Miraissa on tulevaisuus

Mirai-haittaohjelma on yksi viime vuosikymmenten merkittävimmistä kyberturvallisuuteen vaikuttaneista ja yhä vaikuttavista ilmiöistä. Mirain ohjelmakoodi on julkisesti saatavilla ja kyberrikolliset päivittävät ja kopioivat sitä jatkuvasti uusiksi varianteiksi. Mirai-tartuntojen torjunta ja siivoaminen on osoittautunut vaikeaksi erityisesti kulttuurillisista syistä: se nähdään helposti “jonkun toisen ongelmana”. Mirai siis pysyy riesanamme todennäköisesti vielä pitkään, kirjoittaa erityisasiantuntija Perttu Halonen.

Mirai-haittaohjelma havaittiin ensimmäisen kerran elokuussa 2016. Haittaohjelman lähdekoodi julkaistiin syksyllä 2016. Siitä lähtien haittaohjelmien kehittäjät - käytännössä kyberrikolliset - ovat ahkerasti käyttäneet Miraita verkon älykkäisiin laitteisiin (esineiden internetin eli IoT-laitteet) kohdennettujen haittaohjelmien pohjana. Hyvin tunnettuja Mirai-variantteja ovat esimerkiksi Okiru, Satori, Masuta, PureMasuta, IoTrooper ja Reaper. Valtaosa Mirai-pohjaisista haittaohjelmista on tehty ARM-suorittimia varten, jotka ovat tavallisia heikkotehoisissa verkkolaitteissa kuten kotien laajakaistareitittimissä. Intel-suorittimille käännetyt Mirai-variantit ovat kuitenkin kasvava trendi. Intel-suorittimia käytetään tyypillisesti tehokkaammissa yleiskäyttöisissä palvelimissa ja verkon aktiivilaitteissa.

Mirai ei ole ainoa IoT-haittaohjelma, jonka lähdekoodi on julkisesti saatavilla, mutta se vaikuttaa olevan suosituin. Merkittävä syy Mirain suosioon rikollisten keskuudessa lienee se, että Mirai kykenee leviämään matomaisesti. Sillä tavalla hyökkääjän on helppo tavoittaa myös sellaisia laitteita, jotka eivät näy suoraan internetiin, mutta jotka voivat lähettää liikennettä internetiin jonkin yhdyskäytävän kautta.

Haittaohjelmien kehittäjät lisäävät Mirai-pohjaisiin haittaohjelmiin jatkuvasti uusia menetelmiä, joilla haittaohjelma murtautuu ja tarttuu toisiin laitteisiin. Samalla vanhat hyviksi havaitut murtautumismenetelmät, kuten tunnettujen salasanojen käyttö hallintakäyttöliittymiin kirjautumisessa, ovat säilyneet Mirain työkalupakissa. Tapa, jolla Mirai-pohjaisella haittaohjelmalla saastunut IoT-laite skannaa tietoverkkoja uusien murrettavien IoT-laitteiden löytämiseksi, on ilmeisesti pysynyt samanlaisena alusta alkaen.

Haittaohjelmien kehittäjät myös lisäävät Mirai-pohjaisiin haittaohjelmiin uusia hyväksikäyttömenetelmiä. Mirai-bottiverkkoja on alun pitäen käytetty lähinnä hajautettujen palvelunestohyökkäysten (DDoS) tekemiseen, mutta parin viime vuoden aikana kryptovaluuttojen louhiminen IoT-laitteilla on ollut nouseva trendi myös Mirai-bottiverkkojen kohdalla. Miraita vastaavia bottiverkkoja on käytetty myös muun hyökkäysliikenteen kuten kolmansia osapuolia vastaan tehtyjen tietomurtojen alkuperän häivyttämiseen (välityspalvelin eli proxy). Olennaisesti Mirai siis varastaa saastuneen laitteen omistajalta sähköä ja mainetta.

Sääntely auttaa, muttei yksin riitä

Historiasta ja nykytilanteesta päätellen IoT-laitteiden bottiverkot ovat edelleen tuottoisia välineitä kyberrikollisille. Tietoturvaltaan heikkoja IoT-laitteita ilmeisesti riittää maailmalla, hyökkäys- ja hyväksikäyttömenetelmien kehittäminen on helppoa ja bottiverkkojen ylläpitäminen vaivatonta.

Mirain ilmestyminen sai lainsäätäjätkin havahtumaan IoT-laitteiden tietoturvallisuusvaatimusten sääntelyyn, mutta vasta nyt virallisia vaatimuksia alkaa valmistua sovellettaviksi. Vanhoja IoT-laitteita, joita tietoturvallisuussäädökset eivät koske, pysyy kuitenkin käytössä varmasti vielä vuosia. Säädöksetkään eivät ole autuaaksi tekevä asia: haavoittuvuuksia korjaavien päivitysten asentaminen säilyy edelleen käyttäjän vastuulla, ja käyttäjät saavat jatkaa laitteiden käyttämistä senkin jälkeen, kun valmistajan velvollisuus tarjota päivityksiä on loppunut.

