Huhtikuun Kybersää: M365-tilikaappaukset nousivat, vaikka ilmoitukset muuten vähenivät
Huhtikuussa ilmoituksia tuli Kyberturvallisuuskeskukseen tavanomaista vähemmän, mutta Microsoft 365 -tilien kaappaukset jatkoivat kasvuaan. Hyökkäysketjun ydin on AiTM-välityspalvelin, joka ohittaa tavallisen MFA:n kirjautumisen jälkeen.
Tiivistelma
Kyberturvallisuuskeskus kirjasi huhtikuussa 87 ilmoitusta M365-tilien kaappauksista. Hyökkäys alkaa kalasteluviestistä, joka tulee jo kaapatusta kumppaniorganisaation tilistä, ja AiTM-välityspalvelin varastaa kirjautumisen istuntotunnisteen MFA-hyväksynnän jälkeen.
87 ilmoitusta kaapatuista Microsoft 365 -tileistä yhden kuukauden aikana. Luvun kertoo Kyberturvallisuuskeskuksen huhtikuun Kybersää, julkaistu 13. toukokuuta, vaikka kokonaiskuva oli sävyltään rauhallisempi kuin tavallisesti.
Kybersää kuvaa huhtikuuta tavanomaista vähäisempänä kuukautena, ja vakavuustaso pysyi tutulla tasolla. M365-tilikaappausten käyrä kulkee silti omaan suuntaansa, kasvoi maaliskuusta huhtikuuhun ja heijastuu suoraan organisaatioiden arkeen.
Suomalaisille pienille ja keskisuurille työnantajille M365 on käytännössä koko sähköposti, kalenteri ja tiedostojen jakelu yhdessä paketissa. Yhden tilin menetys avaa koko organisaation viestiliikenteen hyökkääjälle.
Hyökkäys alkaa kumppanin osoitteesta
Tyypillinen tapaus ei näytä kalastelulta, koska viesti tulee jo kaapatun kumppaniorganisaation aidosta postilaatikosta. Vastaanottaja näkee tutun lähettäjän, tutun aiheen ja tutun keskusteluketjun.
Linkki vie väärennetylle kirjautumissivulle. Selaimen ja oikean Microsoftin väliin on viritetty AiTM-välityspalvelin, joka välittää tunnukset reaaliaikaisesti aitoon palveluun. MFA-pyyntö ponnahtaa uhrin omaan puhelimeen, ja kun uhri hyväksyy sen, hyökkääjä nappaa kirjautumisen istuntotunnisteen.
Uhrin näkökulmasta kaikki näytti aidolta. Salasana toimi, kakkostekijä hyväksyttiin, ja seuraavaksi avautui aito Microsoftin etusivu. Sillä välin istunnon kopio jatkaa elämäänsä jossain muualla.
AiTM (Adversary-in-the-Middle) -kalastelu
AiTM-välityspalvelin asettuu uhrin ja oikean palvelun väliin. Se kerää salasanan, ohjaa MFA-pyynnön aidolle palvelulle ja kaappaa kirjautumisen jälkeen syntyvän istuntotunnisteen. Tunnisteella hyökkääjä pääsee tilille ilman, että hänen tarvitsee enää koskaan toistaa toista vaihetta.
Miten näin yksinkertainen ketju ohittaa kaksivaiheisen tunnistautumisen? Vastaus on se, että MFA todentaa kirjautumistapahtuman kerran, mutta tämän jälkeen istuntotunniste toimii kuin ohimennen myönnetty avain. Se on validi kaikilta tarkoilta osiltaan.
Murron jälkeen rahaa, ei dataa
Kun tili on hallinnassa, hyökkääjä etsii harvoin ensimmäiseksi salaisia dokumentteja. Sen sijaan kohteena on talous- ja laskutusliikenne, eli sähköpostiviestit toimittajilta, tilausvahvistukset ja maksuohjeet.
Tämän jälkeen postilaatikkoon perustetaan piilotettu edelleenohjaussääntö, joka kopioi tietyt viestit hyökkääjän osoitteeseen ennen kuin uhri ehtii lukea niitä. OneDriveen pudotetaan haitallisia tiedostoja, jotka jaetaan uhrin omilla oikeuksilla eteenpäin. Käyttäjän kontaktilista on seuraavan vaiheen polttoaine.
Kaava on tuttu BEC-petoksista, eli liiketoimintasähköpostin kaappauksista. Hyökkääjä odottaa kärsivällisesti oikeaa hetkeä, esimerkiksi sellaista, jossa toimittaja lähettää aidon laskun. Tähän viestiketjuun se vastaa uhrin tilistä päivitetyllä tilinumerolla.
Kyberturvallisuuskeskus arvioi huhtikuun katsauksessaan tekoälyn roolia suoraan:
– Kehittyneiden AI-ratkaisujen on arvioitu tehostavan pahantahtoista haavoittuvuuksien kartoitusta ja lisäävän hyväksikäytettävien kohteiden määrää, Kyberturvallisuuskeskus toteaa.
Reunalaitteet edelleen tulilinjalla
Tätä artikkelia kirjoitettaessa samaan ikkunaan osuu myös aktiivisesti hyväksikäytetty FortiCloud SSO -haavoittuvuus, jonka kautta FortiCloud-tilin omistava hyökkääjä voi kirjautua sisään toisten organisaatioiden laitteille. Reunalaitteet ovat olleet kevään tukevin oma uutisensa, ja samalla viikolla raportoitiin Patch Tuesday -kierros ja cPanel/WHM-hätäpäivitykset, joista olemme kirjoittaneet erikseen.
Yhteinen nimittäjä on selkeä. Suomalaisten organisaatioiden hyökkäyspinta-ala on hyvin pitkälti pilvi-identiteettejä ja reunalaitteita – puolustuksen painopiste seuraa samaan suuntaan.
Tunnistusmerkit
- Sisäänkirjautumissivu näyttää aidolta, mutta osoiterivin domain ei ole
login.microsoftonline.com - MFA-pyyntö saapuu hetkellä, jolloin et itse ole juuri kirjautumassa
- Postilaatikossa on uusia sääntöjä, joita et ole itse luonut, etenkin sääntöjä, jotka piilottavat tai välittävät viestejä
- Toimittajalta tulee laskuviesti, jossa tilinumero on vaihtunut ja kieli on aiempaa muodollisempaa
- OneDrive-jakopyyntöjä lähtee organisaation ulkopuolelle hetkinä, jolloin kukaan ei pitäisi olla jakamassa mitään
Mitä tehdä
- Siirry organisaatiossa FIDO2- ja passkey-kirjautumiseen, sillä se on token-vakaa eikä AiTM-välitys voi varastaa istuntoa samalla tavalla
- Kytke käyttöön conditional access -säännöt, joissa huomioidaan maa, laite ja sijaintianomaliat
- Tarkasta postilaatikoiden piilotetut edelleenohjaussäännöt säännöllisesti, etenkin pääkäyttäjä- ja talousrooleissa
- Hälytä OneDrive-jakopiikit ulkopuolisille tunnuksille, äläkä luota oletusasetuksiin
- Ilmoita epäilyt osoitteessa ilmoita.kyberturvallisuuskeskus.fi
Toistaiseksi standardi-MFA on monelle suomalaisorganisaatiolle se viimeinen turvaverkko, johon kirjautumissuojaus nojaa. Huhtikuun luvut sanovat, ettei verkko enää pidätä kaikkea, mitä sen päälle laskeutuu. Jää nähtäväksi, kuinka nopeasti FIDO2 ja passkey-kirjautumiset saadaan organisaatioissa oletusarvoksi.