Nixu Files: Polttaa kalastelu miestä

Toukokuu 7, 2019 at 08:52

Gunnarilla ei ollut aavistustakaan, mitä kiehtovan kirjanpitomainoksen klikkaamisesta seuraisi. Kiireinen päivä toimistolla muuttuikin ankaraksi puolustustaisteluksi ruotsalaisen valmistusyhtiön pääkonttorissa. Monivaiheinen ja kohdennettu kalasteluhyökkäys teki hallaa paitsi yritykselle itselleen myös sen yhteistyökumppanille.

nixu_files_phishing

Leppoisa ilta kahvikupposen ja sähköpostien parissa

Pilvinen iltapäivä oli laskemassa iltaan Gunnarin istuutuessa hiljaiseen nurkkaukseen valmistusyhtiön päämajassa. Päivän ohjelma oli täyttynyt työpajoista, esityksistä ja kokouksista yhteistyökumppaneiden kanssa. Hän ehti vasta nyt lukemaan saapuneet sähköpostinsa ensimmäistä kertaa koko päivänä: 214 lukematonta viestiä. Gunnar huokaisi.

”Haluatko säästää puolet IT-kustannuksistasi?” kysyi yksi sähköposteista. Kuulostaa liian hyvältä ollakseen totta, Gunnar mietti ja klikkasi linkkiä, joka vei hänet tunnetulle kirjanpitojärjestelmiä mainostavalle sivustolle. Yhtäkkiä näyttö alkoi vilkkua. Onko tämä migreenikohtaus vai onko sivustolla jotain häikkää? Gunnar pohti mielessään. Hän käynnisti virustarkistuksen ja lähti hakemaan itselleen kahvia. Palattuaan hän totesi, ettei virustarkistuksessa ollut ilmennyt ongelmia, joten hän oletti kaiken olevan kunnossa. Takaisin siis sähköpostien kimppuun. Enää 200 viestiä jäljellä.

Kukaan ei vielä aavistanutkaan, että Gunnarin tietokoneelle oli latautunut haittaohjelma. Ohjelma ryhtyi nyt käymään yrityksen tietoverkkoa läpi ja etsi keinoja lisätä käyttöoikeuksiaan. Koodi levittäytyi hitaasti ja huomaamatta ja varasuunnitelmana tartutti muita isäntäkoneita sekä loi uusia käyttäjiä.

Tunkeileva haittaohjelma

Oli harvinaisen kuuma ruotsalainen kesäsää, kun Nixun kyberturvakonsultti Mathias matkasi Tukholmasta Etelä-Ruotsiin pikaiselle asiakastapaamiselle. Pysähtyessään kahvilassa Mathias huomasi unohtaneensa lompakkonsa kotiin. Jaahas, hän totesi mielessään, näyttää siltä, että asiakkaan täytyy tarjota tänään lounas.

Tällä välin Gunnarin toimistossa hyökkääjä oli sisältä käsin käynnistänyt palvelimen demilitarisoidulla DMZ-alueella. Haittaohjelman istuttanut hyökkääjä pääsi nyt eri logistiikkajärjestelmien yhdistämiseen tarkoitetun integraation kautta käsiksi kohteeseensa, Internet-palveluntarjoajaan. Nyt myös muut rikolliset pääsivät käsiksi DMZ-alueella avautuneeseen heikkoon kohtaan ja ryhtyivät louhimaan kryptovaluuttaa palvelimilta.

Gunnar puolestaan hikoili päämajan kiireessä, mutta hän oli mainiolla tuulella. Hän oli juuri saanut valmiiksi projektin Internet-palvelintarjoajan kanssa ja kirjoitti loppuraporttia. Pian alkaisi loma.

Jäitä hattuun

Lars, Gunnarin työpaikan IT-tukihenkilö, oli juuri nauttimassa virkistävää jäätelöä vuoronsa päätteeksi huomatessaan, että DMZ-alueen palvelin oli ylikuormitettu. Myös tietoverkon toiminta vaikutti omituiselta. Lars ei käsittänyt, miten tai miksi kryptolouhinta oli aloitettu. Se ei ainakaan vastannut vähittäiskauppayrityksen tavanomaista toimintaa.

Kyberturvakonsultti Mathias oli juuri käynnistämäisillään autoa palatakseen Tukholmaan, kun hänen puhelimensa soi. Soittaja oli Lars, joka esitteli itsensä lyhyesti ja selitti tilanteen: ”Tietoverkossamme näkyy kryptolouhintaliikennettä, mutten käsitä miksi.” Niinpä Mathias lähti matkaan Tukholman sijaan Larsin luokse.

Valmistusyhtiön päämajassa Mathias huomasi lähes huomaamatonta mutta omituista toimintaa ja verkkoliikennettä muilla DMZ-palvelimilla ja, mikä huolestuttavinta, yrityksen yhteistyökumppanille eli Internet-palveluntarjoajalle lähtevissä yhteyksissä. Niinpä IT-tukihenkilö Lars päätti soittaa Gunnarille. Päivän päätteeksi Mathias kirjautui paikalliseen hotelliin.

Paniikki pääkonttorilla

”Mitä me nyt teemme?” Lars ja Gunnar panikoivat seuraavana päivänä. ”Jos Internet-palveluntarjoajamme tiedostot on salattu, me joudumme vastuuseen!” ”Rauhoituhan, ystävä hyvä”, Mathias sanoi ja otti yhteyttä kollegoihinsa Tukholmassa. ”Pahalta näyttää, mutta katsotaanpas.”

