Pakomatka osa III: Verkko kiristyy

Edellisessä jaksossa Aleksi oli varastamassa työnantajaltaan seuraavan sukupolven hävittäjälentokoneeseen liittyviä dokumentteja. Verkkoliikenteen avulla hänet paikallistettiin Nurmon takametsiin. Kuullessaan takaa-ajajien lähestyvän Aleksi rikkoo viestintävälineensä ja hylkää ne viereiseen lampeen jatkaen matkaa juuri ennen takaa-ajajien saapumista.

Takaa-ajajat saapuvat talon pihaan. “Matkapuhelinsignaalin perusteella tämä on oikea paikka, autokin on vielä pihassa”, toteaa ryhmänjohtaja. Etsivät löytävät lattialta muovinpaloja, näppäimistön osia ja kirveen niiden vierestä. “Kohde ehti karata. Täällä on muovinpalasia kaikkialla, mutta ei jälkiä kovalevyistä tai laitteiden rungoista”, hämmästelee eräs tutkijaryhmän jäsen. Lammen rannalta löytyneet muovinpalaset johdattavat ryhmän naaraamaan lammen, josta löytyivät tietokone ja puhelin. “Kostuneita kiintolevyjä, viedään labraan ja katsotaan saataisiinko jotain irti.”, etsivä toteaa.

Aleksin syrjäinen mökki Nurmon takametsissä

Hetken päästä Aleksi saapuu rikoskumppaninsa luokse:

Aleksi: Epäonnistuimme, mutta se oli vasta ensimmäinen yritys.
Rikoskumppani: Kuinka jatkamme?
Aleksi: Annoin heille pienen läksiäislahjan. Lahjapaketin pitäisi kohta aueta.
Rikoskumppani: Hyvä! Asiakkaamme palaa halusta päästä käsiksi niihin dokumentteihin.

Takaovi aukeaa taas

Virus on asetettu aktivoitumaan kello 16:20. Virus avaa kryptatun yhteyden yritykseen palvelimelle. Datapurskeet on muokattu näyttämään normaalilta VPN-yhteydeltä. “Dark webistä saa loistavia työkaluja pikkurahalla”, Aleksi tokaisee ja jatkaa: “Käyttäjätunnukseni on seurannassa tai estetty, joten pitää mennä sisään kiertotietä. Käyttäjähallinnan ylläpitotunnus säilytettiin paperinpalalla, joka lojui aika ajoin ylläpitäjän pöydällä. Siitä oli helppo ottaa kuva. Sitten etsitään vielä sopivalla roolilla ollut entinen tuotekehityshenkilö, jonka tunnus on unohtunut poistaa, resetoidaan salasana ja voilá, olemme taas sisällä.”

Darkwebistä löytyy vaikka minkälaisia työkaluja

Tutkijaryhmä on laboratoriossa saanut kaivettua Aleksin rantaveteen hylkäämästä matkapuhelimesta puheluhistoriaa. Tutkijat asettavat Aleksiin yhteydessä olleet numerot seurantaan ja jatkavat kannettavan kovalevyn analysointia.

Samaan aikaan yrityksen kybertilannekeskuksessa alkaa tapahtua:

Valvoja 1: “Poikkeushälytys, vaikuttaa jotakuinkin normaalilta VPN-yhteydeltä.”
Valvoja 2: “Ne aina välillä hälyttää. Siellä on vaan joku etätöissä, ollaan kuitenkin globaali yritys.”
Valvoja 1: “Ehkä, mutta kyllä näiden hälytysten tutkinta aina pasianssin voittaa.”

Hetken tutkittuaan valvoja 1 jatkaa: “Suurta liikennettä salaiseksi luokiteltuun tietokantaan. Meillehän asennettiin hiljattain uusi kriittisiä tietokantoja valvova sovellus. Kurkataan, mitä SQL-komentoja siellä oikein ajetaan. Kas, näemmä pääkäyttäjä valvoo myös kantaa.”

