Nixu Files: Itä-Euroopan lunnaat

Kun itäeurooppalaiseen kauppaketjuun oli isketty kiristyshaittaohjelmalla, Nixun asiantuntijat lensivät hätiin. Tästä alkoi kiehtova tapahtumasarja. Vaikka tarinamme saattaakin muistuttaa elävästi agenttielokuvaa, kyseessä on tositarina eräästä Nixun asiakastapauksesta. Juttuun on haastateltu Juha-nimistä Nixun tietoturva-asiantuntijaa.

Torstai

Jossain päin Itä-Eurooppaa joukko rikollisia murtautuu paikallisen kauppaketjun verkkoon klo 22:34. Aamukolmen ja -kahdeksan välillä hyökkääjät ovat aktivoineet haittaohjelman yhtiön verkossa olevilla koneilla.

Perjantai

Nixun tietoturva-asiantuntija Juha on juuri palaverissa manannut esimiehelleen, että vastepuolella on tosi hiljaista, kun tulee tieto asiakkaan seitsemän minuuttia aiemmin, kello 10:23, rekisteröimästä tietoturvahälytyksestä, incidentistä. Heti on selvää, että tilanne kohteessa on vakava. 16:30 asiakkaalta tulee päätös: ”Lentäkää tänne ja korjatkaa tilanne”.

Lauantai

Ensimmäinen mahdollinen lento lähtee lauantaiaamuna kyydissään Juha sekä toinen nixulainen, joka puhuu paikallista kieltä hyvin. Mukana on vastetoiminnan työkalulaukku, joka sisältää muun muassa kertakäyttöisen kannettavan tietokoneen, write blockereita ja muita vastetoimintaan sekä forensiikkaan soveltuvia työvälineitä.

– Nämä tietokoneet asennetaan forensiikkaa varten Nixun konttorilla juuri ennen käyttöä. Niillä tehdään töitä eikä niillä oleva data ikinä seikkaile meidän koneisiimme tai edes koske mihinkään meidän verkoistamme. Write blockereilla voimme lukea kiintolevyn sisältämää dataa ilman alkuperäisen datan muuttumisen riskiä, Juha sanoo.

Lauantaina kello 12:30 Nixun kaksikko on asiakkaan tiloissa valmiina töihin. Itäeurooppalainen kauppaketju on joutunut jo toisen kerran kahden viikon aikana ransomwaren uhriksi. Ransomware on haittaohjelma, joka kaappaa koneen tai järjestelmän, salaa joko osan tai kaiken sen sisältämästä datasta ja vaatii sitten lunnaita vapauttaakseen salatun datan.

Hyökkäys on havaittu, kun yövuoron varastomiehet ovat yrittäneet käyttää taustajärjestelmää, joka ei toimikaan. Päivystäjä on huomannut, että hyökkäys on käynnissä ja ajanut järjestelmät alas.

Ensimmäinen hyökkäys ei ole aiheuttanut mittavia vahinkoja, mutta nyt tilanne on aivan toinen. Hyökkäys on lamauttanut suurimman osan yhtiön verkosta ja koko IT-infrastruktuuri on jouduttu ajamaan alas. Järjestelmiä ei uskalleta käynnistää eikä hyökkääjistä sen enempää kuin heidän käyttämistään tekniikoistakaan ole tietoa.

– Vaikka sammuttaminen on kiristyshaittaohjelmatapauksessa hyväksyttävä ratkaisu ja se pysäyttää hyökkäyksen leviämisen, se tehtiin tässä tapauksessa auttamattomasti myöhässä. Ainakin 39 eri järjestelmää oli ehditty salata täysin. Menetetyissä järjestelmissä oli 50-60 palvelinta ja kehittäjien työasemia. Varaston taustajärjestelmät olivat täysin salautuneet niin, ettei niitä voinut käyttää, samoin toiminnanohjausjärjestelmä kolmesta eri kaupasta. Varastojärjestelmien varmuuskopiot ja koko sähköpostijärjestelmä menetettiin, koska nekin salautuivat, Juha sanoo.

Asiakas kertoo Juhalle, että ensimmäisen hyökkäystapauksen jälkeen kohteessa käyneet asiantuntijat ja poliisit eivät osanneet auttaa, sillä virustorjunnan lokitietoja ei ollut tarpeeksi saatavilla. Siksi asiakas on pessimistinen sen suhteen, pystyykö Nixukaan auttamaan.

Vastetoiminnassa (Digital Forensics and Incident Response) pyritään palauttamaan asiakkaan liiketoiminta nopeasti käyntiin. Tämä edellyttää vahinkojen rajoittamista sekä sen selvittämistä, miten hyökkääjä on päässyt sisään ja millä tavoin se liikkuu järjestelmässä.

