Valikko
Ulkomaat

Kybervakoilijoiden ryhmä iskenyt ministeriöihin, yrityksiin ja suurlähetystöihin – jäljet johtavat Venäjälle

Suomen ulkoministeriötä vakoillut ryhmä tunnetaan monella nimellä: Uroburos, Snake, Turla ja Waterbug.

Suomen ulkoministeriön tietoverkosta vuonna 2013 paljastunutta vakoiluohjelmaa ja sen taustavoimia on jäljitetty jo kymmenkunta vuotta.

Salaperäisellä ryhmällä ei ole kuitenkaan yleisesti hyväksyttyä nimeä. Ryhmän jäljittäjät käyttävätkin eri nimiä, jotka yleensä riippuvat siitä, minkä tietoturvayrityksen palveluksessa he ovat.

Yleisimmin ryhmä tunnetaan nimillä Uroburos, Snake tai Turla. Ne kaikki tarkoittavat samaa asiaa. Ryhmästä käytetään myös nimeä Waterbug (Vesilude).

HS paljasti (HS 27.9.2014) toissa vuonna, että ulkoministeriöstä löytynyt haittaohjelma oli nimeltään Uroburos (Snake, Turla). Se on niin sanottu rootkit-haittaohjelma, joka kätkeytyy syvälle käyttöjärjestelmän sisälle.

Haittaohjelma avaa tietokoneeseen niin sanotun takaoven aina, kun tietokoneen käyttäjä avaa internetselaimen. Takaoven kautta hyökkääjä voi kopioida tiedostoja saastuneesta tietokoneesta, ottaa yhteyden palvelimiin, tuhota tiedostoja ja ladata uusia haittaohjelmia.

Uroburos/Snake/Turla-haittaohjelmaa ja sen lähisukulaisiksi luettavia ohjelmia ovat tutkineet muun muassa tietoturvayhtiöt Kaspersky ja Symantec sekä saksalainen G-Data.

Tietoturvayhtiöiden julkaisemissa raporteissa haittaohjelman sylttytehtaan on epäilty olevan Venäjällä. Päätelmiä on tehty esimerkiksi lähdekoodista löydetyistä venäjänkielisistä sanoista.

Täyttä varmuutta venäläisyydestä ei ole kuitenkaan vielä saatu. Yle kertoi keskiviikkona nimettömiin asiantuntijalähteisiin perustuen, että vakoiluohjelmaa käyttävä ryhmä olisi venäläinen.

Amerikkalainen tietoturvayhtiö Symantec kutsuu verkkovakoiluryhmää nimellä Waterbug. Sen mukaan ryhmä on ollut aktiivinen jo vuodesta 2005 lähtien. Se pitää ryhmää todennäköisesti syypäänä muun muassa kuuluisaan vuonna 2008 tehtyyn kyberhyökkäykseen Yhdysvaltain asevoimia vastaan.

Symantecin mukaan Waterbug-ryhmä pääsee käsiksi uhrien tietokoneisiin yleensä joko sähköpostin liitetiedostoon asennetun haittaohjelman tai niin sanotun juomapaikka-huijauksen (watering hole) kautta.

Juomapaikka-huijauksessa saastutetaan haittaohjelmalla ensin jokin internetsivusto, jota varsinaisen kohteen työntekijän tiedetään käyttävän työpaikallaan ollessaan. Kun työntekijä käy saastutetulla sivustolla, haittaohjelma saattaa siirtyä huomaamatta hänen työkoneelleen.

Symantecin raportin mukaan Waterbug-ryhmä on erittäin taitava, ja se on onnistunut vakoilemaan eri maiden hallintoja ja suurlähetystöjä. Ryhmä on myös kehittänyt työkalujaan vuosien mittaan, mikä osoittaa sen käytössä olevan suuret resurssit.

Symantecin mukaan ryhmän takana onkin jokin valtio, jonka tavoitteena on kerätä tiedustelutietoa.

Haittaohjelmaa on tutkinut erityisesti venäläinen tietoturvayhtiö Kaspersky Lab. Se kutsuu ohjelmaa ja sen taustalla olevaa ryhmää Turlaksi. Kaspersky on hyvin arvostettu korkeasta ammattitaidostaan, mutta sen mahdolliset yhteydet Venäjän hallintoon ovat herättäneet keskustelua.

Kaspersky julkaisi viime vuoden syyskuussa lisätietoja haittaohjelmasta ja sen käyttämistä tekniikoista. Yksi päätelmä oli se, että ainakin osa ryhmään kuuluvista on venäjänkielisiä.

