Kyberturvallisuuskeskuksen viikkokatsaus - 49/2022

Tällä viikolla katsauksessa käsiteltäviä asioita

• Tietovuoto Android-laitteiden alustavarmenteissa
• Riippuvuusristiriitoja ja toimitusketjuhyökkäyksiä voi olla vaikea havaita
• Kyberhyökkäykset voivat vaikuttaa palveluiden saatavuuteen odottamattomalla tavalla
• Haavoittuvuudet

Tietovuoto Android-laitteiden alustavarmenteissa

Kuluvan vuoden toukokuussa Google sai ilmoituksen mahdollisesta päätelaitteiden käyttöjärjestelmätason alustavarmenteiden vuotamisesta. Vuodetut varmenteet olivat niin kutsuttuja alkuperäisvalmistajien (OEM - Original Equipment Manufacturer) digitaalisia allekirjoituksia, joiden tarkoituksena on varmistaa päätelaitteissa olevien Android käyttöjärjestelmien oikeellisuus. Julkisuudessa olleiden tietojen mukaan vuodetut sertifikaatit ovat kuuluneet mm. Samsungille, LG:lle, MediaTekille ja Renoviewille. [1]

Suurimpina riskeinä vuodossa on sertifikaattien hyödyntäminen haitallisten sovellusten allekirjoituksena. Tällöin käyttöjärjestelmä tunnistaa ohjelman olevan samalla varmenteella varustettu kuin käyttöjärjestelmä itse, ja antaa tällöin haitalliselle ohjelmalle järjestelmätason käyttöoikeudet, eli korkeimmat mahdolliset oikeudet. Googlen oman ilmoituksen mukaan sen Google Play Storen suojamekanismit onnistuvat tunnistamaan näissäkin tapauksissa haitalliset ohjelmat. Riskinä onkin virallisten ohjelmakauppojen, kuten Google Play Storen tai Galaxy Storen ulkopuolelta ladatut sovellukset. Verkossa olevan Android-sovelluksia seuraavan palvelun avulla oli tunnistettavissa yli 1700 sovellusta, jotka edelleen käyttivät vuotanutta allekirjoitussertifikaattia. [2]

Samsungin mukaan heidän vuodettua varmennettaan on mahdollisesti käytetty haitalliseen toimintaan jo vuonna 2016.Tämä on havaittu, kun kyseisellä varmenteella allekirjoitettu epäilty haittaohjelma on syötetty VirusTotal nimiseen palveluun. Samsungin mukaan heillä ei kuitenkaan ole tiedossa, että kyseistä haavoittuvuutta olisi hyödynnetty. [3]

Käyttäjien on mahdollista vaikuttaa omien laitteiden turvallisuuteen näissäkin tilanteissa.

1. Päivitä päätelaitteisiin aina uusin järjestelmäversio.
2. Päivitä päätelaitteiden sovellukset aina uusimpiin versioihin.
3. Lataa sovellukset vain virallisista sovelluskaupoista.
4. Mikäli päätelaitteelle ei ole enää saatavissa päivityksiä, käyttäjän tulisi vakavasti harkita päätelaitteen vaihtamista sellaiseen, johon on edelleen tarjolla turva- ja järjestelmäpäivityksiä.

Riippuvuusristiriitoja ja toimitusketjuhyökkäyksiä voi olla vaikea havaita

Nykyaikaisessa yhteiskunnassa kukaan ei tule toimiin täysin yksinään. Tarvitsemme arjessamme useita erilaisia palveluita, ja myös organisaatiot ovat toisistaan riippuvaisia. Esimerkiksi ruokakauppa tarvitsee elintarvikkeita myytäväksi, niiden valmistaja tarvitsee laadukkaita raaka-aineita, ja molemmat tarvitsevat kuljettajan. Tuotteiden kuljettajat puolestaan tarvitsevat ylläpidetyn tieverkoston, ja tieverkoston ylläpito taas on riippuvainen monista eri tekijöistä.

