TigerTeam - suomalainen tietoturvablogi

Lähes 1300 valtionhallinnon ja suurlähetystön tietokonetta on vakoiltu yli 100 maassa, kertoo laaja kanadalaistutkimus.

Edelleen koossa olevan vakoiluverkon toiminnasta kertoo kanadalaisen Toronton yliopiston alaisen Munk-tutkimuskeskuksen viikonloppuna julkaisema raportti (53-sivuinen iPaper-versio). Verkon avulla on tunkeuduttu lähes 1300 tietokoneeseen kaikkiaan 103 maassa.

Vakoiluverkko tunnetaan siinä käytetyn Gh0st RAT -haittaohjelman mukaan GhostNet-nimellä ja sen kohteina ovat olleet Information Warfare Monitor -projektin alaisen tutkimuksen mukaan mm. suurlähetystöt Intiassa, Maltalla, Pohjois-Koreassa, Saksassa ja Taiwanissa. Ulkoministeriöiden koneita kohteina oli puolestaan esimerkiksi Iranissa, Latviassa ja Filippiineillä. Myös NATO:n päämajalle kuuluvaa tietokonetta on vakoiltu.

Suomea tapaus koskee raportin mukaan Helsingissä sijaitsevien Romanian ja Portugalin suurlähetystöjen osalta. Tutkimustyö kesti yhteensä kymmenen kuukautta ja se sai alkunsa Tiibetin pakolaishallituksen keskustoimiston viime kesäisestä toimeksiannosta. Tutkimustyöhön osallistuivat myös brittiläisen Cambridgen yliopiston tutkijat Shishir Nagaraja ja Ross Anderson. Kaksikko käyttää hyökkäyksistä nimitystä sosiaalisella haittaohjelmalla toteutetut hyökkäykset (social-malware attacks).

Myös web-kameralla vakoiltu

Tietoja on vakoiltu takaporttitroijalaisten lisäksi myös etäkäyttämällä kohdetietokoneiden web-kameraa ja mikrofonia. Vakoilijat ovat siis pystyneet seuraamaan myös keskusteluja huoneissa, joissa vakoiltavat tietokoneet ovat sijainneet. Haltuun saadulta tietokoneelta on voitu etsiä tiettyä tiedostoa, joka on sitten lähetetty keräilypalvelimille.

Sekä kohdistettujen troijalaishyökkäysten että GhostNetille ominaisten whaling-tapausten onnistumisprosentti on yleensä hyvin suuri. Whaling on phishing-tietokalastelun alalaji, jossa kohteiksi valitaan valaanpyytämisestä johdetun termin mukaan organisaatioiden johtohenkilöitä.

Teknisesti operaatio on käynnistetty hienostuneesti väärennetyillä sähköpostiviesteillä, joiden liitetiedostona on ollut Microsoft Office -muotoinen tai pdf-muotoinen haittaohjelman sisältävä dokumentti. Tekniikka on sama, jolla suomalaisorganisaatioihin on hyökätty viime vuosina em. kohdistetuilla hyökkäyksillä. Raportin käsittelemissä tapauksissa myös sähköpostipalvelimia on saatu haltuun, joten hyökkäyksien valmistelijoilla on ollut normaalia paremmat edelletykset luotettavilta näyttävien sähköpostiviestien laatimiseen.

Vakoilun onnistumisesta raportti kertoo esimerkkinä tapauksen, jossa Dalai Laman hallinto oli lähettänyt ulkomaalaiselle diplomaatille tapaamispyynnön. Ilmeisesti viestinnän nähnyt Kiinan hallitus otti puhelimitse diplomaattiin yhteyttä pyrkiäkseen perumaan kyseisen tapaamisen. Keräily- ja komentopalvelimien on havaittu sijaitsevan pääosin Kiinassa, mutta Kiinan valtion yhteyksistä vakoiluun ei ole näyttöä.

Kuvatulla tekniikalla toimivat hyökkäykset tulivat laajempaan julkisuuteen loppukeväällä 2007, jolloin Microsoft Word -nollapäivähaavoittuvuutta CVE-2006-2492 käytettiin kohdistetuissa hyökkäyksissä. GhostNet-raportti on laatuaan ensimmäinen, joka kertoo toiminnan maantieteellisestä kattavuudesta.