Background Print only logo
Cert logo
på svenska | in English
www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

Kyberturvallisuuskeskus

PL 313
00181 Helsinki

Mediayhteydenotot puhelimitse:
0295 390 248 (pvm/mpm)

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puhelinvaihde: 0295 390 100 (pvm/mpm)

Tarkat yhteystiedot

Tietoa evästeistä

Kyberturvallisuuskeskus Facebookissa

Etusivu > Tietoturva nyt! > 2011 > Elokuu > Kohdistetut hyökkäykset aiheuttavat merkittäviä vahinkoja

Tietoturva nyt!

5.8.2011

Kohdistetut hyökkäykset aiheuttavat merkittäviä vahinkoja

Kohdistetut hyökkäykset ovat viime aikoina nousseet tasaisin väliajoin julkisuuteen. Tuorein uutisointi liittyy McAfeen julkaisemiin tietoihin Shady RAT (Remote Access Tool) -operaatiosta, joka paljasti yli 70 kohdistettua hyökkäystä. Hyökkäysten kohteina oli yrityksiä, valtioita ja organisaatioita.


Mitä kohdistetulla hyökkäyksellä tarkoitetaan?

Kohdistettu hyökkäys on tiettyyn toimijaan tai toimijajoukkoon suunnattu kohteen erityispiirteet huomioiva tietoturvaloukkaus. Hyökkääjä valikoi kohteensa tarkasti tämän hallussa olevien tietoaineistojen tai muiden vastaavien seikkojen perusteella. Hyökkääjän motiivina voi olla esimerkiksi yritysten tai valtioiden arkaluontoisten tietojen varastaminen. Kohteiden valikoimisesta johtuen hyökkäyksestä voi aiheutua merkittäviä vahinkoja.

Kohdistettuja hyökkäyksiä on viime vuosina tullut ilmi tasaisin väliajoin.

Miten kohdistettu hyökkäys tehdään?

Kohdistettu hyökkäys käynnistyy usein lähettämällä kohteelle räätälöity sähköpostiviesti. Sähköpostissa on haitallista koodia sisältävä liitetiedosto tai linkki haittaohjelmaa levittävälle web-sivustolle. Jos käyttäjä avaa liitetiedoton tai seuraa linkkiä, voi haittaohjelma saastuttaa hänen koneensa. Asennuttuaan haittaohjelma ottaa yhteyden hyökkääjän ylläpitämään haittaohjelman ohjaamiseen käytettävään komentopalvelimeen. Tämän jälkeen hyökkääjällä on käytännössä suora tietoliikenneyhteys hyökkäyksen kohteena olevaan tietokoneeseen. Hyökkääjä voi kerätä tietoja kohteen tietokoneelta ja mahdollisesti laajentaa hyökkäystä kohteen sisäverkon muihin osiin. Joissain tapauksissa hyökkäyksiä on yritetty ulottaa julkisesta verkosta irrallisiin tietokoneisiin saastuttamalla tiedonsiirtoon käytettyjä USB-tikkuja.

Haittaohjelmat hyödyntävät usein tunnettuja ohjelmistohaavoittuvuuksia yleisesti käytössä olevissa ohjelmistoissa, kuten Adobe Readerissa tai Java-virtuaalikoneessa. Hyökkäyksiä tehdään joskus myös hyödyntämällä niin kutsuttuja nollapäivähaavoittuvuuksia, eli ennestään tuntemattomia ohjelmistohaavoittuvuuksia. Tämäntyyppiset hyökkäykset vaativat hyökkääjältä yleensä huomattavasti enemmän osaamista kuin tunnettujen ohjelmistohaavoittuvuuksien hyödyntäminen.

Miksi joku avaa hyökkääjän lähettämiä liitetiedostoja ja linkkejä?

Hyökkääjä pyrkii räätälöimään sähköpostiviestin sellaiseksi, että vastaanottaja pitää viestiä mahdollisimman luotettavana ja päivittäiseen toimintaan liittyvänä. Usein sähköpostin lähettäjätiedot on väärennetty siten, että viesti näyttäisi tulevan kohteen kollegalta tai muulta luotetulta osapuolelta. Joissakin hyökkäyksissä on myös hyödynnetty luotetuilta tahoilta kaapattuja sähköpostitilejä. Hyökkääjä voi myös yrittää huijata vastaanottaja avaamaan liite lähettämällä ensin vaarattoman tiedoston liitteenä ja heti perään "korjatun", esim. haittaohjelmaa sisältävän PDF-tiedoston.

