Valikko
Ulkomaat

Kybervakoilijoiden ryhmä iskenyt ministeriöihin, yrityksiin ja suurlähetystöihin – jäljet johtavat Venäjälle

Suomen ulkoministeriötä vakoillut ryhmä tunnetaan monella nimellä: Uroburos, Snake, Turla ja Waterbug.

Suomen ulkoministeriön tietoverkosta vuonna 2013 paljastunutta vakoiluohjelmaa ja sen taustavoimia on jäljitetty jo kymmenkunta vuotta.

Salaperäisellä ryhmällä ei ole kuitenkaan yleisesti hyväksyttyä nimeä. Ryhmän jäljittäjät käyttävätkin eri nimiä, jotka yleensä riippuvat siitä, minkä tietoturvayrityksen palveluksessa he ovat.

Yleisimmin ryhmä tunnetaan nimillä Uroburos, Snake tai Turla. Ne kaikki tarkoittavat samaa asiaa. Ryhmästä käytetään myös nimeä Waterbug (Vesilude).

HS paljasti (HS 27.9.2014) toissa vuonna, että ulkoministeriöstä löytynyt haittaohjelma oli nimeltään Uroburos (Snake, Turla). Se on niin sanottu rootkit-haittaohjelma, joka kätkeytyy syvälle käyttöjärjestelmän sisälle.

Haittaohjelma avaa tietokoneeseen niin sanotun takaoven aina, kun tietokoneen käyttäjä avaa internetselaimen. Takaoven kautta hyökkääjä voi kopioida tiedostoja saastuneesta tietokoneesta, ottaa yhteyden palvelimiin, tuhota tiedostoja ja ladata uusia haittaohjelmia.

Uroburos/Snake/Turla-haittaohjelmaa ja sen lähisukulaisiksi luettavia ohjelmia ovat tutkineet muun muassa tietoturvayhtiöt Kaspersky ja Symantec sekä saksalainen G-Data.

Tietoturvayhtiöiden julkaisemissa raporteissa haittaohjelman sylttytehtaan on epäilty olevan Venäjällä. Päätelmiä on tehty esimerkiksi lähdekoodista löydetyistä venäjänkielisistä sanoista.

Täyttä varmuutta venäläisyydestä ei ole kuitenkaan vielä saatu. Yle kertoi keskiviikkona nimettömiin asiantuntijalähteisiin perustuen, että vakoiluohjelmaa käyttävä ryhmä olisi venäläinen.

Amerikkalainen tietoturvayhtiö Symantec kutsuu verkkovakoiluryhmää nimellä Waterbug. Sen mukaan ryhmä on ollut aktiivinen jo vuodesta 2005 lähtien. Se pitää ryhmää todennäköisesti syypäänä muun muassa kuuluisaan vuonna 2008 tehtyyn kyberhyökkäykseen Yhdysvaltain asevoimia vastaan.

Symantecin mukaan Waterbug-ryhmä pääsee käsiksi uhrien tietokoneisiin yleensä joko sähköpostin liitetiedostoon asennetun haittaohjelman tai niin sanotun juomapaikka-huijauksen (watering hole) kautta.

Juomapaikka-huijauksessa saastutetaan haittaohjelmalla ensin jokin internetsivusto, jota varsinaisen kohteen työntekijän tiedetään käyttävän työpaikallaan ollessaan. Kun työntekijä käy saastutetulla sivustolla, haittaohjelma saattaa siirtyä huomaamatta hänen työkoneelleen.

Symantecin raportin mukaan Waterbug-ryhmä on erittäin taitava, ja se on onnistunut vakoilemaan eri maiden hallintoja ja suurlähetystöjä. Ryhmä on myös kehittänyt työkalujaan vuosien mittaan, mikä osoittaa sen käytössä olevan suuret resurssit.

Symantecin mukaan ryhmän takana onkin jokin valtio, jonka tavoitteena on kerätä tiedustelutietoa.

Haittaohjelmaa on tutkinut erityisesti venäläinen tietoturvayhtiö Kaspersky Lab. Se kutsuu ohjelmaa ja sen taustalla olevaa ryhmää Turlaksi. Kaspersky on hyvin arvostettu korkeasta ammattitaidostaan, mutta sen mahdolliset yhteydet Venäjän hallintoon ovat herättäneet keskustelua.

