ManageWP-tunnuksia kalastellaan Google-mainosten kautta – TOTP ei suojaa, FIDO2 suojaa
Yksi ManageWP-tili hallitsee tyypillisesti satoja asiakassivustoja kerralla. Siksi yhden verkkotoimiston työntekijän hairahdus Googlen sponsoroidussa mainoksessa voi kaataa kymmenien suomalaisten yritysten WordPress-sivustot saman illan aikana.
Tiivistelma
Guardio Labs paljasti kampanjan, jossa hyökkääjät ostavat Google Search -mainoksia hakusanalle 'managewp' ja ohjaavat liikenteen pikselintarkalle kirjautumiskloonille. AitM-välitys tekee TOTP-pohjaisesta kaksivaiheisesta tunnistautumisesta hyödyttömän, ja vain FIDO2-laitteistoavaimet suojaavat. Vahvistettuja uhreja on toistaiseksi 200, ja luku on todennäköisesti aliarvio.
Kuvittele tilanne. Maanantaiaamuna verkkotoimiston työntekijä googlaa "managewp", klikkaa ensimmäistä tulosta ja kirjautuu sisään kuten aina. Iltapäivällä asiakassoittoja sataa: 60 sivustoa täynnä kasinospämmiä, Google Search Console raportoi haittaohjelmaa, ja ManageWP-paneelista on nollattu salasana.
Tällainen ketju on nyt toistettavissa Suomessakin. Guardio Labs paljasti tällä viikolla kampanjan, jossa hyökkääjät ostavat Google Search -mainoksia hakusanalle "managewp" ja ohjaavat klikkaajat pikselintarkalle kirjautumiskloonille. Nati Tal, Guardio Labsin tutkimusjohtaja, kertoo tutkijoiden infiltroineen hyökkääjien komentopaneelin ja vahvistaneen toistaiseksi 200 uhria. BleepingComputerin tietoturvatoimittaja Bill Toulas raportoi tapauksen 6. toukokuuta.
Luku on todennäköisesti aliarvio, sillä paneelissa nähtiin vain ne kirjautumiset, jotka Guardio ehti kaapata.
Miksi juuri ManageWP
ManageWP on GoDaddyn omistama palvelu, jolla yksi ylläpitäjä hoitaa kymmeniä tai satoja WordPress-sivustoja samasta paneelista. Worker-lisäosa pyörii yli miljoonalla sivustolla maailmanlaajuisesti.
Yhden tilin haltuunotto tarkoittaa siis kerralla pääsyä koko fleettiin. Suomalaisen verkkotoimiston näkökulmasta yksi varomaton kirjautuminen voi avata ovet kymmenille pk-yrityksille, ja GDPR-ilmoitusvelvoite koskee jokaista heistä erikseen.
WordPress pyörittää noin 43 prosenttia kaikista verkkosivuista, ja Suomessakin sillä mennään valtaosalla pk-asiakkaista.
Näin hyökkäys etenee
Ketju on yllättävän yksinkertainen. Uhri googlaa palvelun nimen, mainos sijoittuu oikean tuloksen yläpuolelle ja klikki vie valekirjautumissivulle. Sivu on ulkoasultaan identtinen oikean kanssa, eikä visuaalinen tunnistus auta.
Annetut tunnukset välittyvät ensin hyökkääjän Telegram-kanavaan. Operaattori käynnistää reaaliajassa kirjautumisen oikeaan ManageWP:hen syötetyillä tunnuksilla, ja palvelu lähettää uhrille 2FA-koodin. Valekirjautumissivu pyytää koodin, uhri syöttää sen, ja operaattori välittää sen oikeaan kirjautumiseen sekuntien sisällä.
Lopputuloksena hyökkääjä on sisällä, uhri ei huomaa mitään, ja TOTP-sovelluksen koodi näyttää toimineen täysin normaalisti.
