Skip to main content

Garmin joutui laajan verkkohyökkäyksen kohteeksi – tämä kaikki on tiedossa haittaohjelmasta, lunnaista sekä tapahtuneesta

garmin verkkohyökkäys
(Kuva: Future)

Päivitetty 28.7.: Garmin kertoo joutuneensa verkkohyökkäyksen kohteeksi, mutta yhtiön mukaan kiristyshaittaohjelmia ei ole havaittu. Lähteiden mukaan Garmin ei maksanut vaadittuja lunnaita, vaan onnistui palauttamaan tiedot omien varmuuskopioidensa avulla.

Toistaiseksi ei ole käynyt ilmi, että käyttäjätietoja olisi vuotanut vääriin käsiin. Garminin kerrotaan työskentelevän parhaillaan asioiden saamiseksi normaaliin päiväjärjestykseen.

Divider

Garmin on vahvistanut joutuneensa verkkohyökkäyksen kohteeksi heinäkuun 23. päivä. Samalla yhtiö kertoo tilanteen rauhoittuneen, joten palveluiden on määrä palautua ennalleen lähipäivien aikana.

Tapauksen kerrottiin alkuun johtuneen yksinkertaisesta huoltotapahtumasta, mutta palvelun alasajon pituudesta sekä laajuudesta kävi nopeasti ilmi, että taustalla oli jotain merkittävästi suurempaa.

Garmin vahvisti epäilyt virallisessa tiedotteessaan.

"Garminin järjestelmät ovat joutuneet lukitsevan verkkohyökkäyksen kohteeksi 23.7.2020. Tapahtuneen seurauksena monet verkkopalvelumme, kuten verkkosivut, asiakastuki, sovellukset sekä yhtiön viestintä ovat häiriintyneet.

Aloimme välittömästi tutkia tapahtunutta sekä palauttamaan tilannetta ennalleen. Tietojemme mukaan käyttäjä- tai Garmin Payn maksutietoja ei ole kadonnut tai viety.

Tapahtuneella ei ole ollut vaikutusta Garmin-tuotteiden toimintaan muutoin kuin verkkopalveluiden osalta.

Hyökkäyksen kohteeksi joutuneita järjestelmiä palautetaan parhaillaan, ja uskomme kaiken palaavan ennalleen lähipäivien aikana. Emme usko tämän vaikuttaneen tuotteisiimme tai taloudelliseen tilanteeseemme.

Palautusten vuoksi on todenäköistä, että kertynyttä dataa prosessoidaan pienellä viiveellä. Olemme erittäin kiitollisia käyttäjien ymmärryksestä ja kärsivällisyydestä tänä aikana, jolloin tutkimme tilannetta."

Mitä on tapahtunut?

Tapahtumat alkoivat käydä ilmi, kun Garmin-käyttäjät havaitsivat poikkeuksellisen pitkän huoltotauon, jonka aikana keskeisiin palveluihin ei päässyt käsiksi. Yhtiö kertoi Twitterissä Garmin Connect -katkoksesta, jonka aikana niin verkkosivu kuin mobiilisovelluskin olivat poissa käytöstä.

Hyvin nopeasti maailmalle levisi huhuja, että Garmin oli joutunut merkittävän kiristyshaittaohjelman hyökkäyksen kohteeksi. Tämän vuoksi yhtiö olisi joutunut ottamaan verkkopalvelunsa tyystin pois käytöstä.

TechRadar kysyi yhtiöltä katkoksesta 48 tuntia tapauksen alkamisen jälkeen. Saimme vastauksen, etteivät kaikki järjestelmät olleet toiminnassa.

"Garmin tutkii parhaillaan katkosta, joka koskee Garmin Connectia, Garmin Pilotia sekä muita palveluita. Katkoksen seurauksena osa ominaisuuksista ja palveluista on hetkellisesti poissa käytöstä. Tämän lisäksi tuotetukemme kärsii myös tapauksesta, joten emme voi parhaillaan vastaanottaa puheluita, sähköposteja tai chatteja.

Työskentelemme parhaillaan palauttaaksemme järjestelmämme mahdollisimman nopeasti. Samalla haluamme pahoitella tapahtuneesta. Kerromme lisätietoja heti kun vain saamme selvitettyä asian."

Saimme tämän jälkeen tarkennuksen, jossa korostettiin käyttäjätietojen olevan turvassa.

"Garmin ei ole saanut selville, että katkoksen aikana käyttäjätietoja, aktiivisuusdataa, maksutietoja tai mitään muutakaan henkilökohtaista informaatiota olisi vuotanut."

