Kyberturvallisuuskeskuksen saamien tietojen perusteella Suomessa on viime aikoina havaittu JSocket RAT -haittaohjelmatartuntoja. JSocket RAT-haittaohjelmaa on levitetty sähköpostin liitetiedostojen avulla. Usein yhdistävänä tekijänä haitallisissa sähköpostiviesteissä on ollut niiden liittyminen taloudellisiin asioihin (laskut, tilaukset). JSocket RAT-haittaohjelma antaa saastuneen laitteen täydet hallintaoikeudet hyökkääjälle.

JSocket RAT on niin sanottu Remote Access Tool (RAT), joka pystyy saastuttamaan useita käytetyimpiä käyttöjärjestelmiä sekä Android-laitteita. Haittaohjelma antaa hyökkääjälle saastuneen laitteen täyden hallinnan. Hyökkääjä saa esimerkiksi pääsyn laitteelle tallennettuihin tiedostoihin sekä saa hallintaansa laitteen kameran, GPS-paikkatiedon ja mikrofonin.

JSocket RAT on kaupallistettu haittaohjelma eli sitä hyökkäyksissä käyttävät tahot ovat ostaneet kyseisen haittaohjelman. Haittaohjelman levittäjät voivat itse tämän jälkeen mukauttaa haittaohjelmaa esimerkiksi vaihtamalla sen nimeä, levitystapaa ja käytettävää sähköpostikampanjaa. Tästä syystä JSocket RAT -haittaohjelman tunnistetiedot saattavat vaihtua usein. Eri tietoturvatuotteissa haittaohjelma saattaa tunnistua mm. nimellä Adwind.P., AlienSpy, Frutas tai Unrecom. Kyberturvallisuuskeskuksen tiedossa on myös versioita, jotka eivät ole tunnistuneet virustorjuntaohjelmistoissa.

JSocket RAT-haittaohjelmaa on levitetty pääosin sähköpostin liitetiedostojen välityksellä. Useimmiten haittaohjelman levityksessä käytettävät viestit ovat liittyneet usein laskutus- tai maksuaiheisiin, kuten esimerkiksi laskuihin ja tilauksiin. Saapuneet liitetiedostot ovat tyypiltään .jar -tiedostoja mutta tiedostopääte on voitu pyrkiä piilottamaan tai liitetiedosto on voitu pakata zip-tiedostoon. Älypuhelimiin JSocket RAT-haittaohjelma voi myös tarttua virallisten sovelluskauppojen ulkopuolelta asennettujen sovellusten kautta.

Ohjeita loppukäyttäjille:

• Suhtaudu varauksella tuntemattomilta lähettäjiltä tuleviin sähköpostiviesteihin.
• Älä klikkaa viestien epäilyttäviä liitteitä tai linkkejä auki
• Älä asenna mobiililaitteisiin sovelluksia virallisten sovelluskauppojen ulkopuolelta

Ohjeita tietohallinnolle ja ylläpitäjille:

• Ohjeista käyttäjiä sähköpostin liitetiedostojen avaamiseen liittyvistä riskeistä.
• Salli sovellusten asentamisen mobiililaitteisiin vain virallisista sovelluskaupoista.
• Varmista, että organisaatioon sisään tuleva sähköpostiliikenne analysoidaan haittaohjelmien varalta.
• Varmista, että työasemien paikalliset virustorjuntaohjelmistot ovat toiminnassa ja päivitetty viimeisimmillä haittaohjelmatunnisteilla.

Epäilyttävistä haittaohjelmaviesteistä kannattaa ilmoittaa Viestintäviraston Kyberturvallisuuskeskukselle ja lähettää mahdollisuuksien mukaan näyte salasanasuojatussa zip-tiedostossa osoitteeseen cert(at)ficora.fi. Jos haittaohjelmatartunta on ehtinyt tapahtua, irrota kone verkosta, mutta älä sammuta konetta. Kyberturvallisuuskeskus suosittelee tekemään rikosilmoituksen mahdollisista tartunnoista.

Valtionhallintoon ja elinkeinoelämään kohdistettujen haittaohjelmahyökkäysten seuraaminen ja selvittely on keskeinen osa Viestintäviraston Kyberturvallisuuskeskuksen toimintaa. Käsiteltyjen tapausten määrä kaksinkertaistui vuodesta 2014 vuoteen 2015.

Viestintäviraston Kyberturvallisuuskeskus vastaanottaa ja käsittelee kohdistettuihin hyökkäyksiin liittyviä tietoja päivittäin. Keskeinen tietolähde on Kyberturvallisuuskeskuksen vakavien tietoturvaloukkausten havainnointipalvelu (HAVARO), jonka avulla havaitaan palveluun liittyneisiin yrityksiin ja valtionhallintoon kohdistuvia uhkia. "Elinkeinoelämän ja valtionhallinnon kyky havaita kohdistettuja hyökkäyksiä ja niiden yrityksiä on parantunut viime vuosien aikana merkittävästi", toteaa Kyberturvallisuuskeskuksen johtaja Jarkko Saarimäki.

Tapausten selvittelyssä tehdään aktiivista viranomaisyhteistyötä keskeisten suomalaisten turvallisuustoimijoiden kanssa. Myös kansainvälinen yhteistyö on tiivistä. Viime päivinä esillä olleet kohdistetut hyökkäykset ja niiden toimintaperiaatteet ovat tunnettuja Kyberturvallisuuskeskukselle useista eri yhteyksistä.

Havaitseminen edellyttää valppautta

Kybertoimintaympäristössä tapahtuva laiton tiedonhankinta on tullut osaksi internetin arkipäivää. Yleisimmät hyökkäykset perustuvat loppukäyttäjän huijaamiseen. Parhaita suojautumiskeinoja ovat riittävästä havainnointikyvystä huolehtiminen, käyttäjien tietoisuuden lisääminen ja hyvien tietoturvakäytäntöjen ylläpitäminen.

Lisää aiheesta

• Raportti kohdistettujen haittaohjelmahyökkäysten uhkasta (katsaus 1.10.2014)
• Kohdistetut hyökkäykset ovat pitkäkestoisia ja niiden kehitys on jatkuvaa (TTN 17.09.2015)
• Kohdistetut haittaohjelmat ovat nykyvakoilun arkipäivää (katsaus 15.5.2014)

Tuen loppuminen tarkoittaa sitä, että selaimen vanhemmille versioille ei enää julkaista tietoturvapäivityksiä.

Microsoft on lopettanut 12.1.2016 alkaen tuen muilta kuin uusimmalta Internet Explorer (11) -selaimen versiolta. Tuen loppumisen myötä vanhemmille versioille ei enää julkaista tietoturvapäivityksiä, eikä niille tarjota teknistä tukea. Internet Explorer -selaimen versio 11 on saatavilla Windows 7, Windows 8.1 ja Windows 10 -käyttöjärjestelmille.

Kriittisten tietoturvapäivitysten puuttuminen altistaa tietokoneen erilaisille haittaohjelmille, jotka voivat mm. varastaa tai vahingoittaa tietokoneella säilytettäviä tietoja.

Kotikäyttäjälle helpoin tapa päivittää selain uusimpaan versioon on pitää Windowsin automaattiset päivitykset -ominaisuus käytössä. Mikäli ominaisuus on käytössä, on selain todennäköisesti jo päivittynyt uusimpaan versioon. Automaattiset päivitykset saa päälle Windowsin ohjauspaneelin kautta.

Ohje: Mikä Internet Explorerin versio tietokoneessani on käytössä?

Lisätietoja:

• https://www.microsoft.com/en-us/WindowsForBusiness/End-of-IE-support