Veikko Huuska

Hakkeri iski Geneven ydinohjelmaneuvotteluihin

Näkymättömän sodan eräs taistelu – tietomurto politiikan jatkeena

Kaikkihan sitä tekevät, ja kaikki ovat sen kohteena.  Mutta aina se jaksaa yllättää, ja aina tekijä kiistää tehneensä mitään.  Mitä se on?

Verkkovakoilua ja tietomurtoja.

*

Duqu 2.o

IT-viikko kertoi viime torstaina (11.6.2015) kansainvälisiin lähteisiin tukeutuen, miten hyökkääjät ovat päässeet tunkeutumaan Kaspersky Labin tietojärjestelmiin viime keväänä.  http://www.itviikko.fi/uutiset/2015/06/11/kaspersky-lab-paljasti-tietomurron--suomalaisguru-tohkeissaan/20157526/7

Tunkeutujat hyödynsivät kolmea nollapäivähaavoittuvuutta.  Yrityksen mukaan haittaohjelma ei tallentanut mitään massamuistiin, vaan toimi puhtaasti tietokoneen työmuistissa, mikä tekee siitä vaikeasti havaittavan.

Nollapäivähaavoittuvuudesta täällä; https://fi.wikipedia.org/wiki/Nollap%C3%A4iv%C3%A4haavoittuvuus

mBnet, 15.10.2014; http://www.mbnet.fi/artikkeli/tietokoneet/uusi_nollapaivaaukko_windows_hyokkaajien_kohteena

mBnet, 11.3.2015; http://www.mbnet.fi/artikkeli/tietokoneet/paivitystiistai_microsoft_parsi_kasaan_stuxnet_haavoittuuden

*

IT-viikko kertoo mielenkiintoisia seikkoja em. artikkelissaan;

”Murrossa käytetty tekniikka oli sukua Duqu-troijalaiselle, jota käytettiin vuonna 2011 hyökkäykseen Iranissa, Intiassa, Ranskassa ja Ukrainassa. Silloin käytettiin Microsoftin Wordissä ollutta haavoittuvuutta. Duqu 2.0 käyttää hyväkseen Microsoftin Software Installer -työkalua, jonka avulla it-osastot jakavat ohjelmia etätietokoneille.

– Duqu 2.0 näyttää olevan vuoden tähän asti suurin tietoturvauutinen, Mikko Hyppönen sanoi BBC:lle.

Hän muistutti, ettei tämä ole ensimmäinen kerta, jolloin tietoturvayritystä on käytetty hyväksi toiseen kohteeseen tunkeutumiseen. Tunnetuin esimerkki tästä on RSA, joka hakkeroitiin neljä vuotta sitten. Varsinaisen kohteen uskotaan olleen puolustusteollisuusyritys.

Kasperskyn mukaan hyökkääjä pääsi käsiksi joihinkin tiedostoihin, mutta ne eivät olleet kriittisiä yrityksen toiminnalle.

Duqu 2.0 -haittaohjelmaa on Kaperskyn mukaan käytetty myös muita kohteita vastaan. Yksi niistä on Iranin ja Yhdysvaltain väliset ydinteknologianeuvottelut.”

Maallikkokin pystyy näistä seikoista vetämään johtopäätöksen: asialla ei ollut yksinäinen hämärän kamarin rillipää, vaan jokin huomattavasti isompi orgaani.  Mutta: saattoi iskijällä silmälasit silti olla..

*

Genevessä reikä

Vakoojat pääsivät tietokoneisiin ja puhelimiin venäläisen Kaspersky-ohjelman avulla.

Iranin ydinvoimaneuvotteluja Genevessä ja Wienissä on salakuunneltu massiivisella järjestelmällä neuvotteluhotelleissa.  Kuuntelupiuhojen toisessa päässä on istunut todennäköisesti Israel, jonka salaisen palvelun (Mossad) vakoilutekniikka on maailman huippua.

Vakoilijat ujuttautuivat neuvotteluhotellien tietokoneisiin, puhelimiin, huoneisiin – jopa hisseihin – venäläisen virustorjuntaohjelman Kasperskyn avulla”, kirjoitti Aamulehti, su 14.6.2015.

