"Ikuinen" hyökkäys hämmästyttää Suomessa
0
Tietoturvan viranomainen Cert-Fi kertoo käsitelleensä viime heinäkuusta lähtien outoa tapausta. Suomalainen organisaatio on ollut jo kahdeksan kuukautta "ikuisen" palvelunestohyökkäyksen uhrina, mikä ilmeisesti johtuu täysin hallitsemattomaksi jääneestä tuholaisesta.
Cert-Fi kertoo, että tapaukseen liittyen on useilla tietoturva-aiheisilla foorumeilla käyty keskustelua icmp-protokollaliikenteen kohonneista määristä. Määrän kasvun uskotaan suureksi osaksi selittyvän Allaple-verkkomadon aiheuttamalla verkon skannauksella.
Suomalaisorganisaatio yksi kolmesta maalista
Allaple on polymorfinen verkkomato, joten jokainen haittaohjelman esiintymä poikkeaa muista esiintymistä. Haittaohjelmassa ei ole komentokanavaa, joten haittaohjelmaa ei voi etäohjata.
Lisääntyneen icmp-protokollaliikenteen lisäksi haittaohjelma aiheuttaa palvelunestohyökkäyksen kolmea sivustoa kohtaan. Yksi sivustoista sijaitsee suomalaisen palveluntarjoajan verkossa. Cert-Fi ei kerro tarkemmin mistä organisaatiosta on kyse.
Hyökkäys jatkuu hamaan tulevaisuuteen
Komentokanavan puuttuminen aiheuttaa sen, että palvelunestohyökkäys tulee jatkumaan niin kauan kun verkossa on haittaohjelman saastuttamia koneita. Palvelunestohyökkäys on toteutettu tyypillisesti lähettämällä suuri määrä syn-paketteja tai http get -pyyntöjä.
Cert-Fin mukaan Allaplen ensimmäiset versiot levisivät Radmin-etähallintaohjelmien heikkoja salasanoja arvaten. Myöhemmät versiot käyttävät hyväkseen Windowsissa olevia vanhoja haavoittuvuuksia. Kaikkiin tähän asti tunnistettuihin Allaple-varianttien käyttämiin hyökkäysvektoreihin on saatavilla haavoittuvuuden poistava korjaus.
Cert-Fi kertoo tiedottaneensa tapauksesta suomalaisille verkkopalvelujen tarjoajille sekä kansainväliselle Cert-yhteisölle. Cert-Fi on kiinnostunut kaikista palvelunestohyökkäykseen ja haittaohjelmaan liittyvistä havainnoista ja lisätiedoista.