– Käyttäjä ei näe eroa, koska eroa ei ole. Ainoa viive on muutama sekunti, kertoo Tal.
Mikä on AitM-hyökkäys?
AitM (adversary-in-the-middle) on välimieshyökkäys, jossa hyökkääjä asettuu käyttäjän ja oikean palvelun väliin reaaliaikaisesti. Käyttäjä luulee kirjautuvansa oikeaan palveluun, mutta jokainen syötetty tunnus ja kertakoodi välittyy ensin hyökkääjälle. Siksi tekstiviestiin tai todennussovellukseen perustuva 2FA ei suojaa, ja vain laitteistoavaimet tunnistavat kirjautumissivun aitouden.
Kuka hyökkääjien takana on
Guardio ei tunnistanut valmiskittiä. Operaattorilla on yksityinen työkalupakki, jossa on dropdown-tyyppinen komentopaneeli reaaliaikaisille toimille. Lähdekoodissa on venäjänkielinen disclaimer, joka kieltää työkalun käytön Venäjän järjestelmiä vastaan ja paneelin tiedostojen vuotamisen ulkopuolisille. Tällainen merkintä on tyypillinen CIS-alueen toimijoille.
Mitä tunnuksilla sitten tehdään? Toistuvia kuvioita on neljä: SEO-spämmi vain Googlebotille näkyvänä, takaovet wp-config.php:hen ja mu-plugins-kansioon, pääsyn jälleenmyynti malware-affiliateille ja liikenteen ohjaus kasinoihin ja kryptohuijauksiin.
Tunnistusmerkit
Rehellisesti sanottuna tunnistusmerkit ovat ihan ohuet. Guardio ei ole julkaissut käytetyn valedomainin nimeä, ja sivu on visuaalisesti identtinen oikean kanssa.
Miten siis tunnistaa valesivun, jos se on visuaalisesti identtinen?
Aito kirjautumisosoite on https://managewp.com/login, ja onnistuneen kirjautumisen jälkeen selain ohjautuu osoitteeseen orchestrate.managewp.com. Tarkista osoiterivi joka kerta, vaikka sivu näyttäisi tutulta.
Yksi varma signaali kannattaa muistaa. Jos tulit sivulle Googlen hakutuloksesta ja ylimpänä näkyi "Sponsoroitu"-merkintä, oletusarvoisesti et ole oikealla sivulla.
Mitä tehdä
Ennakoivat toimet ovat suoria. Kirjoita ManageWP:n osoite suoraan tai käytä kirjanmerkkiä, älä koskaan Google-hakua. Asenna mainosesto kuten uBlock Origin ylläpitokoneille, sillä se tappaa hyökkäyksen jo vaiheessa yksi. Käytä salasanahallintaa tiukalla autofillilla, koska se kieltäytyy täyttämästä lookalike-domaineilla. Vaihda TOTP-pohjainen kaksivaiheinen tunnistautuminen FIDO2/WebAuthn-avaimeen, esimerkiksi YubiKeyhin tai passkeyhin.
Seuraa fleetissä odottamattomia plugin-asennuksia, uusia admin-käyttäjiä ja Search Consolen indeksointiraportteja.
Jos epäilet vuotoa, toimi nopeasti. Vaihda ManageWP-salasana ja peruuta sessiot heti, vaihda jokaisen sivuston admin-salasanat ja WordPress salts, auditoi wp-config.php ja mu-plugins/, ja tarkista Search Consolesta odottamaton sisältö. Ilmoita tapauksesta Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi ja arvioi tietosuojavaltuutetulle tehtävän ilmoituksen tarve, jos asiakassivustoilta on voinut vuotaa henkilötietoja.
Kampanja on tätä artikkelia kirjoitettaessa yhä aktiivinen. Jää nähtäväksi, ostaako Guardion paljastus operaattorille tauon vai pakottaako se vain vaihtamaan domainia. Todennäköisesti jälkimmäinen.