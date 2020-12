Solarwinds-yhtiön tuotteen päivityksen mukana levisi poikkeuksellisen ammattimainen verkkovakoilukampanja esimerkiksi Yhdysvaltain oikeusministeriöön ja noin 18 000 muuhun kohteeseen. Vakoilusta epäillään Venäjää.

Solarwindsin logoa kantava lakana New Yorkin pörssin seinässä lokakuussa 2018. Kuva on otettu, kun Solarwinds järjesti pörssilistautumiseensa liittyvän osakeannin.­

Solarwinds oli monelle tuntematon yhtiö alkuviikkoon asti.

Texasilaisen tietoliikenneyrityksen asiakkaat tunnetaan sen sijaan paremmin, sillä heistä reilut 400 löytyy Fortune-lehden julkaisemalta listalta, johon kerätään maailman 500 suurinta yritystä.

Solarwinds olisi varmaan mieluummin pysynytkin tuntemattomana kuin päätynyt otsikoihin siksi, että se tuli mahdollistaneeksi omien asiakkaidensa hakkeroinnin.

Solarwinds-yhtiön oman ilmoituksen mukaan sillä on yhteensä noin 300 000 asiakasta. Keskiviikkona noista asiakkaista noin 18 000:n tiedettiin käyttäneen verkkovakoilukampanjan saastuttamaa ohjelmistoa.

Uhrien joukossa on Yhdysvaltojen kotimaan turvallisuuden virasto DHS, valtiovarainministeriö, kauppaministeriö ja oikeusministeriö.

Solarwindsin asiakkaiksi tiedetään myös puolustusministeriö ja sen kautta Yhdysvaltain maavoimat ja merivoimat. Talouslehti Forbesin mukaan asiakkaita ovat ainakin olleet myös liittovaltion poliisi FBI ja tietoturvallisuudesta vastaava virasto CISA.

Uhrien lista on pitkä ja puistattava.

Kun asia selvisi, Solarwinds yrittikin poistaa asiakaslistansa verkosta.

Suomessa hakkeroitu Solarwindsin ohjelmistoversio on HS:n tietojen mukaan ollut käytössä ainakin kymmenessä organisaatiossa. Tämä ei vielä tarkoita, että organisaatiot olisivat joutuneet verkkovakoilun uhreiksi. Mahdollisuus kuitenkin on olemassa.

Sunnuntaina Yhdysvaltain tietoturvavirasto CISA antoi hätätilavaroituksen ja määräsi hallinnon työntekijöitä lopettamaan tietoverkkojen hallintaan tarkoitetun, hakkeroidun ohjelmiston käyttämisen.

Näin se tapahtui: ensin hakkeroitiin Solarwinds itse.

Kun tämä oli onnistunut, Solarwindsin asiakkailleen jakaman tuotteen päivityksen mukana asiakkaiden järjestelmiin ujutettiin haittaohjelma. Tämä haittaohjelma tai oikeammin useista osista koostuva ohjelmien kokonaisuus osasi piilottaa itsensä siten, etteivät monet kehittyneetkään tunnistusmenetelmät havainneet sitä.

Tähän liittyy esimerkiksi se, että päästyään tietojärjestelmään haittaohjelma odotteli hiljakseen jopa kaksi viikkoa ennen kuin otti yhteyttä verkko-osoitteeseen, josta sai toimintakomentoja.

Haittaohjelma ujuttautui Solarwindsin asiakkaiden järjestelmiin Orion-nimisen ohjelmiston päivitysversion mukana. Useilla suuryrityksillä haitallinen versio on ollut käytössä.

Yllättävää tilanteessa on se, että osa Solarwindsin asiakkaista on saattanut säästyä hyökkäykseltä toimittuaan tietoturvan hyvien peruskäytäntöjen vastaisesti ja jätettyään Solarwindsin ohjelmistoversion päivittämättä.

Hyökkäys Solarwindsin järjestelmiin on tehty maaliskuun ja kesäkuun välillä tänä vuonna.

Esimerkiksi yhdysvaltalainen tietoturvayhtiö FireEye kertoi viime viikolla joutuneensa tietomurron kohteeksi. FireEyen mukaan hyökkääjät varastivat tietomurron yhteydessä ainakin työkalut, joita yhtiö käyttää asiakkaidensa tietojärjestelmien testaamiseen.

Pian FireEye pystyi kertomaan, miten murto oli tehty.

Tietoturvayhtiö vahvisti epäsuorasti olevansa yksi verkkohallinta- ja monitorointityökaluja valmistavan Solarwindsin asiakkaista.

”Tämä kampanja on erittäin ammattitaitoisen toimijan käsialaa ja sen toteuttamisessa on noudatettu huomattavaa operatiivista turvallisuutta. Tämä on yksi vaikeimmin havaittavista hyökkäyksistä, joiden kanssa olemme olleet tekemisissä”, FireEye kertoo asiasta sivuillaan.

