Exchange-palvelimiin kohdistuvat ProxyLogon-hyökkäykset ovat hiljainen katastrofi – ”kymmeniä tai satoja Vastaamon tyyppisiä tietomurtoja” - Tietoturva - Ilta-Sanomat

Verkossa on käynnissä hiljainen katastrofi – ”kymmeniä tai satoja Vastaamon tyyppisiä tietomurtoja”

ProxyLogon-nimellä tunnettu, Microsoftin sähköpostipalvelimiin kohdistuva tietomurto on laaja, ja tietoa varastetaan koko ajan. Suomalaisten mahdollisuudet vastata uhkaan vaihtelevat.

ProxyLogoniksi kutsuttu haavoittuvuus on muodostumassa tietoturvakatastrofiksi, sanoo F-Securen Antti Laatikainen.

15.3. 16:58

Maailmaa ravisteleva kyberhyökkäysten sarja on osoittautumassa kuviteltuakin pahemmaksi. Microsoftin Exchange-sähköpostipalvelimiin kohdistuva murtosarja koskettaa Suomessa satoja organisaatioita, ja pahin lienee vasta edessä.

ProxyLogon-nimen saanut haavoittuvuuksien rykelmä mahdollistaa Microsoftin Exchange-palvelimille tunkeutumisen, sähköpostien varastamisen, liikenteen salakuuntelun ja hyökkäykset muualle verkkoon. Exchange on erittäin yleinen sähköpostipalvelinohjelmisto, jota käytetään lukemattomissa organisaatioissa suuryrityksistä yhdistyksiin.

Hyökkäyksiä on nähty muun muassa Norjan suurkäräjille ja Päijät-Hämeen pelastuslaitokselle. Myös Telia Inmics-Nebulan -yrityspalvelut ovat pois käytöstä viidettä päivää. Kyseessä on kuitenkin jäävuoren huippu.

Pahempaa on luvassa.

– ProxyLogon on sähköinen versio sille, että kaikilta tätä sähköpostijärjestelmää käyttäviltä yrityksiltä otettaisiin ulko-ovien kulunvalvonta ja vartiointi pois, ja kuka tahansa voisi kävellä sisään, sanoo F-Securen vanhempi tietoturvakonsultti Antti Laatikainen.

Hyökkääjä voi hallita murrettua palvelinta kuin omaansa, ladata sinne omia tiedostojaan ja ohjelmiaan ja käyttää sitä astinlautana murtautuessaan verkon muihin osiin.

Hyökkäyksiä on nähty muun muassa Norjan suurkäräjille.

Nyt eletään pahanenteisen hiljaista vaihetta. Koska ProxyLogon mahdollistaa pääsyn palvelimen alapuoleisiin kerroksiin, eli organisaation muuhun verkkoon, meneillään on laajamittainen hiljaisten verkkoihin tunkeutumisten sarja. Harva hyökkääjä hakee murroista pikavoittoa esimerkiksi kiristysohjelmilla.

– Vastaamossakin tietomurto tapahtui ennen kuin siitä puhuttiin julkisuudessa mitään. Ammattikuntani pahin pelko on, että juuri nyt yritysten verkoissa tapahtuu kymmeniä tai satoja Vastaamon tyyppisiä tietomurtoja. Ne tapahtuvat taustalla huomaamatta. Vasta kuukausien tai vuosien päästä saadaan selville, mitä kaikkea sieltä varastettiin.

Jos hyökkääjä osaa asiansa, kohteiden data on todennäköisesti jo varastettu tai sitä ollaan parhaillaan varastamassa.

Hyökkääjiä on moneen lähtöön. Viikonloppuna julkaistiin murrot mahdollistavaa valmista ohjelmakoodia, jonka hyödyntämiseen ei tarvita kovin syvällisiä taitoja. Muun muassa murtotyökaluja kokoavaan Metasploit-ohjelmaan on julkaistu koko murtoketjun mittainen lisäosa, joka vie osaamattomankin hyökkääjän aina sähköpostipalvelimen komentotulkkiin asti.

Antti Laatikainen

– Tätä hyväksikäyttävät nyt kaikki rikollisjengit, ja tämä on täysin vapaata riistaa kaikille valtiollisille toimijoille. Järjestelmissä on vipeltäjää laidasta laitaan harrastelijoista viimeisen päälle koordinoituihin sotilaallisella tarkkuudella toimiviin valtiollisiin toimijoihin.

Traficomin Kyberturvallisuuskeskuksen mukaan kaikkiin Exchange-palvelimiin tulisi suhtautua siten, että ne olisi murrettu. Maailmalla murrettuja palvelimia on kymmeniä tuhansia, Laatikainen sanoo.

