Kyberhyökkäyksen anatomia – näin tapahtuu tietomurto

Kyberhyökkäysten määrä on nopeassa kasvussa ja rikollisten konstit ovat monet. Seuraavassa kuvitteellinen – mutta varsin realistinen – kuvaus siitä, kuinka tietomurtoja käytännössä toteutetaan, juuri nytkin. Tietomurron kohteiksi valikoituvat organisaatiot, joilla on arvokasta tietopääomaa.

 

Jukka on tietoturva-asiantuntija, joka on saanut työnantajaltaan toimeksiannon: liiketoiminnan tueksi on hankittava tietoa keinoja kaihtamatta. Tavoitteena on saada bisnes uuteen nousuun. Jukka tietää, että tämän kaltainen tieto ei ole julkisesti saatavilla. Hän päättää hankkia tiedon varastamalla.

Yhdeksi kohteista valikoituu Oy Yritys Ab – Jukka on tietoinen, että sieltä olisi tarjolla erittäin hyödyllistä tietoa. Yksi Oy Yritys Ab:n tietoliikenneasiantuntijoista on Ville.

Perusteellinen taustoitus kattaa henkilöt ja yrityksen tietoturvan tason

Jukka tekee aluksi perusteellista taustatyötä selvittääkseen henkilöt, joilla on todennäköisimmin laaja pääsy kohdeyrityksen tietoihin ja järjestelmiin. Hän käyttää sosiaalista mediaa, kuten LinkedIn- ja Facebook -palveluja sekä soittelee ympäri kohdeyritystä tekeytyen markkinatutkimusta tekeväksi analyytikoksi.

 

Seuraavaksi Jukka selvittää valittujen henkilöiden lähipiirin, harrastukset ja työkaverit. Nämä tiedot löytyvät kätevästi sosiaalisen median palveluista sekä Googlesta sopivilla hakusanoilla. Taustatutkimuksen päätteeksi Jukka valitsee kohteekseen tietoliikenneasiantuntijana toimivan Villen.

 

Tämän jälkeen hän selvittää kohdeyrityksen haittaohjelmien torjuntateknologiat ja koodaa juuri sopivan haittaohjelman, joka pyrkii piilottamaan itsensä kohdeyrityksen haittaohjelmasuojauksilta.

Haittaohjelma avaa väylän tietoverkkoon

Seuraavaksi Jukka pohtii sopivaa tapaa toimittaa haittaohjelma perille. Hän päättää kokeilla ensimmäiseksi yksinkertaisinta keinoa, sähköpostia.

 

Villen postilaatikkoon kolahtaa viesti, joka vaikuttaa tulevan tunnetulta ohjelmistoyritykseltä. Viesti sisältää liitteen, joka on kiinnostavan, pian julkaistavan verkonhallintaohjelmiston esite. Ville avaa liitteen – ja työasema saa haittaohjelmatartunnan. Ville ei tiedä joutuneensa uhriksi.

 

Jukan räätälöimä haittaohjelma jää Villen työaseman muistiin. Se lisää itsensä koneen käynnistysparametreihin, käynnistyäkseen aina uudelleen, kun kone laitetaan päälle. Ville on kirjautunut koneelleen pääkäyttäjän oikeuksilla ja Jukka saa työaseman täysin haltuunsa. Näin hän varmistaa tukevan jalansijan kohdeyrityksen verkossa. Haittaohjelma ilmoittaa aktivoitumisestaan Jukalle. Nyt kohdeyrityksen tietoverkkoon on murtauduttu. 

 

Tietoa viedään täysin huomaamatta, vähän kerrallaan

Jukka on yllättynyt – hän onnistui ensiyrityksellä. Hän siirtää nyt täyden huomionsa Villen työasemaan, seuraten mitä Ville tekee työpäivänsä aikana. Ville surffaa työaikanaan myös sosiaalisessa mediassa ja käy verkkopankissa. Jukka kaappaa kaikki näppäimistön painallukset.

Kaapattujen salasanojen ja tunnusten avulla Jukka pääsee lukuisiin kohdeyrityksen kriittisiin järjestelmiin. Hän liikkuu niissä täysin huomiota herättämättä ja rauhallisesti pääosin yöaikaan, lähinnä katsellen tietoja. Jukka käyttää viikkoja yrityksen ympäristön oppimiseen. Samalla hän levittää haittaohjelmaansa useisiin muihinkin laitteisiin sisäverkossa varmistaakseen pääsyn takaisin kohdeyrityksen verkkoon aina halutessaan.