”Kaspersky Lab sanoo löytäneensä verkostaan Duqu-viruksen, jota epäillään käytetyn vakoilussa. Se muistuttaa tietokoenasiantuntijoiden mukaan Israelin vuonna 2010 syksyllä kehittämää Stuxnet-vakoiluvirusta.

Ja sillä tunkeuduttiin Iranin ydinvoimala-ohjelmiin.”

Lähde: AL, 14.6.2015

*

Kaspersky

Mikä tämä hakkeroitu Kaspersky Lab oikein on?  http://www.kaspersky.com/

Se on tietokoneasiantuntija Eugene Kasperskyn (s. 1965, Novorossiskij, Krasnodar Krai, Neuvostoliitto) perustama ja vetämä tietoturvayhtiö.  Kasperskyllä on mielenkiintoinen asema globaaleilla nettimarkkinoilla.

Hänellä itsellään on tiivis suhde Venäjän politiikkaan.  Kaspersky on nuoruudessaan käynyt Neuvostoliiton turvallisuuspalvelun KGB:n ylläpitämän koulutuslaitoksen (1987).

Kaspersky Lab´illa sanotaan olevan yhä läheiset välit Venäjän armeijaan ja vakoilijoihin. (Lähde: AL, 14.6.2015).

Netti kertoo yhtiöstä; https://en.wikipedia.org/wiki/Kaspersky_Lab

Kaspersky Lab toimii nykyisin lähes 200 maassa; sillä on yli 30 alueellista ja maanlaajuista toimipistettä, ja se on maailman suurin yksityisomistuksessa oleva it-ohjelmistojen tietoturvatuotteiden myyjä. (Kaikkiaan maailman 6.:ksi suurin tietoturvayhtiö)

Tähän asemaan päässeenä Kasparsky omaa todella mielenkiintoisen taustan: KGB-mies.

Eikö tapana ole sanoa: kerran KBG – aina KGB?

Vielä vuonna 2007 yhtiön Japaniin suuntautuneen kampanjan slogan kuului:

“A Specialist in Cryptography from KGB.”

(”KGB:n kouluttama salauskirjoituksen erikoisasiantuntija”).

Hänen tiedetään pitävän venäläisestä banjasta, ja saunovan ainakin kerran viikossa.  Väitteen siitä, että saunakavereina olisi taajaan FSB:n edustajia hän kiistää.

*

Vakoilija?

Keväällä levisi mielenkiintoinen uutinen.

Kuusi Kaspersky Labin entistä ja nykyistä työntekijää syytti tietoturvayhtiötä veljeilystä venäläisten vakoojien kanssa.  Asiasta kertoi uutistoimisto laajassa Bloomberg artikkelissaan.

Suomessa  asiasta kertoi IT-viikko 11.3.2015;  http://www.itviikko.fi/uutiset/2015/03/20/rajuja-vaitteita-kaspersky-hyvaa-pataa-venajan-vakoojien-kanssa/20153572/7?pos=related

otsikolla:

”Rajuja väitteitä: Kaspersky hyvää pataa Venäjän vakoojien kanssa”

Vuoden 2012 jälkeen useat korkealla kivunneet työntekijät ovat jättäneet Kasperskyn tai tulleet irtisanotuiksi. Heidät on korvattu väellä, joka pitää tiiviisti yhteyttä Venäjän tiedusteluviranomaisiin.

Osa firman työntekijöistä taas avustaa aktiivisesti Venäjän turvallisuuspalvelu FSB:tä hyödyntämällä tietoja, joita yhtiöllä on 400 miljoonasta asiakkaastaan eri puolilla maailmaa.

Näin kovia väitteitä esittävät kuusi Kasperskyn entistä ja nykyistä työntekijää. He kertovat Kasperskyn muutoksesta uutistoimisto Bloombergin artikkelissa.

Tiiviit yhteydet Venäjän sotilas- ja tiedustelupiireihin ulottuvat tietoturvayhtiön lattiatasosta aina ylimpiin kerroksiin ja toimitusjohtaja Jevgeni Kasperskiin asti. Kasperski itse palveli aikoinaan Neuvostoliiton valtiollisessa turvallisuuspoliisissa KGB:ssä.

