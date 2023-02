Suomeen väitetään kohdistuvan kiristyshyökkäyksiä Italian viranomaisen kertoman perusteella. Kyberturvallisuuskeskuksen mukaan tilanne on normaali.

Tuntematon taho alkoi viikonloppuna hyökätä organisaatioita vastaan ympäri maailman. Hyökkääjien tavoitteena oli päästä sisälle kohteiden verkkoihin ja ottaa tietokoneet haltuun kiristämistä varten. Asiasta tiedotti Italian kyberviranomainen, jota uutistoimisto Ansa lainasi (italiaksi).

Jutussa mainittiin Suomi yhtenä hyökkäysten kohdemaana. Kaikkiaan maailmalla on tiettävästi hyökätty onnistuneesti tuhansiin palvelimiin Ranskasta Suomeen ja Kanadasta Yhdysvaltoihin ja Italiaan, missä kymmenien yritysten uskotaan jo kärsineen iskusta.

Aiheesta on uutisoitu myös Suomessa. Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus ei ole kuitenkaan havainnut mitään poikkeuksellista toimintaa nimenomaan Suomea vastaan.

Kyse on ohjelmistoyhtiö VMwaren tuotteiden haavoittuvuuksista, jotka korjattiin jo melkein kaksi vuotta sitten. Hyökkäykset kohdistuvat palvelimiin, joita ei ole vieläkään paikattu.

– Tämä vaikuttaa pitkälti automatisoidulta kampanjalta, jossa on opportunistisesti hyökätty kohteisiin. Näitä palvelimia sijaitsee myös Suomessa. Eli niitä on ylläpidetty Suomessa, mutta ne eivät välttämättä liity mihinkään suomalaisiin organisaatioihin, Kyberturvallisuuskeskuksen tietoturva-asiantuntija Samuli Könönen kertoo.

Toisin sanoen hyökkääjät etsivät automatisoidusti mitä tahansa haavoittuvia kohteita, olivat ne missä päin maailmaa tahansa. Viranomaisella ei ole havaintoja siitä, että Suomi olisi mitenkään erityisesti kohteena.

Kyberturvallisuuskeskuksen mukaan totta kuitenkin on, että haavoittuvuutta käytetään aktiivisesti hyväksi, ja Euroopassa on murrettu tuhansia palvelimia. Niihin on asennettu kiristyshaittaohjelmia, ja mukana on myös suomalaisia palvelimia.

Kyberturvallisuuskeskus kartoittaa vielä tilannetta Suomessa. Tiedossa on yksittäisiä hyökkäyksiä, mutta merkittävässä määrin sellaisia ei ole havaittu.

– Valtaosa kampanjan kohteista ei ole Suomessa, Könönen sanoo.

Könönen huomauttaa, että suomalaiset organisaatiot saattavat yhtä lailla ylläpitää palvelimiaan ulkomailla. Hyökkäykset sellaisiin kohteisiin voivat heijastua Suomeenkin.

Itse kampanjassa ei ole Könösen mukaan mitään erityislaatuista, sillä vastaavia nähdään jatkuvasti. Seuraukset uhreille voivat kuitenkin olla ikäviä: Uhria voidaan kiristää panttaamalla tältä pääsy liiketoiminnan kannalta keskeisiin tietoihin. Tai tätä voidaan jopa uhata tietojen julkaisemisella, jos lunnaita ei makseta.

Mikäli kohteena on yhteiskunnallisesti kriittisiä toimijoita, kuten sähköyhtiöt tai terveydenhoito, voivat vaikutukset ulottua tavallisiin kansalaisiinkin. Tällaiset hyökkäykset ovat kuitenkin harvinaisia etenkin Suomessa.

– Saman haavoittuvuuden hyödyntämistä nähtiin myös viime vuonna, mutta selvästi tänä viikonloppuna joku aktivoi laajemman kampanjan, Könönen taustoittaa.

Jo kaksi vuotta sitten Kyberturvallisuuskeskus korosti päivittämisen pikaista tarvetta, etenkin jos VMwarea käyttävä palvelu on saavutettavissa avoimesta internetistä. Nyt keskus korostaa, että haavoittuvan palvelimen voi jo olettaa olevan murrettu.

Haavoittuvuutta käytetään aktiivisesti hyväksi tietomurroissa. VMWare ESXi -ohjelmisto on syytä päivittää heti tai huolehtia siitä, ettei haavoittuva palvelu ole saavutettavissa internetistä. Kampanjan laajuuden vuoksi päivittämättömien palvelinten voi olettaa olevan murrettu.

Italiassa on kerrottu internet-operaattori TIMin kärsineen ongelmista, joiden seurauksena miljoonat ihmiset jäivät tilapäisesti vaille nettiä, ja pankkiautomaatit reistailivat. Sekä yhtiö että poliisi ovat kuitenkin kiistäneet näiden häiriöiden yhteyden kyberhyökkäyksiin.