Garmin myönsi maanantaina 27.7.2020 joutuneensa verkkohyökkäyksen kohteeksi. Samalla yhtiö kertoi paitsi tutkivansa tilannetta mutta myös palauttavansa palveluita takaisin käyttöön.

Mitä on oikeasti tapahtumassa?

Tällä hetkellä yksi kiinnostavimmista käänteistä tarinassa on Garminin tapa kuvata hyökkäystä. Muotoilu "Garminin järjestelmät ovat joutuneet lukitsevan verkkohyökkäyksen kohteeksi 23.7.2020" jättää nimittäin sijaa tulkinnalle.

Kommentin perusteella kyseessä on ollut kiristyshaittaohjelma, jolloin kohteena ovat todennäköisesti olleet käyttäjätiedot sekä tietokanta.

Useat mediat ovat kertoneet, että Garminilta ja sen työntekijöiltä olisi vaadittu miljoonien dollarien arvoisia lunnaita tiedostojen palauttamisesta. Tapauksen vuoksi Garmin olisikin joutunut käynnistämään palveluidensa hätäjärjestelmät.

BleepingComputerin lähteet ovat vahvistaneet kiristyshaittaohjelman, joka olisi tietojen mukaan lukinnut joitakin Garminin järjestelmiä. Yhtiön työntekijän lähettämän kuvan perusteella lukitut tiedostot olisivat vaihtaneet nimekseen "GarminWasted", minkä jälkeen jokaisesta tiedostosta olisi vaadittu erikseen lunnaita. Se on kuitenkin hyvin epätodennäköistä, että Garmin olisi suostunut maksamaan tiedostojen avaamisesta.

Tapauksen keskiössä oleva haittaohjelma WastedLocker on venäläistä tekoa. Sky News kertoo Yhdysvaltojen viranomaisten pitävän ohjelmaa syyllisenä viimeisen vuosikymmenen kahteen pahimpaan taloutta koskevaan hakkerointiin.

Tämän vuoksi rahasiirron tekeminen rikollisille on erittäin epätodennäköistä. Täyttä varmuutta ei vielä asiasta ole, mutta Sky News kertoo niin ikään oman lähteensä pohjalta, ettei Garmin olisi maksanut hyökkääjille.

BleepingComputerin lähteen mukaan Garmin sulki järjestelmänsä estääkseen tiedostojen lukitsemisen. Samalla näyttäisi siltä, että varmuuskopiot ovat pysyneet koskemattomina.

ZDNet uutisoi taiwanilaisen iThomen kertoneen, että laitteiden tuotannosta vastaaville yhtiöille olisi kerrottu hyökkäyksestä Garminin palvelimia ja tietokantoja kohtaan. Tiedon mukaan tuotantolinjat olisivat pysäytettynä kahden päivän ajan huoltoa varten.

Garmin Instinct Solar Tactical Edition

Käyttäjät ovat huomanneet laitteidensa pääsyn pilvipalveluihin olevan hetkellisesti estynyt. Tämän vuoksi esimerkiksi urheilusuoritukset eivät lataudu Stravaan. (Image credit: Garmin)

Vaikka pyöräilijät, juoksijat ja muut liikkujat ovatkin ärtyneitä katkoksesta, Garmin näyttäisi laittaneen keskeisimmät järjestelmänsä etusijalle palautustyössään.

Suurimman ongelman aihetti FlyGarmin, joka on yhtiön pilotointiin ja navigointiin käytetty lentosovellus. Katkoksen kerrotaan aiheuttaneen useiden koneiden lentokiellon. 

FlyGarminin tila näyttäisi kuitenkin palautuneen ennalleen viikonlopun aikana, sillä jo sunnuntaina Garmin Pilot Apps -sovellukset, FlyGarmin, Connext Services sekä FltPlan.com olivat palanneet toimintaan.

TechRadarin lukijat ilmoittivat viikonlopun aikana erilaisista haittavaikutuksista. Esimerkiksi golfareille suunnattu Garmin Golf oli poissa käytöstä, eikä kartta tai GPS-järjestelmä täten toiminut kuten pitäisi. Tämäkin vaikuttaisi kuitenkin palautuneen ennalleen, joten viheriölle lähtöä ei estä enää kuin enintään sadekeli.

