[TEEMA] Haittaohjelma saattaa varastaa tietoja tai louhia virtuaalivaluuttaa

Haittaohjelmien levittäjät eivät ole enää omia kykyjään testaavia hakkereita. Kyse on paremminkin verkkorikollisista, jotka tavoittelevat käyttäjän tietoja tai tietokoneen resursseja erilaisten rikoshyötyjen saavuttamiseksi.

Haittaohjelmien ohjelmointia, levitystä ja hyödyntämistä harjoitetaan liiketoiminnan tavoin, ja siitä on muodostunut yksi rikollisuuden muoto. Tavoitteena on pääsääntöisesti joko varastaa käyttäjän tietoja tai hyödyntää tietokoneen resursseja erilaisiin laittomiin tarkoituksiin.

Haittaohjelmia, niiden moduuleja tai jopa valmiita bottiverkkoja voi ostaa esimerkiksi tor-verkon alaisista mustista pörsseistä. Näin verkkorikollisten ei ole välttämätöntä luoda hyödyntämiään haittaohjelmia itse, sillä heille riittää valmiin haittaohjelman räätälöinti omaan käyttötarkoitukseen sopivaksi.

Laittomilla sivustoilla myydään myös haittaohjelmien tuottamia "palveluita", joita voivat olla esimerkiksi palvelunestohyökkäykset tiettyyn kohteeseen. Tällöin haittaohjelman ohjaaminen on kokonaan toisen osapuolen varassa.

Lähes kaikki nykyaikaiset haittaohjelmat on toteutettu siten, että rikolliset voivat ohjata niiden toimintaa keskitetysti komentopalvelinten avulla. Haittaohjelman avulla etäohjattavaa tietokonetta kutsutaan usein botiksi, usean botin muodostamaa verkkoa taas bottiverkoksi. Bottiverkon hallitsija voi käskeä saastuttamansa tietokoneet esimerkiksi hyökkäämään samanaikaisesti tiettyyn verkko-osoitteeseen tai louhimaan virtuaalivaluuttaa.


Haittaohjelmien yleisimmät toimintatarkoitukset


Haittaohjelmien toimintatarkoituksen perusteella tehtävä lokerointi ei ole täysin yksiselitteinen, koska usein sama haittaohjelma sisältää useita eri toiminnallisuuksia. Esimerkiksi Autoreporter-tietojen mukaan Suomen tällä hetkellä yleisin haittaohjelma Zeroaccess toimii lataajana, virtuaalivaluutan louhijana ja click fraud -haittaohjelmana. Kehittyneemmät haittaohjelmat voivat lisäksi ladata komentopalvelimelta uusia moduuleja, jotka laajentavat niiden toimintatarkoitusta entisestään. Alla olevista kuvauksista saa kuitenkin hyvän yleiskäsityksen tyypillisimpien haittaohjelmien toimintatarkoituksesta.

Lataaja (Haittaohjelma, joka lataa itse päähaittaohjelman)

  • Päästyään tietokoneelle lataaja pyrkii joko asentamaan mukana olevan haittaohjelman tai lataamaan verkon yli jonkin toisen haittaohjelman koneelle. Yleensä hyökkääjä pystyy etäohjaamaan lataajan toimintaa. Hyökkääjä voi lataajan avulla asentaa esimerkiksi vakoilu- tai kiristysohjelman.
  • Muita nimiä:
  • Esimerkkejä: Dalexis, Zeroaccess, Sality, Dofoil, Virut

Exploit kit (Verkkosivuston vierailijoita saastuttava haittaohjelma)

  • Niin kutsutut Exploit kitit, eli haittaohjelmanjakelualustat, vaanivat nettisivuilla vierailevia käyttäjiä. Ne selvittävät hetkessä kävijän tietokoneen haavoittuvuudet ja asentavat haittaohjelmia selailijan huomaamatta. Exploit kit ei siis monista itseään käyttäjän tietokoneeseen, vaan tartuttaa sinne jonkin toisen haittaohjelman, esimerkiksi lataajan.
  • Kävijät ohjataan exploit kitin ääreen esimerkiksi murtamalla jokin luotettava verkkosivu, johon lisätään uudelleenohjaus. Tietomurron ohella toinen tapa ohjata uhreja exploit kit -sivustoon ovat haitallisen linkin sisältävät mainokset.
  • Exploit kitin kautta tapahtuva tartunta edellyttää aina jotakin ohjelmistohaavoittuvuutta, joten selaimen ja kaikkien sen liitännäisten pitäminen ajantasalla on äärimmäisen tärkeää!
  • Teknisesti Exploit kitit ovat verkkosivuja, jotka Javascriptin avulla tarkistavat tietokoneen selaimen sekä sen lisäosat ja sitten tarjoavat kävijälle tietyn ohjelmiston haavoittuvuutta hyödyntävän tiedoston, kuten esimerkiksi Flash, Java tai Silverlight-tiedoston tai suoraan selaimen haavoittuvuutta hyödyntävän Javascriptin. Esimerkiksi vanhentuneella Adobe Flash tai Java –liitännäisellä varustettu selain on Exploit kitille helppo kohde.
  • Muita nimiä: Haittaohjelmanjakelualusta, hyväksikäyttömekanismi, hyväksikäyttömenetelmä
  • Esimerkkejä: Angler EK, Nuclear, Sweet Orange, RIG EK, Blackhole

