Kuolemantähti – “The Death Star of Malware Galaxy”. Näin synkällä nimellä Kaspersky Lab kuvaa erästä maailman salaperäisintä haittaohjelmaperhettä.

Virustutkijat ovat nimenneet jo vuosikymmenen ajan toimineen haittaohjelman tekijän Equation Group:ksi (’Yhtälöryhmä’). Nimi tulee ryhmän kunnostautumisesta salausalgoritmien parissa, virukset ovat erittäin pitkälle salattuja ja onnistuvat piilemään näkymättömissä.

Tämä pimennossa pysyttelevä haittaohjelmatehdas tuottaa kehittyneitä vakoilutroijalaisia ainakin Windowsille ja MAC OS:lle. Virallisesti kukaan ei tiedä mistä ohjelmat ovat peräisin, mutta epävirallisesti kaikki tietävät kyseessä olevan NSA. Entiset NSA:n työntekijät ovat myöntäneetkin asian.

Equation Groupilla on kokonainen haittaohjelmaperhe, joista vanhimmat ulottuvat peräti vuodelle 2001. Levitys tehdään esimerkiksi saastuneiden CD/DVD levyjen, USB tikkujen, tai verkkoselainaukkojen kautta. Erikoiselta vaikuttaa myös, että tunnetun ohjelmistovalmistaja Oraclen asennuslevyiltä on löytynyt näitä haittaohjelmia. Kyseessä ei kotikäyttäjän levyt, vaan yritysympäristöön suunnattujen raskaiden tuotteiden asennuslevyt.

Jo Windows Vistan aikoina toiminut Fanny-haittaohjelma oli tarkoitettu erityisesti eristettyjen verkkojen vakoiluun. Strategisesti tärkeät verkot on yleensä eristetty ulkomaailmasta (’air-gap’). Fannyn tehtävänä oli kantaa USB-tikun avulla dataa suljetusta ympäristöstä avoimeen ja päinvastoin. Se osaa jopa viedä julkisesta verkosta omia päivityksiään suljettuun ympäristöön uhrin USB-tikulle piiloutuneena. Suojaamattoman verkon puolella Fanny tietysti välitti keräämänsä tiedon internetin yli (NSA:n) palvelimille.

GRAYFISH on modernein ja edistyksellisin haittaohjelmaimplantti tältä ryhmältä. Sen yhtenä levitystapana on – kuinkas muuten – uusien tietokoneiden kovalevyt.

Saastuneiden kovalevyjen valmistajia ovat ainakin Western Digital, Seagate, Toshiba, IBM, Micron ja Samsung.

GRAYFISH:in voima piilee siinä, että se ei edes ole virus – se on tietokoneen omistaja, joka käynnistää Windowsin. GrayFish käynnistää käyttöjärjestelmää askel askeleelta ja tekee itselleen sopivat muutokset suoraan Windowsin ytimeen ja ajureihin. Lopputuloksena on erikoinen systeemi, joka on osittain vakoilualusta, osittain tietokone, osittain käyttöjärjestelmä. Mikään ei ole haittaohjelmalta suojassa. Ja Windows ei ole ainakaan omistajansa hallinnassa…

Haittaohjelma osaa asentaa itsensä useampaa tapaa käyttäen. Osa viruksesta on salattu, jolloin tunnistaminen vaikeutuu. Seuraavassa kuvassa mainittu VBR on ns. Virtual Boot Record, jonka kautta käyttöjärjestelmä ladataan. Viittaus pilleriin (’Pill’) tarkoittaa Windowsille syötettävää ’pilleriä’, jonka se nielee mukisematta. Pilleri sisältää käyttöjärjestelmän ytimessä toimivan haittaohjelma-alustan. BBSVC taas on ns. polymorfinen lataaja. Polymorfinen haittaohjelmien yhteydessä tarkoittaa ohjelmakoodia, joka näyttää sekavalta roskalta, mutta pitää sisällään virusohjelman.

Hämmästyttävä ominaisuus on myös kyky uudelleenohjelmoida kovalevyjen firmware koodia. Tämä on siis laitteistovalmistajan ja laitteen sisällä olevaa ohjauskoodia. Näin haittaohjelma pystyy elämään täysin havaitsematta – virustorjunnat kun eivät pääse käsiksi niin syvälle koneeseen.

GrayFish saastutettavaksi sopivat kovalevyvalmistajat

Havaitsemisen vaikeuttamiseksi GrayFish tuhoaa itsensä, jos se ei syystä tai toisesta kykene ottamaan konetta haltuunsa ensimmäisen käynnistyksen yhteydessä.

Equation Group:in haittaojelmia on löydetty ainakin 30 maasta. Todennäköisesti luku on paljon suurempi. Haittaohjelman komentopalvelimia on ainakin 100 ympäri maapalloa. Verkko-osotteita, joihin virus ottaa yhteyttä on noin 300.

Haittaohjelman uhreiksi valitaan lähes kirurgin tarkkuudella tiettyjä henkilöitä tai henkilöryhmiä. Saastuneilla www-sivuilla voi olla IP osoiteseulontaa, jonka avulla oikealle kohteelle syötetään haitallinen JavaScript-koodi. Vain harvinaisimmat kohteet saavat koneelleen kovalevyn firmware tartunnan. Ehkä sellaiset, joiden tietoturva on äärimmäisen huipussaan. Tutkijat eivät osaa tarkkaan sanoa.

Venäjän Turla -virus

Yhdysvallat ja NSA ei ole ainoa moderneja viruksia tehtaileva taho. Kuuluisa venäläinen Turla on yhtä kehittynyt. Se oli asukkaana myös Suomen Ulkoministeriössä muutama vuosi sitten. Virusta on löytynyt yli 50 maasta, kohteina poliittinen päätöksenteko, sotilastahot ja yritykset.

Turla tunkeutuu koneelle sähköpostien liitteinä tai haitallisina verkkosivulinkkeinä: Adobe PDFn, Flashin tai Javan avulla. Se osaa tunkeutua myös Linuxiin sekä virtuaalitietokoneiden (Virtual Box) isäntäkäyttöjärjestelmään. Yksi (vanha ja aina 99% toimiva…) Turlan asennusreitti on verkkosivu, jossa viesti ”Adobe Flash Player on vanhentunut, päivitä se tästä napista”. Käyttäjä asentaa Turlan kätevästi ihan itse.

Kuten muutkin kehittyneet virukset, Turlaa ohjaillaan komentokeskuksista tekemään tehtäviä: leviämään, valitsemaan henkilöitä, rakentamaan oman verkkoinfrastruktuurin, siirtämään dataa palvelimista jne. Paljastumisvaaran uhatessa Turla katoaa jättämättä jälkiä.

Virus hyödyntää tietoliikennesatelliitteja komentokeskustensa piilottamiseen. Joillakin maapallon alueilla internetyhteys muodostetaan suoraan tietoliikennesatelliitteihin. Turla-ryhmä esim. Afrikassa ”kuuntelee” IP-osoitteita, jotka ovat aktiivisina satelliittiyhteydessä, ja valitsevat jonkin tavallisen tietokoneenkäyttäjän osoitteen.

Virukset saastutetuissa organisaatioissa kommunikoivat satunnaisilta näyttäviin koneisiin siten, että loppupäässä liikenne tulee satelliitista signaalina maata kohti. Turlan omistajat kuuntelevat satelliitista tulevaa liikennettä ja poimivat vakoiltavan datan talteen. Komentopalvelimen IP-osoitteena toimii viaton käyttäjä.