Valvoja 2: “Työnarkomaani. Kaveri tekee töitä häämatkallaan. Latasi juuri häämatkaltaan Havajilta lomakuvia tiimin viestiryhmään.”

Pääkäyttäjän lomakuva

Havaijilla tietokantojen valvontasovelluksen pääkäyttäjä naukkailee piña coladaa rantatuolissa seuraten samalla näytöltä tilannetta yrityksen verkossa. Toisessa ikkunassa on lähetetty Aleksille salattu viesti: “Valvomo on pääsemässä jyvälle. Jos saan osuuden niin katson, etteivät enää häiritse. Tavataan huomenna Helsingissä?” Aleksi vastaa muutaman minuutin kuluttua: “Sovittu! Klo 18:00 Keskuspuistossa.” Pääkäyttäjä käynnistää scriptin, joka generoi verkkoon epäilyttävää liikennettä sekä löyhentää lokienkeräysfiltteriä, jolloin valvomoon tulvii sekalaista dataa kaikkialta verkosta.

Puistossa ilta viilenee

Seuraavana päivänä Keskuspuiston pohjoisosassa pienen vuokramökin pöydän ääressä pääkäyttäjä on aloittamassa keskustelua Aleksin kanssa. Aleksin yllätykseksi pääkäyttäjä kuitenkin toteaa: “Temppuilusi on ohi nyt!”

“Tein sinua varten pienen ansan. Varastaessasi tiedostoja latasit koneellesi vakoiluohjelman, joka paljasti sinun ja kumppaniesi sijainnin. Prepaid-liittymäsi on ollut tiedossamme ja kaikki puhelusi on jäljitetty.”, hän jatkaa.

“Typerys! Olisit voinut viettää loppuelämäsi rantabaareissa!”, Aleksi huutaa rynnätessään ulos mökistä. Heti oven avatessaan Aleksi näkee lähestyvän helikopterin, joka häikäisee hänet valokeilallaan kirkastaen myöhäisen talvipäivän. Aleksi syöksyy kohti koivikkoa, mutta vain havaitakseen tummiin pukeutuneita agentteja ympärillään.

Kun Aleksia talutetaan autoon iskuryhmän johtaja keskustelee pääkäyttäjän kanssa: “Useita rikoskumppaneita on pidätetty. Uskoaksemme eivät ehtineet toimittaa tietoja eteenpäin.” Pääkäyttäjä katsoo auton oven sulkeutuvan: “Riski ei ole poistunut. Nyt kiinniotetut olivat vain toteuttava osapuoli. Se kuka oli tämän takana tulee yrittämään vielä uudestaan..”

Loppuhuipennuksen Aleksin pakomatkalle tarjosi,

Jyrki Luukko
@JyrkiLuukko
Cyber Intelligence Architect
Combitech Oy


Mikäli haluat turvata sinulle kallisarvoisen tiedon tai apua edistyneeseen kybervalvontaan, lue lisää täältä: http://www.combitech.fi/Ratkaisut/Turvallisuusratkaisut/QRadar/

Mikäli suunnittelet omaa ihmisjahtiasi tai muutoin kaipaat välineitä turvallisuusanalytiikkaan, apua löydät osoitteesta: http://www.combitech.fi/Ratkaisut/Turvallisuusratkaisut/i2/


Seuraa tarinaamme sosiaalisessa mediassa:

Twitter
LinkedIn
Facebook


Combitech on turvallisuus- ja kyberturvaratkaisuja tarjoava yritys, joka työllistää Suomessa noin 70 turvallisuusalan huippuasiantuntijaa sekä pohjoismaissa yli 1800 henkilöä. Combitech rakentaa turvallisuutta yhteistyössä asiakkaittensa kanssa tarjoamalla tietojärjestelmiä, kyberturvallisuusratkaisuja ja -palveluita. Combitech Oy on turvallisuuskonserni Saab AB:n omistama yritys.