Viikko sitten paljastui, että hakkerit ovat kuukausien ajan päässeet murtautumaan Yhdysvaltain valtiollisiin järjestelmiin laajasti.
Lauantaina maan ulkoministeri Mike Pompeo sanoi olevan "melkoisen selvää", että asialla on ollut Venäjä.
Suomalaisen tietoturva-asiantuntijan mukaan hyökkääjää ei varmuudella tiedetä, mutta tapa toimia on ollut merkityksellinen.
– Hakkeroinnista tiedetään nyt, että tietohallinnoille järjestelmien ylläpitoa tuottaneen SolarWindsin järjestelmiin on tunkeuduttu. Sen yhteydessä kaikille palveluntarjoajan asiakkaille on jaettu päivitys, joka sisältää järjestelmiin pääsyn takaportin, kertoo tietoturvallisuusjohtaja Erka Koivunen F-Securesta.
Tämän hetken tietojen valossa Koivusesta näyttää siltä, että hyökkääjä on kiinnostunut ainoastaan yhdysvaltalaisten kohteiden hyödyntämisestä. Joukossa on muun muassa julkisen hallinnon organisaatioita ja tietoturvayrityksiä.
Uhreja epäillään kuitenkin olevan kymmeniä tuhansia ympäri maailmaa, eikä Koivusen mukaan ole mahdotonta, että hyökkäyksestä ulottuu laineita Suomeen asti.
"Hyökkääjällä on hyvät resurssit ja se toimii fokusoidusti"
Mitään varmaa ei Koivusen mukaan hyökkäjäästä tiedetä.
– Hyökkääjä vaikuttaa hyvin resurssoidulta, pitkäjänteiseltä ja fokusoidusti toimivalta eli tämä kaikki viittaa valtiolliseen toimijaan, jossa on sotilaallinen, tiedustellullinen tai poliittinen motiivi.
Hyökkäysmenetelmä tuo Koivusen korviin kaikuja Ukrainasta parin vuoden takaa, kun veroviranomaisen käyttämän päivitysohjelmapaketin mukana saatiin jaetuksi Venäjän tiedustelun tekemäksi epäilty “NotPetya”-haittaohjelma.
– Jos tekijä tiedettäisiin, tiedettäisiin myös motivaatio. Mikäli taustalla on Venäjän tiedustelu, voidaan aavistaa, että meistä Suomessakin voidaan olla kiinnostuneita.
Hyökkäyksen taustalla voi Koivusen mukaan myös jonkun muun maan tiedustelu tai hyvin resurssoitu rikollisjoukko.
– Ei olisi mitenkään tavatonta, että seuraavassa aallossa tullaan näkemään pienempiä organisaatioita, jotka ovat olleet hyökkääjän pihdeissä, mutta jotka tulevat vasta ilmi vähitellen.
Koivunen suosittelee, että kaikki SolarWindsin tuotteiden käyttäjät ympäri maailmaa tekevät ohjelmistopäivitykset ja suorittavat aktiivisesti uhkien etsintää.
Hänen mukaansa SolarWindsin tällä viikolla julkaisema ohjelmistopäivitys, joka poistaa takaportin, ei riitä alkuunkaan vastatoimeksi, vaan on suoritettava perusteellinen tutkinta.
– Pitää tarkistaa muun muassa löytyvätkö lokitiedostot ja jos itseltä ei löydy osaamista, kannattaa hankkia sitä ulkopuolelta, Koivunen sanoo.
Lue lisää aiheesta: