Yhdysvaltojen NSA:n ja Britannian GCHQ:n verkkovakoilukoneiston lisäksi pienemmätkin maat suorittavat laillista verkkoliikenteeseen/tietokoneisiin tunkeutumista.
Laillisten haittaohjelmien tuotanto on miljardien eurojen liiketoimintaa. (Lista alan toimijoista löytyy sivun alalaidasta). Tunnetuin haittaohjelmien ja vakoilujärjestelmien toimittaja on englantilais-saksalainen Gamma Group International.
Toinen tunnettu toimija on italialainen Hacking Team. Hacking Teamiin kohdistettiin tietomurto kesällä 2015, josta paljastui sekin, että Hacking Teamin tuotteita on tarjottu Suomen Keskusrikospoliisille, KRP:lle. Välikätenä yhteydenpidossa toimi Nice Systems-niminen toimija. Suomi on kuitenkin valinnut järjestelmäkseen jonkin toisen toimittajan, nimi ei ole vuotanut julkisuuteen.
Vuoden 2014 alusta lainsäädäntö sallii suuriakin vapauksia viranomaisten tunkeutumiselle tietoliikenteeseen ja dataan. TOR-verkon käyttö vaikeuttaa tätä, koska vahvasti salattu liikenne tekee tunkeutumisesta lähes mahdotonta.
Jäljempänä kuvatut FinFisher ja RCS ovat kehittyneitä viruksia. Varsinkin teleoperaattorin avustuksella asennettuna, tavallisen Windows-käyttäjän on melkein mahdoton havaita niitä. Esimerkkivideo löytyy tästä.
Gamma Groupin FinFisher nimellä kulkeva vakoilujärjestelmä sisältää ainakin seuraavia ominaisuuksia:
- FinFly USB tikku, jolla agentti murtautuu PC koneeseen ja kerää dataa, käyttäjätunnukset ja salasanat mukaan lukien.
- FinIntrusion Kit Wlan-verkon murtotyökalu, voidaan purkaa salasanoja, kerätä liikenteestä käyttäjätunnuksia/salasanoja verkkopalveluihin (facebook, gmail jne), sekä purkaa SSL-salattua liikennettä.
- FinFly Exploit, asiakasportaali, josta saatavilla tuoreimmat nollapäivähaavoittuvuudet esim. Office-tuotteisiin, Adobe PDF-readeriin, InternetExploreriin, Firefoxiin jne.
- FinSpy, kehittynyt troijalainen joka asennetaan kohteen tietokoneelle joko muistitikulta tai etänä verkkosivun/sähköpostiliitteen avulla. FinSpy kerää tietoa lähes kaikesta koneen käytöstä ja välittää nämä palvelimille
- FinFly NET, jolla syötetään vale-ohjelmistopäivitys kohteelle Wlan:in kautta. Tällä asennetaan yllä mainittu FinSpy-troijalainen.
-
FinSpy Proxy: Proxyketju, jonka kautta kohteessa oleva FinSpy troijalainen lähettää dataa serverille. Julkisista IP-osoitteista koostuvalla proxyketjulla pyritään hämäämään tilanteita, joissa kohde seuraa koneensa ulkoista verkkoliikennettä.
- FinFly, näkymätön HTTP proxy, jolla muokataan tiedostoja samalla kun kohde lataa niitä verkosta. FinFly-Lite liitetään LAN verkkoon, ja kehittyneempi FinFly-ISP teleoperaattorin tiloihin. Esimerkiksi FinSpy-troijalainen voidaan asentaa saastuttamalla kohteen lataama viattomalta näyttävä asennusohjelma. FinFly kykenee sekä massojen että kohdennettujen tietokoneiden saastuttamiseen.
- FinCrack, ”a high-speed super cluster for cracking passwords and hashes”. Salasanan palautus ainakin Microsoft Office tiedostoihin, NTLM/LM, WPA langattomat verkot, UNIX DES, WinZip ja PDF salasanasuojatut tiedostot.
