Ukrainan hyökkäys näyttää maailmalle, mitä "hybridisota" tarkoittaa. Termin loi Frank Hoffman kuvaamaan sotaa, joka käydään useilla rintamilla: tavanomaisella sodankäynnillä, epäsäännöllisillä menetelmillä, kuten komennuksilla, ja kyberhyökkäyksillä. Kun tämä kauhistuttava hyökkäysnäytös jatkuu, nykyaikaisen sodan digitaaliset näkökohdat vaikuttavat moniin yrityksiin kaikkialla maailmassa.
Kun sireenit soivat Ukrainassa, myös organisaatioiden on annettava varoitushälytys kyberturvallisuustoimenpiteistään. Tässä kerrotaan, mitä organisaatioita on vastassa tässä hybridisodassa.
Pahanlaatuinen historia: "Pelkää ja odota pahinta"
Venäjä on jo pitkään käyttänyt verkkohyökkäyksiä painostustaktiikkana ja sijaissodan välineenä. Venäjän valtion tukemat hakkeriryhmät ovat tunnettuja massiivisista verkkohyökkäyksistä länsimaisia organisaatioita vastaan. Yksi viime vuosien suurimmista oli REvil-hakkeriryhmän vuonna 2021 tekemä lunnasohjelmahyökkäys yhdysvaltalaiseen Colonial Pipelineen .
Hiljattain 70 Ukrainan hallituksen verkkosivustoa turmeltui verkkohyökkäyksessä, jonka yhteydessä näytölle ilmestyi varoitusviesti, jossa luki "pelkää ja odota pahinta". Hyökkäyksen analyysissä havaittiin merkkejä siitä, että Venäjän tiedustelupalvelu oli osallisena, mutta Venäjä on sittemmin kiistänyt osallisuutensa.
Kieltäminen ja väärän tiedon antaminen ovat tyypillisiä sotataktiikoita, joita sekaannus käyttää "hajota ja hallitse" -periaatteella. Todisteet kuitenkin kasaantuvat: 74 prosenttia lunnasohjelmahyökkäyksistä vuonna 2021 kiristetyistä rahoista lähetettiin hakkereille, joilla oli yhteyksiä Venäjään. Jälkikäteen on pakko miettiä, laitettiinko nämä rahat sitten syrjään sotakassaksi?
Ukrainan hyökkäyksen edetessä Ukrainan hallitusta vastaan on tehty lisää kyberhyökkäyksiä. Microsoftin blogilausunto helmikuun 28. päivältä antaa lisätietoa:
"24. helmikuuta Microsoftin uhkatiedustelukeskus (MSTIC) havaitsi uuden kierroksen hyökkääviä ja tuhoisia kyberhyökkäyksiä, jotka kohdistuvat Ukrainan digitaaliseen infrastruktuuriin." Blogissa mainitaan, että osana näitä hyökkäyksiä on löydetty uusi haittaohjelmavariantti "FoxBlade".
Yksi asia on erittäin todennäköistä: Ukrainan hyökkäys on hybridisota, eikä kyberhyökkäyksiä pystytä rajoittamaan Ukrainan sisällä.
Varoittavat sireenit uusista verkkohyökkäyksistä
Eri puolilla maailmaa on julkaistu varoituksia ja neuvoja, joissa yrityksiä varoitetaan lisääntyneestä verkkohyökkäysten uhasta:
Yhdistyneessä kuningaskunnassa kansallinen kyberturvallisuuskeskus (NCSC) on julkaissut verkkosivustollaan ohjeen, jossa se kehottaa brittiläisiä yrityksiä vahvistamaan "kyberturvallisuuden kestävyyttä vastauksena Ukrainassa ja sen ympäristössä tapahtuneisiin haitallisiin kyberhyökkäyksiin"."
Yhdysvalloissa CISA (Cyber security and Infrastructure Security Agency) on julkaissut varoituksenShields Up' -kampanjasta uudesta Conti-nimisestä lunnasohjelmaryhmästä, jolla on yhteyksiä Venäjän tiedustelupalveluun:
"Conti-lunnasohjelman toimijat uhkaavat "kostotoimilla", jotka kohdistuvat kriittiseen infrastruktuuriin vastauksena "kyberhyökkäykseen tai mihin tahansa sotatoimiin Venäjää vastaan."
Australiassa kyberhyökkäyksen hälytystila on asetettu KORKEAKSI, ja hallitus toteaa, että yrityksiä "kannustetaan ottamaan kiireellisesti käyttöön tehostettu kyberturvallisuus".
Samoin eri puolilla Eurooppaa hallitukset varoittavat organisaatioita ja kansalaisia valmistautumaan verkkohyökkäyksiin.
Yksi huolenaihe näiden verkkohyökkäysten toteuttamisen helppoudesta on se, että Venäjän tukemat verkkorikolliset ovat käyttäneet vuosia haittaohjelmia koskevan tietotaidon kehittämiseen ja menestyksekkäiden hyökkäystaktiikoiden tiedusteluun.
