Massiivinen hyökkäys internetissä maanantaina

Ti, 12/02/2014 - 08:29 By Jari Mäkinen

Jos eilen maanantaina joidenkin nettisivujen käyttäminen tuntui hitaalta, niin syy ei ollut koneessasi tai nettiyhteydessäsi: netissä oli eilen varsin laajamittainen hyökkäys monia tahoja vastaan. Ja nähtävästi hyökkääjiä oli monia.

Syy siihen, miksi eiliselle jo osattiin odottaa tällaista aktiivisuutta oli niin sanottu kybermaanantai. Se on Yhdysvalloissa vuonna 2005 alkanut ilmiö, jonka keksivät erilaisten elektronisten laitteiden ja palveluiden markkinoijat avaamaan joulumarkkinoita. Sen ajankohdaksi päätettiin kiitospäivän jälkeinen maanantai, erotuksena ns. mustaan perjantaihin, vielä perinteisempään koko joulumarkkinat avaavan päivään.

Yhtä lailla jo perinteisesti musta perjantai ja kybermaanantai toivat mukanaan kyberhyökkäyksiä, joilla erilaiset kaupallisuutta vastustavat aktivistit pyrkivät haittaamaan kaupantekoa. Näin kävi tänäkin vuonna, joskin kauppojen lisäksi hyökkäyksiä kohdistettiin useisiin tiedotusvälineisiin. 

Häiriöt alkoivat perjantaina, kun esimerkiksi NBC, Forbes, The Independent, Daily Telegraph, Chicago Tribune, PCWorld, The Daily Telegraph ja myös NHL joutuivat sosiaalisen median kommentointiväylien ja suorien juttujen kommentointimahdollisuuksien kautta hyökkäyksen kohteeksi. 

Syyrian elektroniseksi armeijaksi (SEA) itseään kutsuva ryhmittymä lähetti ensin Twitterissä kuvia, joissa he näytti ottaneensa sivustoja hallintaansja, kunnes se konkreettisesti alkoi tekemään – tai yrittämään - sitä. He saivat hallintaansa GoDaddy-nettiyhtiön kautta Gigya-palveluntarjoajan DNS-osoitteen. Gigya hallinnoi monien tiedotusvälineiden ja yhtiöiden sosiaalisen median ja kommenttiosien toimintaa.

SEA onnistui myös ohjaamaan osan tietyille nettisivuille tehdyistä hauista toisiin osoitteisiin, joissa näytettiin kyseisen nettisivun normaali etusivu ja SEAn logo siinä.

Useat tiedotusvälineet sulkivat sosiaalisen median liitännäiset ja kommentointimahdollisuudet sivuiltaan hykkäyksen vuoksi.

Toisenlainen hyökkäys haittasi muun muassa The Conversation -nettisivun julkaisemista, ja he selittivät aamulla Suomen aikaa julkaistussa artikkelissa, kuinka tuhannet nettisivut joutuivat palvelunestohyökkäyksen kohteeksi nyt maanantaina.

Tässä verkkohyökkäyksessä pyritään estämään verkkosivuston käyttö suuntaamalla sivustolle niin paljon liikennettä, että ei pysty enää toimimaan normaalisti ja näyttämään sivustoa kaikille käyttäjilleen. 

The Conversationin artikkelin kirjoittaneen David Glancen mukaan hyökkäyksen pääkohteena oli nettiin nimipalveluita tuottava DNSimple -palvelin. Se muuntaa tekstimuotoiset nettiosoitteen numeromuotoisiksi nettiosoitteiksi, joiden perusteella varsinainen tietoliikenne netissä tapahtuu.

Hyökkäys kesti useita tunteja ja siitä toipuminen on edelleen menossa. Hyökkäys kun sai monia huonosti suojattuja palvelimia sekaisin ja laajensi näin edelleen vaikutuksiaan.

Internetin tietoliikennettä kuvaavissa kartoissa näkyy selvästi, että lisääntynyt liikenne oli pääasiassa peräisin Kiinasta, mutta Yhdysvallat tuli heti seuraavana. Näitä maita sinällään ei  voi syyttää, vaan näissä maissa olevia tietokoneita ja mobiililaitteita, jotka oli kaapattu mukaan hyökkäykseen. Ne siis lähettivät käyttäjänsä tietämättä pyyntöjä hyökkääjien haluamiin osoitteisiin.

Se, kuka on tämän hyökkäyksen takana, ei ole selvää. Glance heittää artikkelissaan esiin mm. Kiinan kansanarmeijan ns. Kolmannen osaston, joka on tunnettu kyberiskuistaan, mutta hyökkäys Kybermaanantaina pitkälti Kiinassa tuotettujen laitteiden ostamista vastaan sotii kyllä aika paljon Kiinan etuja vastaan, joten se ei ole kovin uskottava.

Yöllä Suomen aikaa myös Yhdysvaltain keskusrikospoliisi FBI varoitti (CNBC:n mukaan) yrityksiä uuden, toistaiseksi tuntemattoman anarkistihakkerijoukon aloittamasta hyökkäyksestä, missä käytetään tietokoneiden kovalevyt tyhjäksi pyyhkivää haittaohjelmaa. 

Tästä ei ole vielä laajempia mhavaintoja, mutta varoitus osaltaan – kuten edeltäneet hyökkäykset - on jälleen yksi merkki siitä, että tietokoneiden ja nettipalveluiden turvallisuuteen täytyy suhtautua vakavasti.

Lisätietoja tietoturvasta saa mm. Viestintäviraston sivuilta. Tästä hyökkäysaallosta ei siellä kuitenkaan ole vielä tietoja, mutta toisaalta tämä ei kosketa toistaiseksi normaaleja netinkäyttäjiä muuten kuin siten, että netti tökkii ja sivustot eivät salli ainakaan vähään aikaan juttujen kommentointia. Jokaisen tulisi kuitenkin olla varovainen ja välttää kyseenalaisien sivustojen käyttämistä.

Tiedetuubin viime torstainen toimintakatkos ei liittynyt näihin hyökkäyksiin, vaan systeemipäivityksen aikana tapahtuneeseen tietokantavaurioon.