Kyberturvallisuuskeskuksen Autoreporter-järjestelmä (Ulkoinen linkki) kerää ja välittää suomalaisille internetpalveluntarjoajille havaintoja Suomesta peräisin olevasta haittaohjelmaliikenteestä. Autoreporterin välittämien tietojen perusteella palveluntarjoajat voivat ripeästi torjua haittaohjelmien aiheuttamaa uhkaa. Autoreporterin välittämien havaintojen määrä nousi loka-marraskuussa 2016 selvästi normaalia suuremmaksi Mirain leviämisen takia. Kyberturvallisuuskeskuksen koordinoimalla verkkoliikenteen suodattamisella Mirain leviämistä saatiin Suomessa hillittyä tuntuvasti vuoden 2016 lopulla.

Autoreporter-järjestelmän kautta välitettiin vuoden 2023 lokakuussa 730 Mirai-havaintoa, marraskuussa 618 ja joulukuussa 725 havaintoa. Näin ollen Mirai on tällä hetkellä Suomessa viiden yleisimmän tunnistettavaa verkkoliikennettä aiheuttavan haittaohjelman joukossa.

Mirai-pohjaisten haittaohjelmien ja bottiverkkojen torjunta on osoittautunut viheliäiseksi ongelmaksi. Haavoittuvia laitteita on Internetissä valtavasti ja niitä omistaa lähes yhtä lukuisa joukko tahoja kotitalouksista suuryrityksiin. Älykkäitä laitteita otetaan usein käyttöön miettimättä lainkaan niiden suojaamista ja elinkaarta, ja vaikka käyttäjä olisikin kiinnostunut laitteidensa suojaamisesta, niin kukin laite edellyttää erilaisia toimenpiteitä, mikä on haaste niin osaamisen kuin ajankäytön kannalta. Tartunnan saaneen laitteen käyttäjien on vaikeaa havaita tartuntaa itse. Tartunnan tuntuvat vaikutukset kohdistuvat usein kolmansiin osapuoliin esimerkiksi saastuneella laitteella tehdyn palvelunestohyökkäyksen muodossa, mikä saastuneen laitteen omistajan näkökulmasta on helposti “jonkun toisen ongelma”.

Kohti lopullista voittoa

Kestävä Mirain torjunta vaatisi ison toimijajoukon yhteistä vastuunkantoa ympäri maailman. Suomessa homma toimii suhteellisen hyvin, kiitos haitalliseen tietoliikenteeseen reagoimiseen kannustavan lainsäädännön ja Traficomin ja teleyritysten hyvän yhteistyön. Silti täälläkin ongelman kanssa ollaan pitkälti whack-a-mole-pelin asetelmassa.

Kutsun sinut mukaan yhteiseen taisteluun Mirain ja siinä samassa monen muunkin haittaohjelman toimintaedellytysten poistamiseksi.

Vaadi älykkäiden laitteiden myyjiltä tietoa siitä, miten pitkään laitteen ohjelmistoa tuetaan, ja miten pidät ohjelmiston päivitettynä.
Noudata laitteiden käyttöohjeita.
Vaihda laitteiden oletusarvoiset salasanat omiksesi. Käytä joka laitteessa ja käyttäjätilissä eri salasanaa.
Tarkasta käyttämiesi laitteiden tilanne säännöllisesti (vaikkapa kerran kuukaudessa samalla, kun tarkastat palovaroitinten toiminnan). Asenna päivitykset aina, kun niitä on saatavilla. Jos mahdollista, säädä päivitykset asentumaan automaattisesti.
Suosi pilvipalveluiden käyttämistä sisältöjen jakamisessa kotisi ulkopuolelle sen sijaan, että avaisit kotiverkkoasi näkymään internetiin.
Poista laite käytöstä viimeistään silloin, kun sen ohjelmiston tuki lakkaa.

Kirjoittaja Perttu Halonen työskentelee erityisasiantuntijana Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksessa.

Traficom: Tietoturvailmiöt jotka muuttivat maailmaa - Mirai. Video, 25.5.2022 (Ulkoinen linkki)

Mirain tartuntakeinot kehittyvät jatkuvasti: Kyberturvallisuuskeskus: Kyberturvallisuuskeskuksen viikkokatsaus - 50/2023. Tietoturva nyt! 15.12.2023 (Ulkoinen linkki)

Miraihin kehitetään myös uusia “hyötykuormia” eli keinoja rikoshyödyn saamiseksi: Akamai: You Had Me at Hi — Mirai-Based NoaBot Makes an Appearance. Blog, Security Research, 10.1.2024 (Ulkoinen linkki)

Yleiskatsaus Mirai-bottiverkkoon ja haittaohjelman variantteihin: Cloudflare: What is the Mirai Botnet? (Ulkoinen linkki)

Mirai-variantit yleistyvät myös yleiskäyttöisissä palvelintietokoneissa: Crowdstrike: Mirai Malware Variants for Linux Double Down on Stronger Chips in Q1 2022. Blog, 20.5.2022 (Ulkoinen linkki)

Antonia Affinito, Stefania Zinno, Giovanni Stanco, Alessio Botta, Giorgio Ventre: The evolution of Mirai botnet scans over a six-year period. Journal of Information Security and Applications, Volume 79, December 2023 (Ulkoinen linkki)

Mirain leviäminen näkyy myös Kyberturvallisuuskeskuksen Autoreporter-palvelun tuottamassa datassa: Traficom: Traficomin haittaohjelmahavainnot (Ulkoinen linkki)

Sääntelystä apua Mirain torjuntaan: Kyberturvallisuuskeskus: Älylaitteiden heikko tietoturva sääntelyllä kuriin. Tietoturva nyt! 27.1.2023, päivitetty 23.1.2024 (Ulkoinen linkki)