Murron tunnistaminen on työlästä. Murtotyökalujen siirtäminen internetistä postipalvelimelle käynnistää palvelimella uusia prosesseja, joiden tarkkailuun murron havainnointi tällä hetkellä perustuu. Näiden havainnointi on vaativaa työtä.

– Ammattikuntani pahin pelko on, että juuri nyt yritysten verkoissa tapahtuu kymmeniä tai satoja Vastaamon tyyppisiä tietomurtoja, F-Securen vanhempi tietoturvakonsultti Antti Laatikainen sanoo.

Laatikaisen mukaan suomalaisyritysten mahdollisuudet puolustautua verkkoon asti päässyttä tunkeutujaa vastaan vaihtelevat. Tehokas puolustautuminen edellyttää segmentointia eli verkon jakamista toisistaan eristettyihin lohkoihin, niiden välisen liikenteen tarkkailua, poikkeamien havainnointia sekä virustutkien kaltaisten turvaohjelmistojen käyttämistä palvelimilla. Nämä asiat ovat monissa paikoissa retuperällä.

Kaikissa Exchangea käyttävissä suomalaisorganisaatioissa tietotaito ei välttämättä riitä oman verkon syynäämiseen.

Vaikeimmassa asemassa ovat organisaatiot, joiden palvelimilla ei voi tehdä nopeita muutoksia. Näitä ovat tyypillisesti julkisen puolen virastot, mutta myös pienemmät startup-yritykset, joilla ei ole riittävää tietotaitoa. Syitä voivat olla joko yrityksen toimintamallit tai ulkoistetut palvelut.

Maailmanlaajuisesti tilanne on huono. F-Securen analytiikan mukaan vasta noin puolet internetissä näkyvistä Exchange-palvelimista on päivitetty turvalliseen versioon. Tämäkään ei ole tae onnistuneesta suojauksesta, sillä murtautuja on saattanut ehtiä sisään ennen päivityksen asentamista.

– Koskaan aiemmin 20 vuotta alalla viettämänäni aikana ei ole ollut oikeutettua olettaa, että kaikkien yritysympäristöjen porteilla on käyty vähintään kolkuttelemassa. Koska pääsy on niin helppoa, voi olettaa että Outlook Web Accessia käyttänyt yritys on murrettu. Tämä on äärimmäisen vakava paikka.

Laatikaisen mukaan viimeistään nyt ylläpitäjien tulisi toimia, sillä paljon on vielä tehtävissä. Tietojen varastamiseen voi vielä puuttua ja verkkoa nuuskivien tunkeutujien liikkeet havaita.

– Nyt on viimeiset hetket, jolloin päästään vaikuttamaan siihen paljonko dataa varastetaan.

Tietoturvayrityksillä on kädet täynnä. Hyökkäyksen kohteeksi joutuneita palvelimia on Suomessa paljon. Tietoturvayhtiöt yrittävät minimoida hyökkäyksiä, tunnistaa niiden laajuutta ja estää vahinkoja.

Kyseessä on myös isku sähköpostin turvallisuudelle ja luottamuksellisuudelle. Palvelimelle livahtanut murtautuja pystyy varastamaan sähköpostiarkistot, kuuntelemaan viestiliikennettä, ohjaamaan siitä kopiot itselleen ja vastaamaan toisten ihmisten nimissä.

Tavallinen käyttäjä pystyy tekemään tilanteelle hyvin vähän. Hän pystyy korkeintaan ilmoittamaan poikkeavuuksista, kuten nimissään lähteneistä sähköposteista, joita saattaa löytyä sähköpostiohjelman lähetetyt-kansiosta.

– En suosittele, että käyttäjät alkavat improvisoida tietoturvallisempia ratkaisuja, kuten rinnakkaisten sähköpostipalveluiden käyttöä. Vaikka se tuntuu yksilötasolla hyvältä idealta, organisaation riskienhallinnan kannalta se ei ole hyvä asia. Yrityksen tietoturvasta vastaavien tahojen on keksittävä vastineet uhkaan.

Laatikainen uskoo, että yritykset alkavat tiedottaa tietovarkauksista lähiaikoina. Tähän niitä velvoittaa muun muassa gdpr-tietosuoja-asetus, joka määrää kertomaan henkilörekisterien vuotamisesta viranomaisille 72 tunnin aikana. Useimmissa tapauksissa myös murron uhrit saavat tietää asiasta pian tämän jälkeen.

Osion tuoreimmat

Luitko jo nämä?