News kohteet joissa tunniste: "haittaohjelma"

Kiristyshaittaohjelmat rantautuivat Android-puhelimiin

Tunnisteet: tietoturva, haittaohjelma, matkapuhelin

Mobiilihaittaohjelmien yleistymistä on ennustettu jo vuosia. Nyt on havaittu viitteitä ensimmäisestä suomalaisiin käyttäjiin kohdistetusta Android-haittaohjelmakampanjasta. Puhelinten haittaohjelmiin tepsivät samat suojakeinot kuin perinteisiin haittaohjelmiin.

Poliisin nimissä esiintyvät kiristyshaittaohjelmat ovat tulleet viime vuosien aikana tietokoneissa etenkin Windows-käyttäjien riesaksi. Vastaavia haittaohjelmia on viimeisen vuoden aikana levitetty myös yleisiin Android-puhelimiin. Nyt ainakin yhtä näistä haittaohjelmista, Koler lockeria, on havaittu yhä enenevissä määrin myös Suomessa.

Koler lockerista eroon palauttamalla puhelin tehdasasetuksiin

Koler locker on vuonna 2012 suomalaisia käyttäjiä kiusanneen Reveton-haitakkeen kaltainen kiristyshaittaohjelma. Se lukitsee käyttäjää pelottelevan varoitusviestin näytölle, eikä päästä käyttäjää muihin puhelimen sovelluksiin. Haittaohjelma vaatii rahaa puhelimen avaamisesta, ja väittää salanneensa puhelimen sisältävät tiedot. Haittaohjelmasta pääsee kuitenkin eroon käynnistämällä puhelimen vikasiteotilassa tai palauttamalla sen tehdasasetuksiin.

Kuva: Kole locker tartunta suomalaisessa Android-puhelimessa. Jos päätelaitteessa on tallennettuja yhteystietoja, liitetään niistä kaksi mukaan kiristysviestiin saatesanoilla "Joitakin yhteystietoja voidaan kuulustella todistajana:". Jos laitteeseen on määritelty omistaja, niin myös tämä tieto esitetään omalla rivillä.

Mobiilihaittaohjelmien leviäminen

Tähän mennessä haittaohjelmaa on levitetty videolinkkien avulla. Käyttäjää pyydetään asentamaan videon katsomiseen tarkoitettu sovellus virallisen sovelluskaupan ulkopuolelta. Samanlaista tekniikka on käytetty jo vuosia perinteisten haittaohjelmien levityksessä. Vastavasti tutut opit tepsivat haittaohjelmalta suojautumiseen.

Mobiilihaittaohjelmien yleistymistä on ennustettu jo vuosia. Tämän vuoden aikana on nähty jo kaksi suomalaisiin käyttäjiin vaikuttanutta mobiilihaittaohjelmakampanjaa: Applen laitteisiin pesiytynyt XcodeGhost ja Android-laitteita vaivaava Koler locker.

Mobiilihaittaohjelmilta suojautuminen

Mobiilikäyttäjien on syytä laitteitaan käyttäessään palauttaa mieliinsä tietokoneiden käytöstä tutut opit. Laite ja sen ohjelmistot kannattaa pitää päivitettyinä mahdollisuuksien mukaan. Tieototurvaohjelmiston käyttö Android-pohjaisissa mobiililaitteissa voi myös tarjot lisäsuojaa haittaohjelmia vastaan. Ohjelmia kannattaa asentaa harkiten, erityisesti virallisten sovelluskauppojen ulkopuolisten sovellusten osalta. Yllättäen saadut linkit, ponnahdusikkunat tai pyynnöt asentaa sovelluksia voivat olla merkki haittaohjelmaoperaatiosta tai huijauksesta.

Aiheesta on julkaistu tietoja ja toimintaohjeita muun muassa Keskusrikospoliisin Kyberrikostorjuntakeskuksen Twitter- tilin kautta

Lisätietoja:

"Police Ransomware" Expands To Android Ecosystem

Android “police warning” ransomware – how to avoid it, and what to do if you get caught

Tietoturva nyt! 5.2.2015: Suomessa liikkuu runsaasti CTB-Locker-haittaohjelmaa - Älä avaa epäilyttäviä sähköpostiliitteitä

17.10.2013 Kiristyshaittaohjelmista on tullut maailmanlaajuinen ongelma

Tietoturva nyt! 8.3.2012: Haittaohjelma vaatii rahaa Suomen poliisin nimissä - älä maksa

[Teema] Muistilista verkkorikoksilta suojautumiseen

https://twitter.com/Kyberkeskus

https://twitter.com/JyrkiKaipanen/status/662294472903024640

http://www.puhelinvertailu.com/uutiset/2015/11/08/ksml-kiristyshaittaohjelma-levinnyt-suomalaisten-alypuhelimiin

http://www.mtv.fi/uutiset/rikos/artikkeli/ksml-krp-varoittaa-alypuhelimien-kiristyshaittaohjelmasta/5547432

Päivityshistoria

  • 01.12.2015 klo 20:02
    Julkaistu
Lue lisää

PageFair-analytiikkapalvelun tietomurto johti haittaohjelmien levitykseen

Tunnisteet: tietoturva, haittaohjelma, tietomurto

Useat verkkosivut ovat levittäneet haittaohjelmaa PageFair-analytiikkapalvelun tietomurron seurauksena. Verkkosivujen joukossa on myös suosittuja suomalaisia sivustoja.