– Jos leviämistapaa ei tunneta, hyökkäykselle ei pystytä verkkotasolla tekemään mitään. Mutta ihan ensiksi pitäisi tietää hyvin tarkasti, minkälainen asiakkaan verkko on, vasta sitten sen voi suojata. Tässä tapauksessa asiakas ei kuitenkaan ollut dokumentoinut omaa verkkoaan millään tavoin. Ensimmäinen päivä meni kokonaiskuvaa rakentaessa. Haastattelemalla ja käsin piirtämällä alettiin hahmottaa, mitä verkossa on ja mistä hyökkäys on voinut tulla, Juha sanoo.

Lauantai-iltaan mennessä Juha kumppaneineen on saanut kartoitetuksi asiakkaan verkon reunat eli ne kohdat, jotka ovat internetiin kosketuksissa ja joista hyökkääjät ovat voineet päästä sisään järjestelmään. Vielä ei varmasti tiedetä, mistä hyökkääjät ovat päässeet verkkoon tai miten ne siinä liikkuvat. Nixun asiantuntijoille on muodostunut alustava näkemys asiasta. Tämän pohjalta asiakas alkaa kerätä ja toimittaa tiettyjen koneiden levykuvia sunnuntain vastaisen yön aikana.

Sunnuntai

Toinen nixulainen kartoittaa tärkeimmät järjestelmät, jotka pitää saada pystyyn asiakasyrityksen liiketoiminnan palauttamiseksi. Sillä välin Juha tekee asiakkaalta saaduille levykuville forensisen tutkimuksen ja löytää pisteen, josta hyökkääjät ovat päässeet järjestelmään sekä tavan, jolla hyökkäys etenee verkossa.

Hyökkääjät ovat ensin ottaneet RDP (Remote Desktop Protocol) -yhteyden yrityksen verkossa olevaan koneeseen. Sitten he ovat etsineet koneelta salasanat, skannanneet koneen lähellä olevat verkkojaot ja asentaneet tämän jälkeen salausohjelman kaikkiin löytämiinsä kohteisiin ja samalla listanneet, mitkä koneet ovat seuraavia kohteita.

Kun hyökkäyksen perustiedot ovat selvillä, nixulaiset pääsevät rakentamaan pikapalautumissuunnitelman, jonka pohjalta asiakkaan työntekijät alkavat pystyttää yrityksen järjestelmiä uudelleen.

Maanantai

Hyökkääjät ovat käyttäneet hyvin yleistä ransomware-pakettia, jonka saa ostettua pimeiltä markkinoilta. Kyseinen ohjelma ei valikoi esimerkiksi pelkkiä kuvia tai tekstitiedostoja, vaan salaa aivan kaiken datan koneen kiintolevyillä sekä koneeseen yhteydessä olevilla verkkolevyillä. Sen jälkeen se näyttää lunnasvaatimuksen maksusta salauksen purkua varten.

Asiakkaan 27 myymälää toimivat maanantain välitilamoodissa. Viikonlopun ne olisivat olleet kiinni joka tapauksessa.

– Vaikka haittaohjelma oli poistanut itsensä järjestelmistä, sen työkalut löytyivät. Löydökset lähetettiin Suomeen Nixun Tier3 (T3) -tiimille. Työkalut olivat salasanalla suojattuja, mutta asiantuntijat mursivat ne ja tutkivat, mitä työkalut tekevät. Tällä tavoin saimme varmuuden siitä, ettei meiltä ole jäänyt mitään huomaamatta asiakkaan järjestelmässä.

Juhakin kuuluu T3:een, vastetiimiin, joka toimii Nixun päivystyskeskuksen viimeisenä kerroksena. Ensimmäinen kerros, T1, ovat asiantuntijat, jotka valvovat ympärivuorokautisesti asiakkaiden järjestelmiä ja tekevät esiarviointia eteen tulevista tietoturvapoikkeamista. T2 tekee syvempää analyysia uhkan suuruudesta ja siirtää tapauksen tarvittaessa T3:lle, jolla on kattava ymmärrys ja vankka kokemus vastetoiminnan ohella muun muassa forensiikasta ja takaisinmallinnuksesta (reverse engineering).

Tiistai

Tiistaiaamuna, neljä päivää hälytyksestä, asiakkaan IT-infrastruktuuri on käynnissä ja liiketoiminta on saatu elvytetyksi. Vain kolmeen kauppaan 27:stä ei vielä ole saatu palautetuksi kassan taustajärjestelmiä.