Miten kohdistetulta hyökkäykseltä voidaan suojautua?

Kohdistetuilta hyökkäyksiltä suojautumiseen ei välttämättä tarvita monimutkaisia teknisiä ratkaisuja. Tietoturvan perusasioiden huolellinen toteuttaminen riittää, ja monissa ympäristöissä tarvittavat tekniset puitteet ovatkin jo olemassa. Esimerkiksi lisätietoa kohdassa viitatuilla Australian puolustushallinnon keskeisten suojauskäytäntöjen huomioimisella voidaan saavuttaa hyviä tuloksia.

Tietoturvallisen toiminnan perusasioihin kuuluvat muun muassa käyttäjien tunnusten oikeustason rajoittaminen, ohjelmistopäivitykset, ajantasainen virustorjuntaohjelmisto ja turvallinen tietoliikenneympäristö toimivine palomuureineen ja lokituksineen. Käytössä olevat ohjelmistot kannattaa pitää päivitettyinä, koska vanhoissa ohjelmistoversioissa saattaa olla haavoittuvuuksia joita hyökkääjät voivat hyödyntää. Myös käyttöjärjestelmien päivitykset kannattaa asentaa toimittajan ohjeiden mukaisesti. Tietoturvalliseen ympäristöön kuuluu myös ajantasainen virustorjuntaohjelma, joka osaa havaita ja tarvittaessa poistaa tunnettuja haitallisia ohjelmia järjestelmästä.

Tietoliikenneverkon suunnittelussa kannattaa huomioida kerroksellisen suojauksen periaatteet ja tarvittaessa jakaa verkko pienempiin, palomuureilla suojattaviin osiin. Järjestelmien toimivuuden seuraaminen ja mahdollisten hälytysten käsittely kuuluvat myös hyviin tietoturvatapoihin. Tietoliikennejärjestelmät tuottavat yleensä lokitietoja, jotka kertovat laitteiden toimintatilasta ja ongelmatilanteista. Lisäksi verkon aktiivilaitteet, kuten palomuurit, kytkimet ja langattomat tukiasemat voivat tuottaa tietoa niiden läpi kulkevasta tietoliikenteestä. Usein lokeista on mahdollista nähdä onko järjestelmissä tai verkossa normaalista poikkeavaa toimintaa. Tietoliikennemäärien yllättävä kasvu tai suuri sisäverkosta ulospäin kulkeva tietoliikennemäärä voivat olla merkkejä hyökkäyksestä.

Hyökkäyksen vahinkojen rajoittaminen

Kohdistetusta hyökkäyksen mahdollisimman aikainen havaitseminen on keskeistä hyökkäyksestä aiheutuvien vahinkojen rajoittamiseksi. Havaitseminen voi tapahtua esimerkiksi lokitietoja tai järjestelmien poikkeavaa toimintaa seuraamalla. Havaitsemisen jälkeen on syytä pyrkiä estämään uusien tietojen menettäminen esimerkiksi rajoittamalla saastuneen päätelaitteen toimintaa ja mahdollisesti myös tietojärjestelmistä komentopalvelimelle suuntautuvaa verkkoliikennettä.

CERT-FI auttaa tarvittaessa asian selvittämisessä. CERT-FI:llä on julkisuuslain mukainen vaitiolovelvollisuus tapaukseen liittyvistä tiedoista, eikä tietoja luovuteta edelleen ilman hyökkäyksen kohteeksi joutuneen toimijan suostumusta.

Lisätietoa

Australian puolustushallinnon suojauskäytäntöjä:
http://www.dsd.gov.au/infosec/top-mitigations/top35mitigationstrategies-list.htm

Tietoja eri operaatioista
Operation shady RAT http://www.mcafee.com/us/resources/white-papers/wp-operation-shady-rat.pdf
Aurora - http://www.mcafee.com/us/resources/white-papers/wp-protecting-critical-assets.pdf
Ghostnet - http://www.scribd.com/doc/13731776/Tracking-GhostNet-Investigating-a-Cyber-Espionage-Network
Shadows in the cloud - http://www.nartv.org/mirror/shadows-in-the-cloud.pdf
Nightdragon - http://www.mcafee.com/us/resources/white-papers/wp-global-energy-cyberattacks-night-dragon.pdf

Sivua päivitetty 05.08.2011   Tulostusversio Tulostusversio