Jättimäisen tietomurron laajuus ja motiivi yhä epäselviä – onko kyseessä ”Putinin ase USA:n ohimolla”? - Tietoturva - Ilta-Sanomat

Jättimäisen tietomurron laajuus ja motiivi yhä epäselviä – onko kyseessä ”Putinin ase USA:n ohimolla”?

Jättimäisen tietomurron selvittely voi kestää jopa vuoden.

Texasilaisen Solarwindsin ohjelmistokehitystä tehtiin myös Itä-Euroopassa.­

4.1. 11:48

Maailmanlaajuisen amerikkalaisen SolarWinds-ohjelmistoyhtiön tuotteiden kautta tapahtuneen tietomurron selvittelyssä on selvinnyt uusia asioita. New York Timesin (NYT) mukaan murto saattaa koskea jopa 250 amerikkalaista liittovaltion organisaatiota tai yritystä.

Aiemmin on raportoitu, että uhriorganisaatioita olisi maailmanlaajuisesti ainakin 18 000. Kaikkiin ei ole kuitenkaan kohdistettu aktiivista hyökkäystä, eli hyödynnetty takaovea niiden verkkoon tunkeutumisessa.

Tästä SolarWinds-murrossa on kyse.

  • Texasilaisen SolarWindsin Orion Platform on suurten organisaatioiden it-infrastruktuurin keskitettyyn valvontaan ja hallintaan käytetty työkalu.

  • Murtautujat tunkeutuivat SolarWindsin järjestelmiin ja ujuttivat Solarwinds Orioniin oman hallintatyökalunsa eli takaoven. Tämä antoi murtautujille pääsyn organisaatioihin, joissa SolarWindsin ohjelmistoa käytettiin.

  • Tätä kautta hyökkääjät saivat pääsyn muun muassa Microsoftin asiakasverkkoon ja sitä kautta eteenpäin.

  • Takaovea on käytetty vakoiluun ainakin maaliskuusta 2020 asti.

  • Kyberhyökkäyksestä epäillään Venäjän ulkomaantiedustelu SVR:ää.

  • Laajan kybervakoilun paljasti amerikkalainen FireEye-tietoturvayhtiö joulukuussa, Yhdysvaltain tai muut tiedusteluelimet eivät olleet sitä huomanneet.

NYT:n mukaan koko murron laajuuden selvittämisessä saattaa mennä vuoden verran. On myös olemassa riskejä, että tunkeutujat ovat luoneet murtamiinsa verkkoihin takaovia, joiden kautta he pääsevät niihin myöhemmin uudestaan.

Vuodenvaihteessa kävi myös ilmi, että murtautujat olivat päässeet käsiksi myös Microsoftin lähdekoodiin. Julkisuuteen ei ole kerrottu, mistä Microsoftin ohjelmistotuotteesta oli kyse.

Lue lisää: Mediat: Hakkerit näkivät kyber­hyökkäyksessä osia Microsoftin lähdekoodista

Vaikka SolarWindsin pääkonttori sijaitsee Texasin Austinissa, ohjelmistoja kehitetään suurilta osin Tshekissä, Puolassa ja Valko-Venäjällä. NYT:n mukaan tämä ei ole ollut yhtiön asiakkailla yleisesti tiedossa, vaikka on esitetty epäilyksiä Venäjän mahdollisuuksista päästä peukaloimaan ohjelmistokehitystä Itä-Euroopassa. SolarWindsissa noudatettiin myös tiukkaa kulukuria, minkä vuoksi kyberturvallisuus ei ollut korkealla yhtiön tärkeysjärjestyksessä. Yhtiön toimitusjohtaja Kevin B. Thompson on irtisanoutunut.

Murron motiivista ei ole tietoa. Kyse saattaa olla vakoilua laajemmista motiiveista. NYT:n haastatteleman sisäisen turvallisuuden ministeriön entisen johtajan Suzanne Spauldingin mukaan kyse saattaa olla Venäjän aseesta USA:n ohimolla ja pyrkimyksestä saada yliote Yhdysvaltain uudesta johdosta. Kyseessä olisi toisin sanoen voimannäyttö, joka pidättelisi USA:ta vastatoimista Vladimir Putinia vastaan.

SolarWindsin ohjelmistotuotteita käytetään ympäri maailman, ja haavoittuneen ohjelmiston asentaminen on muodostanut tietoturvariskin.

Suomessa eduskunta ja keskusrikospoliisi tiedottivat viime viikolla eduskuntaan tapahtuneesta tietomurrosta. KRP:n rikosylikomisario Tero Muurman ei kommentoinut viime viikolla, käytetäänkö eduskunnassa SolarWindsin ohjelmistoja.

Myös Norjan parlamenttiin tehtiin viime vuoden aikana kyberisku. SolarWinds-murrolla ei ole tiettävästi yhteyttä tähän murtoon, josta tiedotettiin syyskuussa. Norjaan kohdistunut murto tapahtui karkealla brute force -hyökkäyksellä, joka perustuu salasanojen systemaattiseen syöttämiseen. Tämän iskun takana epäillään olevan Venäjän sotilastiedustelu GRU:n hakkeriryhmä, joka tunnetaan länsimaissa nimellä AT28 tai Fancy Bear, kertoo Bleeping Computer.

Osion tuoreimmat

Luitko jo nämä?