Yleiseen VPN-sovellukseen on tehty monimutkainen ja huolestuttava tietomurto. Kyseessä on Suomessakin melko laajasti käytössä ollut tai oleva entinen Pulse Secure, nykyinen Ivanti. Hyökkääjän uskotaan olevan valtiollinen taho, ja hyökkäyksen havaittiin olevan käynnissä joulukuun alussa. Näin hyökkääjä on jo päässyt käyttämään varastamiaan tietoja.
Asiasta kertoi ensimmäisenä asian havainnut tietoturvatutkintaan erikoistunut yhdysvaltalainen Volexity-yhtiö blogissaan keskiviikkona. Myös Suomen Kyberturvallisuuskeskus varoittaa asiasta haavoittuvuustiedotteessa.
Hyökkäys on toteutettu käyttämällä kahta VPN-palvelussa ollutta nollapäivähaavoittuvuutta. Nollapäivä tarkoittaa tietoturvapuutetta, jota ei ole tunnistettu aikaisemmin. Nimitys nollapäivä tulee siitä, että asia on korjattava heti eli nollan päivän kuluttua.
Kaksi nollapäivähaavoittuvuutta ovat mahdollistaneet sen, että hyökkääjä voi käynnistää VPN-sovelluksen etäkäytön. Se pystyy myös muokkaamaan sovellusta ja sen tietoja sekä pääsemään käsiksi laitteisiin, joille sovellus on asennettu sekä varastamaan niiltä tietoa. Kyseessä on ollut nimityksellä living off the land tunnettu hyökkäys. Tämä tarkoittaa, että hyökkääjän ei tarvitse asentaa uhrin järjestelmiin mitään, kuten haitallista koodia tai -tiedostoja, vaan hyökkääjä käyttää jo valmiiksi olemassa olevia työkaluja.
Hyökkääjä kykenee etsimään VPN:n kautta järjestelmään päästyään lisää käyttäjätunnuksia ja etsiytymään niiden avulla tietojärjestelmissä myös sellaisiin paikkoihin, jotka eivät ole kytkettynä internetiin. Se on muokannut VPN:n ominaisuuksia ja ohjaillut siihen liittyvää informaatiota omiin käsiinsä. Tässä tapauksessa hyökkääjä onnistui myös muokkaamaan Ivantin VPN-palvelun tiedostoja siten, että sen havaitseminen työkalun eheyden tarkistamiseen tarkoitetulla työkalulla vaikeutui. Se myös ilmeisesti poisti järjestelmistä itseensä liittyviä jälkiä ja tekemiään muutoksia.
Hyökkääjän asiakkaansa järjestelmissä havainnut Volexity-yhtiö on antanut hyökkääjälle kutsumanimen UTA0178. Yhtiö epäilee, että hyökkääjä on todellisuudessa Kiinan valtio.
Kerta ei ole ensimmäinen, kun Pulse Secure eli nykyinen Ivanti Connect Secure (ICS) on hyökkääjien kohteena. Esimerkiksi vuonna 2021 sovelluksesta löytyi neljä vakavaa haavoittuvuutta, joiden takia valtionhallinnon tietotekniikan palveluntarjoaja Valtori joutui tarkistamaan ovatko valtion virastot joutuneet hyökkääjien kohteiksi. Selvittelyyn Valtorin kanssa osallistuivat tuolloin palveluntarjoaja Telia, keskusrikospoliisi, suojelupoliisi ja Kyberturvallisuuskeskus. Myös tuolloin hyökkäyksestä epäiltiin Kiinan valtiota.
Vielä vuonna 2020 Elisa tarjosi Pulse Securea yritysasiakkaiden käyttöön, käy ilmi Googlen hakutuloksiin nousseesta pdf-asiakirjasta. Oulun yliopisto puolestaan kertoo sivuillaan, että Pulse Securesta on luovuttu tammikuussa 2023.
Kesällä 2023 Ivantin toisessa etäkäyttötyökalussa Endpoint Managerissa havaittiin haavoittuvuus, jonka kautta hyökkääjällä oli pääsy ohjelmointirajapintaan. Kohteiksi joutui ainakin kaksitoista ministeriötä Norjassa, mutta eivät kuitenkaan puolustusministeriö, ulkoministeriö ja pääministerin kanslia.
Viimeisimmille, keskiviikkona julkaistuille haavoittuvuuksille ei ole vielä julkaistu paikkauspäivityksiä. Volexity-yhtiö on kuitenkin julkaissut ohjeet, joiden avulla Ivantin VPN:aa käyttävät yritykset voivat selvittää, ovatko ne joutuneet hyökkääjän kohteiksi. Ne voivat esimerkiksi tutkia VPN:n lokitietoja ja etsiä tiettyjä poikkeamia verkkoliikenteestä. Nämä toimenpiteet eivät kuitenkaan yksinään riitä pysäyttämään jo käynnissä olevaan hyökkäystä.
Lisätietoja Volexityn sivuilta.