Riippuvuudet koskevat jokaista organisaatiota, mutta kaikki eivät ole riippuvaisia samoista asioista tai toimijoista. Samoin kuin fyysisessä maailmassa eri toimijat ovat riippuvaisia toisistaan, on kybermaailmakin täynnä erilaisia keskinäisriippuvuuksia. 

Osana organisaatioiden riskinhallintaa tulisi selvittää, mistä kaikesta yritys on riippuvainen. Esimerkiksi palveluiden, työasemien ja käyttöjärjestelmäpäivitysten lisäksi yritykset ovat riippuvaisia ohjelmistokirjastoista. Käytettävät kirjastot voivat olla omia, julkisia tai vaikkapa hybridimalleja.

Organisaatioissa käytössä olevat tiedostot, ohjelmistot ja järjestelmät muodostavat monimutkaisia ja pitkiä ketjuja. Mikäli näiden toimitusketjujen riskejä halutaan aidosti hallita, on syytä tietää millaisista osista nämä erilaiset ketjut koostuvat.

Toimitusketjuhyökkäyksessä organisaation tietojärjestelmiin murtaudutaan sen käyttämien verkostojen, palveluiden, tuotteiden tai avoimen lähdekoodin projektien kautta. Hyökkäyksessä hyväksikäytetään organisaatioiden luottamusta toimittajiinsa. Hyökkäyksen reittinä voivat olla yhteistyökumppanit, palveluntarjoajat, ohjelmistot tai laitteet. 

Hyökkääjä tunkeutuu toimittajan järjestelmiin ja saastuttaa toimitusketjussa käytetyn osan omalla haittakoodillaan, minkä jälkeen se leviää normaalia tuotteen jakelukanavaa pitkin yhteistyö- ja asiakasorganisaatioihin.

Toimitusketjuhyökkäyksen tavoitteena on jalansijan saavuttaminen eri organisaatioissa toimitusketjun varrella. Kun jalansija on varmistettu, voidaan sitä käyttää erilaisiin jatkohyökkäyksiin, kuten tietomurtoihin ja kiristyshaittaohjelmahyökkäyksiin.

Toimitusketjuhyökkäyksen havainnointi ja hallinta ovat tärkeitä, koska niillä on suuri merkitys organisaation maineelle ja luottamukselle verkostossa. Toimitusketjuhyökkäyksen uhrina ovat sekä toimittaja että asiakas. Tilanteen hallinta vaatii avoimuutta ja yhteistyötä eri osapuolilta.

Toimitusketjun kautta realisoituneen tietoturvaloukkauksen havaitseminen voi olla haastavaa, sillä hyökkääjä käyttää hyväkseen organisaation luottamusta yhteistyökumppaneihin. Usein tunkeutuminen tapahtuu käyttämällä yhteistyökumppaneiden yhteyksiä tai saastuttamalla heidän tarjoamansa sovellus. Tällöin hyökkääjä ei vielä tunkeutumisvaiheessa tee mitään epäilyttäväksi tai haitalliseksi tulkittavaa.

Kyberhyökkäykset voivat vaikuttaa palveluiden saatavuuteen odottamattomalla tavalla

Verkottuneessa maailmassa yhden murhe on nopeasti myös toisen murhe, ja kyberhyökkäyksillä tuotetaan usein haittaa muillekin kuin hyökkäyksen kohteena olevalle taholle. Pelkästään tämän viikon aikana ainakin Belgiassa, Ruotsissa, Saksassa ja Uudessa-Seelannissa on raportoitu riippuvaisuuksista tai toimitusketjuhaasteista johtuvia ongelmia. 

Ruotsissa on kerrottu epäillystä kyberhyökkäyksestä, jonka takia jopa 35 000 ruotsalaista uhkaa jäädä ainakin hetkellisesti ilman etuuksiaan. IT-palveluntarjoaja Softronicia kohtaan toteutettu kyberhyökkäys havaittiin perjantaina 2.12., ja varotoimenpiteenä työttömyyskassan (A-kassan) järjestelmät suljettiin kokonaan. Poliisi sekä Ruotsin yhteiskunta- ja valmiusvirasto kartoittavat tilannetta edelleen. [1-4]

