Pitkäperjantaina Shadow Brokers –niminen ryhmä julkaisi Twitter-tilillään linkin, jonka kautta pystyi lataamaan merkittäviä tietovuotoon liittyviä tiedostoja. Julkaisussa kerrottiin kehnolla englannilla, että tiedostoja oli jo koetettu huutokaupata eniten tarjoavalle, mutta koska tarjouksia ei ollut tullut, paketti julkaistiin kaiken kansan saataville.
Vuodon yhteydessä paljastui useita vakavia tietoturva-aukkoja Windows-käyttöjärjestelmässä, joita NSA on voinut käyttää jo vuosikausia operaatioissaan. Vuoto paljasti myös useita hakkerointityökaluja, jotka käyttävät hyväkseen näitä Windowsin haavoittuvuuksia. On todennäköistä, että hakkerointityökalut ovat itsensä NSA:n tai sen alihankkijoiden kehittämiä.
”Kyseisten Windowsin haavoittuvuuksien korjauspäivitykset on julkaistu täsmälleen kuukausi ennen vuotoa. Tietovuodosta ei siis aiheudu riskiä tavalliselle käyttäjälle, mikäli tietoturvapäivitykset ovat ajan tasalla”, kertoo Juho Ranta 2NS:ltä.
Todennäköisempää onkin, että jatkossa hakkerit yrittävät käyttää näitä aukkoja sekä työkaluja murtautuakseen yritysten tietojärjestelmiin. Kehotamme yrityksiä varmistamaan Windows-päivitystensä ajantasaisuuden mitä pikimmiten.
Vuoto on erityisen kiusallinen NSA:n kannalta
Vuodon yhteydessä julkiseen levitykseen päätyi hakkerointityökalujen lisäksi laaja lista ns. operatiivista sisältöä yksittäisestä kyberhyökkäyksestä. Käytännössä se sisältää työkalujen tuottamaa lokitietoa sekä NSA:n työntekijöiden muistiinpanoja. Niitä tulkitsemalla pystyy varsin hyvin seuraamaan miten NSA tai jokin toinen suuri tiedustelupalvelu suorittaa kyberoperaationsa käytännössä, ja minkälaisia kykyjä heillä on käytössään.
Kohteena tässä vuodetussa kyberoperaatiossa oli Lähi-idän SWIFT-pankkien palveluksessa oleva anti-money laundering -yritys EastNets. Kyseessä on ensimmäinen todiste siitä, että globaalien pankkien rahaliikennettä voidaan seurata huomaamatta sitä ulkopuolelta. Tilanne on poliittisesti tulenarka, sillä kohteiden listalla on myös maita, joita on pidetty USA:n liittolaisina.
Ajankohdalla on kaikkiaan kolme mielenkiintoista yhteyttä:
- Vuoto tehtiin pitkäperjantaina, josta lähtien koko “läntinen maailma” on lomalla 4 päivän ajan. Näin ollen saatavilla olevien päivitysten asennus viivästyy ja vahingon suuruus kasvaa.
- Vuoto tehtiin välittömästi sen jälkeen kun USA otti kovat keinot käyttöön Lähi-idässä (mm. MOAB:in pudottaminen Afghanistaniin ja pommi-iskut Syyriassa).
- Vuoto tehtiin päivälleen kuukausi sen jälkeen, kun Microsoft oli julkaissut korjauspäivitykset, mikä tarkoittanee sitä, että Microsoft on saanut etukäteisvaroituksen.
Vielä on epäselvää mikä taho on ShadowBrokerin taustalla. Suosituimmat spekulaatiot kohdistuvat NSA:n sisällä olevaan Whistlebloweriin eli “toiseen Snowdeniin” tai ulkovaltojen siviili- tai sotilastiedusteluun.