Verkkosivustoilla käytettävä PageFair-analytiikkapalvelu joutui tietomurron uhriksi 1.11.2015 kello 01:52 suomen aikaa. Hyökkääjät vaihtoivat palvelun asiakkaiden verkkosivuille tarjoaman Javascript-ohjelmakoodin haittaohjelmaa levittävään koodiin. Haitallinen ohjelmakoodi tarjosi kävijälle Adobe Flash Playerin päivitykseksi väitettyä haittaohjelmaa. Käyttäjän on täytynyt itse avata tarjottu adobe_flashplayer_7.exe -tiedosto. PageFair kertoo, että ongelma korjaantui 03:15 suomen aikaa.

Alma Media julkaisi tiedotteen, jonka mukaan heidän tietyissä verkkopalveluissaan on käytetty PageFair-analytiikkapalvelua.

Haitallisen ohjelmakoodin kautta ladattu haittaohjelma on Kyberturvallisuuskeskuksen tietojen mukaan NanoCore RAT, jonka avulla uhrin tietokone saadaan täysin haltuun ja sieltä voidaan varastaa tietoja, kuten käyttäjätunnuksia ja salasanoja. Haittaohjelman käyttämä komentopalvelin on alotpro2.dynu.com ja sen IP-osoite on 45.35.34.148. Haittaohjelma käyttää kommunikointiin TCP porttia 9994. Useimmat antivirustuotteet tunnistavat tämän haittaohjelman.

Verkkosivut käyttävät usein kolmannen osapuolen tarjoamia palveluita, jotka lisäävät sivuille sisältöä, mukaan lukien Javascript-koodia, joka haetaan kolmansilta osapuolilta. Kun kävijä vierailee tällaisella verkkosivuilla, ladataan sivun sisältö usealta eri palvelimelta ja palveluntarjoajalta. Tällöin verkkosivun tietoturva on riippuvainen myös kolmansien osapuolien tietoturvasta.

Päivityshistoria

  • 03.11.2015 klo 09:42
    Julkaistu
Lue lisää

Heikosti ylläpidetyt kotireitittimet ovat verkkorikollisten kohteena - osa 1

Tunnisteet: tietoturva, haittaohjelma, kyberturvallisuus, bottiverkko

Laajakaistamodeemien, WLAN-tukiasemien ja muiden kotireitittimien tietoturvaan tulee kiinnittää huomiota, sillä ne voidaan valjastaa helposti osaksi palvelunestohyökkäystä. Turvattomiin kotireitittimiin pesiytynyt haittaohjelma voi myös ohjata käyttäjänsä haitallisille nettisivuille tai louhia reitittimen avulla bitcoineja. Useiden laitteiden asetukset on kuitenkin mahdollista säätää oletusasetuksia turvallisemmiksi. Viimeistään kotireitittimen uudelleenkäynnistys poistaa sinne päässeet haittaohjelmat.

Kotireitittimien tietoturvaa koskevan artikkelin ensimmäisessä osassa tarkastellaan oletussalasanojen ja haavoittuvuuksien aiheuttamia ongelmia. Lisäksi kerrotaan vinkkejä kotireitittimien tietoturvallisiin asetuksiin.
 

Kotireititin voi osallistua palvelunestohyökkäykseen

Useissa kotireitittimissä on valitettavasti monia tietoturvaongelmia, joita hyödyntämällä on mahdollista esimerkiksi murtautua laitteeseen, valjastaa se brute force -murtoyrityksiin tai osaksi hajautettua palvelunestohyökkäystä (DDoS). Jotkin haittaohjelmat liittävät kotireitittimen osaksi roskapostia lähettävää bottiverkkoa tai louhivat hyökkääjälle bitcoineja. DNS-asetuksia muokkaavat reititinhaittaohjelmat puolestaan ohjaavat käyttäjänsä tietojenkalastelusivuille tai lisäävät näytettäville sivuille ylimääräisiä mainoksia.

