Verkkovakoilulta voi suojautua - APT10-ryhmästä uusi raportti

Hiljattain julkaistu PwC:n ja BAE Systemsin raportti APT10-toimijan kybervakoilukampanjasta sisältää myös Suomea koskevia havaintotietoja. Raportin mukaan APT10-toimijaan liitettyä toimintaa on havaittu Euroopassa ainakin pohjoismaissa sekä muissa kehittyneissä teollisuusmaissa kuten Yhdysvalloissa, Australiassa ja Japanissa. PwC ja BAE Systems ovat antaneet raportissa kuvatulle kampanjalle nimen "Cloud Hopper". APT10 ei ole uusi toimija kybervakoilun saralla - Suomessa on tehty havaintoja ryhmän toiminnasta jo aiemminkin.

Kampanjan vakoilutoiminta on keskittynyt pääasiassa Japaniin, mutta myös muissa raportissa mainituissa maissa on tehty havaintoja liittyen raportissa kuvattuun kampanjaan. Raportissa arvioidaan, että APT10-toimija ja Cloud Hopper-kampanja olisi osa Kiinan valtiollista tiedustelutoimintaa.

Cloud Hopper-kampanjan kohteeksi on valikoitu julkishallinnon, teollisuuden ja alkutuotannon organisaatioita, ja sen tavoitteeksi epäillään ensisijaisesti yrityssalaisuuksien sekä muun luottamuksellisen tuotekehitys- ja tutkimustiedon anastamista Kiinan talouden kasvattamisen tueksi.

Cloud Hopper-kampanjan hyökkäykset ovat keskittyneet ICT-palveluntarjoajien järjestelmiin. Raportin mukaan APT10-ryhmä on käyttänyt hyväkseen ICT-palveluntarjoajien laajaa ja luottamuksellista pääsyä tiedustelu-operaation kohteena olevien asiakasorganisaatioiden verkkoihin. Asiakasjärjestelmistä haltuunsaadun tiedon anastamiseen on käytetty palveluntarjoajien infrastruktuuria, joka vaikeuttaa tapahtumien havaitsemista liikenteen maastoutuessa tavanomaisen ylläpitoliikenteen sekaan.

Tyypillisesti palveluntarjoajien pääsy asiakasverkkoihin tapahtuu ylläpitäjäoikeuksin, joten käytetty hyökkäysmenetelmä on antanut hyökkääjille hyvin laajat mahdollisuudet toimia tiedustelun kohteena olevissa järjestelmissä. Verkon suunnittelussa tulisikin pyrkiä syvään suojautumiseen siten, ettei luotetuillakaan tahoilla ole pääsyä sellaisiin verkon osiin tai palveluihin, joihin pääsylle ei tosiasiassa ole tarvetta.

Hyökkäykset mahdollista torjua

Kampanjan hyökkäykset ovat tavanomaisesti alkaneet kohdennetulla sähköpostilla, joka on sisältänyt haitallisen liitetiedoston. Liitetiedoston sisältämän haittaohjelman avulla organisaation verkkoon on saatu pysyvä pääsy. Kampanjan erityispiirteisiin kuuluu myös todellisia organisaatioita muistuttavien domain-nimien rekisteröinti ja käyttäminen komentopalvelinliikenteessä. Tämä vaikeuttaa hyökkääjien toimien tunnistamista, sillä aidon oloisia domain-tunnuksia on vaikea erottaa aidoista tunnuksista.

Huolellisesta ja hyvin resursoidusta hyökkääjästä huolimatta hyökkäyksessä käytetyt keinot ovat suhteellisen tavanomaisia, ja niiden torjuntaan pätevät samat keinot kuin muidenkin haittaohjelmatartuntojen torjuntaan. Erityisesti Microsoft Office-dokumenttien mukana saapuvat haittaohjelmat ovat olleet organisaatioiden ja kansalaisten riesana viime aikoina, joten hiemankaan epäilyttäviin liitetiedostoihin on syytä suhtautua varauksella. Epäilyttävän liitetiedoston kohdalla on aiheellista olla yhteydessä sen väitettyyn lähettäjään jotakin muuta reittiä pitkin ja varmistaa liitteen aitous. Lisätietoja haittaohjelmien torjunnasta on saatavilla Viestintäviraston julkaisusta Haittaohjelmien toimintaperiaatteet, tarttuminen ja niiltä suojautuminen .

Kohdistettujen hyökkäysten uhka on syytä otta vakavasti

Cloud Hopper-kampanja on hyvä esimerkki nykyaikaisesta kohdistetusta hyökkäyksestä, jossa hyvin organisoitu ja rahoitettu toimija pyrkii järjestelmällisesti anastamaan tietoa uhriorganisaatioilta käyttämällä hyväkseen haittaohjelmien ja sosiaalisen vaikuttamisen keinoja. Kohdistettujen hyökkäyksien havainnointi ja torjunta on Viestintäviraston Kyberturvallisuuskeskuksen keskeisiä tehtäviä.

Viestintävirasto pyrkii tunnistamaan ja torjumaan Suomen valtionhallintoon sekä huoltovarmuuskriittisin organisaatioihin kohdistuvaa kohdistettujen hyökkäysten uhkaa mm. aktiivisen kansallisen ja kansainvälisen yhteistyön, HAVARO-järjestelmän ja tietoturvapäivystyksen avulla, sekä jakamalla ajantasaisia tunnistetietoja havaituista haittaohjelmakampanjoista niiden mahdollisille kohteille.


Päivityshistoria

Asiasanat: Internet , Tietoturva , CERT , Haittaohjelma , Huijaus , Kyberrikollisuus , Kyberturvallisuus , NCSC-FI , Tietomurto , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248