Snake-vakoiluhaittaohjelma on Venäjän kybertiedustelun selkäranka, jonka Yhdysvallat nyt kertoo katkaisseensa

Yhdysvallat kertoi tiistaina, että se oli tehnyt vaarattomaksi venäläisen haittaohjelman, jota Venäjän turvallisuuspalvelu FSB oli käyttänyt vakoilemiseen 20 vuoden ajan.

Yhdysvaltojen mukaan nimillä Snake ja Uroburos tunnettua ohjelmaa käytettiin vakoilemiseen ainakin 50 maassa, joiden joukkoon kuuluu myös Nato-maita. FSB oli saanut ohjelman ujutettua monien valtioiden, tutkimuslaitosten ja tiedotusvälineiden tietokonejärjestelmiin.

Päällikkö Janne Allonen liikenne- ja viestintävirasto Traficomin kyberturvallisuuskeskuksesta kertoo STT:lle, että Snake-haittaohjelmaa ei ole havaittu Suomessa Yhdysvaltojen julki tuoman tapauksen yhteydessä. Allosen mukaan Yhdysvallat on aikonut olla yhteydessä maihin, joissa Snake-haittaohjelma on vaikuttanut. Ainakaan vielä keskiviikkona yhteydenottoa ei Allosen mukaan ollut tullut.

Yhdysvaltojen kyberpuolustusvirasto Cisan mukaan Snake oli Venäjän edistyksellisin kybervakoilun työkalu, jota oli äärimmäisen vaikea havaita tietokoneissa ja tietoverkoissa. Sitä oli myös helppo päivittää ja muokata.

– Siinä mielessä nämä ovat aina vähän kehittyneempiä ja vaikeammin havaittavissa, kun kyseessä on valtiollinen toimija. Heillä keinot ovat erilaiset ja metodit sekä tavoitteet poikkeavat yksittäisestä toimijasta. Siellä on rahat, keinot, halu ja tahtotila, Allonen kommentoi.

Yhdysvaltojen mukaan haittaohjelman kehityksen takana on FSB:n alainen yksikkö. WithSecuren vanhempi tutkija Sami Ruohonen kertoo STT:lle, että tarkemmin sanottuna kyseessä on FSB:n Center 16:n alla toimiva ryhmä, joka on julkisesti tunnettu nimellä Turla. Ruohosen mukaan Turla on harjoittanut tiedustelutoimintaa kybermaailmassa ainakin vuodesta 2004, ja toimintaan kuuluvat myös kyberhyökkäykset.

Ruohosen mukaan tutkintojen perusteella on tehty johtopäätös, että Snake on Turla-ryhmän ehdottomasti kehittynein haittaohjelma.

– Tällaisia ei nähdä usein. Tätä ei pysty mitenkään vertaamaan esimerkiksi harrastelijoiden luomiin haittaohjelmiin, joita saa darknetistä tai voi ladata jostain avoimesta lähteestä. Tämän takana on kehitystiimi. Sanoisin, että he ovat kärkikastia, mitä tulee hakkeriryhmiin ja niiden kyvykkyyksiin.

Ruohosen mukaan Snake sallii operaattorin kerätä tietoa uhrin koneelta, vakoilla konetta, poistaa koneelta tiedostoja tai lisätä niitä, sulkea prosesseja tai ajaa komentoja uhrin koneella tai palvelimella.

– Eli käytännössä vakoilla tai ohjata tarpeen vaatiessa, hän summaa.

Ruohonen kuvaa Snaken toimineen käyttöönotostaan eli vuodesta 2004 lähtien FSB:n kybertiedustelun selkärankana ja vaikuttaneen myös muihin FSB:n työkaluihin.

– Sitä on käytetty korkean profiilin kohteita vastaan ja se on myös rakennettu siihen.

Ruohosen mukaan Yhdysvaltain liittovaltion poliisi FBI on yhdessä kansainvälisten kumppaniensa kanssa selvittänyt, miten Snake-haittaohjelmia sammutetaan. FBI kumppaneineen myös sammutti niitä maailmanlaajuisesti muutama päivä sitten, Ruohonen kertoo. Yhdysvallat on myös julkaissut kattavasti tunnisteita, joilla Snake-haittaohjelman ja hyökkäykset voi havaita.

– Tämä ei ole kuolettava isku, mutta aiheuttaa takapakkia esimerkiksi siinä, että tällä hetkellä olemassa olevat operaatiot ovat vaarassa, koska nyt tiedetään miten Snake tunnistetaan. FSB:n uusiin operaatioihin pitää miettiä eri työkaluja ja kehittää mahdollisesti uusia.