Punainen varoitus päällä: Tuhansia suomalaismodeemeja kytketty irti verkosta

Mirai-niminen haittaohjelma aiheutti Suomessa suuren hälytyksen marraskuussa. Internet-operaattorit kytkivät verkoista pois tuhansia suomalaisten laitteita. Myös nettiliikenteen suodatus jatkuu yhä.

Haittaohjelmakoodin tutkimista. Kuva ei liity tapaukseen.

16.12.2016 16:21

Mirai-haittaohjelma iski marraskuun lopussa yli 10 000 suomalaiskotiin. Virus tartutti ihmisten internet-yhteyksistä vastaavia modeemeja ja sai monin paikoin nettiyhteydet pätkimään.

Modeemit valjastettiin osaksi verkkokonnien hallitsemaa kaapattujen koneiden bottiverkkoa, joita käytetään tyypillisesti palvelunestohyökkäyksiin.

Haittaohjelmaisku oli poikkeuksellisen voimakas. Viestintäviraston Kyberturvallisuuskeskus antoi haittaohjelmasta korkeimman tason eli punaisen varoituksen. Se on yhä voimassa, vaikka tapahtumista on yli kaksi viikkoa.

Kyberturvallisuuskeskuksen mukaan varoituksen voimassa pitämiselle on edelleen perusteita.

– Punainen varoitus on yhä voimassa, koska Mirain poisto laitteesta vaatii yhä ihmisiltä uudelleenkäynnistystä, ja ihan kaikkiin laitteisiin ei ole ollut tarjolla päivitystä, kyberturvallisuuskeskuksen tietoturva-asiantuntija Jesse Alho kertoo IS Digitodaylle.

Mirai on vakava uhka, jolla on toteutettu vahvoja palvelunestohyökkäyksiä isoja verkkopalveluja vastaan. Siitä on olemassa useita muunnelmia. Tämä kyseinen haittaohjelman versio on Suomessa saatu nyt pysäytettyä, Alho arvioi.

– Noin 15 000 laitetta ehti saastua ja osa niistä on edelleen saastuneita. Mutta ne eivät enää pääse aiheuttamaan merkittävästi haittaa, koska teleyritykset ovat estäneet haittaohjelman leviämisen.

Alho viittaa operaattorien päätökseen poistaa verkoistaan Mirain saastuttamat asiakkaiden laitteet. Hänen mukaansa merkittävä osa mainituista 15 000 modeemista on poistettu verkosta.

Elisasta kerrotaan, että he ovat joutuneet poistamaan verkosta satoja liittymiä. Mitä tulee ilmoituksiin Miraista saastuneista laitteista, niin Elisan mukaan niiden määrä on jo laskenut pahimmasta huipusta.

DNA puolestaan kertoo selvinneensä muutaman kymmenen liittymän estämisellä. Asiakkaat ovat noudattaneet hyvin ohjeita modeemin puhdistamiseksi, kun heihin on otettu yhteyttä. Myös DNA vahvistaa, että huippu on jo nähty tämän Mirain version osalta.

Alhon mukaan on mahdollista, että koko ruljanssi alkaa milloin tahansa uudelleen, kun Miraista kehitetään uusia versioita tai jokin toinen haittaohjelma iskee uuteen heikkouteen internetiin kytketyissä laitteissa.

Tämä Mirain versio hyökkäsi laitteiden internetiin avoinna olevaan etähallintapalveluun. Saastumisen jälkeen laite pyrki saastuttamaan muita vastaavia laitteita ja liittymään osaksi kaapatuista laitteista muodostuvaa bottiverkkoa.

Laitteen käynnistäminen uudelleen poistaa haittaohjelman. Modeemin omistajan tulee myös varmistaa, että sen oletussalasana on vaihdettu.

Normaaliolosuhteissa laite saastuisi uudelleen uudelleenkäynnistyksen jälkeen. Nettioperaattorit jatkavat edelleen verkkoliikenteen suodattamista (TCP-portti 7547), millä estetään viruksen tarttuminen uudelleen.

Osion tuoreimmat

Luitko jo nämä?