Takaoven asentava haittaohjelma

  • Takaovi on haittaohjelma, jonka avulla tunkeutuja voi saada pääsyn tietokoneeseen ja sen sisältämiin tietoihin, jolloin hyökkääjä voi kopioida, muokata tai tuhota niitä. Takaoven avulla voi usein myös ottaa kuvaruutukaappauksia tai kuvia tietokoneen kameralla.
  • Takaovi on usein osa muuta haittaohjelmaa, kuten lataajaa tai tietoja varastavaa haittaohjelmaa.
  • Muita nimiä: englanniksi remote administration tool (RAT) tai backdoor
  • Esimerkkejä: Blackshades, Bifrost

Tietoja varastava haittaohjelma

  • Tietoja varastava haittaohjelma kerää tietoja koneelta käyttäjän tietämättä. Haittaohjelma voi kerätä mm. tunnuksia ja salasanoja eri palveluihin tai luottokortin numeron. Se saattaa myös tallentaa käyttäjän näppäinpainalluksia.
  • Haittaohjelma saattaa kerätä tietoja vierailluista verkkosivuista tai muusta käyttäjän aktiviteetista, ja välittää niitä eteenpäin mainostajille.
  • Pankkihaittaohjelma on erityisesti verkkopankkitietoihin erikoistunut tietoja varastava haittaohjelma, joka kerää tunnistetietoja käyttäjän kirjautuessa verkkopankin sivuille.
  • Kehittyneemmät pankkihaittaohjelmat voivat myös tehdä välimieshyökkäyksen selaimessa. Tällöin ne muuttavat käyttäjän verkkopankki-istunnon aikana tekemän tilisiirron kohdistumaan haluamalleen tilille. Toteutuksesta riippuen haittaohjelma saattaa muutella selaimessa näkyviä tietoja siten, että käyttäjän mielestä tilisiirto näyttää menevän oikealle tilille, vaikka todellisuudessa pankille lähetetään väärä tilinumero. Käyttäjä huomaa väärän tilinumeron vasta tilisiirron jälkeen.
  • Muita nimiä: Pankkihaittaohjelma, vakoiluhaittaohjelma, tietovaras, tietojenkalasteluhaittaohjelma, englanniksi spyware tai stealware, riippuen haittaohjelman toiminnallisuudesta
  • Esimerkkejä: Zeus eli Citadel eri versioineen, Torpig, Tiny banker eli Tinba, KINS.

Roskapostittaja

  • Roskapostia lähettävät useimmiten haittaohjelmalla saastuneet tietokoneet.
  • Esimerkkejä: StealRAT, Pushdo, Pony

Mainoshaittaohjelmat

  • Mainoshaittaohjelmat näyttävät käyttäjälle mainoksia, joita hän ei ehkä haluaisi nähdä. Mainoshaittaohjelman voi saada koneelle esimerkiksi ilmaisten ohjelmistojen kylkiäisenä.
  • Rajanveto tavallisen mainoksilla rahoitetun ilmaisohjelman ja mainoshaittaohjelman välillä on kuitenkin hankalaa. Haittaohjelmaksi voidaan luokitella ainakin esimerkiksi häiritseviä, omiin ikkunoihin aukeavia, pop-up-mainoksia näyttävät ohjelmat sekä käyttäjän tietoja, kuten selaushistoriaa, ilman käyttäjän lupaa keräävät ohjelmat.
  • Muita nimiä: englanniksi adware tarkoittaa sekä tavallista mainoksilla rahoitettua ohjelmaa että mainoshaittaohjelmaa.