Garmin Connect

(Image credit: TechRadar)

Katkos vaikutti lisäksi kolmannen osapuolen sovelluksiin. Esimerkiksi Stravan tilastot näyttävät Garmin Connectista tulevan käyttäjädatan tipahtaneen heinäkuun 23. päivänä kokonaan. Samalla koko palvelun käyttäjädata väheni roimalla kolmanneksella.

Garmin-laitteiden tiedot ovat alkaneet jälleen siirtyä Stravaan, mutta kaiken informaation siirtymisessä voi runsaan tietomäärän vuoksi kulua viikko tai jopa hitusen pidempään.

Mikäli haluat saada harjoituksesti järjestelmään välittömästi, arikkelin lopussa on kerrottuna vaihe vaiheelta miten synkronoinnin saa hoidettua manuaalisesti.

Ovatko käyttäjätietoni turvassa?

Verkossa on ryhdytty jo epäilemään, että Connectin tietokannan käyttäjätiedot olisivat kadonneet hyökkäyksen yhteydessä.

Tämän suhteen ei ainakaan toistaiseksi ole syytä olla huolissaan, sillä tämän hetken tietojen mukaan henkilökohtaiset tiedot eivät ole päätyneet hakkereiden käsiin. Garmin ilmoitti 48 tuntia tapahtuman jälkeen, ettei se ole havainnut "viitteitä" tietojen katoamisesta. Tämä kattaa niin henkilökohtaiset tiedot, Garmin Payn maksutapahtumat sekä muutkin käyttäjille yksityiset informaatiot.

TechCrunch kertoo kahden lähteen väittäneen olevan vastuussa tapahtumasta. Nykytiedon valossa vaikuttaakin, että hyökkäyksen takana on WastedLocker-kiristyshaittaohjelma. TechCrunchin raportin mukaan kyseinen ohjelma ei kuitenkaan ole kykeneväinen varastamaan tai kopioimaan lukittuja tiedostoja.

Jos väite pitää paikkansa ja Garmin on hoitanut oman osuutensa kuten sanoo, käyttäjätietojen pitäisi olla turvassa. Tähän viittaa myös palveluiden palauttaminen takaisin käyttöön.

Päivittäiset suoritukset ovat niin ikään turvassa laitteessasi. Kunhan kertynyt tieto saadaan purettua ja synkronoitua järjestelmiin, päivittäiset askelmääräsi, stressitasosi sekä muut tiedot siirtyvät järjestelmään lähipäivien aikana.

Kunhan kaikki tieto on viimein siirtynyt ja palvelut pyörivät jälleen täydellä teholla, aktiviteetit näkyvät järjestelmässä aivan kuten normaalistikin.

Mikä on kiristyshaittaohjelma?

Garmin on vahvistanut joutuneensa verkkohyökkäyksen (cyber attack) uhriksi. Vaikka tarkempia tietoja ei ole vielä kerrottu, BleepingComputer kertoo taustalla olevan kiristyshaittaohjelman.

"Kiristyshaittaohjelmat ovat pelottavankin yleisiä", kommentoi tietoturva-asiantuntija Graham Cluley

"Kiristyshaittaohjelmat ovat yksi suurimmista verkkorikollisuuden muodoista viimeisten vuosien ajalta. Ne käyvät niin yksityishenkilöiden kuin organisaatioidenkin niskaan, ja niiden avulla verkkorikolliset voivat ansaita jopa miljoonia dollareita."

Kiristyshaittaohjelma on haittaohjelman muoto, joka salaa tietostoja ja estää niiden käyttämisen. Monesti ainoa tapa niiden avaamiseksi on lunnaiden maksaminen, joka tapahtuu yleensä Bitcoinien avulla, jolloin rahan seuraaminen on käytännössä mahdotonta.

"Luonnollisestikaan kaikilla ei ole varaa tai halua maksaa, minkä vuoksi esimerkiksi vuosien työ tai käyttäjälle arvokkaat perhevalokuvat saattavat kadota pysyvästi. Tarinan opetus on selvä: tee tiedostoista säännöllisiä varmuuskopioita ja varmista niiden toimivuus."

"Valitettavasti haittaohjelmat ovat kehittyneet uuteen suuntaan viimeisen parin vuoden aikana. Siinä missä aiemmin tiedostot vain lukittiin, nykyään haittaohjelma saattaa varastaa tiedot kokonaan. Tällöin kiristyksen ohessa uhataan tietojen myymisellä tai julkaisemisella, mikä saa monet yritykset tukalaan asemaan."

