AfterDawn logo

Suojelupoliisilta uusi kybervaroitus: FSB iskee huonosti suojattuihin yritysreitittimiin

Janne Yli-Korhonen Janne Yli-Korhonen

Suojelupoliisi, Puolustusvoimien sotilastiedustelu ja niiden kansainväliset kumppanit, kuten Yhdysvaltojen tiedustelupalvelu NSA, ovat julkaisseet yhteisen varoituksen Venäjän valtiollisesta kybervakoilusta.

Tiedotteen mukaan Venäjän kybertoiminta kohdistuu määrätietoisesti huonosti suojattuja reitittimiä ja muita haavoittuvia verkkolaitteita vastaan. Tällä kertaa esille nostettu kyberuhka kohdistuu kuitenkin ensisijaisesti yritystason verkkolaitteisiin.

Varoituksen tarkoituksena onkin kannustaa laitteiden omistajia ja tietoturva-asiantuntijoita vähentämään omilla toimillaan verkkovakoilun mahdollisuuksia. Julkaistussa varoituksessa haitallinen toiminta liitetään suoraan Venäjän liittovaltion turvallisuuspalvelu FSB:n 16. keskukseen. Yksityiset tietoturvayritykset seuraavat tämän ryhmän verkkovakoilua muun muassa nimillä Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard ja Static Tundra.


FSB:n kybertoiminta on erittäin pitkäaikaista, ja sen kohteena ovat erityisesti kriittisen infrastruktuurin eri osa-alueet, kuten energia-ala ja puolustusteollisuus. Tiedustelupalvelut painottavat, että kohteet valikoituvat osittain opportunistisesti sen mukaan, mihin suojaamattomiin laitteisiin FSB:n kybertoimijat onnistuvat kulloinkin tunkeutumaan verkkoa skannaamalla.

Teknisessä analyysissään viranomaiset kuvailevat hyökkääjien etsivän internetistä aktiivisia Simple Network Management Protocol eli SNMP-hallintaprotokollan vanhoja v1- tai v2-versioita hyödyntäviä laitteita, jotka vastaavat pyyntöihin oletusarvoisilla tai yleisillä yhteisömerkkijonoilla. Onnistuneen sisäänpääsyn jälkeen hyökkääjä käyttää OID-tunnuksia komentamaan reitittimen kopioimaan oman konfiguraatiotiedostonsa ja siirtämään sen TFTP-protokollalla eteenpäin hyökkääjän virtuaalipalvelimelle tai kaapatulle FTP-palvelimelle.

Automaattisen skannauksen ohella ryhmä hyödyntää toisinaan tunnettuja haavoittuvuuksia sekä Ciscon laitteiden Smart Install -toiminnallisuutta.

Verkkovakoilun torjumiseksi Suomen tiedusteluviranomaiset kehottavat yrityksiä ja organisaatioita huomioimaan verkon reunalaitteisiin kohdistuvan uhan ja tekemään teknisiä korjausliikkeitä. Vanhentuneet SNMPv1- ja v2-protokollat tulisi poistaa kokonaan käytöstä ja korvata SNMPv3-versiolla.

Laitteiden paikallisilla tileillä on käytettävä vahvoja, uniikkeja salasanoja, ja esimerkiksi Ciscon laitteissa tunnukset tulee suojata Type 8 -muodolla turvattomien Type 0, 4 ja 7 -vaihtoehtojen sijaan. Lisäksi alkumääritykseen tarkoitettu Cisco Smart Install -ominaisuus on poistettava käytöstä, ja reunalaitteiden hallintayhteyksiä internetistä pitää rajoittaa estämällä palomuurissa liikenne kriittisissä porteissa.

Tämä uusi varoitus on jatkoa Venäjän jatkuvalle kyberuhalle. Huhtikuussa uutisoimme laajasta kansainvälisestä operaatiosta, jossa Suojelupoliisi ja Traficomin Kyberturvallisuuskeskus olivat mukana hajottamassa Venäjän sotilastiedustelupalvelu GRU:hun kytketyn ryhmän maailmanlaajuista vakoiluverkostoa.


Tuolloin hyökkäys kohdistui tavallisten suomalaisten kotireitittimiin ja erityisesti TP-Linkin laitteiden kriittiseen haavoittuvuuteen, jonka avulla hyökkääjät muuttivat reitittimien nimipalveluasetuksia ja kykenivät urkkimaan käyttäjien verkkoliikennettä.

KOMMENTOI

Haluatko kommentoida tätä artikkelia?
Kirjaudu sisään tai Luo uusi käyttäjätunnus.

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki