Stuxnetista havaintoja myös suomalaisissa verkoissa

Stuxnet on teollisuusautomaatiojärjestelmiä kohtaan suunnattu haittaohjelma, joka pystyy muuttamaan teollisuusprosessin toimintaa. Myös Suomessa on havaintoja Stuxnetin saastuttamista tietokoneista.

Kesäkuussa 2010 tehtiin ensimmäiset havainnot uuden tyyppisestä, erityisesti teollisuusautomaatiojärjestelmiin kohdistetusta haittaohjelmasta nimeltä Stuxnet. Stuxnetin on yleisesti luonnehdittu olevan teknisesti edistynein haittaohjelma, mitä tähän mennessä on havaittu. Poikkeuksellinen ominaisuus on se, että Stuxnet pystyy vaikuttamaan prosessinohjausjärjestelmän ohjelmoitavien logiikkaohjainten toimintaan. Tätä kautta haittaohjelma kykenee häiritsemään esimerkiksi sähkövoimalan toimintaa.

Haittaohjelmassa hyväksikäytettiin useita korjaamattomia haavoittuvuuksia

Stuxnetin kehittyneisyyttä kuvaa hyvin se, että haittaohjelman levittämisessä on käytetty hyväksi kahta korjaamatonta, niin sanottua nollapäivähaavoittuvuutta. Lisäksi haittaohjelmassa on kaksi muuta korjaamatonta haavoittuvuutta, joiden avulla hyökkääjä saa haltuunsa ylläpitäjän käyttövaltuudet. Jo yhden korjaamattoman haavoittuvuuden hyväksikäyttö olisi ollut merkki teknisestä osaamisesta, neljä tälläistä haavoittuvuutta samassa ohjelmassa on ennenkuulumatonta.

Microsoft on korjannut toisen leviämisen mahdollistavan haavoittuvuuden elokuussa ylimääräisellä korjauspäivityksellä ja toisen syyskuun päivityspaketin yhteydessä. Käyttövaltuuksien nostamisen mahdollistavia haavoittuvuuksia ei ole vielä korjattu.

Muokkaa prossessin toimintaa

Haittaohjelmat eivät ole aikaisemmin kyenneet vaikuttamaan fyysisen maailman prosesseihin, mutta nyt tähän on tullut muutos. Stuxnet korvaa osan prosessin logiikkaohjaimen komennoista omillaan ja siten vaikuttaa varsinaisen teollisuusprosessin toimintaan. Kaikki havainnot viittaavat siihen, että Stuxnet olisi kohdistettu jotakin tiettyä teollisuuslaitosta vastaan. Haittaohjelma ei näyttäisi aiheuttavan vahinkoa muissa kuin kohdejärjestelmässään.

Suomessa seitsemän havaintoa

CERT-FI on saanut tietoa seitsemästä suomalaisesta tartunnasta tai tartuntayrityksestä. Kolme tapauksista on vahvistettuja saastumistapauksia, neljässä tapauksessa virustorjuntaohjelmisto on estänyt saastumisen. Valtaosa tapauksista näyttäisi olevan yksityiskäyttäjien työasemia. Saamiemme tietojen mukaan Stuxnet ei ole päässyt vaikuttamaan suomalaisen teollisuusautomaation toimintaan.

Paljon tutkittu malliesimerkki

Viime kuukausien aikana Stuxnetia on tutkittu useiden tahojen toimesta hyvin tarkkaan ja tutkimus tulee jatkumaan vielä pitkään. Virustorjuntayhtiöt Symantec ja ESET ovat molemmat julkaisseet omat tutkimuksensa Stuxnetin teknisestä toiminnasta. Koska Stuxnet on teknisesti ansiokkaasti tehty ohjelma voidaan epäillä, että sitä tullaan käyttämään malliesimerkkinä vastaavien haittaohjelmien kehittelyssä. Stuxnet on esitellyt uudenlaisen haittaohjelmien toimintamallin ja tulemme todennäköisesti näkemään vastaavantyyppisiä tapauksia myös tulevaisuudessa.

Asiasanat: Tietoturva , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248