Kaspersky julkaisi viime vuoden syyskuussa lisätietoja haittaohjelmasta ja sen käyttämistä tekniikoista. Yksi päätelmä oli se, että ainakin osa ryhmään kuuluvista on venäjänkielisiä.

Kaspersky onkin löytänyt yli sata ryhmän hyökkäyksen kohteiksi joutunutta verkkoa. Joukossa on muun muassa EU-maan sisäministeriö, kauppaministeriö ja ulkoministeriö sekä suurlähetystöjä ja tiedusteluorganisaatioita. Myös lääkeyhtiöitä on ollut kohteina. Suurin osa kohteista on ollut Romaniassa.

Ryhmän taidosta kertoo sen monipuolinen kyky hyödyntää erilaisia ohjelmistojen haavoittuvuuksia sekä muita keinoja järjestelmiin tunkeutumisessa. Hyökkääjät ovat käyttäneet myös niin sanottuja nollapäivähaavoittuvuuksia eli ennestään tuntemattomia tietoturva-aukkoja.

Haittaohjelmat tarvitsevat toimiakseen suuren määrän komentopalvelimia, jotka ohjaavat niiden toimintaa. Komentopalvelimet muodostavat mutkikkaan verkon, jonka taakse hyökkääjät pyrkivät kätkeytymään. Viranomaiset ja internetin palveluntarjoajat pääsevät niihin kuitenkin halutessaan lopulta käsiksi.

Kasperskyn mukaan Turla-ryhmä kiertää komentopalvelimiin liittyvää paljastumisriskiä käyttämällä satelliitteihin perustuvaa järjestelmää. Se perustuu satelliitteihin nojautuvien internetyhteyksien tietoturvan puutteisiin.

Tyypillinen edullinen satelliittiyhteys on sellainen, jossa yhteys toimii vain yhteen suuntaan. Toisin sanoen tietoa tulee vain satelliitista käyttäjän tietokoneelle. Sen sijaan käyttäjän tietokoneen lähettämä tieto kulkee pitkin perinteisiä lankalinjoja tai maanpäällistä langatonta yhteyttä pitkin.

Satelliittiteknologiassa on se heikkous, että satelliitista maanpäälliseen satelliittilautaseen kulkeva bittivirta välitetään salaamattomana. Kybervakoilijat pääsevät tämän vuoksi oman satelliittiantenninsa kautta kiinni viattoman käyttäjän internetliikenteeseen ilman, että tämä huomaa mitään. Tätä yhteyttä voidaan sitten hyödyntää haittaohjelmien tiedonvälityksessä.

Satelliittilähetykset lähetetään hyvin laajalle alueelle, joten viranomaisten on käytännössä mahdotonta löytää kybervakoilijoita lukemattomien satelliittiantennien joukosta.

Kasperskyn mukaan kybervakoilijat hyödyntävät esimerkiksi Afrikassa ja Lähi-idässä olevia satelliittipalveluja, joita on erityisen hankala jäljittää.

    Seuraa uutisia tästä aiheesta

  • Ulkoministeriö
  • Venäjä
  • Tietoturva
  • verkkovakoilu

Kommentit

    Ei vielä kommentteja. Kirjoita ensimmäinen.

    Näytä lisää

    Luetuimmat

    1. 1

      Vieraiden miesten treffipyyntöjä, uhkailua ja savukaasupanos työpaikalla – kostoa hautonut asiakas vainosi vuosia Marjo Oinosta

    2. 2

      Rocktähtien sanat kovenevat Trumpia kohtaan – Bruce Springsteen ryhtyi julistamaan presidentin vastaista ”uutta vastarintaa”

    3. 3

      Nimimerkki Musta Pekka mielipidesivulla: Työttömyyteni jatkuessa tunnen vihaa päättäjiä ja yhteiskuntaa kohtaan

    4. 4

      23-vuotias Ville haluaa ryhtyä talonmieheksi, hankkia koiran ja lopettaa Subutexin käytön – odotellessaan paikkaa katkolle hän ehti jo retkahtaa ja kadota

