasti todentamaan. Huomioitavaa on myös se, että kyseinen rikollinen toiminta on voinut alkaa jo vuosia aikaisemmin, mutta todisteita on vasta vuodesta 2006 eteenpäin.
Erikoista tiedoissa on se, että murrot eivät ole kohdistuneet pelkästään teollisuuteen tai valtioihin, sillä kohdelistalla ovat mm Olympiakomitea sekä Antidoping -järjestö WADA.
Hyökkäysten pituudet myös vaihtelivat: osassa järjestelmiä viihdyttiin vain kuukausia kun taas eräässä oltiin sisällä jopa 28 kuukautta uhrin huomaamatta.
Ovatko kehittyneet tietomurrot ja -hyökkäykset uhka kaikille yrityksille?
Uutisen bloggaajalta (McAfeen Dmitri Alperovitch) kysytään tätä asiaa usein. Vastaus on selkeä Kyllä. Kaikkien pitäisi olla huolissaan. Ei pidä ajatella että tällaisia tietomurtoja tehdään vain valtioita, sotateollisuutta ja megayrityksiä (Esim Google) vastaan.
Niiden teollisuuden alojen yritykset, joissa liikkuu tarpeeksi rahaa, kallista informaatiota tai salaisuuksia, ovat kaikki hyviä kohteita. Dmitri uskookin että esimerkiksi maailman 2000 suurinta yritystä voidaan luetella kahteen kastiin; niihin jotka tietävät joutuneensa tietomurron kohteeksi ja niihin jotka eivät vielä tiedä sitä.
Onko nykyajan hyökkäykset kehittyneempiä ja onko niiden määrä selvästi noussut?
Tätä kysymystä kuulee usein, varsinkin kun viimeisen puolen vuoden aikana paljastui paljon tietomurtoja, kuten tapaukset RSA, Lockheed Martin ja Sony. Tämäkin on bloggaajan mielestä ironinen kysymys, koska samantyyppisiä murtoja on ollut jo vuosia ja hyökkäystavat eivät olleet mitenkään erityisen kehittyneitä.
Hyökkäysten motivaationa raha?
Kehittyneissä ja kohdistetuissa hyökkäyksissä ei pyritä tekemään kiusaa tai saamaan suoraa taloudellista hyötyä. Kohteena on yksinkertaisesti informaatio. Haluttavaa tietoa ovat esimerkiksi valtion salaisuudet, ohjelmien lähdekoodit ja bugitiedot, sähköpostiarkistot, suunnitelmat ja sopimukset. Näiden avulla hyökkääjä voi saavuttaa myös taloudellista hyötyä. Esimerkiksi varastettujen tuotesuunnitelmien avulla voidaan tuottaa kilpaileva tuote jo ennen kuin alkuperäistä tuotetta on edes markkinoilla. Lähdekoodien ja bugitietojen avulla saadaan tietoon ohjelmistojen heikkouksia ja niiden avulla voidaan tuottaa lisää hyökkäysmenetelmiä.
Tietovarkaudet voivat johtaa jopa niin pitkälle, että valtioiden talous tai turvallisuus kärsii. Mitä jos esimerkik joltain varastetaan maanpuolustukseen liittyviä strategioita tai tuotetietoja?
Miten hyökkäykset toteutettiin?
Hyökkäyksissä onnistuttiin käyttämällä erittäin tehokasta yhdistelmää: haavoittunut järjestelmä + pahaa aavistamaton käyttäjä. Hyökkäykset olivat siis erittäin hyvin kohdistettu sellaisiin käyttäjiin, joilla oli tarpeeksi valtaa ja käyttöoikeuksia yritysten järjestelmissä. Heille lähetettiin haittaohjelman sisältävä sähköpostiviesti. Kun henkilö lukee sähköpostin, niin haittaohjelma pesiytyy koneelle ja ottaa yhteyttä ulkopuoliseen ohjauspalvelimeen (Command & Control server). Ohjauspalvelimen kautta hyökkääjät pääsevät ongelmitta uhrin koneelle ja voivat tehdä siellä mitä haluavat, esimerkiksi varastaa tietoja heti tai yrittää tunkeutua syvemmälle yrityksen sisäverkkoon ja sen koneisiin.
Tässä vielä eriteltynä eri vuosina tehtyjen hyökkäysten määrät ja esimerkkejä uhreista:
- 2006: 8, Energiayhtiö, valtion laitoksia
- 2007: 29, mm USA:n puolustusteknologian valmistajia.
- 2008: 36, esim YK
- 2009: 38, esim WADA
- 2010: 17, Kanadan valtiotason laitos
- 2011: 9
Hyökkäysten väheneminen kohti vuotta 2011 saattaa johtua esimerkiksi siitä, että rikolliset ottivat käyttöönsä uusia komentopalvelimia, jolloin paljastuneen palvelimen työmäärä väheni. Toisaalta yritykset ovat ottaneet käyttöönsä myös kehittyneempiä tietoturvaratkaisuja, jotka ovat varmasti vähentäneet onnistuneita hyökkäyksiä.
Miksi raportti julkaistiin?
Dmitri sanoo, että tavalliset ihmiset ja yritykset eivät edes saa tietoonsa kaikkia mahdollisia tapauksia, koska yritykset eivät halua kertoa niistä julkisuuteen. McAfee haluaakin parantaa julkista tietoutta ja siksi julkaisivat myös tämän Operation: Shady RAT -raportin.
Loppuhuomatuksena mainitaan myös se, että tällaisen laajan tietomurtojen sarjan paljastuminen saattaa ihmetyttää tai jopa järkyttää henkilöitä, jotka eivät ole asiaan perehtyneitä. Pitää kuitenkin muistaa, että samantyyppisiä murtoja tapahtuu jatkuvasti ja tämä ei ole mitenkään uutta.
Vastaa