Kotireitittimiä ovat muun muassa laajakaistamodeemit, kaapelimodeemit ja WLAN-tukiasemat. Myös WLAN-tukiasema voi näkyä internetiin, jos laajakaistamodeemi on siltaava. Kaikkiaan laitteiden kirjo on laaja, sillä käytössä on sekä operaattoreiden tarjoamia että kuluttajien itse ostamia laitteita.

Haavoittuvuus tai oletussalasana avaa pääsyn laitteeseen

Kotireitittimiä ylläpidetään tyypillisesti www-käyttöliittymästä, johon kirjaudutaan käyttäjätunnuksella sekä salasanalla. Käyttöliittymään tulisi päästä käsiksi ainoastaan sisäverkosta. Jos laitteessa on kytketty päälle etähallinta (remote administration), käyttöliittymä on saavutettavissa myös julkisesta verkosta.

Haittaohjelma voi tarttua sisäverkonkin kautta, jos esimerkiksi klikataan sähköpostissa tai verkkosivulla olevaa haitallista linkkiä, joka lähettää haavoittuvuutta hyödyntävän HTTP-pyynnön kotireitittimelle. Tällä tavoin onnistutaan esimerkiksi muokkaamaan laitteiden DNS-asetuksia, jolloin laitteet voivat ohjata käyttäjänsä väärennetyille tietoja kalasteleville sivustoille tai näyttää sivujen yhteydessä haitallisia mainoksia. Vastaavantyyppinen autentikoinnin ohittava haavoittuvuus on löytynyt vastikään useista Netgear-laitteista.

Laitteen oletussalasanat tulisikin vaihtaa välittömästi käyttöönoton yhteydessä. Rikolliset etsivät jatkuvasti verkosta laitteita, joissa on käytössä oletussalasana. Löytäessään sellaisen laitteen ne valjastavat sen osaksi bottiverkkoa.

Oletussalasanojen lisäksi tiettyihin kotireitittimiin valmistaja on jättänyt ylimääräisiä käyttäjätunnuksia, joita oma hallintaliittymä ei näytä. Jos rikollinen on saanut nämä tunnukset selville, laitteelle pääsy on mahdollista myös tällä tavoin.

Kotireitittimen ohjelmisto tulee pitää ajan tasalla

Kotireitittimet ovat sulautettuja järjestelmiä, jotka sisältävät pienitehoisille laitteille suunnitellun käyttöjärjestelmän. Myös näissä käyttöjärjestelmissä ja sovelluksissa on haavoittuvuuksia, joiden avulla toisen on mahdollista ottaa laite haltuunsa ja asentaa siihen haittaohjelmia. Tämän vuoksi laitteen ohjelmisto (firmware) kannattaa päivittää. Usein päivitykset sisältävät myös toiminnallisia parannuksia.

Uudelleenkäynnistys voi auttaa

Useimmat kotireitittimiin päässeet haittaohjelmat poistuvat laitteen muistista siinä vaiheessa, kun laitteesta katkaistaan virta. Näin kannattaa toimia esimerkiksi silloin, jos oma verkkoliikenne vaikuttaa hidastuvan.

Jos haittaohjelma on muokannut laitteen asetuksia, voi olla parasta palauttaa laite tehdasasetuksiin ja sitten päivittää se uusimpaan ohjelmistoversioon.

Näin tarkistat ja suojaat kotireitittimesi

  1. Päivitä kotireitittimen ohjelmisto eli firmware.
    • Usein päivitysten saatavuuden voi tarkistaa laitteen selainpohjaisesta hallintaliittymästä. Osa laitteista osaa hakea uuden version itse.
    • Osalla operaattoreista laajakaistamodeemit päivitetään automaattisesti. Näiden laitteiden ohjelmistoa ei tule päivittää itse.
    • Päivitysten saatavuuden voi tarkistaa myös valmistajan kotisivuilta. Päivitys ladataan valmistajan kotisivuilta ja päivitetään laitteeseen selainpohjaisen hallintaliittymän kautta.
    • Huomioi, että päivityksen jälkeen voit joutua palauttamaan yhteysasetukset takaisin itse, jotta internet-liittymä toimisi normaalisti. Operaattorin ohjeet yhteysasetuksiin kannattaa olla valmiina tätä varten.
       
  2. Jos laitteeseen ei ole saatavilla päivitystä ja se on kovin vanha, laite kannattaa vaihtaa uudempaan.
     
  3. Vaihda oletussalasanat uusiin ja turvallisempiin.
    • Monissa laitteissa on helposti arvattava oletussalasana, joita on listattu internetissä. Salasana on syytä vaihtaa uuteen, jotta ulkopuoliset eivät pääse kirjautumaan laitteeseen.
       
  4. Estä laitteen etähallinta (remote management) internetistä.
    • Laitteesta ja käyttöliittymän kielestä riippuu, löytyykö asetus esimerkiksi nimellä "remote management", "remote access" tai "etähallinta".
       
