LockerGoga kryptasi Norsk Hydron tietokoneet
Kyberhyökkäykset yrityksiä vastaan päätyvät säännöllisesti otsikoihin. Tuorein hyökkäyksen uhri on monikansallinen, Norjasta lähtöisin oleva alumiinintuottaja.
Norsk Hydron IT-järjestelmät olivat tällä viikolla yhtiön omien sanojen mukaan kohteena ”laajassa kyberhyökkäyksessä, joka vaikeutti yhtiön useiden bisnesalueiden toimintaa”. Toimipisteisiin saapuneita työntekijöitä ohjeistettiin olemaan liittämättä laitteitaan yhtiön verkkoon. Lähiverkkoyhteyttä vaativia laitteita ei saanut laittaa päälle ollenkaan, ja matkapuhelimet sekä muut vastaavat saivat pärjätä mobiiliverkon voimin.
Norsk Hydron IT-henkilöstö, Norjan valtion tietoturvaviranomainen (Nasjonal sikkerhetsmyndighet), Norjan tiedustelupalvelu (e-tjenesten) sekä ulkoistetut tietoturva-asiantuntijat aloittivat tapauksen tutkinnan. Kaikki tuotantolaitokset ja toiminnot eristettiin ja työntekijät siirtyivät käyttämään käsiohjattuja toimintoja niin paljon kuin oli mahdollista. Tämän tarkoituksena oli ”varmistaa turvallinen toiminta ja rajoittaa operatiiviset ja taloudelliset vahingot.”
Hyökkäyksen takana on ilmeisesti haittasovellus nimeltä LockerGoga, joka on raporttien mukaan kohdistaa hyökkäyksensä Microsoftin palvelinjärjestelmien käyttämään AD-teknologiaan (Active Directory). LockerGoga on epätyypillinen haittasovellus, joka sulkee kaikki verkkoyhteydet, eristää laitteet verkosta sekä iskee useisiin tietokoneisiin ja palvelimiin samanaikaisesti vaatien admin-oikeuksia.
Suoritettuaan tietyt komennot, LockerGoga kryptaa käytännössä kaikki tiedostot sekä Boost-ohjelmakirjaston että CryptoPP:n algoritmien avulla. Se onnistuu kryptaamaan jopa exe- ja dll-tiedostot ProgramFiles-kansiosta ja sotkee monia asioita saastuneilta koneilta – poikkeuksena kansio C:\Windows alikansioineen. Kryptattujen tiedostojen pääte muuttuu muotoon ”.locked” ja LockerGoga aiheuttaa explorer.exen eli resurssienhallinnan kaatumisen, jos sitä yrittää käynnistää.
F-Secure Labsin tietoturvatutkijoiden mukaan haittasovellus käynnistää net.exe -tiedoston muutamia kertoja vaihtaakseen käyttäjätilien salasanat. Salasana muutetaan aina merkkijonoksi “HuHuHUHoHo283283@dJD”, joka ns. kovakoodataan exe-tiedostoon. Lopulta haittasovellus kirjaa käyttäjän ulos järjestelmästä. Kun käyttäjä kirjautuu uudelleen sisään, syöttää järjestelmä hänelle automaattisesti haittasovelluksen muokkaaman salasanan.
LockerGoga toimii täysin ongelmitta ilman verkkoyhteyttä. Se jättää työpöydälle README_LOCKED.TXT -tiedoston, joka näkyy kaikilla käyttäjätunnuksilla (eli tallennetaan “Public Desktop” -kansioon). Tiedosto sisältää hyvin perinteisen kiristysviestin, joka vaatii maksua tiedostojen salauksen purkamiseen.
Tom Van de Wiele, F-Securen johtava tietoturvatutkija, tekee yhteistyötä yritysten kanssa niiden turvallisuuden parantamiseksi. Hänen mukaansa on tärkeää tutkia, keitä mahdolliset uhkaajat ovat. Samalla tulee muistaa, että käytössä oli kiristyssovellus, ja että hyökkäys kohdistettiin teollisuuslaitokseen, jossa sen aiheuttamilla häiriöillä voi olla jopa kansallisia tai poliittisia seurauksia.
“Kiristyssovellus osoittaa usein, että hyökkäyksen takana on nopeaa rahastusta hakeva rikollinen. Tällainen hyökkäys voidaan usein sivuuttaa toiveikkaana rahantekoyrityksenä, jossa hyökkääjä yrittää maksimoida tulonsa iskemällä merkittävään kohteeseen. Toisaalta kiristyssovellusta voidaan käyttää alibina tai täydellisenä savuverhona, jos hyökkäyksen takana on esimerkiksi valtio tai muu kehittyneempi hyökkääjä, joka kenties haluaa testata vastapuolen puolustuskykyä tai tehdä harhautuksen”, Van de Wiele sanoo.
Tuotantolaitokset ovat yksi suosituimmista kohteista kyberrikollisille. Tuotantolaitoksiin kohdistuvista kyberhyökkäyksistä 86 % on kohdistettuja. 66 % pohjautuu hakkerointiin ja vain 34 % haittasovelluksiin. Lähes puolet (47 %) tietomurroista sisältää tietovarkauksia, joilla pyritään saavuttamaan liiketaloudellisia etuja. Peräti 53 % hyökkäyksistä tapahtuu valtioon sidoksissa olevien toimijoiden, ja vain 35 % järjestäytyneen rikollisuuden tekemänä.