– Ellei Kasperski ole matkoilla, hän jättää harvoin väliin saunakeikan ryhmän kanssa, johon kuuluu 5–10 venäläistä tiedusteluviranomaista, Bloombergin toimittajat kuvailevat.

"Väärä henkilö puhumaan"

Toimitusjohtaja Jevgeni Kasperski vähättelee kytköksiä Bloombergille. Hänen mukaansa Venäjän viranomaiset eivät pysty yhdistämään tietoja yhtiön yksittäisiin asiakkaisiin. Kasperski sanoo myös, ettei hän koe erityistä tarvetta vannoa uskollisuuttaan presidentti Vladimir Putinille.

– Olen vähän väärä henkilö puhumaan venäläisestä todellisuudesta, koska minä elän virtuaalitodellisuudessa, Kasperski kommentoi.”

”Bloombergin mukaan Kasperskyn tilanne ei sinällään ole poikkeuksellinen, vaan useimmat tietoturvayhtiöt joutuvat jatkuvasti pohtimaan suhdettaan kotimaansa tiedusteluviranomaisiin.

Puhdistukset alkoivat 2012

Neljän Bloombergin lähteen mukaan eroaallot alkoivat vuonna 2012, kun yhdysvaltalainen sijoitusyhtiö General Atlantic luopui 20 prosentin omistusosuudestaan Kasperskyssä.

Pian järjestelyn jälkeen Kasperskyn liiketoiminnasta vastaava johtaja Garri Kondakov lähetti henkilöstölle kirjeen, jossa tämä kertoi, että tästä lähtien firman ylimpiin tehtäviin pääsevät vain venäläiset.”

Lähde: IT-viikko, 11.3.2015.

Tämä kaikki on vähintään mielenkiintoista.

*

Yhtiön ”venäläistämisohjelma”?

On väitetty, että tiukka venäläistämisohjelma yhtiössä tarkoittaa rekrytoinneissa että palkataan vain ja  nimenomaan turvallisuuselinmenneisyyden omaavia.

Edelleen, että yhtiön lakiosaston johtaja Igor Shekunov olisi pääjohtajan ohella toinen ”saunaryhmän” jäsen ja keskeinen FSB-yhdysmies; hän johtaa kymmenjäsenistä yksikköä jonka kokoamia tietoja välitettäisiin Venäjän turvallisuuselimelle.

Lisäksi on väitetty, että yhtiön viralliseksi käyttökieleksi on 2012 jälkeen määrätty englannin sijasta venäjä.  Nämä näkemykset Kaspersky kiistää.

http://www.theregister.co.uk/2015/03/19/kaspersky_lab_denies_its_handinglove_with_russian_security_services/

*

Bloomberg, 19.3.2015;

“The Company Securing Your Internet Has Close Ties to Russian Spies”

(Yhtiö joka vastaa tietoverkkosi turvallisuudesta on tiiviissä siteissä Venäjän vakoilijoihin)

 

Kaspersky Lab has published reports on alleged electronic espionage by the U.S., Israel, and the U.K.—but hasn't looked as aggressively at Russia

(Kaspersky Labin on julkaissut raportteja väitetystä sähköistä vakoilusta, johon ovat syyllistyneet USA, Israel ja Yhdistynyt kuningaskunta, mutta ei ole suhtautunut niin hyökkäävästi Venäjään.)

by Carol MatlackMichael A RileyJordan Robertson

http://www.bloomberg.com/news/articles/2015-03-19/cybersecurity-kaspersky-has-close-ties-to-russian-spies

*

Blogisti

Eugene Kapersky matkustelee paljon, työnkin puolesta.

Matkoiltaan hän pitää imponoivaa blogia.

https://eugene.kaspersky.com/category/travel-notes/

27.11.2010 hän sanoo tehneensä  vuoden aikana tasan 100 lentoa eri puolille maapalloa. Yhteensä 500 tuntia ilmassa.

“Approximately 250,000 – 300,000 miles.

But this time I didn’t manage to get a round-the-world trip in, unlike in the past.”

