Huippuviritetyt älybotit löytävät kaikki haavoittuvuudet

Black Hat Briefings 2019 esitteli jälleen, nyt Las Vegasissa, sisäpiirintietoa tietoturvariskeistä ja uusista kyberrikollisten metkuista. Tapahtumassa turvallisuusasiantuntijat ympäri maailmaa jakoivat viimeisimmät havaintonsa. Pöydällä olivat avoimen lähdekoodin työkalut, nollapäivän hyväksikäytöt ja paljon muuta. Yllätys ei ole se, että netin alamaailma vilisee yhä mielikuvituksellisempia tietoturvauhkia. Toiminta on entistä ammattimaisempaa. Botteihin on kehitetty älytoimintoja, joita muutama vuosi sitten ei osattu edes kuvitella.
Samaan aikaan tilinteko kyberrikoksilla arkipäiväistyy
Yksi vaarallisimmista liikkeelle lasketuista haittakoodeista on nyt Echobot, joka perustuu pahamaineisen Mirai-bottiverkon koodiin. Echopot on varustuksekseen saanut rumakasti tehoa ja älyä. Mirai teki tuhojaan v. 2016 noin miljoonissa modeemissa ja hyökkäyskoodi aiheutti lukuisia tartuntoja myös Suomessa. Saksassa vain yhden viikonlopun aikana se iski 900 000 kohteeseen.
Superhaittakoodi Echopotin menetelmäpaletti tunnistaa ainakin 18:aa (tai jopa 60) eri hyökkäystapaa: se haistaa IoT-ympäristön vanhat turva-aukot ja haavoittuvuudet. Älykäs koodi vaihtaa työkalua, jos yksi ei toimi – hieman samoin kuin vanhassa maailmassa murtomiehellä rautakanki vaihtuu kirveeseen tilanteen niin vaatiessa.
Echopotin haittakoodin ajaminen etänä onnistuu ainakin seuraavien laitevalmistajien erilasissa reitittimissä, modeemeissa ja muissa tuotteissa: Citrix, D-Link, Netgear, Asus, Alcatel, Belkin, VMware ja ZeroShell. Voimme odottaa, että nimekkäät firmat päivittävät ensi tilassa laitteidensa suojauksen.
SWAPGSAttack-aukko
Vanhan sukupoven IoT –laitteet ovat myös Microsoftin arvion mukaan haavoittuvia ja reaalinen tietoturvariski. Yksi pahimmista on nyt Windows-tietokoneista paljastunut SWAPGSAttack-aukko, jonka kautta hyökkääjä pääsee käsiksi kaikkiin koneen tietoihin. Black Hat –tapahtumassa säväytti Bitdefender, joka sai kahvit väärään kurkkuun Microsoftin pääkonttorissa. Bitdefender, tuo taustaltaan romanialainen kyberturvallisuusyritys, väittää että sen löytämä aukko koskee kaikkia vuoden 2012 jälkeen valmistettuja Windows-tietokoneita, joissa on Intelin tai AMD:n prosessori. AMD tosin on kiistänyt haavoittuvuuden omissa suorittimissaan.
MS:n julkaisema tiedote korostaa, että yrityksien tulee valvoa tarkkaan avoimeen internetiin kytkettyjä laitteita ja antureita. SWAPGSAttack-aukkoa hyökkäyksissään suosii eritoten APT28-nimellä tunnettu hyökkääjä. On arveltu, että kyberrikollisten APT28 tai toiselta niemeltään Strontium-iskuryhmä nauttii Venäjän valtiojohdon suojelua, eikä se hyökkää kotimaisiin kohteisiin tai Kremlin määrittelemiin Venäjän läheisiin liittolaisiin. Ryhmä on sekaantunut vaaleihin ainakin Yhdysvalloissa ja luultavasti myös Saksassa.

