Adobe on julkaissut päivitykset Adobe Flash Player -ohjelmistoon.
Päivityksissä on korjattu kolme haavoittuvuutta, jotka voivat mahdollistaa
kohdejärjestelmän haltuunoton. Adobe on luokitellut päivityksen kriittiseksi
(critical).
Päivitys estää myös Rosetta Flash -nimisellä työkalulla toteutettavan
hyökkäyksen, jonka avulla on mahdollista paljastaa JSONP-tekniikkaa
hyödyntävän palvelun käyttämät evästeet.
Länsimaisia energiasektorin organisaatioita vastaan on ainakin helmikuusta
2013 lähtien ollut käynnissä taitavasti ja hyvin resurssein toteutettu
kybervakoilukampanja. Suomessa kampanjasta ei ole löytynyt merkkejä.
Kyberturvallisuuskeskus seuraa tilannetta.
Tilanteen yleiskuva ja vakavuus
Syyskuusta 2013 lähtien useat tietoturvayritykset ovat raportoineet
pääasiassa länsimaisiin energia-alan yrityksiin ja organisaatioihin
kohdistuvasta kybervakoilukampanjasta. Tietoturvayritys Symantec arvioi
kampanjan olleen käynnissä helmikuusta 2013 lähtien ja kampanjan
jatkumisesta tehdään maailmalla havaintoja edelleen.
Vakoilukampanja on huolestuttava useasta syystä. Kampanjan toteuttajilla
vaikuttaa olevan hyvät resurssit ja paljon teknistä osaamista. Energia-ala
on osa yhteiskuntien kriittistä infrastruktuuria, mutta edelleenkin alan
teollisuusautomaatiojärjestelmien ohjelmistojen virheitä paikataan varsin
harvakseltaan. Vaikka järjestelmien valmistajat tekevätkin korjauksia
tuotteisiinsa, korjauksia otetaan käyttöön hitaanlaisesti. Näin ollen
käytössä olevat järjestelmät saattavat pysyä haavoittuvina tunnetuille
hyökkäyksille sekä saastuneina pitkään. Vakoilun lisäksi haittaohjelmilla on
mahdollista aiheuttaa myös suoraa vahinkoa saastuneille järjestelmille ja
niiden käyttäjille.
Viestintäviraston Kyberturvallisuuskeskus on etsinyt tietoturvaloukkausten
havainnointijärjestelmästään (HAVARO) jälkiä kampanjasta. Suomalaisia
organisaatioita ja yrityksiä kampanja ei näytä tähän mennessä koskeneen.
Kyberturvallisuuskeskus jatkaa tilanteen seuraamista.
Kybervakoilukampanjan tekijät
Vakoilukampanjan toteuttajana on useiden arvioiden mukaan jokin valtiollinen
toimija: hyökkäykset ovat hyvin suunniteltuja, erittäin pitkäjänteisiä ja
teknisesti taidokkaita. Tekijöillä on ilmeisesti hyvin resursseja
käytettävissään. Tekijöiden arvioidaan olevan peräisin itäisestä Euroopasta.
Tähän viittaavat useat havainnot toteuttajaryhmän toiminnan painottumisesta
arkipäiville kello 9-18 Moskovan aikaa (UTC +04:00). Tietoturvayritys
Symantec kutsuu toteuttajaryhmää nimellä Dragonfly ja tietoturvayritys
CrowdStrike nimellä Energetic Bear.
https://www.viestintavirasto.fi/tietoturva/tietoturvanyt/2014/07/ttn20140703
1521.html
Vakavimpien haavoittuvuuksien onnistunut hyväksikäyttö saattaa mahdollistaa
hyökkääjän ohjelmakoodin suorittamisen tai kohteen saattamisen
palvelunestotilaan.
Päivitysten korjaavat haavoittuvuudet liittyvät pääasiassa puuttelliseen
muistinhallintaan ja syötteiden käsittelyyn.
Päivitetyt versiot korjaavat useita virheitä tai haavoittuvuuksia, joiden
onnistunut hyväksi käyttö voi johtaa palvelunestotilaan tai hyökkääjän
ohjelmakoodin suorittamisen.