Ymmärrettävää.  Kyllä.

 

*

Yhteistyötä Israelin kanssa?

The Guardian 11.6.2015; http://www.theguardian.com/technology/2015/jun/11/duqu-20-computer-virus-with-traces-of-israeli-code-was-used-to-hack-iran-talks

Esiintyy väitteitä, joiden mukaan Duqu 2.o tietokonevirus “linkittää Israelin” Iranin ydinaseneuvottelupaikkoihin.

Kaspersky Lab sanoo että vakoiluohjelmistoa käytettiin soluttautumaan Teheranin ydinsohjelmaa koskeviin kansainvälisiin neuvottelukohteisiin.

“A powerful computer virus linked to Israel is thought to have been used to spy on the recent Iran nuclear talks after being found in the networks of three hotels that hosted the negotiations.

The security company Kaspersky discovered the virus, which it said was a new variant of the Duqu worm, itself a variant of the state-sponsored computer virus Stuxnet, used to attack Iran’s nuclear infrastructure in 2010.

Known as Duqu 2.0, the new worm was, Kaspersky said, used to attack three European hotels where the P5+1 talks involving the US, UK, Germany, France, Russia, and China with the EU concerning Iranian nuclear capabilities were held over the last 18 months.

Kaspersky did not identify the hotels or say who was behind the attack. However, Israel is thought to have deployed the original Duqu worm to carry out sensitive intelligence gathering.

In March, the US accused Israel of spying on the international negotiations over Iran’s nuclear programme and using the intelligence gathered to persuade Congress to undermine the talks.”

Näin kirjoittaa Guardian.

*

Muita uutisisia samasta aiheesta;

Reuters 10.6.2015; http://www.reuters.com/article/2015/06/10/us-iran-nuclear-spying-idUSKBN0OQ1QW20150610

Reuters ilmoittaa vakoilutoimintaa harjoitetun ainakin P5+1 –neuvotteluissa.

”P5 + 1” tarkoittaa kuuden suurvallan Iranin kanssa käymiä Iranin ydinaserajoitusneuvotteluja.  Mukana ovat olleet Yhdysvallat, Venäjä, Kiina, Britannia, Ranska ja Saksa.  Neuvotteluja on käyty Genevessä, Lausannessa, Montreauxissa, Münchenissä ja Wienissä.

Helmikuussa Yhdysvallat syytti Israelia neuvottelutietojen vuodoista, tarkoituksella ohjailla Yhdysvaltain suhtautumista jatkoneuvotteluihin.  Israel on tuominnut Iranin kanssa käytävät neuvottelut, se pelkää mahdollisen sopimuksen olevan vain paperia, ja antavan vain aikaa Iranille toteuttaa suunnitelmiaan.  Israelilla oli kaikesta päätellen neuvottelujen sisällöistä enemmän tietoa kuin sillä edellytetään olevan.  Israel on luonnollisesti kiistänyt koskaan vakoilleensa Yhdysvaltoja, lähintä ja suurinta kumppaniaan.

Toinen vakoilun kohde Kasperskin mukaan oli  tammikuussa 2015 Puolassa Auschwitz-Birkenaun keskitysleirin vapauttamisen 70-vuotismuistojuhlan kutsuvieraat.

Tähän tilaisuuteen osallistui Saksan, Ranskan, Britannian ja useiden muiden maiden valtionpäämiehiä.

Kaspersky sanoo uudenlaista ohjelmisto käytetyn aiemmin tuntemattoman tyyppisen valvontaohjelman toteuttamiseen.  Tätä ohjelmaa olisi voitu käyttää hotellin neuvotteluinfraan ujutettuna.

Keskitysleirin historian tietäen, väitökset Israelin mielenkiinnosta voi nähdä kontekstin suhteen mahdollisena.

*

The Wall Street Journal, 10.6.2015; http://www.wsj.com/articles/spy-virus-linked-to-israel-targeted-hotels-used-for-iran-nuclear-talks-1433937601

kohdensi vakoiluiskun suoraan kolmeen nimettyyn hotelliin:

”Kolmeen hotelliin, jotka isännöivät Iranin ydinohjelmaakeskusteluja kohdistettiin vakoojavirus, jonka käyttäjäksi epäillään Israelin tiedustelua”.