- FinWifiKeySpy, jolla tallennetaan langattoman näppäimistön painallukset etänä (ilmeisesti tarpeeksi läheltä kohdetta)
- FinBluez, jolla vakoillaan BlueTooth-laitteita, vaikkapa mikrofonin ja puhelimen välistä ääntä.
Verkkoon vuotanut myyntiesite löytyy tästä.
Tuotteen mainosvideo:
Huhtikuussa 2014 päivätyn testin mukaan käytännössä yksikään virustorjunta ei huomannut FinFisheriä. FinFihseristä vuoti ulos 40GB arkaluontoista tietoa. Artikkeli löytyy tästä: https://netzpolitik.org/2014/gamma-finfisher-hacked-40-gb-of-internal-documents-and-source-code-of-government-malware-published/
Viime vuosina nämä troijalaiset ovat saaneet kohtuullisen paljon julkisuutta, ja virustorjuntayhtiöt tunnistavat niitä melko hyvin. Uusia virusversioita kehitetään jatkuvasti, joten virustorjunnat tulevat yleensä yhden askeleen perässä.
Wikileaks lajitteli asiakirjat helpompaan muotoon, arkistoon pääsee tästä. Itse viruksen tiedonkeruumoduulit, palvelinohjelmistoja ja Windows-versio FinSpy-viruksesta on myös ladattavissa: https://wikileaks.org/spyfiles4/
FinSpy troijalaisen levittämiseen on käytetty ainakin saastuneita doc, pdf -tiedostoja. Levitykseen käytettiin myös iTunesia, Flash Player päivityspakettia sekä saastuneita web-sivuja. Komentoservereitä löydettiin alla olevan kartan maista. Kartta perustuu FinFisher komentopalvelimien sijainteihin, ei FinSpy troijalaisten sijainteihin.
Hacking Team puolestaan tarjoaa RCS (Remote Control System, Galileo, Da Vinci) -tuotteen, joka on käytössä maailmalla laajastikin. Levittämiseen on käytetty ainakin doc, zip ja pdf-tiedostoja sekä Flash-nollapäivähaavoittuvuuksia. RCS:sää hyödynnetään ainakin seuraavissa valtioissa:
RCS palvelimien selvitettyjä sijainteja, mukana myös Ruotsi:
Järjestelmä lähettää kohdekoneelle ensin ”partiolaisviruksen”, joka tarkistaa mahdollisuuden RCS:n paljastumiseen. Partiolainen tutkii mm. koneella olevat virustorjunnat sekä verkkoliikennetyökalut. Vasta kohteen analysoinnin jälkeen tapahtuu varsinainen infektoituminen.
Seuraavassa kuvassa keltaisella virustorjunnat, jotka voivat havaita RCS elite-ominaisuudet, vihreällä ne jotka eivät huomaa RCSää. Taulukko on vanha, viimeisten tietovuotojen jälkeen tilanne on parantunut:
Seuraavana kuvasarja RCSää käyttävän viranomaisen työkaluista. Kuvat ovat otteita käyttöohjeista:
Zerodium (entiseltä nimeltään Vupen) tuottaa tiedustelu- ja viranomaisorganisaatioille nollapäivähaavoittuvuuksia, joita voidaan käyttää hyväksi tunkeutumisessa. Yritys on aktiivisesti mukana kansainvälisissä tapahtumissa, joissa etsitään erilaisia haavoittuvuuksia. Yhtiö myy haavoittuvuuksia eteenpäin kertomatta niistä ohjelmistojen valmistajille.
Virustorjuntayhtiö Kasperky kritisoi Vupenia näin: ”The other observed attack methods relies on a Flash Player exploit. CVE-2012-0773 has an interesting history. It was originally discovered by French company VUPEN and used to win the “pwn2own” contest in 2012. This was the first known exploit to escape the Chrome sandbox. VUPEN refused to share the exploit with the contest organizers, claiming that it plans to sell it to its customers. As a side node, VUPEN exploits are commonly seen in high end nation state level attacks; for instance we have commonly observed them with HackingTeam’s DaVinci / Remote Control System attacks”
Kaspersky on erityisen ansioitunut viranomaisvirusten tutkinnassa. Osittain tämä johtuu siitä, että Hacking Team RCS troijalaisen havaittiin yrittävän muokata Kasperskyn virustorjuntaa asentumisensa aikana. Tuo varmasti on vaikuttanut Kasperskyn ”aggressiivisuuteen” juuri tämän luokan viruksia kohtaan.
