perjantai 18. lokakuuta 2024

Ensimmäinen valtiollinen kyberhyökkäys Suomea vastaan?

Tällä viikolla rävähti todellinen megaluokan tietoturvauutinen: Nordean mukaan sitä vastaan tehdyt palvelunestohyökkäykset ovat niin kehittyneitä ja pitkäkestoisia, että niiden toteuttaminen on maksanut kymmeniä miljoonia euroja. Koska pankilta ei ole kiristetty rahaa, taustalla täytyy olla valtiollinen toimija - ilmeisesti Venäjä. Lyhytkestoisia palvelunestohyökkäyksiä on ollut aina, mutta ne ovat lähinnä pr-toimintaa ja kiusantekoa. Tämä on jotain muuta.

Jos Nordean arvelut ovat totta, Suomen historiassa kääntyy uusi luku. Edellisestä valtiollisesta hyökkäyksestä Suomea vastaan on yli 80 vuotta.

Toisaalta tätä on osattu odottaa. Helmikuusta 2022 lähtien viranomaiset ovat valmistelleet suomalaisia itärajan takaa tulevaan kiusantekoon ja kyberhäirintään. Jos se nyt on vihdoin alkanut, miksi viranomaiset nyt ovat hiljaa? Pankkijärjestelmän jälkeen hyökkääjä saattaa iskeä muihin kansallisesti tärkeisiin kohteisiin.

Miksei kukaan sano mitään? Miksei Suomi reagoi millään tavalla ulospäin?

On vaikea uskoa, että pankki kertoisi tällaisia asioita ilman, että tiedottamisesta on sovittu viranomaisten kanssa. Nordean edustajat kävivät myös eduskunnan maanalaisessa turvahuoneessa kertomassa havainnoistaan kansanedustajille. Vaikka attribuutio ja syyllisen osoittaminen on vaikeaa, viranomaiset tietävät varmasti enemmän kuin haluavat kertoa. Nyt ilmassa on paljon kysymyksiä.

Sivujuonteena tähän liittyvät kotien älylaitteet, joiden tietoturvariskeistä mm. suojelupoliisi on varoittanut ainakin kahdesti.

Pankki on kertonut vain, että hyökkäysliikenteen volyymi on ollut 15-kertaista aiempaan nähden, ja että liikennettä on tullut Suomen ja Ruotsin sisältä niin, ettei tavanomaisia maaestoja liikenteen blokkaamiseen ole voinut käyttää.

Nyt olisi kiinnostavaa tietää, mitä tekniikkaa hyökkääjät ovat käyttäneet. Onko liikennettä luotu monistamalla sitä suojaamattomien kotireitittimien kautta vai ovatko hyökkääjät päässeet jotenkin käsiksi pilven kautta etäohjattaviin älylaitteisiin? Jälkimmäinen kuulostaa hankalalta, koska jokaisella älylaitteella on oma ohjaustapansa. 

Tiedot olisivat kuitenkin oleellisia suojautumisen kannalta. Jos Nordean syyttävä sormi osoittaa meihin suomalaisiin, pitäisi kertoa tarkemmin, miten toimitaan. Mitä laitteita hyökkäyksiin on valjastettu ja miten? Voisivatko operaattorit tunnistaa tällaisia laitteita myös hyökkäysten välillä ja informoida niistä kotitalouksia?

Tavanomainen "päivitä kaikki älylaitteet" on niin yleinen fraasi, ettei se aiheuta kodeissa mitään uusia toimia. Suoran hyökkäyksen alla tarvitaan täsmällisiä vastatoimia. Uutisoinnissa pankkia pommitettiin pesukoneilla, mutta tästä ei tietääkseni ole mitään näyttöä. Mistä siis pesukoneet tulivat otsikkoon?

Myös se mietityttää, onko Venäjän kohteena tässä Suomi vai Ruotsi? Mikseivät edes Ruotsin viranomaiset sano mitään, vaikka heillä on FRA-urkinnan ansiosta paljon Suomea pidempi kokemus verkkoliikenteen seurannasta ja jäljittämisestä?

Nordean ulostulo ja viittaaminen kansalliseen turvallisuuteen jäi tasolle, jossa se lähinnä lisää huolta ja epävarmuutta. Juuri sitä, mihin hyökkääjä ehkä pyrkiikin.

Nyt jonkun viranomaistahon pitäisi kertoa lisää. 

Lisäys 18.10.2024: Poikkeuksellisen voimakas hyökkääjä, KRP tutkii asiaa

7 kommenttia:

Markus kirjoitti...

Tässä on tietysti helppo ajatella, että asia olisi Suomea vastaan. Mutta Venäläisten näkökulmasta asia voi olla myös Ruotsia vastaan. Kirjoilla ja paperilla Nordean pääkonttori on Suomessa (joka jälkikäteen tänne siirrettiin eurorahan vuoksi) mutta niin sanotusti henkisesti, Nordea on enemmänkin Ruotsalainen. Ruotsissa on myös viime aikoina ollut paljonkin kaikenlaista hämminkiä. Tällä hetkellä jotenkin on sellainen tunne, että kohde ei ole Suomi. Ehkä Ruotsissa kannattaisi tehdä asioille jotain?