  5. Poista käytöstä ominaisuudet, joita et tarvitse.
    • Internetiin avoimena olevia kotireitittimen lisäominaisuuksia hyödynnetään hajautettujen palvelunestohyökkäysten tekemiseen. Kotireitittimen käyttämättömät lisäominaisuudet kannattaakin kytkeä pois käytöstä. Tarkasta ainakin UPnP, SNMP, SSDP, NetBIOS, NTP, multicast DNS (mDNS) ja RIPv1.
    • Joissakin laitteissa lisäominaisuudet on mahdollista kytkeä päälle vain sisäverkon suuntaan. Tämä parantaa laitteen turvallisuutta, koska lisäominaisuuksiin ei tällöin pääse käsiksi internetistä. Yleensä lisäominaisuudet pitää kuitenkin kytkeä kokonaan pois päältä.
    • Jos lisäominaisuus on toteutettu turvattomasti, laitteeseen voi päästä luvattomasti. Esimerkiksi UPnP voi tehdä mahdolliseksi sen, että kotiverkossa oleva haittaohjelma pääsee muokkaamaan reitittimen asetuksia.
       
  6. Katkaise virta kotireitittimestä poistaaksesi sinne mahdollisesti pesiytyneet haittaohjelmat.
    • Laitteiden pysyväismuistiin ei ole yleensä mahdollista kirjoittaa, joten useimmat haittaohjelmat katoavat uudelleenkäynnistyksen myötä.
       
  7. Tarkista kotireitittimesi nimipalvelinasetukset (DNS) luvattomien muokkausten varalta.
    • Useimmiten asetuksissa on oman operaattorisi DNS-palvelimen osoite. Asetukset on yleensä kerrottu operaattorin kotisivuilla tai laitteen mukana tulleissa ohjeissa.
    • Voit myös käyttää F-Securen Router Checker -työkalua osoitteessa https://campaigns.f-secure.com/router-checker/.
 

Yksityiskohtaisemmat ohjeet riippuvat käyttämästäsi laitteesta. Käyttöohjeet tulevat yleensä laitteen mukana. Tämän lisäksi ohjeita voi hakea laitevalmistajan tai operaattorin kotisivulta tai asiakastuesta. Tarvittaessa voit pyytää jotain tuttua tai tietokonetukipalvelua tarjoavaa yritystä auttamaan.

 

Hyökkääjä voi käyttää kotireititintä haitallisiin tarkoituksiin myös tiettyjä yhteydettömiä UDP-pohjaisia tietoliikenneprotokollia hyödyntämällä, jolloin laitteeseen ei tarvitse murtautua. Tällöin laitteen tietoturvallisten asetusten merkitys korostuu. UDP-pohjaisista palvelunestohyökkäyksistä kerrotaan enemmän tämän artikkelin toisessa osassa.

 

Sanasto

  • DDoS: Distributed Denial of Service. Hajautettu palvelunestohyökkäys.
  • DNS: Domain Name System. Nimipalvelu, jonka avulla verkkotunnus (esim. kyberturvallisuuskeskus.fi) voidaan muuttaa IP-osoitteeksi.
  • HTTP: HyperText Transfer Protocol. Tiedonsiirtoprotokolla, jonka avulla välitetään muun muassa www-sivuja.
  • NetBIOS: Network Basic Input Output System. Lähiverkon palveluiden toteuttamiseen käytetty ohjelmarajapinta.
  • NTP: Network Time Protocol. Internetissä kellonajan synkronointiin tarkoitettu protokolla.
  • mDNS: Multicast Domain Name System. Nimipalveluprotokolla verkkoihin, joissa ei ole omaa nimipalvelinta.
  • RIPv1: Routing Information Protocol version 1. Reititysprotokolla.
  • SSDP: Simple Service Discovery. Tietoliikenneprotokolla, joka mahdollistaa laitteiden ja palveluiden etsimisen lähiverkosta.
  • SNMPv2: Simple Network Management Protocol version 2. Verkkolaitteiden hallintaan käytetty protokolla.
  • UDP: User Datagram Protocol. Tietoliikenneprotokolla, joka ei vaadi yhteyden avausta tietokoneiden välillä ennen liikenteen lähettämistä.
  • UPnP: Universal Plug and Play. Joukko protokollia, jotka tekevät mahdolliseksi sen, että laitteet voivat löytää toisensa lähiverkossa ja jakaa esimerkiksi mediatiedostoja keskenään.
  • WLAN: Wireless Local Area Network. Langaton lähiverkko.

 

Lisätietoa

Päivityshistoria

  • 12.10.2015 klo 10:51
    Julkaistu
Lue lisää
.