Yhteiskuva johtohahmoista, Martin J. Münch (Gamma FinFisher) and Chaouki Bekrar (ent. Vupen):
Hacking Teamin toimitusjohtaja David Vincenzetti:
Ote sähköpostista, jossa VUPENin Chaouki Bekar suosittelee Hacking Team:iä Yhdysvaltoihin:
NSO Group on israelilainen tietoturvayritys, joka myy vakoilutyökaluja valtioille. Erityisosaamiseen kuuluu Apple iOS laitteiden murtaminen ja Pegasus ohjelmistojen asentaminen näihin etänä. Asennus tapahtuu tekstiviestillä, joka sisältää linkin haitalliselle verkkosivulle. Pegasuksella voi seurata käyttäjän kaikkia liikkeitä ja tekemisiä verkossa. Yhtiö on tiettävästi myyty hiljattain noin miljardilla dollarilla.
Exodus Intelligence on yhdysvaltalainen yritys, joka ostaa ja tutkii 0-päivähaavoittuvuuksia. Yhtiö myi v. 2016 Tor-selaimesta löydetyn tietoturva-aukon valtiollisille toimijoille. Aukkoa hyödynnettiin Windows Tor-selaimen käyttäjien todellisten ip-osoitteiden selvittämiseen.
XKeyscore on USA:n turvallisuusviranomaisten laaja verkkovakoilujärjestelmä, johon esimerkiksi Ruotsin viranomaisilla on pääsy. Näin ainakin julkisuuteen vuotaneiden tietojen mukaan. Suurin osa Suomen internet-liikenteestä kulkee Ruotsin kautta. Alla esimerkki X-Keyscore näytöstä, jossa agentti hakee tiedot ruotsalaisista, jotka ovat vierailleet tiettynä ajanjaksona jollakin ”vihamielisellä” www-sivulla. Tor-verkon käyttö estää X-Keyscoren analyysit. Samoin https-salattujen hakukoneiden data ei tiettävästi ole järjestelmän saavutettavissa.
X-Keyscorella voidaan selata vaikkapa tietyn käyttäjätunnuksen Facebook-chathistoriaa:
Jotta NSA saisi valtuudet henkilön seuraamiseen, agentin täytyy kuitenkin valita alasvetovalikosta peruste, jonka mukaan kohde ei ole Yhdysvaltojen kansalainen. Laillisuusperuste vakoilulle on näin täytetty…..
X-Keyscore järjestelmän levinneisyys vuodetun tiedon perustella:
Lisäksi vähemmän julkisuutta saaneita alan yrityksiä:
Vehere: http://www.vehere.com/
Trovicor: http://www.trovicor.com/en/
AGT, Advanced German Technology: http://agt-technology.com/
Aqsacom: http://www.aqsacom.com/ (Tuotekuvauksia: https://wikileaks.org/spyfiles/files/0/78_AQSACOM-LI-Brochure.pdf)
Area: http://www.area.it/
ClearTrail: http://www.clear-trail.com/ (Tuotekuvauksia: https://www.wikileaks.org/spyfiles/docs/CLEARTRAIL-2011-Intemonisuit-en.pdf)
Gamma Group: https://www.gammagroup.com/
Knowlesys http://www.knowlesys.com/ (Sosiaalisen median valvontaan erikoistunut)
SDL: http://www.sdl.com/solutions/industry/government/public-sector-language-technologies.html
Utimaco: http://www.utimaco.com/ (Tuotekuvauksia: https://www.wikileaks.org/spyfiles/list/company-name/utimaco.html)
Poliisikansanedustaja Tom Packalenin yritys Utopia Analytics Oy (http://utopiaanalytics.fi/), jonka verkkosivuilta: ”Utopialla on erittäin edistyksellistä teknologiaa Business to Government -asiakkaille.”
Windows 7/8/10 yksityisyyden suoja 