 

Jukka siirtää kaiken tiedon talteen. Hän ohjelmoi apuohjelman, joka siirtää luottamuksellista tietoa ulos kohdeyrityksen verkosta salattuna ja pieni palanen kerrallaan. Yrityksessä ei havaita mitään normaalista poikkeavaa. Tässä vaiheessa yrityksen tieto on varastettu.

 

Miten tietomurron olisi voinut estää?

Elisan Kyberturvakeskus käy jatkuvaa kilpajuoksua verkossa operoivien rikollisten kanssa. Elisalla on pystytty varautumaan yllä kuvatun kaltaisiin hyökkäyksiin, ja Kyberturvakeskus seuraa jatkuvasti hyökkäystapojen kehittymistä pystyäkseen vastaamaan samalla mitalla.

“Yritysten tietopääoman suojaaminen kehittyneitä hyökkäyksiä vastaan on haasteellista ja vaatii merkittäviä ponnistuksia. Parhaaksi koettu puolustusstrategia tiedon suojaamiseen saavutetaan usean eri suojausmenetelmän yhteiskäytöllä eli niin sanotulla kerroksellisella puolustuksella. Kyberturvakeskuksemme pyrkii havaitsemaan ja torjumaan hyökkäyksiä mahdollisimman aikaisessa vaiheessa lukuisin eri tavoin – käytämme aktiivisia sekä passiivisia menetelmiä, älykästä sensoriteknologiaa ja reaaliaikaista analytiikkaa”, kertoo Head of Security Teemu Mäkelä Elisalta.

 

Tuoreen tutkimuksen* mukaan suomalaisyritykset ovat valmistautuneet heikosti kyberhyökkäyksiin:

  • Lähes neljännes tutkimukseen osallistuneista yrityksistä tietää tai pitää hyvin mahdollisena, että yrityksen tietoverkkoa on käytetty luvattomasti tai laittomasti.
  • Vastaajat kokivat suomalaisyritysten suurimmaksi uhkaksi phishing- ja haittaohjelmahyökkäykset. Toiseksi suurimmaksi uhkaksi nousi yrityksen luottamuksellisen tiedon vuotaminen.
  • Noin kolmannes vastaajista arvioi, ettei todennäköisesti havaitsisi käynnissä olevaa tunkeutumista – heillä ole valmiuksia tunnistaa hyökkäystä.
  • Yrityksistä 70 prosentilla ei ole minkäänlaista suunnitelmaa kyberhyökkäysten varalle.
  • Suunnitelman omaavista yrityksistä vain kolme prosenttia on kokeillut harjoittelemalla toimivatko tehdyt suunnitelmat.

 

*Yrityksiin kohdistuvat kyberuhat 2016 -tutkimus, Helsingin Kauppakamari. Otos: 754 suomalaista yrityspäättäjää.

 

Viisi neuvoa haittaohjelmahyökkäyksiltä suojautumiseen:                                                             

  1. Pidä ohjelmistot ja virustentorjunta ajan tasalla. Jos mahdollista, käyttöjärjestelmään, toimisto-ohjelmiin, selaimeen ja sen liitännäisiin kannattaa kytkeä automaattiset päivitykset päälle.
  2. Vältä epäluotettavilla sivustoilla surffaamista.
  3. Älä avaa tuntemattomilta lähettäjiltä saapuvia sähköpostin liitetiedostoja.
  4. Jos tutulta lähettäjältä saapuvan viestin sisältö tai sen sisältämä liite herättää epäluuloa, kysy ennen liitetiedoston avaamista lähettäjältä, onko viesti aito.
  5. Pienennä haittaohjelmien hyökkäyspinta-alaa sammuttamalla tai poistamalla käyttöjärjestelmästä ja sovellusohjelmistoista tarpeettomat toiminnallisuudet.

 

Elisa palvelee yritysasiakkaitaan kaikissa kyberturvaan liittyvissä asioissa. Teemme jokaisesta asiakkaastamme tilannekuvan, jonka avulla hallitsemme puolustusta. Palveluvalikoimaamme kuuluvat jatkuvan valvonnan lisäksi uhkien ja häiriötilanteiden hallintaprosessi, hälytykset ja raportointi sekä kerätyn tiedon perusteella tehdyt ennusteet.

Tutustu Elisan Kyberturvakeskuksen palveluihin. 

 

Ota yhteyttä

 

 

 

 

opas-icon

Lataa opas kyberturvallisuuden johtamiseen

Tämä opas auttaa sinua tunnistamaan, ymmärtämään ja hallitsemaan kyberturvallisuuden eri osa-alueita ja niiden vaikutuksia yrityksenne liiketoimintaan.

LATAA OPAS