    5. 5

      Aikuiset ovat nykyään aivan kuin teinejä

    6. 6

      Puolustusministeri Niinistö ryöpyttää: ”Reservikarkurit eivät ansaitse arvostustamme”

    7. 7

      Superbakteereita vastaan täytyy keksiä aivan uusia keinoja tai taistelu on hävitty: ”Meidän täytyy taas tottua siihen, että lapset kuolevat”

    8. 8

      CIA:n tiedusteluraportti: Suomi tavoitteli Karjalan palautusta kunnostamalla tarpeettoman Saimaan kanavan

    9. 9

      10 vinkkiä, joiden avulla syöt helposti enemmän kasviksia – asiantuntijat neuvovat lisäämään kasviksia niin kakkuun kuin pastaankin

    10. 10

      Onneton autoverodraama on osoitus poliittisen pelisilmän puutteesta

    11. Näytä lisää
    1. 1

      Trump uhkaa tuhota Britannian varalaskupaikan

    2. 2

      CNN otti Trumpin virkaanastujaisista uskomattoman kuvan – yleisön voi laskea vaikka yksitellen

    3. 3

      Aikuiset ovat nykyään aivan kuin teinejä

    4. 4

      23-vuotias Ville haluaa ryhtyä talonmieheksi, hankkia koiran ja lopettaa Subutexin käytön – odotellessaan paikkaa katkolle hän ehti jo retkahtaa ja kadota

    5. 5

      Superbakteereita vastaan täytyy keksiä aivan uusia keinoja tai taistelu on hävitty: ”Meidän täytyy taas tottua siihen, että lapset kuolevat”

    6. 6

      Trump suuttui median uutisoimasta vaatimattomasta yleisömäärästä – ilmakuvat näyttävät karun totuuden virkaanastujaisista

    7. 7

      Nuoren naisen katoaminen kuohuttaa Islannissa – Murhamysteeriin liittyy grönlantilainen kalastusalus, veritahra vuokra-autossa ja 20 kiloa hasista

    8. 8

      Satatuhatta suomalaista matkailijaa tuo joka vuosi tuliaisina superbakteerin – Ihmiskunta voi pian joutua elämään ilman antibioottien turvaa

    9. 9

      Merenrantaan hamuava suuryritys saa Helsingiltä erityiskohtelua – Luonnonsuojelija: Suosiiko Jussi Pajunen tytärtään?

    10. 10

      Saako säästöille nyt mistään tuottoa? Asiantuntijat kertovat, miten sijoittaminen kannattaa aloittaa

    11. Näytä lisää
    1. 1

      Trumpin kannattaja: ”Te siellä Suomessa puhutte enää islamia”

    2. 2

      CNN otti Trumpin virkaanastujaisista uskomattoman kuvan – yleisön voi laskea vaikka yksitellen

    3. 3

      Trump suuttui median uutisoimasta vaatimattomasta yleisömäärästä – ilmakuvat näyttävät karun totuuden virkaanastujaisista

    4. 4

      Poliisi epäilee Helsingissä ”kaikkien aikojen korruptiotapausta” – Helsingin opetusviraston turvallisuuspäällikkö vangittu

    5. 5

      Olivia Oras ryhtyi instaamaan, sai tuhansia seuraajia ja vietti 16-vuotiaana vip-elämää – mutta alkoi pelätä imeytymistä someen ja palasi kotiin

    6. 6

      Miehen epäillään tunkeutuneen sikalaan ja paritelleen karjun kanssa Oulun seudulla

    7. 7

      Ruokatrendit, kuten sushi, veganismi ja pienoluet, ovat esittämistä, jolla hyväosaiset tekevät eroa muihin, sanoo tutkija – ja hänellä on lukuja todisteeksi

    8. 8

      Tältä me näytämme aamulla bussissa ja metrossa – Akseli Valmusen kuvareportaasi

    9. 9

      Helsinkiä riivaa huutava pula nuorista miehistä – katso HS:n koneesta, puuttuuko kotikulmiltasi naisia vai miehiä

    10. 10

      Muutin 41-vuotiaana vanhempieni luokse ja toivon, että oma lapseni voi keski-ikäisenä kivuta syliini itkemään

    11. Näytä lisää