Laajassa etsintäoperaatiossa todettiin kolmen huippuhotellin olevan vakoojaviruksen sastuttamia. Yhteistä hotelleille oli se, että kaikki olivat toimineet korkea-arvoisten Iranin ydinrajoitusneuvotteludelegaatioiden isäntinä.

Israel luonnollisesti torjui kaikki syytökset.

“Kaspersky, in keeping with its policy, doesn’t identify Israel by name as the country responsible for the hacks. But researchers at the company indicate that they suspect an Israeli connection in subtle ways.

For example, the version of the company’s report viewed by the Journal before its release was titled “The Duqu Bet.” Bet is the second letter of the Hebrew alphabet. Kaspersky revised the title in the final version of the report released Wednesday, removing the “Bet” reference.”

*

WSJ, 10.6.2105;

”Kasperskyn tutkijat myöntävät, että monet kysymykset jäävät ilman vastusta siitä, miten virusta on hyödynnetty ja mitä tietoja ehkä on varastettu.

Costin Raiu, Kasparsky Labin globaalin tutkimuksen ja analyysin tiimi johtaja, sanoi virus sisälsi yli 100 erillisiä "moduulia", jotka olisivat mahdollistaneet kaapata tartunnan saaneiden tietokoneiden aineistoja.

Yksi moduuli on suunniteltu pakkaamaan videolta syötteitä, - mahdollisesti hotellista valvontakameroista. Muut moduulit oli kohdennettu poimimaan viestintää, puhelimista, Wi-Fi-verkosta etc. Vain hyökkääjät tietävät ketkä oli liitetty tartunnan saamiin järjestelmiin, joiden avulla ne voivat salakuunnella keskusteluja ja varastaa sähköisiä tiedostoja.

Virus voisi myös mahdollistaa kaksisuuntaisten mikrofonien toiminnan hotellin hisseissä, tietokoneissa ja hälytysjärjestelmissä. Lisäksi hakkerit näyttivät tunkeutuneen hotellin vastaanottotiskin tietokoneita. Se olisi mahdollistanut niille selvittää tiettyjen valtuuskunnan jäsenten hotellihuoneiden numerot.

Virus kykeni myös automaattisesti tallentamaan pienempiä tiedustelutiedostoja tietokoneiden sisään, mahdollistaen sen että hyökkääjät voivat seurata niitä ja hyödyntää koneiden sisältöä myöhemmin."

*

The Businessinsider, 10.6.2015; http://uk.businessinsider.com/israel-spying-on-the-iran-talks-2015-6?r=US

julkaisi hotellin julkisivukuvan, jossa ulkoministeri Gerry haukkaa happea parvekkeella.

US Secretary of State John Kerry looks out of his room at the Beau Rivage Palace Hotel during a break during the Iran nuclear program talks in Lausanne April 1, 2015.

Read more: http://uk.businessinsider.com/israel-spying-on-the-iran-talks-2015-6?r=US#ixzz3dEioSD2n

*

BI toteaa:

”Kaspersky ei virallisesti nimennyt Israelia hyökkäyksen lähteeksi.  Mutta tuntematon virus ”on niin monimutkainen ja vahvasti Duqu-viruksen ominaisuuksia lainannut, että sitä ”ei olisi voinut kukaan luoda ilman että tekijällä on pääsy alkuperäisen Duqu-viruksen lähdekoodiin”, Kasperskyn raportissa todetaan.

Aihetodisteet ovat siis melko vankat.

*

Summa summarum

Merkillinen on vakoilun maailma.

Ota tästä sitten selvä.

Kuka vakoilee ja ketä – ja kenen laskuun?

*

Piditkö tästä kirjoituksesta? Näytä se!

0Suosittele

Kukaan ei vielä ole suositellut tätä kirjoitusta.

NäytäPiilota kommentit (1 kommentti)

Käyttäjän jormamoll kuva
Jorma Moll

V.H.>Ota tästä sitten selvä.

ooo

Siinäpä se.

Toimituksen poiminnat

Tämän blogin suosituimmat kirjoitukset