Mikael Albrecht

Teollisuusvakoilu kyberaikakaudella

Kyberrikokset-palstalla kerrotaan, miten teollisuusvakoilija toimii.

Tavallinen netinkäyttäjä törmää pääasiassa kyberrikollisiin, jotka tavoittelevat rahallista hyötyä. Näille rikollisille suuret volyymit ovat hyvän tuoton avain, koska vain pieni osa kohteista lankeaa ansaan. Ja heille on samantekevää, kenen rahat he vievät. Suuryrityksen tietoturvajohtaja elää kuitenkin erilaisessa maailmassa. Tietoa tavoittelevat teollisuusvakoojat ovat hänelle paljon suurempi päänvaiva. Vakoojilla on osittain samat työkalut, mutta täysin erilaiset tavoitteet. Vakoojat joutuvat työskentelemään kohdistetusti ja määrätietoisesti, koska haluttu tieto löytyy vain tietystä paikasta.

Hyökkäys alkaa kohteen tutkimisella

Vakooja tarvitsee tien sisään yritykseen, ja heikoin lenkki on yleensä ihminen. Kohteeksi valittu henkilö ei kuitenkaan välttämättä ole huippusalaista tietoa käsittelevien joukossa, sillä todennäköisesti joku muu on helpompi kohde. Esivalmisteluihin kuuluu muutaman työntekijän nimen, yhteystietojen ja työtehtävien selvittäminen. Näiden tietojen avulla voidaan esimerkiksi luoda uskottavampi salasanojen kalasteluhyökkäys. Kaikki ovat tottuneet suurten sähköpostitoimittajien virheilmoitusta matkivaan kalasteluun. Tässä tapauksessa valitaan ehkä pienempi foorumi, jossa kohdehenkilö ja muut saman alan asiantuntijat keskustelevat. Tekaistuun kirjautumissivuun syötetty tunnus ja salasana saattavat hyvin olla samoja, joita kohdehenkilö käyttää muissakin järjestelmissä. Tai vaihtoehtona on tekaistu viesti, joka näyttää tulevan kollegalta mutta sisältää vakoiluohjelmalla varustetun Excel-tiedoston.

Määrätietoisuus erottaa vakoojan tavallisesta kyberrikollisesta. Vakoojalle on olennaista päästä tiettyyn yritykseen, eikä hän luovuta, vaikka ensimmäinen kohdehenkilö ei olisi petkutettavissa. Hän yleensä pääsee tavoitteeseensa ennemmin tai myöhemmin ja saa työntekijän tietokoneen tai sähköpostitilin haltuunsa. Tämä on merkittävä askel kohti varsinaista päämäärää.

Hallussa oleva työntekijä antaa paljon uutta tietoa yrityksestä, sen työntekijöistä ja IT-arkkitehtuurista. Hyökkääjä voi esimerkiksi selailla läpi sekä lähetetyt että vastaanotetut sähköpostit ja päätellä kenen kanssa työntekijä kommunikoi. Tämän jälkeen edetään lähettämällä tekaistuja viestejä uhrin nimessä, pyydetään tietoa ja yritetään murtautua muihin tileihin tai koneisiin. Tällä tavalla edetään pikkuhiljaa kohti sitä osastoa, jossa arvokas tieto käsitellään.

Eräs vakoojan tärkeimmistä tavoitteista on toimia mahdollisimman huomaamattomasti. Hän peittää jälkeensä esimerkiksi poistamalla petolliset viestit kaapatuista tileistä. Hän välttää varsinaisten haittaohjelmien käyttöä, koska ne voisivat laukaista hälytyksen virustorjunnassa. Niiden sijasta käytetään tavallisia ylläpitäjän työkaluja.

Vakoilun torjunta on haastavaa

Tällaisen hyökkääjän torjunta asettaa uusia haasteita. Työntekijöiden osaaminen ja valppaus ovat paras suoja alkuvaiheessa, koska helpoin tie sisään on yleensä jonkun ihmisen huijaaminen. Perinteinen virustorjunta ei pure salasanojen kalasteluun eikä työntekijöiden hölmöilyyn. Se ei myöskään pure taitavan hakkerin etenemiseen verkon sisällä, mutta hankaloittaa hänen työtään, koska käytetyt työkalut on valittava tarkemmin. Tällaisen hyökkäyksen havaitsemiseen tarvitaan järjestelmiä, jotka pystyvät korreloimaan dataa koko organisaatiosta ja havaitsemaan epäilyttäviä tapahtumasarjoja.

Vakooja ottaa tarvittavat tiedot ja dokumentit talteen onnistuneen mission päätteeksi. Hän voi tässä vaiheessa joko peittää jälkensä ja poistua järjestelmistä tai jäädä tarkkailemaan tilannetta uuden tiedon toivossa. Molemmissa strategioissa on hyvät ja huonot puolensa. Hakkerin näkökulmasta parasta olisi, jos kohdeyritys ei havaitse, että sitä on hakkeroitu ja tietoa vuotanut. Toisaalta järjestelmään jääminen voi paljastaa uutta arvokasta tietoa. Se lisää kuitenkin kiinnijäämisen riskiä, ja tieto operaatiosta saattaa auttaa kohdeyritystä suojautumaan tietovuodon haittoja vastaan.

Olisi helppoa ajatella, että tällaiset uhkakuvat ovat lähinnä huippututkimusta tekevien suuryritysten päänsärky, mutta se on harha. Nykypäivän talous perustuu kasvavassa määrään alihankintaan, ja suuryrityksessä on usein satoja alihankkijoita. Monella heistä on jonkinlainen pääsy suuryrityksen tietoverkkoon, mikä usein on välttämätöntä tehokkaan työn varmistamiseksi. Tämä tekee heidän työntekijöistään yhtä hyviä portteja verkkoon kuin kohdeyrityksen omat työntekijät.

 
Julkaistu 14.6.2019
Sivun alkuun |