Kyse ei ollutkaan ihan mistään pikkujutusta. Asiakas patisti Mathiasta ratkaisemaan ongelman muttei ollut kuitenkaan kiinnostunut yksityiskohdista. ”Riittää, että korjaat sen”, he sanoivat ja jatkoivat entiseen malliin. Mathias ja Nixun tiimi työskentelivät 24 tunnin vuoroissa ainoana tukenaan Lars yrityksen puolelta. Mathiaksen oli ostettava uusia alusvaatteita ja paitoja Larsin luottokortilla koska oli unohtanut omansa kotiin. Niinpä alun perin pikaiseksi tarkoitetusta yhden päivän tapaamisesta tulikin kokonaisen viikon pituinen täysimääräinen kyberturvatutkinta.

He eristivät tietoverkosta kolme palvelinta perinpohjaista tutkimusta varten. Kahden päivän päästä Mathias huomasi muissa palvelimissa ja tietokoneissa samanlaista toimintaa kuin siinä, joka oli eristettynä ja tutkittavana.

Lopulta Gunnarin piti myöntää, että kyseessä oli merkittävä vaaratilanne, ja niinpä Mathiakselle annettiin enemmän resursseja käytettäväksi. Myös Internet-palveluntarjoajalle ilmoitettiin asiasta, ja tämä ryhtyi auttamaan tapauksen selvittämisessä. Mathias pääsi viikonlopuksi kotiin.

Pitkä jälkipyykki

Ensiavun jälkeen Mathias ja Nixun tiimi aloittivat pitkän prosessin, jonka aikana tietoverkon liikenne käytiin läpi ja verkkoympäristöstä etsittiin aiemmin tuntemattomia ja piilotettuja tiedostoja. Heiltä meni yli kuukausi, kunnes he lopulta pystyivät toteamaan kohtalaisen varmasti, että kaikki järjestelmät oli käyty läpi.

Vahingot olivat mittavat. Internet-palveluntarjoajan asiakkaiden henkilötietoja ja omaisuusluetteloita oli päässyt vuotamaan. Valmistusyhtiö menetti kumppanuutensa Internet-palveluntarjoajan kanssa ja joutui maksamaan tapahtuneesta nimellisen korvauksen. Yleinen tietosuoja-asetus ei ollut tuolloin vielä voimassa. Yrityksessä ymmärrettiin, että sen tulisi kunnostautua vastaavien tilanteiden välttämiseksi jatkossa. Liiketoiminnan ensimmäinen sääntö: järjestä tietoverkolle turvavalvonta.

Entä sitten Gunnar? Hän kertoi luulleensa, ettei käyttäjätuella olisi aikaa vastata pieniin kysymyksiin, ja pelänneensä, että hänen tietokoneensa asennettaisiin uudelleen. Hänen aikansa ei olisi riittänyt siihen, eikä hän ollut varma, oliko hänen töistään otettu varmuuskopiot.

”Miksi meninkään uskomaan sitä typerää kirjanpitohuijausta!” Gunnar sadatteli.

”Se ei ole sinun syytäsi”, Mathias sanoi. ”Vika on järjestelmässä, eikä käyttäjää voi syyttää. Yrityksesi teki virheitä, mutta olette nyt matkalla oikeaan suuntaan. Paljon työtä on vielä jäljellä. Tarttuisimmeko siis tuumasta toimeen?”

”Toki, mutta ensin tarjoan sinulle oluen – olet sen ansainnut!”

”Entäs ne kortillani maksetut hotellikulut ja vaatteet?” Lars sanoi Mathiakselle, mutta tämä suuntasi jo Gunnarin kanssa kohti auringon lämmittämiä terasseja.

Mathiaksen pikaopas tietoverkkoturvallisuuteen

Miten tämä kaikki olisi voitu välttää? Muutamia ideoita:

  1. Varmista, että päätepisteissä, kuten Gunnarin kannettavassa tietokoneessa, on riittävä suojaus. Yhden väärän klikkauksen ei pitäisi voida johtaa täyteen katastrofiin.
  2. Ota käyttöön ympärivuorokautinen valvonta, jonka avulla vastaavat ongelmat havaitaan ennen niiden paisumista merkittäviksi vaaratilanteiksi. Jos haluat itse päästä nauttimaan aurinkoisista päivistä sen sijaan, että vietät ne sisätiloissa tuijottamassa ruutua, kannattaa harkita palvelun ulkoistamista.
  3. On myös syytä varmistaa, että valvonta kattaa sähköpostipalvelut. Yli 90 % hyökkäyksistä saa alkunsa työntekijälle lähetetystä sähköpostiviestistä. Varmista myös, että sähköpostipalvelusi suodattaa mahdolliset haittasähköpostiviestit pois.

    +1 Lisäbonuksena voit harkita interaktiivisia tiedotuskampanjoita sähköpostin turvallisesta käytöstä. Vaikka emme haluakaan siirtää vastuuta käyttäjälle, yleisimmät huijaukset on hyvä tuntea, jotta kaikki käyttäjät osaavat välttää ne.

 

Nixu Files on salapoliisikertomusten sarja, jossa perehdymme jännittävimpiin asiakastapauksiimme. Niitä voisi luulla vetäviksi jännreiksi, mutta ne ovat kaikkea muuta kuin fiktiota. Tervetuloa kybernoirin maailmaan.

 

Related blogs