Tarkista selaimen asetuksista, että JavaScript ja evästeet ovat käytössä.

Mikäli JavaScript on käytössä, mutta jokin selainlaajennus estää sen lataamisen, poista selainlaajennus käytöstä.

Poikkeuksellinen kyberhyökkäys onnistui sammuttamaan ukrainalaisten sähköt

Ulkomaat
 
Martti Kainulainen / Lehtikuva
Kuva: Martti Kainulainen / Lehtikuva

Muuntautumiskykyinen haittaohjelma on suunniteltu tärvelemään käyttöjärjestelmän kannalta keskeisiä ohjelmatiedostoja. Osa niistä liittyy teollisuuden hallintajärjestelmiin. Ohjelman suunnittelusta osoitetaan sormella Venäjää.

Läntisessä Ukrainassa sijaitsevan 1,4 miljoonan asukkaan Ivano-Frankivskin kodeista noin puolet jäi joulun alla ilman sähköä. Ukrainalaisten sähköt vei kyberhyökkäys.

Tapahtuma muistuttaa Ilkka Remeksen hittikirjan juonta. Nyt kyse ei kuitenkaan ole enää pelottavasta mielikuvituksesta, sillä joulunaaton aattona sattunut sähkökatko on ensimmäinen kerta, kun tietoturvatutkijat ovat pystyneet osoittamaan suoran yhteyden todellisen sähkökatkon ja tietojärjestelmiin tunkeutuneen haittaohjelman toiminnan välillä.

Vaikka sähkökatko jäi tällä kertaa vain muutaman tunnin mittaiseksi, se on huolestuttava merkki. Kun tietoverkkojen toimintaa saadaan häirittyä riittävän tehokkaasti, digitaaliseksi kuviteltu uhka muuttuu fyysiseksi. Kansalaisille tulee kylmä. Pitkittyessään se voi vaatia ihmishenkiä.

Sähköyhtiön järjestelmistä löydetyn haittaohjelman pääkomponentti tunnetaan nimellä Blackenergy. Sitä on löydetty myös Puolan ja Ukrainan hallituksen järjestelmistä, puolalaisen energiayhtiön verkosta, ranskalaisen verkkopalveluntarjoajan järjestelmistä sekä yhdysvaltalaisesta yliopistosta ja jostain päin sotilasliitto Naton järjestelmiä.

Marraskuussa Ukrainan tietoturvaviranomainen havaitsi, että haittaohjelmaa käytetään myös toisen ohjelman levittämiseen. Tämä ohjelma, kutsumanimeltään Killdisk, tuhoaa tiedostoja. Slovakialaisen Eset-tietoturvayhtiön mukaan Killdisk löydetiin useiden ukrainalaisten uutistalojen verkoista Ukrainan paikallisvaalien aikaan.

Killdisk oli silloin ohjelmoitu tuhoamaan jopa 4 000 erilaista tiedostotyyppiä.

Eset on seurannut Blackenergy-haittaohjelmaa ja sen kehitystä jo pidempään. Vuonna 2014 yhtiö havaitsi, että muuntautumiskykyisen moduulin avulla voitiin kuljettaa osia, joilla pääsee käsiksi teollisuusautomaation hallintajärjestelmiin. Näitä scada-yleisnimellä kutsuttuja hallintajärjestelmiä käytetään yleisesti esimerkiksi juuri voimalaitoksissa.

”Kun vuoden 2014 haittaohjelmatartuntojen pääasiallinen tarkoitus vaikutti olevan pääsääntöisesti vakoilu, havainto siitä että Blackenergyn troijalais-kuljettimet pystyivät saastuttamaan scada-hallintajärjestelmiä antoi viitteitä, että ryhmä saattoi suunnitella jotain dramaattisempaa”, Esetin tutkijat kirjoittavat yhtiön sivuilla maanantaina julkaistussa blogissa.

Eset on kerännyt näytteitä samasta haittaohjelmasta Ukrainan energiayhtiöistä jo aiemmin vuonna 2015. Energiayhtiöistä löydetyissä näytteissä haittaohjelman Killdisk-palikka ei ollutkaan kiinnostunut pyyhkimään neljäätuhatta tiedostotyyppiä.

Nyt se tähtäsi poistamaan vain vajaalla 40 eri päätteellä varustettuja tiedostoja.

Useat niistä ovat käyttöjärjestelmän toiminnan kannalta välttämättömiä. Lisäksi ohjelma on suunniteltu tuhomaan kahta epätyypillisempää prosessia. Niistä ainakin toisen Eset arvelee liittyvän ohjelmistoalustaan, jonka kautta teollisuushallintajärjestelmiä käytetään.

Onnistuessaan tällainen haittaohjelmahyökkäys voi tarkoittaa sitä, että käyttöjärjestelmä menee täysin sekaisin eikä se pysty palautumaan.

Ukrainan turvallisuuspalvelu syytti verkkohyökkäyksestä oikopäätä Venäjää. Syytös ei välttämättä ole tuulesta temmattu, sillä varsinkin uhrien valinta kertoo usein tekijöiden kiinnostuksen kohteista.

Sekä tietoturvayhtiö F-Secure että analyysiyritys iSight ovat havainneet, että Blackenergy-hyökkäystyökalua käyttivät Georgian sodan aikana Venäjälle myönteiset hakkeriaktivistit.

Jäljet johtavat Venäjälle myös siksi, että vuonna 2014 haittaohjelman käyttämälle Saksassa sijaitsevalle komentopalvelimelle oli ladattu myös venäjänkielistä aineistoa.

Venäläinen tietoturvayhtiö Kaspersky Lab arvioi vuonna 2014, että hyökkäystyökalu on ollut alunperin rikollisessa käytössä. Myöhemmin sen toiminnan ja kehityksen perusteella on kuitenkin ilmennyt viitteitä siitä, että työkalu on otettu valtiollisia päämääriä palvelevaan käyttöön.

Oli kyseessä sitten rosvo, vakooja, valtio tai mikä hyvänsä niiden yhdistelmistä, tapaus on huolestuttava. Tietoturva-alalla valtioiden kriittiseen infrastruktuuriin kuten sähkölaitoksiin ja sairaaloihin sekä teollisuuteen kohdistuvia verkkosabotaaseja on osattu odottaa jo vuosia.

Esimerkiksi vuonna 2010 stuxnetiksi nimetty haittaohjelma tärveli Iranissa Natanzin uraanirikastamon sentrifugit aiheuttamalla niissä ylikuumenemisen. Vuonna 2014 saksalaisen terästehtaan masuuni kärsi vakavia vahinkoja, kun sen tuotantojärjestelmiin ujutettiin haittaohjelma.

Ukrainassa tapahtunut sähkökatko on kuitenkin tiettävästi ensimmäinen kerta, kun haittaohjelman avulla sähköt on todella saatu katkaistua. Sairaalan sähköverkon lamauttaessaan haittaohjelma aiheuttaisi ainakin osalle potilaista hengenvaaran.

Tämä aihe on kiinnostava, haluaisin lisää tällaisia uutisia!

Kiitos mielipiteestäsi!

Uusimmat