Lähes 1300 valtionhallinnon ja suurlähetystön tietokonetta on vakoiltu yli 100 maassa, kertoo laaja kanadalaistutkimus.

Edelleen koossa olevan vakoiluverkon toiminnasta kertoo kanadalaisen Toronton yliopiston alaisen Munk-tutkimuskeskuksen viikonloppuna julkaisema raportti (53-sivuinen iPaper-versio). Verkon avulla on tunkeuduttu lähes 1300 tietokoneeseen kaikkiaan 103 maassa.

Vakoiluverkko tunnetaan siinä käytetyn Gh0st RAT -haittaohjelman mukaan GhostNet-nimellä ja sen kohteina ovat olleet Information Warfare Monitor -projektin alaisen tutkimuksen mukaan mm. suurlähetystöt Intiassa, Maltalla, Pohjois-Koreassa, Saksassa ja Taiwanissa. Ulkoministeriöiden koneita kohteina oli puolestaan esimerkiksi Iranissa, Latviassa ja Filippiineillä. Myös NATO:n päämajalle kuuluvaa tietokonetta on vakoiltu.

Suomea tapaus koskee raportin mukaan Helsingissä sijaitsevien Romanian ja Portugalin suurlähetystöjen osalta. Tutkimustyö kesti yhteensä kymmenen kuukautta ja se sai alkunsa Tiibetin pakolaishallituksen keskustoimiston viime kesäisestä toimeksiannosta. Tutkimustyöhön osallistuivat myös brittiläisen Cambridgen yliopiston tutkijat Shishir Nagaraja ja Ross Anderson. Kaksikko käyttää hyökkäyksistä nimitystä sosiaalisella haittaohjelmalla toteutetut hyökkäykset (social-malware attacks).

Myös web-kameralla vakoiltu

Tietoja on vakoiltu takaporttitroijalaisten lisäksi myös etäkäyttämällä kohdetietokoneiden web-kameraa ja mikrofonia. Vakoilijat ovat siis pystyneet seuraamaan myös keskusteluja huoneissa, joissa vakoiltavat tietokoneet ovat sijainneet. Haltuun saadulta tietokoneelta on voitu etsiä tiettyä tiedostoa, joka on sitten lähetetty keräilypalvelimille.

Sekä kohdistettujen troijalaishyökkäysten että GhostNetille ominaisten whaling-tapausten onnistumisprosentti on yleensä hyvin suuri. Whaling on phishing-tietokalastelun alalaji, jossa kohteiksi valitaan valaanpyytämisestä johdetun termin mukaan organisaatioiden johtohenkilöitä.

Teknisesti operaatio on käynnistetty hienostuneesti väärennetyillä sähköpostiviesteillä, joiden liitetiedostona on ollut Microsoft Office -muotoinen tai pdf-muotoinen haittaohjelman sisältävä dokumentti. Tekniikka on sama, jolla suomalaisorganisaatioihin on hyökätty viime vuosina em. kohdistetuilla hyökkäyksillä. Raportin käsittelemissä tapauksissa myös sähköpostipalvelimia on saatu haltuun, joten hyökkäyksien valmistelijoilla on ollut normaalia paremmat edelletykset luotettavilta näyttävien sähköpostiviestien laatimiseen.

Vakoilun onnistumisesta raportti kertoo esimerkkinä tapauksen, jossa Dalai Laman hallinto oli lähettänyt ulkomaalaiselle diplomaatille tapaamispyynnön. Ilmeisesti viestinnän nähnyt Kiinan hallitus otti puhelimitse diplomaattiin yhteyttä pyrkiäkseen perumaan kyseisen tapaamisen. Keräily- ja komentopalvelimien on havaittu sijaitsevan pääosin Kiinassa, mutta Kiinan valtion yhteyksistä vakoiluun ei ole näyttöä.

Kuvatulla tekniikalla toimivat hyökkäykset tulivat laajempaan julkisuuteen loppukeväällä 2007, jolloin Microsoft Word -nollapäivähaavoittuvuutta CVE-2006-2492 käytettiin kohdistetuissa hyökkäyksissä. GhostNet-raportti on laatuaan ensimmäinen, joka kertoo toiminnan maantieteellisestä kattavuudesta.

PCI-tietoturvastandardi sai heti ilmestymisensä jälkeen kritiikkiä siitä, että se ei tue riskipohjaista lähestymistapaa. Organisaatio joko noudattaa tai on noudattamatta PCI-standardia, mitään välimuotoja ei ole standardissa määritelty. Lisäksi jokainen vaatimus on yhtä tärkeä: mikäli yksikin kohta on ”punaisella” (esim. puutteellinen dokumentointi) niin organisaatio ei ole vaatimuksenmukainen.

PCI Council on huomioinut kritiikin, ja PCI-standardiin on myöhemmin lisätty riskipohjaista lähestymistapaa tukevia vaatimuksia. Tällainen on esimerkiksi 1.2-päivityksen yhteydessä muuttunut tietoturvapäivitysvaatimus, joka nykyisin sallii tietoturvapäivitysten priorisoinnin niiden kriittisyyden mukaan.

Uusin parannus riskipohjaisella lähestymistavalla on vastikään julkaistu PCI Councilin dokumentti ja työkalu Prioritized Approach for DSS 1.2. Menetelmän ideana on jakaa vaatimukset kuuteen vaiheeseen (milestone) niiden kriittisyyden mukaan. Näin organisaatio, joka ei vielä täytä PCI-vaatimuksia, voi omassa projektissaan keskittyä aluksi tärkeimpiin vaatimuksiin (Milestone 1) ja jättää vähiten kriittiset vaatimukset (Milestone 6) toteutettavaksi viimeiseksi. On kuitenkin syytä huomioida, että PCI-standardin noudattaminen edellyttää edelleen jokaisen vaatimuksen saamista ”vihreäksi”.

Nixun saamien tietojen mukaan jatkossa korttiyhtiöt alkavat seurata kauppiaiden ja palveluntarjoajien edistymistä näiden kuuden tason mukaan. Yleisen tietoturvallisuuden ja korttiyhtiöiden seurannan takia organisaatioiden, jotka eivät vielä ole PCI:n mukaisia, kannattaakin varmistua, että vähintään Milestone 1 -tason vaatimukset ovat kunnossa. Lisäksi tulee varmistaa, että Milestone 2 – ja 3 -tasolla vaatimukset tulevat kuntoon mahdollisimman nopeasti.

Nixun lähestymistapa PCI-projekteille ja roadmapeille on aina ollut riskipohjainen, joten PCI Councilin ehdottama malli sopii hyvin yhteen Nixun työmenetelmien ja suositusten kanssa.