Kuitenkin tälleen näppituntumalta, jos valtiotason hyökkäys on tuota tasoa, en olisi kovin huolissani. Vahingot jäi todella vähäiseksi. Viisas varautunut ihminen ei huomannut yhtään mitään erikoista tapahtuneen. Kuten minä, joka on jo aikoja sitten hajauttanut pankkiasiat kahteen pankkiin. Vaikka nordea oli alhaalla, käytin vain sitä toista. Rahat on turvassa ja laskujen maksukin hoituu taustalla. Tunnistautumiseen on peräti kolme tapaa, molemmat pankit ja mobiilivarmenne.

Ehkä kansalaisille olisi oikeasti jo aika kouluttaa näitä asioita?

Suomessa on itse asiassa jopa yksi etu. Suomen pankkijärjestelmään liittyvää tunnistautumista on aina parjattu. Mutta jos tunnistautuminen viro-tyyliin olisi oikeasti vain yhden tahon varassa, olkoot kuinka valtiollinen tahansa. Eikös silloin ongelmia tule todella paljon jos hyökkäys kohdistuu tuohon yhteen tapaan eikä edes ole mahdollista saada vaihtoehtoista tapaa?

Anonyymi kirjoitti...

Sellainen riski on olemassa, että Venäjä on kaapannut ison joukon Suomessa olevia internettiin kytkettyjä laitteita, jotka siis suurelta osin ovat kotien nettiliittymiin kytkettyjä reitittimiä ja muita älylaitteita. Tällainen kyberhyökkäysarmeija voidaan sitten kriisin kohdatessa ottaa käyttöön. Ilmeisesti sitä on jo hieman testattu hyökkäämällä Nordean palveluihin. Pahinta on, että tämä hyökkäys ei tule rajan takaa vaan sieltä, missä suomalaiset internetin käyttäjätkin ovat.

Tarjoan ratkaisuksi sitä, että operaattorit pitäisi velvoittaa sulkemaan nettiliittymä, jos sieltä tulee hyökkäysliikennettä. Tämä ihmeesti kannustaa ihmisiä etsimään ja poistamaan hakkeroidut laitteet verkosta, jotta netin saa taas toimimaan. Ehkä uusia laitteita hankkiessaan kuluttajat alkavat kysellä, missä tuotteissa tietoturvasta on huolehdittu.

Anonyymi kirjoitti...

Tuollainen nettiliittymän sulkuvelvollisuus on jo, löytyy Traficomin määräyksestä: https://www.finlex.fi/fi/viranomaiset/normi/480001/50299.

Siellä kohta 23 "Teleyrityksen on kytkettävä asiakasliittymä irti yleisestä viestintäverkosta, jos viestintäpalvelun tietoturva oleellisesti vaarantuu liittymään kohdistuvan tai liittymästä lähtevän liikenteen johdosta eikä tämän määräyksen 22 kohdan mukaisilla tai muilla irtikytkemistä lievemmillä toimenpiteillä pystytä huolehtimaan viestintäpalvelun tietoturvasta."

Tuossa toki "muut lievemmät toimenpiteet" pitää miettiä ensin, tämä voi tarkoittaa vaikka sitä, että otetaan ensin yhteyttä asiakkaaseen, jonka nettiliittymästä hyökkäysliikennettä tulee. Toinen juttu on sitten vielä se, miten hyvin operaattorit voivat tuollaisen liikenteen tunnistaa, oletan että kohtuullisesti.

Anonyymi kirjoitti...

Kenelläkään tullut mieleen että nämä venäläisten ostamat kiinteistöt suomessa voisivat olla osaltaan näitä hyökkäyslähteitä ?

Anonyymi kirjoitti...

Veikkaan, että operaattoreilla ei ole kapasiteettia luotettavasti tunnistaa hyökkäysliikennettä. Viime kädessähän hyökkäysliikenne saattaa muistuttaa ihan oikean käyttäjän kirjautumisyritystä. Luultavimmin hyökkäyksen kohteena olevan palvelun ylläpitäjät toimittavat operaattoreille listat ip-osoitteista, joista palvelua kohti hyökätään - toivoen että operaattorit ryhtyvät toimenpiteisiin. Yksi kysymys on, kuinka vahvaa evidenssiä pitää esittää, jotta operaattori voi laittaa nettiliittymän poikki. Aiheettomasti netin katkaisemisesta syntynee jonkinlainen korvausvelvollisuus.

Petteri Järvinen kirjoitti...

En tiedä tästä hyökkäyksestä, kun sitä ei ole tarkemmin avattu, mutta usein DDoS-liikenne on protokollalta erilaista kuin oikea käyttöliikenne (selaimella porttiin 443), joten sen pitäisi olla tunnistettavissa. Ihan alimmalla tasolla reitittimet ym. eivät tutki porttiosoitteita. Tässä voi olla takana jotain muutakin, kutsuihan Nordea sitä hyvin kehittyneeksi hyökkäykseksi.

Anonyymi kirjoitti...

Pitäisi puhua enemmän siitä, että Suomen valtiollinen kyberpuolustus ei kata (eikä lain mukaan voi kattaa) yrityksiä, vaikka olisivatkin pankkien kaltaista infraa.