Kyberturvallisuuskeskus: Exchange-hyökkäyksellä Suomessa noin 30 vahvistettua uhria - Tietoturva - Ilta-Sanomat

Kiinalaiset vakoilijat iskivät Suomeen – tieto­murtojen sarjassa yksi yhdistävä seikka

Exchange-palvelimiin kohdistuva hyökkäys on suomalaisittainkin historiallisen mittava. Ainakin alkuvaiheessa mukana on ollut myös Kiinasta tullutta teollisuusvakoilua.

Aivan ensimmäisenä Microsoft Exchange -sähköpostipalvelimien haavoittuvuuteen iski Kiinan valtioon kytköksissä oleva hakkeriryhmä.­

9.3. 14:58

Maailmanlaajuisen Microsoft Exchange -sähköpostipalvelimiin tehdyn hyökkäyksen seuraukset Suomessa alkavat vähitellen hahmottua. Liikenne- ja viestintävirasto Traficomin alainen Kyberturvallisuuskeskus antoi hyökkäyksestä harvinaisen punaisen varoituksen.

Keskus painotti varoituksessaan hyvin suorasanaisesti, että jos organisaatiossa on käytetty tai käytetään Exchange-palvelinta, tulee oletuksena olla että murto on hyvin todennäköisesti tapahtunut.

Keskuksen erityisasiantuntija Juha Tretjakovin mukaan syynä on se, että hyökkäyksiä on tehty automatisoidusti. Ohjelmistorobotit haravoivat verkossa haavoittuvat kohteet ja iskevät niihin. Suomessakaan tuskin on siis kyse kohdennetuista hyökkäyksistä, joissa uhreja olisi valittu tarkoin.

– Organisaatioita on luultavasti yritetty murtaa jo ennen kuin ne saivat ajettua päivitykset palvelimiinsa, Tretjakov tähdentää.

Maailmalla uhriorganisaatioita on satoja tuhansia. Suomessa Kyberturvallisuuskeskus tietää noin 500 organisaatiota, jotka ovat haavoittuvia Exchange-hyökkäykselle. Niistä noin 30:n tiedetään joutuneen uhriksi.

– Luultavasti luku nousee vielä.

Hyökkääjien motiivit vaihtelevat. Aivan ensimmäisenä haavoittuvuuteen iski Kiinan valtioon kytköksissä oleva hakkeriryhmä ja Tretjakovin mukaan tämä ryhmä onnistui murtamaan myös joitakin suomalaisia organisaatioita. Ryhmän motiivina on ollut teollinen vakoilu.

Kiinalaishakkerien osallisuus on mitä todennäköisintä, sillä ennen aukon paikkaamista Kiinan tiedettiin olleen ensimmäisenä hyökkäämässä sitä kautta. Kyberturvallisuuskeskus oli havainnut hyökkäyksiä myös Suomessa ennen päivityksen saapumista. Joten päätelmä on, että asialla oli Kiina.

Kun haavoittuvuus tuli julki päivitysten yhteydessä viime keskiviikkona, hyökkäykset saivat aivan uudet mittasuhteet, ja hyökkääjien kirjo kasvoi. Tretjakov ei pysty sen enempää arvioimaan, mistä kaikkialta hyökkäykset nyt tulevat.

Hyökkäyksen seuraus on ollut, että murtautujat ovat saaneet jalansijan organisaation verkkoon esimerkiksi tietojen vakoilemiseksi. Suomessa ei ole vielä tiedossa, että hyökkäyksiä olisi viety pelkkää tunkeutumista edemmäs, mutta se on todellinen riski.

 Pitää varautua kiristyshaittaohjelmiin

– Nyt kun siellä on mahdollisesti useita eri toimijoita, joilla voi olla erilaisia motiiveja, pitää varautua myös esimerkiksi kiristyshaittaohjelmiin, Tretjakov varoittaa.

Yhteinen nimittäjä hyökkäyksille on Microsoftin Exchange-sähköpostipalvelimissa ollut aukko. Hyökkääjät eivät välttämättä katso esimerkiksi organisaation toimialaa taiki kokoa. Suomessakin uhrien joukko on kirjava ja käsittää yritysten lisäksi esimerkiksi yhdistyksiä, joiden tietoturva ei ole välttämättä ammattilaistasoa.

Ylen tietojen mukaan yksi uhreista on Päijät-Hämeen pelastuslaitos. Ei ollut tiedossa, onko murrossa päästy pelastuslaitoksen sisäverkkoon tai onko käyttäjätunnuksia tai salasanoja varastettu.

Juha Tretjakovin mukaan kyseessä on viime aikojen merkittävin kyberisku, jota voi verrata esimerkiksi muutaman vuoden takaiseen WannaCry-katastrofiin. Toisena esimerkkinä hän mainitsee nettiliittymiin iskeneen Mirai-haittaohjelman, joka aiheutti Suomessa paljon hämminkiä vuoden 2016 paikkeilla.

– Tämä on hyvin laaja ja vakava hyökkäys. Tällaisen organisaatioihin suoraan kohdistuvan uhkan vaikutukset ovat heti laajempia [kuin Mirain], Tretjakov sanoo.

Tavallisen tietokoneen kotikäyttäjän ei silti tarvitse olla huolissaan. Hyökkäys ei kohdistu häntä vastaan.

Osion tuoreimmat

Luitko jo nämä?