WithSecuren vanhempi tutkija Sami Ruohonen ei kuitenkaan usko, että Yhdysvallat olisi lyönyt viimeistä naulaa Snake-haittaohjelman arkkuun.
Yhdysvallat kertoi tiistaina, että se oli tehnyt vaarattomaksi venäläisen haittaohjelman, jota Venäjän turvallisuuspalvelu FSB oli käyttänyt vakoilemiseen 20 vuoden ajan.
Yhdysvaltojen mukaan nimillä Snake ja Uroburos tunnettua ohjelmaa käytettiin vakoilemiseen ainakin 50 maassa, joiden joukkoon kuuluu myös Nato-maita. FSB oli saanut ohjelman ujutettua monien valtioiden, tutkimuslaitosten ja tiedotusvälineiden tietokonejärjestelmiin.
Lue lisää: Yhdysvallat kertoo tehneensä vaarattomaksi Venäjän tiedustelupalvelun 20 vuotta käyttämän haittaohjelman
Päällikkö Janne Allonen liikenne- ja viestintävirasto Traficomin kyberturvallisuuskeskuksesta kertoo, että Snake-haittaohjelmaa ei ole havaittu Suomessa Yhdysvaltojen julki tuoman tapauksen yhteydessä. Allosen mukaan Yhdysvallat on aikonut olla yhteydessä maihin, joissa Snake-haittaohjelma on vaikuttanut. Ainakaan vielä keskiviikkona yhteydenottoa ei Allosen mukaan ollut tullut.
– Kyllä nämä ovat aina merkittäviä juttuja, kun tällaisia julkaistaan. Näissä asioissahan kansainväliset viranomaiset tekevät koko ajan yhteistyötä kyberuhkatoimijoiden menetelmien paljastamisessa ja tietoisuuden jakamisessa ylipäätään, Allonen sanoi.
Yhdysvaltojen kyberpuolustusvirasto Cisan mukaan Snake oli Venäjän edistyksellisin kybervakoilun työkalu, jota oli äärimmäisen vaikea havaita tietokoneissa ja tietoverkoissa. Sitä oli myös helppo päivittää ja muokata.
– Siinä mielessä nämä ovat aina vähän kehittyneempiä ja vaikeammin havaittavissa, kun kyseessä on valtiollinen toimija. Heillä keinot ovat erilaiset ja metodit sekä tavoitteet poikkeavat yksittäisestä toimijasta. Siellä on rahat, keinot, halu ja tahtotila, Allonen kommentoi.
"He ovat kärkikastia"
Yhdysvaltojen mukaan haittaohjelman kehityksen takana on FSB:n alainen yksikkö. Tietoturvayhtiö WithSecuren vanhempi tutkija Sami Ruohonen kertoo, että tarkemmin sanottuna kyseessä on FSB:n Center 16:n alla toimiva ryhmä, joka on julkisesti tunnettu nimellä Turla. Ruohosen mukaan Turla on harjoittanut tiedustelutoimintaa kybermaailmassa ainakin vuodesta 2004.
– Tähän tiedustelutoimintaan kuuluvat myös kyberhyökkäykset, Ruohonen kertoo.
Yhdysvaltojen oikeusministeriön tiistaina julkaiseman lausunnon mukaan FSB:n virkailijat ovat suorittaneet Snakella operaatioita Rjazanissa Venäjällä sijaitsevista FSB:n tiloista käsin. Rjazan sijaitsee parisataa kilometriä kaakkoon Moskovasta.
Lue myös: Uudella ohjelmalla vakoiltu useissa maissa oppositiota ja toimittajia
Ruohosen mukaan tutkintojen perusteella on tehty johtopäätös, että Snake on Turla-ryhmän ehdottomasti kehittynein haittaohjelma.
– Tällaisia haittaohjelmia ei nähdä usein. Tätä ei pysty mitenkään vertaamaan esimerkiksi harrastelijoiden luomiin haittaohjelmiin, joita saa darknetistä tai voi ladata jostain avoimesta lähteestä. Tämän takana on kehitystiimi. Sanoisin, että he ovat kärkikastia, mitä tulee hakkeriryhmiin ja niiden kyvykkyyksiin.
Käytetty korkean profiilin kohteisiin
Ruohosen mukaan Snake-haittaohjelma sallii operaattorin kerätä tietoa uhrin koneelta, vakoilla konetta, poistaa koneelta tiedostoja tai lisätä niitä, sulkea prosesseja tai ajaa komentoja uhrin koneella tai palvelimella.
– Eli käytännössä vakoilla tai ohjata tarpeen vaatiessa, hän summaa.
Snake-haittaohjelma on kehitetty vuosina 2003–2004 ja otettu käyttöön 2004, Ruohonen kertoo. Hän kuvaa Snaken toimineen käyttöönotostaan lähtien FSB:n kybertiedustelun selkärankana ja vaikuttaneen myös muihin FSB:n työkaluihin.
– Sitä on käytetty korkean profiilin kohteita vastaan ja se on myös rakennettu siihen. Puhutaan vieraiden valtioiden organisaatioista, kriittisestä infrastruktuurista, tutkimuslaitoksista, oppilaitoksista, sitä on myös käytetty journalisteja vastaan vakoilutarkoituksissa.
"Tehokas isku"
Ruohosen mukaan Yhdysvaltain liittovaltion poliisi FBI on yhdessä kansainvälisten kumppaniensa kanssa selvittänyt, miten Snake-haittaohjelmia sammutetaan. FBI kumppaneineen myös sammutti niitä maailmanlaajuisesti muutama päivä sitten, Ruohonen kertoo.
– Tämä on tehokas isku käynnissä oleviin Turla-operaatioihin, joissa Snake on käytössä. Hyökkääjä ei saa sammutettuja haittaohjelmia uudestaan käyntiin, vaan hyökkäys tulee siltä osin aloittaa alusta.
Yhdysvallat on myös julkaissut kattavasti tunnisteita, joilla Snake-haittaohjelman ja hyökkäykset voi havaita.
– Tämä ei ole kuolettava isku, mutta aiheuttaa takapakkia esimerkiksi siinä, että tällä hetkellä olemassa olevat operaatiot ovat vaarassa, koska nyt tiedetään miten Snake tunnistetaan. FSB:n uusiin operaatioihin pitää miettiä eri työkaluja ja kehittää mahdollisesti uusia, Ruohonen sanoo.
– FSB saattaa ottaa Snaken uudestaan käyttöön, jos he sijoittavat tarpeeksi resursseja siihen, että muokkaavat sitä siinä määrin, että voivat kiertää tiedetyt tunnisteet. Se on kuitenkin paljon resursseja vaativa operaatio.