Kaspersky onkin löytänyt yli sata ryhmän hyökkäyksen kohteiksi joutunutta verkkoa. Joukossa on muun muassa EU-maan sisäministeriö, kauppaministeriö ja ulkoministeriö sekä suurlähetystöjä ja tiedusteluorganisaatioita. Myös lääkeyhtiöitä on ollut kohteina. Suurin osa kohteista on ollut Romaniassa.

Ryhmän taidosta kertoo sen monipuolinen kyky hyödyntää erilaisia ohjelmistojen haavoittuvuuksia sekä muita keinoja järjestelmiin tunkeutumisessa. Hyökkääjät ovat käyttäneet myös niin sanottuja nollapäivähaavoittuvuuksia eli ennestään tuntemattomia tietoturva-aukkoja.

Haittaohjelmat tarvitsevat toimiakseen suuren määrän komentopalvelimia, jotka ohjaavat niiden toimintaa. Komentopalvelimet muodostavat mutkikkaan verkon, jonka taakse hyökkääjät pyrkivät kätkeytymään. Viranomaiset ja internetin palveluntarjoajat pääsevät niihin kuitenkin halutessaan lopulta käsiksi.

Kasperskyn mukaan Turla-ryhmä kiertää komentopalvelimiin liittyvää paljastumisriskiä käyttämällä satelliitteihin perustuvaa järjestelmää. Se perustuu satelliitteihin nojautuvien internetyhteyksien tietoturvan puutteisiin.

Tyypillinen edullinen satelliittiyhteys on sellainen, jossa yhteys toimii vain yhteen suuntaan. Toisin sanoen tietoa tulee vain satelliitista käyttäjän tietokoneelle. Sen sijaan käyttäjän tietokoneen lähettämä tieto kulkee pitkin perinteisiä lankalinjoja tai maanpäällistä langatonta yhteyttä pitkin.

Satelliittiteknologiassa on se heikkous, että satelliitista maanpäälliseen satelliittilautaseen kulkeva bittivirta välitetään salaamattomana. Kybervakoilijat pääsevät tämän vuoksi oman satelliittiantenninsa kautta kiinni viattoman käyttäjän internetliikenteeseen ilman, että tämä huomaa mitään. Tätä yhteyttä voidaan sitten hyödyntää haittaohjelmien tiedonvälityksessä.

Satelliittilähetykset lähetetään hyvin laajalle alueelle, joten viranomaisten on käytännössä mahdotonta löytää kybervakoilijoita lukemattomien satelliittiantennien joukosta.

Kasperskyn mukaan kybervakoilijat hyödyntävät esimerkiksi Afrikassa ja Lähi-idässä olevia satelliittipalveluja, joita on erityisen hankala jäljittää.

    Seuraa uutisia tästä aiheesta

  • Ulkoministeriö
  • Venäjä
  • Tietoturva
  • verkkovakoilu

Kommentit

    Ei vielä kommentteja. Kirjoita ensimmäinen.

    Näytä lisää
    Luetuimmat
    1. 1

      Tellervo Koivisto laski kukat presidentti Koiviston arkulle – HSTV näyttää suoraa lähetystä Helsingin tuomiokirkosta

    2. 2

      Manchesterissä uusi pommiuhka – armeijan pomminpurkuryhmä mennyt oppilaitokseen

    3. 3

      Pitäisikö perheellisten naisten lyhentää työuraansa vielä asepalveluksellakin? Tällaiset vaatimukset kertovat, että feminismiä tarvitaan

    4. 4

      Britannia raivostui USA:lle Manchester-kuvien vuotamisesta ja lakkasi jakamasta tutkintamateriaalia – ”Tämä on vastenmielistä”

    5. 5

      Presidentti Mauno Koiviston hautajaiset käynnissä – seppeleiden lasku, jono kirkkoon, presidenttien Halonen ja Niinistö saapuminen ja siunaustilaisuuden alku

    6. 6

      Kun veli sairastui skitsofreniaan, Tiina Tuomisen elämässä alkoi vuosien salailu: ”Kun kerroin työkavereille, tajusin, miten paljon salaisuus oli syönyt minua”

    7. 7

      Kansalaiset odottavat jo Tuomiokirkon portailla hautajaissaaton alkua, kirkon kaikki paikat tulivat täyteen: ”Koivisto otti kaikki ihmiset huomioon, alhaalta ylös ja ylhäältä alas” – HSTV:n suora lähetys käynnissä

