Jättimäiset resurssit omaava valtiollinen nettivakooja paljastui
Tietoturva-asiantuntijat kautta maailman pitävät venäläiseksi todettua Turlaa yhtenä kaikkien aikojen taitavimmista ja vaarallisimmista verkkovakoiluryhmistä. Se työskentelee valtiollisten tahojen hyödyksi ja saa venäläisen tietoturvayhtiö Kasperskyn mukaan rahoituksensa Kremlistä. Turla on paitsi hyökännyt myös ohjannut varastamiaan tietoja kulkemaan tietoliikennesatelliittien kautta.
Yli 3 000 ihmistä työllistävä Kaspersky on tehnyt keskeisimmät paljastukset Turlan toiminnasta. Hyvä kysymys on, kuinka se itse voi enää turvallisesti toimia Venäjällä.
Turlan toimintatapa edustaa uusinta teknologiaa: se hyökkää rinnakkaisverkosta ja häivyttää jälkensä ohittamalla internetin juuripalvelimien lokin. Satelliitin käyttäminen liittymänä on uutta, mutta taannoin Suomen ulkoministeriöön tehdyssä tietomurrossa oleellisempia lienevät keinot, joilla rootkit-vakoiluohjelmisto on voitu ujuttaa tärkeiden virkamiesten henkilökohtaisiin tietokoneisiin (ilmeisesti puolustuspoliittisten ynnä muiden uusien linjausten urkkimiseksi).
Kerron, miten se tapahtui. Tämä muuten tekisi mieli kirjoittaa venäjäksi, koskapa Kremlissä jotkin tahot ovat IP-tunnistetietojen perusteella olleet vuosia ruotsinkielisen blogini seuraajia. (Olen tosin löytänyt koneeltani rootkit-ohjelmistojakin.)
Uutistoimisto Reuters julkaisi jo vuonna 2014 laajan artikkelin Turlasta. Virallinen Venäjä on kiistänyt yhteyden verkkovakoiluun, mutta ei kovin ponnekkaasti. Vakoiluohjelmassa näkyy kauttaaltaan Venäjän kädenjälki, Reuters väittää.
Ulkoministeriön tietohallintojohtaja Ari Uusikartano korostaa, että vuoden 2013 hyökkäys ulkoministeriöön oli osa laajaa hyökkäysten sarjaa, jossa tekijät iskivät lukuisiin valtiollisiin kohteisiin Euroopassa.
Itsensä piilottava rootkit on päätynyt ulkoministeriön tietokoneisiin joko huijausviestien tai ulkopuolisten saastutettujen verkkosivujen välityksellä. Koneessa se jää odottamaan, että koodi aktivoidaan. Koodi ei tee mitään, ennen kuin sille lähetetään kutsu töihin. Vakooja odottaa kohdekoneessa oikeanlaisen kutsun saapumista. Tämä on satelliittien käytön ohella myös uutta ja vaarallista. Nämä hyökkääjät voivat lähettää erittäin hyvin modifioituja sähköposteja tai Twitter-viestejä, jotka kohde avaa; rikolliset ovat tutkineet tarkasti, millaisia linkkejä uhrit klikkaavat. Hyökkäyskäyttöön tekaistaan jonkun kohteen tuttavan sähköposti, jossa tarjotaan kiinnostava linkki. Virusskannerin ohittava rootkit tulee www-sivun html-koodin mukana koneelle.
Turla on myös voinut selvittää, missä vakoillut surffailevat verkossa, ja iskenyt röyhkeästi juuri näihin sivuihin. Tietoturvayhtiö Silverskin Information Security Oy:n hallituksen puheenjohtaja Mikko S. Niemelä kansantajuistaa hyökkäyssysteemiä: jos firman kaikki työntekijät käyvät joka päivä samassa lounaspaikassa, silloin kannattaa iskeä tämän ravintolan lounaslistaan verkossa ja sisällyttää vaarallinen rootkit sen kotisivuun.
Kukaan ei ole suojassa satelliittien ja rootkitien kanssa operoivilta netin alamaailman huippurikollisilta. Kuitenkin myös vakoiluohjelmat voidaan skannata esiin ja kitkeä pois kätköistään päätelaitteilta.
