Erilaisia hyväksikäyttömenetelmiä on jo ainakin 60.
Internetiin kytkettyjen laitteiden ovia koputellaan aktiivisesti haavoittuvien järjestelmien löytämiseksi. Kuva: Oleshko Artem / Colourbox
Internetin perustuksia ravistellut Log4shell-nimellä tunnettu haavoittuvuus on päätynyt valtiollisten tiedustelupalveluiden käyttöön, kertoo Microsoft.
Haavoittuvuutta hyödynnetään jo useammalla tavalla. Sitä käytetään suoriin hyökkäyksiin suojaamattomiin kohteisiin, mutta sitä myös integroidaan osaksi jo olemassa olevia hyökkäystyökaluja sekä testataan jatkokehittelyä varten.
Ainakin Kiina, Iran, Pohjois-Korea ja Turkki ovat tehneet verkkohyökkäyksiä järjestelmiin, joissa haavoittuvuutta ei ole korjattu. Lisäksi lukemattomat toimijat skannaavat internetiä löytääkseen haavoittuvia järjestelmiä. Näihin kuuluu sekä vihamielisiä tahoja että tietoturvayhtiöitä.
Microsoft nimesi hyökkäyksiä jo tehneistä ryhmistä kaksi: iranilaisen koodinimellä Phosphorus tunnetun organisaation sekä kiinalaisen koodinimi Hafniumin. Iranilaisorganisaation sanotaan käyttäneen haavoittuvuutta kiristysohjelman levittämiseen.
Valtiollisten organisaatioiden lisäksi haavoittuvuutta ovat alkaneet kaupata tietomurtojen välittäjät, jotka myyvät pääsyä murrettuihin verkkoihin kiristystä tekeville rikollisorganisaatioille.
Microsoft uskoo tämän johtavan moniin kiristyshyökkäyksiin lähikuukausien aikana. Kohteina voivat olla niin Windows- kuin Linux-pohjaiset järjestelmät.
Kiristysorganisaatioiden toiminta on muuttunut viime aikoina aiempaa ammattimaisempaan suuntaan. Rikollisliigojen palkkalistoilla saattaa työskennellä talousanalyytikkoja, jotka osaavat arvioida optimaalisen kiristyssumman kyberiskun kohteeksi joutuneelta yritykseltä varastettujen taloustietojen perusteella.
Lue lisää: Rikollisilla on uusi ja poikkeuksellisen karu tapa kiristää - Mikko Hyppönen: "He varastavat nyt ensimmäisenä..."
The Record -verkkolehden mukaan Log4shell-haavoittuvuutta on hyödynnetty jo ainakin 60 erilaisessa hyökkäysvariaatiossa. Kiristysohjelmien asentamisen lisäksi niihin on kuulunut muun muassa tietokoneiden haltuunottoja bottiverkkoihin liittämiseksi, kryptovaluuttojen louhimista sekä jalansijan ottamista tulevia hyökkäyksiä varten.
Haavoittuvuuden takana on palvelimien Java-komponentissa yleisen Log4j-toiminnon vika, joka mahdollistaa ohjelmakoodin suorittamisen verkkoyhteyden yli. Tämä antaa hyökkääjälle hallinnan kohdekoneesta.
On kuitenkin erimielisyyttä, kuinka yleinen haavoittuvuus on. Tietoturvayhtiö Check Point arvioi aiemmin, että haavoittuva komponentti on mukana periaatteessa kaikissa Javaan pohjautuvissa tuotteissa ja verkkopalveluissa. IS Digitodayhyn yhteyttä ottanut Java-asiantuntija kuitenkin katsoo, ettei aukko ole lähellekään näin yleinen.
Check Point korjasi lausuntoaan IS Digitodayn pyynnöstä. Nyt yhtiö arvioi, että komponentti on mukana "useimmissa" Javaan pohjautuvissa tuotteissa ja verkkopalveluissa.
Haavoittuvuuden paikkaaminen on järjestelmäylläpitäjien tehtävä, eivätkä tavalliset käyttäjät voi tehdä kovinkaan paljoa suojautuakseen. Joissakin harvoissa tapauksissa myös yksityiskäyttäjän tietokoneella oleva sovellus voi olla haavoittuva, mikä vaarantaa tietokoneen.
Lue lisää: "Räjähti käsiin" - näin pelätty haavoittuvuus voi luikerrella kotikoneelle
Suomessa Kyberturvallisuuskeskus on antanut poikkeuksellisen punaisen varoituksen haavoittuvuuden vuoksi.
TetraSys Oy.