    8. 8

      Oikeustieteilijät pöyristyivät: Suomessa ei ole kahdeksaan kuukauteen hallitusta ja presidenttiä valvovaa oikeuskansleria – ”Täysin kestämätöntä perustuslain kannalta”

    9. 9

      Tähtien sota ilmestyi 40 vuotta sitten, mutta George Lucasin mielestä elokuva ei ole valmis – ja siksi hän on onnistunut lähes pilaamaan sen

    10. 10

      Kenraalit kantavat presidentti Koiviston arkkua – Assi Koiviston puoliso HS:lle: ”Asiat tapahtuvat samassa järjestyksessä kuin Kekkosen hautajaisissa”

    11. Näytä lisää
    1. 1

      Kiky-sopimus teki monien helatorstaista tavallisen työpäivän, eikä se miellytä kaikkia – ”Toki tämä päähän ottaa”

    2. 2

      Oikeustieteilijät pöyristyivät: Suomessa ei ole kahdeksaan kuukauteen hallitusta ja presidenttiä valvovaa oikeuskansleria – ”Täysin kestämätöntä perustuslain kannalta”

    3. 3

      Ilmavaivoja ruisleivästä, ummetusta mustikoista – Katso, missä ruoka-aineissa saattaa piillä vatsavaivojen syy

    4. 4

      Kun veli sairastui skitsofreniaan, Tiina Tuomisen elämässä alkoi vuosien salailu: ”Kun kerroin työkavereille, tajusin, miten paljon salaisuus oli syönyt minua”

    5. 5

      Rohkeinta on olla intiimi – Aikuisten seksipuhe on usein teinien tasolla

    6. 6

      Britannia raivostui USA:lle Manchester-kuvien vuotamisesta ja lakkasi jakamasta tutkintamateriaalia – ”Tämä on vastenmielistä”

    7. 7

      Leonardo da Vincin äidin arvoitus ratkesi viimein: Keksijä-taiteilija oli 15-vuotiaan orpotytön lapsi, josta varttui aikamme ylistetyin nero

    8. 8

      Tutkimus: Noin puolet suomalais­nuorista ei koe mitään puoluetta omakseen – nuorten kielteisyys romaneja kohtaan yllätti tutkijat

    9. 9

      Joukkomurhista syytetyt irakilaiskaksoset pääsevät vapaaksi – ”Tunteet tietysti tulivat pintaan”

    10. 10

      Täytyykö kolmekymppisistä repiä kaikki irti, pohtii 34-vuotias isä ja luokanopettaja – Nyt hän hoitaa kotona lapsia, jotta ei tarvitse myöhemmin katua

    11. Näytä lisää
    1. 1

      200 tonnia kemikaaleja muutti rehevöityneen suomalais­järven turkoosin­kirkkaaksi kuin Välimeri – ”Muutos on aivan uskomaton”

    2. 2

      Britannia ei usko Manchesterin pommittajan toimineen yksin, poliisi otti kiinni lisää ihmisiä

    3. 3

      Luokkahyppy voi myös kaduttaa – yliopistoon päätynyt duunarin lapsi ikävöi takaisin työväenluokkaan

    4. 4

      Keskustelutilaisuus päättyi riitaan: Taloustieteen huippuprofessori kyllästyi Suomeen, irtisanoutui ja palaa takaisin Ruotsiin – ”Tutkimustiedolla ei ole täällä juuri mitään merkitystä”

    5. 5

      Luokkajako lentokoneessa näkyy ilmaraivona

    6. 6

      Suomalaisen tunnistaa ulkomailla jo kaukaa

    7. 7

      Kemikaalein puhdistettu järvi nousi supersuosituksi, video veden alta todistaa häkellyttävän hyvän näkyvyyden: ”Norjan meret jäävät toiseksi”

    8. 8

      Paljonko rahaa on sopiva lahja? Tapakouluttaja kannustaa kohtuuteen ja ihmettelee työikäisten matkakassoja

    9. 9

      Kauppatieteiden opiskelija havahtui turhanpäiväiseen kulutukseensa ja alkoi vältellä kaikkea muoviin pakattua – nyt hän tekee jopa deodoranttinsa itse

    10. 10

      Onko tämä kaikkien aikojen seuramatka? 800 suomalaista lähtee Afrikkaan testaamaan ripulirokotetta, joka voi pelastaa miljoonia lapsia – sinä voit hakea mukaan matkalle

    11. Näytä lisää