Nixulaiset antavat asiakkaalle ohjeet seuraavista toimenpiteistä ja siitä, miten hyökkäykset estetään vastaisuudessa.

Torstai

Ohjeistus on tehty ja nixulaiset palaavat Suomeen laatimaan loppuraporttia tapahtuneesta. Raportti jätetään parin viikon kuluttua lähdöstä.

– Vastetoiminnassa autetaan asiakas pystyyn, varmistetaan että järjestelmä pysyy toiminnassa, jätetään jälkivalvonta paikalle varmistamaan, ettei leviäminen käynnisty uudelleen ja annetaan pitkän aikavälin ohje jälkitoimista ja ennaltaehkäisystä. Asiakkaan päätettäväksi jää sitten se, halutaanko investoida esimerkiksi valvontapalveluihin. Pelkkä bisneksen palauttaminen hyökkäyksen jälkeen ei koskaan ole pysyvä ratkaisu, Juha sanoo.

Yrityksestä tuli tämän tapauksen myötä Nixun Cyber Defense Centerin (Nixu CDC) asiakas. Sitä mukaa kuin järjestelmiä saatiin puhdistetuksi ja takaisin linjoille uuteen verkkoon, ne siirtyivät Nixun valvontaan. Nyt Nixu voi myös toimia nopeasti etäyhteyksillä, jos kyseinen yritys joutuu uudelleen hyökkäyksen kohteeksi.

Mitä tapaus opetti?

Mikä oli perimmäinen syy siihen, että hyökkääjät pääsivät murtautumaan verkkoon? Yksi ainoa niin kehno salasana, että se löytyy Wikipediasta 10 yleisimmän salasanan listalta.

– Ensimmäinen sisääntulo tehdään yleensä joko yrittämällä käyttäjätunnus-salasana -pareja, kunnes jokin pari toimii tai hyödyntämällä tunnettua tietoturvahaavoittuvuutta automaattisella hakkerointityökalulla. Sen jälkeen kyse on enää siitä, kuinka nopeasti joku tulee ja ottaa siitä hyödyn irti. Niin kävi tässäkin tapauksessa, Juha sanoo.

Myöhemmin forensiikassa kävi ilmi, että yritykseen tehdyt kaksi hyökkäystä oli toteuttanut kaksi eri joukkoa, jotka verkkoon päästyään toimivat eri tavoilla. Jälkimmäinen ryhmä toimi sotilaallisen systemaattisesti; viidessä tunnissa 39 järjestelmää oli salattu. Tämä joukko valitsi tiettyjä koneita verkosta silmuiksi, joilta pääsi useaan paikkaan siinä missä ensimmäinen ryhmä pomppi koneelta toiselle.

Juha sanoo, että toinen hyökkäys olisi voitu välttää jo sillä, että asiat olisi tehty oikein heti ensimmäisen hyökkäyksen jälkeen.

– Järjestelmiin päästiin samalla tavalla kummallakin kerralla. Asiakkaan piti ymmärtää pohjimmainen syy siihen, miten hyökkääjä pääsi järjestelmään ja kuinka laajalle se siellä pääsi, jotta voitiin tehdä korjaavat palautumistoiminnot.

Esimerkiksi kun verkko jaetaan segmentteihin, saadaan mahdollinen hyökkäys rajatuksi ja pienennetään sen vaikutuksia. Tällöin hyökkäys rajoittuu vain osaan verkkoa eikä läpäise sitä kokonaan, niin kuin se tässä tapauksessa levisi varastosta järjestelmän ytimeen ja sieltä kauppoihin.

– Tämän päivän hyökkääjät murtavat yhden koneen ja etenevät sen jälkeen verkossa käyttäjätunnuksilla ja salasanoilla. Siksi identiteetinhallinta on valtavan tärkeää. Ylläpitotunnuksia ei saa käyttää heikoilla salasanoilla eikä kehittäjillä tarvitse olla kaikkiin ympäristön palvelimiin administrator-oikeuksia. Segmentointi ja palomuurit, käyttäjätunnusten hallinta, dokumentaatiot. Näillä tältä tapaukselta olisi vältytty, Juha summaa.

Juhan pikaohje verkkoturvaan:

1.    Segmentoi verkkosi.
2.    Huolehdi identiteettien ja käyttäjätunnusten hallinnasta.
3.    Tunne verkkosi ja dokumentoi se hyvin. Puolustautumiseen ei ole vakioratkaisua, vaan kaikkia ympäristöjä tulisi valvoa ympäri vuorokauden - mieluiten asiantuntijoiden toimesta kyberturvavalvomossa.