Uusi haittaohjelma, onnistuneet taktiikat
Useita uusia venäläisiin hakkerijoukkoihin liittyviä haittaohjelmavaihtoehtoja on jo tunnistettu. Nämä näyttävät perustuvan tietojen poistamiseen ja/tai kiristysohjelmiin, ja ne ovat erittäin vahingollisia. Esimerkkejä ovat HermeticWiper ja WhisperGate-haittaohjelmat, jotka tuhoavat ja/tai pyyhkivät tietoja kokonaan. Toisessa, HermeticRansom-haittaohjelmassa, käytetään kiristystekniikoita haittaohjelman vahingollisen vaikutuksen lisäämiseksi.
Lisätutkimuksissa on myös havaittu, että käytetään haittaohjelmia eli "matoja". Madot ovat erityisen vaarallisia, sillä järjestelmään päästyään ne monistuvat itsestään ja leviävät verkossa, saastuttavat koneita ja aiheuttavat tuhoa koko verkossa. Yksi viimeisimmistä löydöistä on HermeticWizard, mato, jota käytetään HermeticWiper-haittaohjelman levittämiseen.
Madot pääsevät verkkoon monin eri tavoin, kuten sähköpostin, USB-tikkujen, sosiaalisen median viesteissä olevien haitallisten linkkien, turvattomien IoT-laitteiden ja niin edelleen.
Uusia haittaohjelmavaihtoehtoja tulee todennäköisesti lisää uhkakuvaan, kun sota jatkuu.
CISA ja FBI ovat julkaisseet yhteisen ohjeen, jossa kerrotaan joidenkin uusimpien haittaohjelmavaihtoehtojen vaaroista. Neuvonnassa kehotetaan organisaatioita:
"...lisäävät valppauttaan ja arvioivat valmiuksiaan, jotka kattavat suunnittelun, valmistelun, havaitsemisen ja reagoinnin tällaisen tapahtuman varalta."
Nämä uudet haittaohjelmavaihtoehdot ovat edelleen riippuvaisia vakiintuneista onnistuneista taktiikoista, kuten tietojenkalastelusta ja sosiaalisesta manipuloinnista, jotta ne pääsevät verkkoon. Miten yritys siis valmistautuu tähän hybridisotaan?
Toimet yrityksesi ja työntekijöidesi suojaamiseksi
Verkkorikolliset, jotka ovat tämän verkkosodan haittaohjelmien joukon takana, käyttävät hyväksi havaittuja ja testattuja menetelmiä tartunnan levittämiseen nopeasti ja tehokkaasti. Organisaatioiden on hyödynnettävä tietoturva-alan tietämystä, jotta ne voivat varautua. Lieventäviin toimiin tulisi kuulua seuraavat:
- Varmista, että sinulla on näkyvyys kaikkiin IT-varoihisi, mukaan lukien kaikki päätelaitteet, tietovarastot ja -virrat, palvelimet ja muut laitteet.
- Varmista, että laajennetussa verkossasi on vankat laitteisiin, henkilöihin ja sijainteihin liittyvät turvatoimet. Ota esimerkiksi käyttöön vankka todennus ja käytä vähimpien oikeuksien periaatteita, joita valvotaan PAM-käytönhallinnan (privileged access management) avulla.
- Testaa korjaustenhallintajärjestelmiäsi varmistaaksesi, että ne tavoittavat kaikki päätelaitteet ja palvelimet.
- Ota käyttöön tai testaa olemassa oleva turvallinen varmuuskopiointijärjestelmä.
- Aseta yrityksesi korotettuun hälytystilaan ja tue tätä uhkaan keskittyvällä tietoturvatietoisuuskoulutuksella: täydennä koulutusta tilanteen jatkuvalla arvioinnilla ja käytä phishing-simulaatioita kouluttaaksesi henkilöstöäsi hyökkäykseen liittyvistä todennäköisistä phishing-kampanjoista.
- Seuraa verkon ja yhteyspisteiden toimintaa ja tarkista porttien käyttö mahdollisten haavoittuvuuksien varalta.
- Poista tai poista käytöstä kaikki käyttämättömät sovellukset.
- Tarkista, päivitä ja paranna katastrofista toipumisen suunnittelua ja strategiaa.
Edellä on lueteltu muutamia keskeisiä aloja, joita on vahvistettava tänä lisääntyneen uhan aikana.
Varaudu kostohyökkäyksiin
Nyt on myös varoitettu, että Naton jäsenvaltioon kohdistuva verkkohyökkäys johtaisi Naton kollektiivista puolustusta koskevan lausekkeen 5 artiklan soveltamiseen. Digitaalinen sota ja perinteinen sota saattavat hyvinkin päätyä yhteen, kun eskaloituminen alkaa. Kostohyökkäykset ovat erittäin todennäköisiä, ja paras puolustus on tietoisuus ja varautuminen.
