Kun sinut on nimetty muinaisen kreikkalaisen jumalan mukaan, sinulla on maine, jonka mukaan elää. Kukaan ei odottanut, että Zeuksella olisi näin raju vaikutus digitaaliseen maailmaan, kun se havaittiin ensimmäisen kerran vuonna 2007. Vuonna 2009 Zeuksesta tuli kuitenkin yksi internetin laajimmalle levinneistä haittaohjelmista.
Zeus on vaarantanut yli 74 000 FTP-sivustotiliä ja saastuttanut yli 3,6 miljoonaa tietokonetta. Tämä haittaohjelma tartutti tärkeitä verkkoja, kuten NASA, Amazon, Cisco ja Oracle. Hakkerit käyttivät Zeusta varastamaan taloudellisia tietoja Bank of Americalta ja liikenneministeriöltä.
Zeuksen alkuperäinen luoja julkaisi lähdekoodin julkisesti vuonna 2011. Tämä loi pohjan Zeuksen lukuisille muunnoksille, mikä tekee siitä uhan vielä tänäkin päivänä.
Mikä on Zeus-troijalainen?
Zeus-troijalainen-haittaohjelmaa, josta käytetään myös nimitystä Zbot, käytetään yleensä arkaluontoisten tietojen, kuten taloustietojen, varastamiseen. Haittaohjelma kohdistuu laitteisiin, jotka käyttävät Microsoft Windows -käyttöjärjestelmää.
Hakkerit voivat käyttää Zeusta varastamaan haluamiaan tietoja Windows-tietokoneesta ja jopa asentamaan CryptoLocker-kiristyshaittaohjelman. Lisäksi hakkerit voivat käyttää lähdekoodia luodakseen omia versioita Zeuksesta.
Zeus voi automaattisesti kerätä salasanoja, ladata tiedostoja, käynnistää tietokoneet uudelleen tai sammuttaa ne ja poistaa järjestelmätiedostoja. Lopulta aiheuttaa tietokoneen kaatumisen.
Miten Zeus saastuttaa tietokoneita
Uudet Zeus-versiot ovat vaikeasti havaittavissa erilaisten tiedostopäätteiden, satunnaisten otsikoiden ja haittaohjelman salauksen muutosten vuoksi. Haittaohjelma pysyy uinuvana tartunnan saaneessa tietokoneessa, kunnes vierailet jollakin kohteena olevalla verkkosivustolla. Silloin virus aktivoituu ja pyytää henkilötietojasi. Hakkerit myyvät sitten varastetut tiedot mustassa pörssissä.
Zeus-haittaohjelma voi tartuttaa tietokoneita kahdella päämenetelmällä – drive-by-latauksilla ja roskapostiviesteillä.
Roskapostiviestit
Roskapostiviestit tulevat yleensä sähköpostin tai sosiaalisen median julkaisujen muodossa. Roskapostiviestit näyttävät ensi näkemältä laillisilta, se voi olla kutsu erityistapahtumaan, kaveripyyntö Facebookissa tai tärkeä viesti pankistasi.
Kun napsautat sähköpostissa olevaa linkkiä, sinut ohjataan automaattisesti verkkosivustolle, joka asentaa haittaohjelman. Haittaohjelma voi joskus varastaa sähköpostisi ja sosiaalisen median tunnistetietosi ja lähettää viestejä tililtäsi.
Drive-by-lataukset
Drive-by-lataus on haittaohjelmiston tahaton lataaminen tietokoneeseen tai mobiililaitteeseen. Sinun ei tarvitse avata haitallista sähköpostia tai napsauttaa mitään napsauttaaksesi tartuntaa. Haittaohjelma asentuu, kun käyttäjä vierailee haitallisella verkkosivustolla tai asentaa saastuneen ohjelman. Drive-by-lataus hyödyntää yleensä vanhentuneita järjestelmiä, joissa on tietoturva-aukkoja.
Mitä Zeus-virus tekee tietokoneille
Zeus-haittaohjelma voi tehdä lukuisia asioita tartunnan saaneille tietokoneille, mutta tyypillisesti sillä on kaksi pääasiallista toimintoa:
- Botnets-verkko, jossa toisiinsa liitetyt tietokoneet koordinoivat toisiaan suorittaakseen jonkin tehtävän. Hakkerit käyttävät joskus bottiverkkoja DDoS-hyökkäysten (Distributed Denial-of-Service) toteuttamiseen, roskapostiviestien lähettämiseen ja arkaluonteisten tietojen varastamiseen.
- Rahoituspalvelujen troijalainen-Zeusta käytetään usein pankkipalveluiden tunnusten varastamiseen. Haittaohjelma kiertää pankkisivuston tietoturvan ja tarkkailee käyttäjän toimintaa. Kun käyttäjät yrittävät kirjautua sisään, haittaohjelma tallentaa heidän tunnistetietonsa. Joskus Zeus voi jopa kiertää kaksitekijätodennuksen.
Alun perin Zeus-haittaohjelma vaikutti vain Microsoftin Windows-käyttöjärjestelmään, mutta uudemmat versiot tartuttavat myös Android- ja BlackBerry-mobiililaitteisiin.
