Verkkohyökkäys eurooppalaisiin ulkoministeriöihin – tietoturvatutkija epäilee Venäjää

CosmicDuke-haittaohjelmistolla on hyökätty ainakin kahden Euroopan maan ulkoministeriöitä vastaan. Samalla ohjelmalla on urkittu myös Venäjän alamaailmaa. Hyökkäyksiä tutkinut F-Securen vanhempi tietoturvatutkija Timo Hirvonen arvioi, että hyökkäysten taustalla on todennäköisesti Venäjä.

Ulkomaat
kartta
F-Securen mukaan CosmicDukella on tehty hyökkäyksiä Venäjän alamaailmaa sekä vähintään kahta eurooppalaista ulkoministeriötä vastaan. Tietoturvayritys Kaspersky on raportoinut hyökkäyksistä ainakin kymmeneen maahan. Stina Tuominen / Yle

Vuoden 2013 alussa MiniDukeksi nimetyllä haittaohjelmalla hyökättiin eurooppalaisia virastoja ja Natoa vastaan. Tietoturvatutkijat ovat selvittäneet ohjelman toiminnan tarkasti, mutta varmaa tietoa hyökkäyksen tekijästä ei ole.

F-Securen tietoturvatutkija Timo Hirvonen tutki MiniDukella tehtyjä hyökkäyksiä ja teki mielenkiintoisen havainnon: Natoa vastaan käytetyn hyökkäysohjelman koodia oli yhdistetty toiseen tietoja varastavaan ohjelmaan Cosmuun, ja tällä uudella ohjelmalla oli tehty hyökkäyksiä. Hirvonen nimesi uuden ohjelman komeasti CosmicDukeksi.

– CosmicDuke varastaa käyttäjän tietoja, kuten salasanoja, dokumentteja ja salauksessa käytettyjä sertifikaatteja. Se voi myös varastaa leikepöydän sisältöä ja tehdä kuvakaappauksia käyttäjän ruudulta, Hirvonen kuvaa.

Haittaohjelmalla tehtyjä hyökkäyksiä on havaittu ainakin 14 maasta. Tietoja varastava ohjelma on käynnistynyt, kun käyttäjä on avannut sähköpostin liitetiedoston. Houkuttimena on ollut esimerkiksi kuva hormonitilauksesta, alastomasta naisesta tai jonkin maksusuorituksen kuitista.

– Yleensä tällaisia dokumentteja ei näy silloin, kun kyse on jostain todella merkittävästä uhrista. Tämä viittasi ennemminkin siihen, että uhrit voisivat olla rikollisia, Timo Hirvonen sanoo.

F-Securen lisäksi tietoturvayritys Kaspersky on ollut hyökkäyssarjan jäljillä. Myös Kaspersky raportoi (siirryt toiseen palveluun), että Venäjällä CosmicDukella on urkittu salakuljetukseen ja laittomien hormonivalmisteiden kauppaan kytkeytyneiden ihmisten tietokoneita.

Jokin taho on ilmeisesti halunnut hankkia tietoja Venäjän alamaailman toiminnasta.

Meillä on varmaa tietoa siitä, että vähintään kahta eri ulkoministeriötä vastaan on ainakin yritetty hyökätä CosmicDukella.

Syöttinä EU:n pakotteita ja Ukrainan kriisiä koskevia dokumentteja

Mielenkiintoiseksi hyökkäyskampanjan tekee se, että samalla CosmicDuke-ohjelmistolla on hyökätty myös valtiollisia kohteita, diplomaatiaan liittyviä organisaatioita, teleoperaattoreita ja energiasektorin yrityksiä vastaan. Hyökkäyksiä on ollut mm. Yhdysvalloissa, Georgiassa, Isossa-Britanniassa, Kazakstanissa, Liettuassa ja Ukrainassa.

Tämän tyyppisiä kohteita vastaan tehdyissä hyökkäyksissä syöttinä on ollut esimerkiksi EU:n pakotteita ja Ukrainan kriisiä koskevia tuoreita dokumentteja (siirryt toiseen palveluun). F-Securen Hirvonen toteaa, että mukana on merkittäviä kohteita.

– Meillä on varmaa tietoa siitä, että vähintään kahta eri ulkoministeriötä vastaan on ainakin yritetty hyökätä CosmicDukella.

Hirvonen toteaa, että F-Securella ei ole tietoa siitä, että hyökkäystä olisi kohdistettu Suomeen.

F-Securen mukaan alamaailman toimintaan liittyvät verkkohyökkäykset olivat Venäjän sisältä, kun taas valtiolliset kohteet ovat olleet Venäjän ulkopuolella. Tämä antaa Hirvosen mukaan vahvoja viitteitä hyökkäyksen tekijästä.

– Jos hyökkääjä käyttää samaa ohjelmaa kahteen eri tarkoitukseen, niin yksinkertaisesti vaihtoehdot pois sulkemalla jäljelle ei oikeastaan jää kuin Venäjä.

– Ilmeisesti Venäjällä on organisaatioita, joiden vastuulle kuuluu toisaalta huumerikollisuuden selvittäminen ja toisaalta vieraiden valtioiden tiedustelu, hän pohtii.

Tieto hyökkäyksistä on levinnyt tietoturva-ammattilaisten yhteisössä, ja tietoturvaohjelmistoja on päivitetty tunnistamaan CosmicDuke-hyökkäykset.