"Tilanne on tällöin vaikea, sillä vaikka varmuuskopioilla saisikin palautettua järjestelmän takaisin käyntiin, se ei poista varastetun datan aiheuttamaa uhkaa. Tietovuoto saattaisi aiheuttaa korjaamatonta vahinkoa niin yhtiölle kuin asiakkaillekin."

BleepingComputerin lähteiden mukaan Garminiin kohdistuneen hyökkäyksen takana olisi WastedLocker-haittaohjelma, jonka on kehittänyt Evil Corp. -niminen hakkerijoukko.

Malwarebytesin tietojen mukaan WastedLockeria käytetään erityistapauksissa tarkasti kohdennettuja yrityksiä vastaan. Lunnasvaatimukset ovat perinteisesti olleet hyvinkin vaihtelevia, sillä tapauksia on aina noin 50 000 dollarista aina 10 miljoonaan dollariin. Siirtoa vaaditaan Bitcoin-virtuaalivaluutassa.

Mitä tämä tarkoittaa Garminille?

Tapaus asettaa ikävän varjon Garminin taloustiedotteelle, joka on määrä julkaista keskiviikkona 29.7.2020. Sitä silmälläpitäen onkin luontevaa, että yhtiö on paitsi myöntänyt verkkohyökkäyksen mutta myös vakuuttanut palveluiden sekä käyttäjätietojen olevan turvassa.

"Toistaiseksi on mahdotonta arvioda sitä, minkälaista pitkän aikavälin haittaa tästä on Garminille", kommentoi CCS Insight -analyytikko Geoff Blaber TechRadarille.

"Garmin tunnetaan laitteidensa lisäksi erityisesti sovelluksista sekä edistyksellisestä teknologiastaan esimerkiksi lentämisen, pyöräilyn ja juoksun saralla. Vaikka kerätyt ja käsitellyt tiedot ovatkin kilpailijoita edistyksekkäämpiä, palveluiden estyminen hyökkäyksen aikana saa väkisinkin miettimään sitä, onko järjestelmän luotettavuus riittävällä tasolla."

"Monille urheilijoille Strava sekä synkronoinnin hoitava Garmin Connect ovat tärkeitä alustoja treenituloksien kirjanpitoa varten. Tapauksen jälkeen on todennäköistä, että käyttäjät vaativat suoraviivaisempaa synkronointia suoraan Stravaan, jolloin Connectin kattavammat ominaisuudet saattavat jäädä sivummalle."

"Garminilla on velvollisuus raportoida tarkat tiedot tapahtuneesta sekä sen syistä ja seurauksista. Erityisesti Euroopassa tilanne on selvä: GDPR pitää Garminia vastuullisena tapahtuneesta."

Miten saan ladattua suoritukset Stravaan?

Garminin aktiivuustiedot ovat alkaneet synkronoitua kolmannen osapuolen sovelluksiin, mutta Straava on varoittanut jo ennakkoon, että tietojen päivittymisessä voi ruuhkautumisen vuoksi kestää viikko tai jopa pidempään.

Mikäli haluat ehdottomasti saada kauppareissusi sekä muut liikuntatietosi Stravaan tai vastaavaan palveluun, sen voi tehdä manuaalisesti.

Tiedot saa eteenpäin yhdistämällä laitteen piuhalla tietokoneeseen. Yleensä laite näkyy Windows-koneella erillisenä asemana tai Finderissa (Mac-koneet).

Avaa kansio, klikkaa Garmin-kansiota ja suunnista Acitivity-valikkoon. Täällä näet listattuna urheilusuoritteet .FIT-tiedostoina. Mikäli kuvakkeet eivät vielä ole päivättynä uusimmasta vanhimpaan, klikkaa näkymä oikeanlaiseksi. Tämän jälkeen valitse uusin tai uusimmat tiedostot ja tallenna ne työpöydälle.

Garmin Connect

.FIT-tiedostot Windows-työasemalla (Image credit: TechRadar)

Kun olet saanut napatta kaivatut .FIT-tiedostot, avaa verkkoselaimella Stravan kotisivu ja kirjaudu sisään. Tämän jälkeen voit painaa oikeasta yläkulmasta +-painiketta, valita Upload Activity ja tämän jälkeen ladata työpöydälle siirretyn tiedoston.

Kun tiedostot ovat valittuna ja siirrettynä, pääset kirjoittamaan niihin haluamasi lisätiedot.

Tämän jälkeen tietosi tulevat näkyviin ja voitkin kehuskella urheilullisella elämäntavallasi samalla kun ystäväpiirisi aktiviteettilista näyttää väliaikaisesti tyhjää.