Tietoturva-asiantuntijamme Janne Nevalainen ja Marcus Söderblom keskustelevat kyberturvallisuusmaailman ajankohtaisimmista ilmiöistä ja uutisista kahdesti kuukaudessa Innofactorin Kyberturvastudiossa. Tässä blogissa käymme läpi kyberrintaman kuulumisia viikolta 19, jolloin kyberturvakonsultti Jesse Rasimus tuurasi vakioisäntä Marcusta.

Voit katsoa Kyberturvastudion jaksoja myös videona tai kuunnella kätevästi podcastina. Tuoreimmassa jaksossa käsittelemme seuraavia aiheita:

Tiedän, mitä näppäimistösi teki viime viikolla

BIG-IP-perheen verkkolaitteissa havaittu useita haavoja

Kiinalainen APT41-hakkeriryhmä

Troijalaisia Windows-lokeissa

NIST päivitti toimitusketjun koventamisohjeitaan

Aruba- ja Avaya -kytkimet alttiita RCE-hyökkäyksille

Tiedän, mitä näppäimistösi teki viime viikolla

Mekaaninen näppäimistö on varmasti tuttu kaikille tietokoneen käyttäjille, mutta tiesitkö, että näppäimistösi on potentiaalinen – joskin melko epätodennäköinen – salakuuntelun kohde?

Tämä teoreettinen riski on sinänsä ollut tiedossa jo muutaman vuoden ajan, mutta viime aikoina on uutisoitu tapauksista, joissa tietoturvarikolliset ovat kehittyneen sovelluksen ja mikrofonin avulla onnistuneet tulkitsemaan tietokoneen käyttäjien kirjoittamia tekstejä äänen perusteella. Niin sanottuun perinteiseen tietojenkalasteluun käytetään toki näppäimistön painallukset tallentavaa haittaohjelmaa, mutta salakuuntelu toimii hyvänä muistutuksena siitä, että tietoturvauhkat voivat olla joskus erittäin odottamattomia.

BIG-IP-perheen verkkolaitteissa havaittu useita haavoja

Verkkoratkaisuja valmistavan yhdysvaltalaisen F5-yrityksen BIG-IP-perheen verkkolaitteista löydettiin useita haavoja, joista yksi mahdollistaa koodin ajamisen BIG-IP-laitteessa. Haavoittuvuuden poistava päivitys olisi erityisen tärkeä ladata ensi tilassa, mikäli laitteen hallintapaneeli on auki julkiverkkoon.

Haavoittuvuutta on pyritty hyödyntämään jo useissa verkkohyökkäyksissä.

APT41-hakkeriryhmän iskuista miljardien dollarien vahingot – ryhmä toimi salassa vuosien ajan

Kiinalainen APT41-hakkeriryhmä on toteuttanut tietoturvahyökkäyksiä jo vuodesta 2019 lähtien. Uutisarvoista ryhmän toiminnassa on erityisesti se, että iskut ehdittiin huomata vasta hiljattain!

Ryhmä on onnistunut toimimaan täysin tutkan alla jo useamman vuoden, vaikka se on varastanut tietoja esimerkiksi hävittäjälentokoneiden ja ohjusten piirustuksista sekä julkaisemattomien lääkkeiden suunnitelmista. Ryhmä on aiheuttanut vahinkoa arvioiden mukaan jopa tuhansien miljardien dollareiden edestä.

Tapaus on havainnollistava esimerkki siitä vahingosta, jota tämän kokoluokan teollisuusvakoilu voi pahimmillaan aiheuttaa.

Troijalaisia viruksia piilotettu Windows-lokeihin

Venäläisen tietoturvayhtiö Kasperskyn tutkijat havaitsivat haittaohjelmakampanjan, jossa tietoturvahyökkääjät piilottivat haittakoodia Windowsin tapahtumalokeihin. Hyökkäyksiä on toteutettu esimerkiksi piilottamalla lokeihin troijalaisia viruksia. Tällaisia lokeihin suunnattuja hyökkäyksiä ei yleensä havaita kovin nopeasti, sillä tavallisesti lokeja aletaan tutkia vasta siinä vaiheessa, kun vahinkoa on jo ehtinyt syntyä.

Kampanja on esimerkki tiedostottomista (fileless) hyökkäyksistä, joita vastaan voi suojautua tehokkaalla EDR:llä ja anti-APT-järjestelmällä.

NIST päivitti toimitusketjun koventamisohjeitaan

Tietoturva-alan asiantuntijoille tuttu yhdysvaltalainen standardointiviranomainen NIST (National Institute of Standards and Technology) on päivittänyt toimitusketjuun liittyviä kyberturvallisuusohjeitaan.

NIST kertoo päivitetyissä ohjeissaan, kuinka organisaatiot voivat paremmin tunnistaa, arvioida ja reagoida mahdollisiin kyberturvallisuusriskeihin koko toimitusketjussaan. Kun maailma muuttuu, niin ohjeistuksia on päivitettävä.

Aruba- ja Avaya -kytkimet alttiita RCE-hyökkäyksille

Monien suomalaisyritystenkin käyttämistä Aruban ja Avayan kytkimistä on löydetty yhteensä viisi haavoittuvuutta, joiden avulla hyökkääjä voi suorittaa laitteissa haittakoodia etäyhteyden välityksellä.

Pahimmillaan hyökkäyksen kohteena olleita laitteita on otettu haltuun ja niiden sisältämät tiedot tuhottu täydellisesti. Osassa tapauksista kyse on lateraalisesta liikkumisesta verkossa ja verkon segmentoinnista, mikä tarkoittaa sitä, että hyökkääjä pääsee liikkumaan kohdelaitteen verkkoympäristössä ja ohittamaan sen segmentointeja. Oma ympäristö ja laitteet on syytä tarkistaa ja päivittää säännöllisesti.

Katso Kyberturvastudion viikon 19 jakso kokonaisuudessaan täältä.

Kyberturvallisuusalan käänteistä pysyt helposti ajan tasalla tutustamalla kattavaan webinaaritarjontaamme. Lisätietoa Innofactorin kyberturvallisuuspalveluista löydät puolestaan verkkosivuiltamme.