Miten ehkäistä Zeus-haittaohjelma
Hieman varovaisuutta noudattamalla voi estää Zeus-haittaohjelman tartunnan tietokoneellesi. Seuraavassa kerrotaan, mitä voit tehdä suojellaksesi laitteitasi:
- Turvalliset Internet-käytännöt – turvallinen selailu on ensimmäinen askel Zeus-tartunnan estämiseksi. Tähän kuuluu pysyä poissa mahdollisesti vaarallisilta verkkosivustoilta, jotka tarjoavat laittomia ilmaisia ohjelmistolatauksia. Näiden verkkosivustojen omistajilla ei yleensä ole mitään ongelmaa isännöidä haittaohjelmia sivustollaan. Sinun tulisi myös välttää sähköpostin ja sosiaalisen median linkkien klikkaamista, ellet odota näitä viestejä. Vaikka viesti olisikin laillisesta lähteestä, Zeus-haittaohjelma voi vaikuttaa siihen.
- Päivitä virustorjuntaohjelmasi – voit odottaa, että Zeuksesta ilmestyy uusia versioita muutaman vuoden välein, sillä lähdekoodi on julkisesti saatavilla. Vain virustorjuntaohjelmat, joita päivitetään jatkuvasti uusien uhkien mukaan, voivat todella suojata sinua Zeus-haittaohjelmalta.
- Vahvista tunnistautumista – haittaohjelmahyökkäykset johtuvat yleensä heikoista tunnistetiedoista. Monitekijätodennus (Multi-Factor Authentication, MFA) voi estää luvattoman pääsyn sovelluksiin. Varmista, että kaikki sovelluksesi, myös kolmannen osapuolen palvelut, tukevat MFA:ta.
- Käytä EDR-työkaluja (Endpoint Detection and Response) – EDR-työkalut estävät epäilyttävien tiedostojen suorittamisen päätelaitteissa tarkkailemalla päätelaitteiden lokitietoja ja paketteja. Päätelaitteiden jatkuva seuranta auttaa tietoturvaryhmiä reagoimaan haittaohjelmahyökkäyksiin reaaliaikaisesti.
- Koulutus – järjestä säännöllisesti kyberturvallisuuskoulutusta organisaatiossasi. Kouluta työntekijöitä hyvien tietoturvakäytäntöjen perusteista, kuten tuntemattomien sähköpostiosoitteiden vahvistamisesta, tuntemattomista lähteistä tulevien linkkien napsauttamisen välttämisestä ja epäilyttävistä toiminnoista ilmoittamisesta asiakastukeen.
Kuuluisat Zeus-hyökkäykset
Tuhansia Zeus-muunnoksia on olemassa. Zeus-haittaohjelmaperheeseen kuuluu troijalaisia kuten Gameover, SpyEye, Atmos, Floki ja monet muut.
Gameover ZeuS
Gameover-haittaohjelman loi venäläinen hakkeri nimeltä Evgeniy Bogachev. Gameover Zeus käyttää salattua peer-to-peer-viestintää tiedonsiirtoon solmujensa ja ohjauspalvelimen välillä. Virus luo yhteyden palvelimeen heti, kun haittatiedosto asentuu tietokoneelle. Asennuksen jälkeen haittaohjelma voi poistaa käytöstä tiettyjä järjestelmäprosesseja, ladata ja käynnistää muita viruksia tai jopa poistaa tärkeitä järjestelmätiedostoja.
Zeus Panda
Zeus Panda -haittaohjelma kohdistui vuonna 2016 verkkopankkipalveluihin, lentoyhtiöiden kanta-asiakasohjelmiin ja online-vedonlyöntitileihin Euroopassa ja Pohjois-Amerikassa. Myöhemmin samana vuonna Zeus Panda kohdistui myös brasilialaisiin pankkeihin ja muihin verkkopalveluihin. Haittaohjelma kohdistui brasilialaisiin lainvalvontasivustoihin, verkkoturvallisuuden myyjiin ja verkkokauppasivustoihin.
Floki Bot
Floki Bot on nimetty brasilialaisen hakkerin mukaan, joka tunnetaan nimellä ”flokibot”. Flokin ainoa tarkoitus on taloudellinen hyöty. Floki Bot -hyökkäyksiä toteuttavat hakkerit valitsevat uhrinsa hyvin suunnitelmallisesti, minkä vuoksi Floki haittaohjelma on paljon tehokkaampi kuin alkuperäinen Zeus. Lisäksi toisin kuin Zeus, Floki Bot voi hyökätä POS-järjestelmiin (Point of Sale), mikä avaa täysin uusia tapoja käteisvarojen kaappaamiseen.
Johtopäätös
Zeus-haittaohjelma on saastuttanut miljoonia tietokoneita ympäri maailmaa suhteellisen lyhyessä ajassa. Lähdekoodi on edelleen saatavilla verkossa, ja hakkeriyhteisö keskustelee, päivittää ja parantaa haittaohjelmaa jatkuvasti. Tämän seurauksena Zeus tulee olemaan uhka vielä vuosia, vaikka sen alkuperäinen luoja ei ole enää toiminnassa. Organisaatioiden on ymmärrettävä, että Zeus-virus on edelleen olemassa, ja ryhdyttävä toimiin taloutensa ja arkaluonteisten tietojensa suojaamiseksi.