Käytännössä vaikeasti havaittavan verkkovakoilukampanjan suunnittelijalla ja toteuttajalla ovat vastassaan maailman tiedustelupalveluiden kyberyksiköt, lukuisat kansainväliset tietoturvayhtiöt sekä vielä kohteidensa tietoturvayksiköissä työskentelevät ammattilaiset.

Tämä tarkoittaa, että verkkovakoilussa onnistuminen on vaikeaa ja kallista, varsinkin jos vakoilua aikoo jatkaa pitkään.

Tällaiseen vakoiluun resursseja on lähinnä valtioilla. Jos rikollisilla riittäisi osaamista ja rahaa kampanjan kehittämiseen ja toteuttamiseen, heiltä puuttuisi kuitenkin motiivi.

FireEye sanoi, että hyökkäys on valtiollista alkuperää, kun se joutui kertomaan, että sen omia hyökkäystyökaluja varastettiin.

Yhdysvaltalaislehti Washington Postin nimettömien lähteiden mukaan verkkovakoilun takana ovat venäläiset.

Lehden ”asiaan perehtyneet” nimettömät lähteet sanoivat, että hyökkäyksestä olisivat vastuussa nimillä APT29 ja Cozy Bear tunnettu ryhmä tai yksikkö. Tunnetuimpia APT29:n uhreja ovat Hillary Clintonin presidentinvaalikampanjan ohella Norjan hallitus ja useat hollantilaiset ministeriöt. Hollannin tiedustelu AIVD on kertonut jäljittäneensä APT29:n Venäjän ulkomaantiedustelu SVR:iin.

Washington Postin lisäksi myös uutistoimisto Reuters haastatteli useita tutkintaan perehtyneitä lähteitä. Heistä kolme sanoi että pääepäilty on Venäjä, mutta yksimielisyyttä asiasta ei ollut. Osan mielestä on liian aikaista tehdä tällaista johtopäätöstä.

Venäjä kiisti osuutensa vyyhtiin maanantaina.

Verkkohyökkäysten tekijöiden osoittaminen on erittäin hankalaa.

Tämä liittyy paitsi internetin ja sen rakenteiden globaaliin luonteeseen, myös ilmiöön nimeltä crime as a service. Suomeksi kyse on verkkorikollisten kyvystä myydä tuotteitaan ja palvelujaan toisilleen.

Helsingin Sanomien tietojen mukaan eräissä yrityksissä, jotka ovat käyttäneet Solarwindsin ohjelmistoa on tehty havainto, että yritysten käytössä olleet Palo Alto Networks -yhtiön myymät ja ylläpitämät palomuurijärjestelmät olivat estäneet suuryritysten verkoista yhteydenottoja erääseen verkko-osoitteeseen.

Tämä verkko-osoite on aiemmin liitetty Emotet-nimellä tunnetun venäläisen verkkorikollisjengin puuhiin.

Monet yhtiöt ovat tämän takia aiemmin syksyllä etsineet Emotetin levittämistä haittaohjelmista merkkejä järjestelmistään, mutta HS:n saaman tiedon mukaan nyt selvityksessä on, liittyisikö havainto sittenkin Solarwindsistä levinneeseen verkkovakoiluun.

Varmuutta asiasta ei toistaiseksi ole.

Emotet levisi alunperin pankkitunnuksia varastaneena haittaohjelmana, mutta sen kehittäjät ovat muokanneet työkalusta version, joka lähinnä vain toimii ”muulina” ja vie murtautuessaan mukanaan kohteeseen muita haittaohjelmia. Kehittäjät myyvät työkaluaan muiden käyttöön, joten sen perusteella ei voi päätellä hyökkäyksen alkuperästä kovinkaan paljoa.

Uutistoimisto Reutersin mukaan myös useat verkkorikolliset ovat myyneet pääsyä SolarWindsin järjestelmiin.

Tietoturvatutkija Vinoth Kumar puolestaan kertoi, että hän oli varoittanut Solarwindsia heidän tietoturvapuutteistaan vuonna 2019. Solarwindsin päivityksiä käsittelevä palvelin oli suojattu niin heikolla salasanalla että sen pystyi käytännössä arvaamaan.

Olivat tekijät sitten venäläisiä vakoojia tai rikollisia mistä päin maailmaa tahansa, tapahtunut on vakava asia.

Maanantaina Liikenne- ja viestintäviraston alainen Suomen tietoturvaviranomainen eli Kyberturvallisuuskeskus huomautti, että hyökkäys onnistuu, vaikka käyttäjä ei itse tekisi mitään väärin.

Kyberturvallisuuskeskuksen ohjeen mukaan ohjelmistoversio kannattaa päivittää. Lisätietoja voi asiasta lukea Kyberturvallisuuskeskuksen sivuilta.

Teknologiajulkaisu Zdnetin mukaan Microsoft ryhtyi tiistaina toimenpiteisiin, joilla poistettiin käytöstä hyökkääjien haittaohjelman ohjailemiseen käytetty verkko-osoite. Tarkoituksena oli varmistaa, ettei hyökkäys voisi jatkua enää missään päin maailmaa tai kenenkään uhrin verkoissa.