Tietoturvayhtiö F-Securen tutkijan laatiman raportin mukaan hakkerit käyttävät hyväksi kolmannen osapuolen palveluita haittaohjelmakampanjoiden koordinoimiseen.
Artikkeli havainnollistaa miten rikolliset käyttävät salausta hyväkseen Twitterin kaltaisissa palveluissa. Vastaavaa taktiikkaa käytettiin esimerkiksi valtion sponsoroimassa Dukes-tapauksessa tietojen anastamiseen.
– Pähkinänkuoressa se tarkoittaa sitä, että rikolliset käyttävät tiettyjä kolmannen osapuolen palveluita, joiden avulla he pysyvät yritysten tietoturvakontrollien havaitsemattomissa, sanoo F-Securen tutkija Artturi Lehtiö.
– Monet kolmannen osapuolen palveluista käyttävät salausta estämään tietojen kaappaamisia. Niiden haittapuoli on, että palomuurin kaltaiset tietoturvatyökalut eivät pysty tunnistamaan haitallista liikennettä. Siitä on tullut yrityksille todellinen haaste ja tutkimus osoittaa miten Dukesin kaltaisissa hyökkäyksissä tätä on käytetty hyväksi, hän jatkaa.
Dukes on Venäjän valtion tukema hakkeriryhmä, jonka kohteina olivat seitsemän vuoden ajan valtiot tai valtiolliset organisaatiot. Lehtiön tuore raportti osoittaa, miten Dukes-hyökkäyksissä on hyödynnetty kolmannen osapuolen palveluita.
Tuoreessa raportissa korostetaan erityisesti, miten Dukes-hyökkääjät käyttivät Twitteriä komentokanavana saastuneiden koneiden kanssa kommunikointiin ja ohjaamaan niitä lataamaan lisää haittaohjelmia. Myös Microsoftin Onedrivea käytettiin hyväksi tietojen haltuunottoon kenenkään huomaamatta.
– Hyökkääjät ratsastavat tunnettujen ja luotettavien palveluiden maineella käyttävät sosiaalista mediaa komentokanavanaan, kertoo Lehtiö.
– He hyödyntävät palveluita viestien välittämiseen saastutetuille laitteille. Kohteina eivät välttämättä ole palveluntarjoaja tai palveluita käyttävät. Rikolliset yksinkertaisesti koordinoivat kampanjansa sosiaalisen median avulla, koska se tarjoaa heille käyttäjäystävällisen ja kustannustehokkaan keinon toiminnan laajentamiseen tavoitteiden saavuttamiseksi.
Haittaohjelmakampanjoita, jotka käyttävät kolmannen osapuolen palveluita on usein vaikea havaita. Anastettujen tietojen siirto hyökkääjien ja kohteiden välillä sekoittuu normaaliin yrityksen tietoliikenteeseen.
F-Securen vanhemman tutkijan Jarno Niemelän mukaan luottamalla tietoturvaratkaisuihin, jotka purkavat internetliikennettä voi olla riskialtista, joten yritysten on hyvä olla tietoisia mahdollisista haasteista.
– Jotkut internetliikennettä purkavat tuotteet ovat varomattomia liikenteen purkamiseen tarvittavan SSL-välimiesvarmenteen toteuttamisessa, ja käyttävät samaa varmennetta kaikissa tuotteissaan. On havaintoja tapauksista, joissa hyökkääjät ovat hyödyntäneet kyseistä virhettä päästäkseen käsiksi uhrien salattuun internetliikenteeseen ja paljastaneet luottamuksellisia tietoja, hän selittää.
Niemelän mukaan yritysten pitäisi käyttää ainoastaan tuotteita, joissa on yksilöllinen varmenne, koska jaetut varmenteet lisäävät huomattavasti riskiä joutua välimieshyökkäyksen kohteeksi.
Artikkelin julkaisi kansainvälinen Virus Bulletin -organisaatio VB2015-konferenssissa.