Valmistusteollisuuteen liittyy useita digitalisaatiohaasteita, kuten informaatioteknologian tietoverkkojen ja teollisuuden tuotantoverkkojen yhdistäminen. Dataa siirretään eteenpäin lukuisista hajallaan olevista ja vanhaa tekniikkaa sisältävistä tehdasjärjestelmistä. Yrityksen modernien tietoverkkojen ja tuotantolaitosten ohjausjärjestelmien välisen tietoliikenteen täytyy tapahtua saumattomasti.
Teollisuuden tuotantoverkot ovat aivan eri maailmasta kuin yleisesti tunnetut tietoverkot, sillä teollisella puolella prioriteetit ovat erilaiset. Varmuuskopioita otetaan vähemmän, keskeisten laitteiden määrä on pienempi, ja pienikin häiriö missä tahansa toimitusketjun osassa voi aiheuttaa merkittävät seuraukset. Toimintojen keskittäminen voi heikentää liiketoiminnan joustavuutta ja redundanssia sekä luoda ketjuun uusia heikkoja lenkkejä, jotka vaarantavat koko toimitusketjun toiminnan.
Useat nykyään käytössä olevat teolliset järjestelmät on rakennettu kymmeniä vuosia ennen internetin arkipäiväistymistä, toisin sanoen aikakaudella, jolloin tietoturvariskejä ei osattu pelätä. Näiden järjestelmien muuntaminen internetin aikakaudelle on avannut ne useasta suunnasta tuleville hyökkäyksille, koska järjestelmiin tai niiden käyttämiin protokolliin ei ole koskaan rakennettu nykyään itsestäänselvyytenä pidettyjä tietoturvaratkaisuja.
Päivitysten tekeminen ja tietoturva-aukkojen paikkaaminen on suuri haaste – erityisesti jos järjestelmän pitää olla päällä koko ajan, eikä päivitysten ajamiselle ole sopivaa rakoa. Mitään järjestelmää, joka on maksanut miljoonia ja on suunniteltu toimimaan kymmeniä vuosia, ei kovin helposti siirretä syrjään ja korvata uudella järjestelmällä, ei edes tietoturvan ollessa uhattuna.
Yleensä toimitusketjuhyökkäys tulee kolmannen osapuolen, kuten laitevalmistajan tai kumppanin kautta. Se tunnetaan myös nimillä arvoketjuhyökkäys tai kolmannen osapuolen hyökkäys. Tällainen hyökkäys on suunniteltu tunkeutumaan yrityksen järjestelmiin kumppaniverkoston haavoittuvien elementtien kautta. Vaikka yrityksen tietoturvaratkaisun heikoin lenkki voikin sijaita organisaation ulkopuolella, kohdistavat hyökkääjät katseensa usein ihmisiin. Edelleenkin kaikkein yleisin hyökkäysmenetelmä on verkkourkinta eli phishing. Rikolliset tunnistavat kohdehenkilöt muun muassa sosiaalista mediaa tutkimalla, esimerkiksi LinkedIn-palvelusta.
F-Securen johtavan tietoturvatutkijan Tom Van de Wielen mukaan Norsk Hydron tapauksessa ”näyttää ilmeiseltä, että kiristyssovellus on voinut päästä järjestelmään useita eri reittejä pitkin, sillä he operoivat tuotantolaitosta, jolla on todennäköisesti suuri määrä IT-kumppaneita ja muita palveluntarjoajia.”
Mahdollisia reittejä voivat olla esimerkiksi haavoittuva, nettiin kytketty järjestelmä, jonka hyökkääjä on löytänyt joko vahingossa tai tarkoituksella, ja jonka kautta hyökkääjä pääsi levittämään haittasovellusta mahdollisimman moneen järjestelmään. Haittasovellus on voinut levitä myös alihankkijalta, jonka oma järjestelmä on saastunut, tai alihankkija on voinut saada sen toisen asiakkaansa järjestelmästä, ja sen takana voi olla joko puhdas sattuma tai kohdennettu hyökkäys. Kaikkein todennäköisin vaihtoehto on kuitenkin se, että joku yrityksen työntekijöistä on saanut sähköpostin mukana saastuneen tiedostoliitteen.
Yksityiskohtaiset tiedot mahdollisista hyökkäysrajapinnoista eivät toistaiseksi ole täydelliset. Tom uskoo, että kyse on verkkojen erottelusta, jossa hallinnollinen verkko pidetään erillään tuotantoverkosta, ja jokin on mennyt pieleen joko verkkojen erottelua rakennettaessa tai sitä ylläpidettäessä. Vaihtoehtoisesti hyökkäys voi olla niin taitavasti toteutettu, että hyökkääjä kykenee liikkumaan verkosta toiseen.
“Valitettavan usein aiemmissa vastaavissa tapauksissa selvitysten ja testien jälkeen syyksi on paljastunut ensimmäinen vaihtoehto”, hän toteaa.
On mahdotonta ennustaa, milloin seuraava kehittynyt haavoittuvuus paljastuu, mutta sen voi ennustaa, että sitä käytetään nopeasti (päivien tai jopa tuntien sisällä) kohdistettuihin hyökkäyksiin tai muihin tarkoituksiin.
Kategoriat