Virtuaalivaluuttalouhijat

  • Virtuaalivaluuttalouhijat hyödyntävät uhrin tietokoneen, laajakaistapäätelaitteen, älypuhelimen, tai jonkin muun älylaitteen resursseja virtuaalivaluutan louhintaan. Lukuisista murretuista laitteista koostuva bottiverkko on sen hallitsijalle ilmaista laskentakapasiteettia, jonka avulla voi louhia esimerkiksi Bitcoin-virtuaalivaluuttaa.
  • Muita nimiä: englanniksi esimerkiksi Bitcoin miner
  • Esimerkkejä: ZeroAccess

Click fraud -haittaohjelma

  • Click fraud -haittaohjelma hyödyntää internetmainostamisessa yleistä klikkien lukumäärään perustuvaa mainoksen laskutusta. Klikeillä tarkoitetaan hiiren painallusta verkkosivulla olevan mainosbannerin päällä. Matkimalla aitoa selainkäyttäytymistä, klikkauspetoshaittaohjelma komentaa saastuneita tietokoneita "klikkaamaan" erilaisia mainosbannereita, jotta sivusto, jolla banneri on, saisi enemmän tuottoa mainostajalta.
  • Muita nimiä: klikkauspetoshaittaohjelma
  • Esimerkkejä: ZeroAccess, Miuref

Kiristyshaittaohjelma

  • Kiristyshaittaohjelma on lunnaita vaativa haittaohjelma.
  • Kiristyshaittaohjelmista hankalin tapaus lienee tietokoneen tiedostoja salaava kiristysohjelma. Ohjelma lupaa purkaa salauksen, mikäli käyttäjä maksaa lunnaat. Salattuja tiedostoja ei välttämättä saa lainkaan avattua kotikonstein, eikä lunnaiden maksaminenkaan sitä takaa.
  • Kiristyshaittaohjelman lievempi versio, eli pelotteluohjelma, voi säikäyttää tietokoneen käyttäjän ponnauttamalla ruudulle viestin olemattomasta viruksesta. Samassa yhteydessä ne saattavat tarjota linkkiä valheellisen virustorjuntaohjelmiston ostamiseen, jolla "tartunta" voidaan poistaa.
  • Muita nimiä: pelotteluhaittaohjelma, ransomware, scareware
  • Esimerkkejä: CTB Locker, Cryptolocker

Palvelunestoliikennettä tuottava haittaohjelma

  • Palvelunestoliikennettä tuottava haittaohjelma hyödyntää isäntäkoneen resursseja palvelunestoliikenteen luomisessa. Tartunnan saanut verkkolaite joutuu osaksi bottiverkkoa, joka koostuu lukuisista vastaavista haittaohjelmista ja jota ohjataan keskitetysti. Bottiverkon hallitsija voi määrätä saastuneet verkkolaitteet lähettämään roskaliikennettä tiettyyn verkko-osoitteeseen. Lukuisista saastuneista verkkolaitteista syntyvä liikenne tukkii kohdepalvelimen tai kohdepalvelimen verkkoliittymän, joka näkyy muille asiakkaille toimimattomana tai hitaana palveluna.
  • Palvelunestoliikennettä luova haittaohjelma voi asentua tavallisen tietokoneen lisäksi myös laajakaistapäätelaitteisiin ja muihin verkkoon liitettyihin laitteisiin. Näihin verkkolaitteisiin murtaudutaan tyypillisesti joko arvaamalla niiden ylläpitosalasana tai hyödyntämällä jotakin laitteessa olevaa ohjelmistohaavoittuvuutta.
  • Haittaohjelmalla saastunut laite ei välttämättä haittaa itse laitteen käyttäjää, mutta sen aiheuttama liikenne on vaaraksi verkkopalveluille ja aiheuttaa haittaa muille verkon käyttäjille.
  • Muita nimiä: englanniksi distributed denial of service bot, laittomana "palveluna" myytäessä booter tai stresser
  • Esimerkkejä:XOR.DDoS, Brobot

Kohdistettu haittaohjelma

  • Erityisesti yrityksiä, valtionhallintoa ja muita tärkeää tietoa käsitteleviä organisaatioita vastaan laaditaan erittäin kehittyneitä haittaohjelmia.
  • Kohdistettu haittaohjelma tai sen tartuntatapa on osin räätälöity kohteen mukaan ja se saastuttaa vain halutut kohteet, ei satunnaisia verkon käyttäjiä.
  • Niiden tarkoitus on varastaa, muuttaa tai tuhota esimerkiksi yrityssalaisuuksia, valtionsalaisuuksia tai muuta arkaluontoista tietoa.
  • Kohdistetun hyökkäyksen motiivi saattaa myös olla teollisuuslaitoksen, finanssilaitoksen tai kriittisen infrastruktuurin sabotointi.
  • Kohdistetuissa hyökkäyksissä käytetyt haittaohjelmat saattavat pyrkiä pysymään piiloutuneena uhrin tietokoneella pitkään tartunnan jälkeen tai ne saattavat poistaa itsensä ja peitellä jäljet heti tehtävän suoritettuaan, jotta niitä olisi mahdollisimman hankala huomata.
  • Muita nimiä: englanniksi advanced persistent threat (APT)
  • Esimerkkejä: Snake, Energetic Bear, Sandworm, Regin

Päivityshistoria

Asiasanat: Tietoturva , Haittaohjelma , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248