F-Securen tutkimusjohtaja Mikko Hyppönen kertoi tiistaina SPECIES:issa Lissabonissa tapansa mukaan mieleenpainuvan tarinan, tällä kertaa vanhoista tietoturvauhista, jotka tekevät comebackia.
Ukrainassa viime joulukuun 23. päivä eräällä tietokoneella lopetti hiiri yhtäkkiä toimintansa. Käyttäjä ihmetteli jumitusta, kunnes hiiri alkoi liikkumaan itsestään. Kyseessä oli Prykarpattya Oblenergo –nimisen yhtiön tietokone, yhtiön joka operoi sähkönjakelua Ukrainassa. Kursori alkoi sulkemaan sähköverkkoa rele releeltä. Samaan aikaan alkoi tuhansien puheluiden palvelunestohyökkäys yhtiön puhelinpalveluun, joka esti häiriöilmoitusten tekemisen. 103 kaupunkia pimeni kokonaan ja 186 osittain. Sähköt saatiin takaisin tunteja myöhemmin kytkemällä releet takaisin manuaalisesti kentällä.
Hyökkäyksessä käytettiin BlackEnergy-troijalaista, jota lähetettiin liitteenä sähköpostissa, joka näytti tulevan Ukrainan parlamentilta. Viestissä pyydettiin ”Sallimaan sisältö” (Enable Content), jotta liitteen sisältö saadaan näkymään. Sisällön salliminen salli makrot ja myös troijalaisen.
Makrovirukset olivat suuressa roolissa 90-luvulla (esim. nopeasti levinnyt Melissa v. 1999) kun Microsoft Office oletuksena käynnisti makrot. Myöhemmin makrot oletuksena estettiin, joka myös tuhosi makrovirusten markkinat pitkäksi aikaa. Nyt ne ovat kuitenkin tulleet takaisin pyynnöllä sallia makrot, joka käynnistää tuhon. Lopputuloksena voi olla koneen kaappaus tai vaikkapa cryptolocker-kiristys, jossa kaikki tiedostot sekä jopa varmuuskopiot salataan, ja satojen eurojen bitcoin-lunnaita vastaan tarjotaan salausavainta.
Virustorjuntaohjelmistot voivat tunnistaa haitalliset makrot, mutta eivät 100 % varmasti. Kun saat tutulta tai tuntemattomalta sähköpostin, jossa pyydetään sisällön sallimista, tehokkain tapa suojautua on, että älä salli sisältöä.
Lähteenä Hyppösen esitys 24.5.2016, lisäksi kirjallisina lähteinä:
http://money.cnn.com/2016/01/18/technology/ukraine-hack-russia/