Uudessa-Seelannissa tapahtunut IT-palveluntarjoajaan kohdistunut kiristyshaittaohjelmahyökkäys on vaikuttanut merkittävästi useisiin valtion virastoihin. Hyökkäyksellä on ollut vaikutuksia ainakin terveydenhuoltoalan tietojen saatavuuteen. Maan oikeusministeriö ja jotkin yksityisen sektorin toimijat ovat raportoineet, että hyökkäyksellä on ollut vaikutuksia myös niiden käyttämien tietojen käsittelyyn. [5]

Belgiassa Antwerpenin kaupungin palvelut ovat häiriintyneet kyberhyökkäyksen seurauksena. Hyökkäys ei kohdistunut suoraan Antwerpenin kaupunkia kohtaan, vaan kohteena oli heidän IT-palveluntarjoajansa Digipolis. Onnistunut hyökkäys Digipolista kohtaan kuitenkin lamautti suuren osan Antwerpin kaupungin digitaalisista palveluista. Varmoja tietoja kyberhyökkäyksen laadusta ei ole vielä saatavilla, mutta on epäilyksiä, että kyseessä olisi kiristyshaittaohjelmahyökkäys. [6] Rahan perässä olevat rikolliset eivät välitä keitä heidän hyökkäyksensä satuttaa, ja usein uhreiksi joutuvat sivulliset kansalaiset kuten tässä tapauksessa kävi Antwerpenin kaupungin asukkaille. 

Saksan Wolfsburgissa Volkswagenin autotehdas kärsii vakavista tuotanto-ongelmista. Volkswagenin operatiivisen johtajan mukaan heidän toimitusketjussaan vallitsee "täysi kaaos", kun tavarantoimittajat peruvat tilauksia ja esimerkiksi mikrosirujen hinta on noussut moninkertaisesti. [7] Vaikka kyseessä ei ole kyberhyökkäys, Volkswagenin tehtaan tuotanto-ongelmat ovat hyvä esimerkki toimitusketjun toimivuuden tärkeydestä. Volkswagenin tapaus on hyvä esimerkki siitä, että toimitusketjuongelmat voivat johtua myös fyysisen maailman ongelmista, eikä takana aina ole kyberhyökkäystä.

Varautuminen poikkeamiin on hyvä tapa vähentää poikkeaman vakavuutta ja mahdollistaa nopea toipuminen ja liiketoiminnan jatkuminen. Organisaatio voi arvioida omaa valmiuttaan käyttämällä hyväksi esimerkiksi Kyberturvallisuuskeskuksen Kybermittaria [8]. Etukäteen laadittu poikkeamanhallintasuunnitelma antaa hyvät lähtökohdat toimia, kun poikkeamatilanne tapahtuu. Organisaation tulee myös varmistaa, että toimet kuten käyttäjätunnusten lukitseminen, palvelinten ja päätelaitteiden eristäminen verkosta ja verkkoliikenteen rajoittaminen haitallisiin IP-osoitteisiin tai verkkotunnuksiin on teknisesti mahdollista ja henkilöstöltä löytyy tähän myös osaamista.

Lokitietojen kerääminen, kokoaminen ja monitorointi on tärkeää poikkeaman havaitsemiseksi ajoissa. Lokitiedot mahdollistavat myös poikkeaman perusteellisen tutkimisen ja nopeuttavat ympäristön siivousta ja palauttamista. Kyberturvallisuuskeskus on laatinut lokitietojen keräämisestä ja käyttämisestä oppaan [9]. Riippuen organisaation käyttämistä järjestelmistä, kattavaan havainnointiin vaaditaan tyypillisesti lisäksi verkko- ja järjestelmätason ratkaisuja.

Haavoittuvuudet 

CVE: CVE-2022-4262 (Ulkoinen linkki)
CVSS: 8.8
Mikä: RCE (Remote Code Execution) haavoittuvuus
Tuote: Google Chrome -selain
Korjaus: Päivitä Chrome pikaisesti, haavoittuvuuden hyväksikäyttöä on havaittu jo maailmalla

Tilaa Kyberturvallisuuskeskuksen uutiskirjeet , tai RSS-syötteet , jotta saat tiedot heti kun ne julkaistaan.