Microsoft kaatoi Fox Tempest -allekirjoituspalvelun – yli 1 000 vilpillistä koodivarmennetta mitätöity, mutta luotettujen asennusten aika voi olla ohi
Microsoft sulki 19.5.2026 rikollispalvelun, joka myi haittaohjelmajengeille Microsoftin omilla varmenteilla allekirjoitettuja "luotettuja" leimoja. Operaatio paljastaa, että vihreä varmennemerkki Windowsin asennusikkunassa ei enää yksin tarkoita turvallista ohjelmaa. Sadat Azure-tilaukset on suljettu, ja koko luotettujen asennusten ohjeistus joutuu uuteen valoon.
Tiivistelma
Microsoftin Digital Crimes Unit ja kansainväliset kumppanit kaatoivat Fox Tempest -koodinimellä jäljitetyn allekirjoituspalvelun, joka oli vuoden ajan myynyt Microsoftin Azure-varmenteilla allekirjoitettuja leimoja kiristysohjelmajengeille. Asiakaskunnassa olivat Rhysida, Akira, Qilin ja Lumma Stealer. Suomalaisille viesti on selvä: SmartScreen-varoitusten taustalla on aito syy, eikä vihreä varmennemerkki yksin riitä luottamuksen perustaksi.
Kun Windows ilmoittaa, että ohjelma on allekirjoitettu, käyttäjän on perinteisesti voinut hengähtää. Tämä oletus murtui hiljaa toukokuun aikana.
Microsoftin Digital Crimes Unit jätti New Yorkin liittovaltion käräjäoikeuteen siviilikanteen 19. toukokuuta ja paljasti, että Fox Tempest -niminen rikollispalvelu oli vuoden ajan myynyt Microsoftin varmenteilla allekirjoitettuja leimoja kenelle tahansa, joka maksoi bitcoinissa. Palvelu oli toiminut toukokuusta 2025 lähtien.
Kaatohetkellä yli 1 000 varmennetta on mitätöity, sadat Azure-tilaukset suljettu ja satoja virtuaalikoneita konfiskoitu.
Koodinallekirjoitus (code signing)
Koodinallekirjoitus on digitaalinen leima, jolla varmennetaan että asennustiedosto tulee siltä taholta, jonka nimi siinä lukee, ja että sitä ei ole peukaloitu matkalla. Fox Tempest osti ja vuokrasi Microsoftin leimoja rikollisille, jolloin haittaohjelma näytti Windowsille hetkellisesti aidolta ohjelmistolta. Pelkkä "allekirjoitettu" ei siis enää tarkoita "turvallinen".
Miten palvelu toimi
Fox Tempest käytti väärin Microsoft Azure Artifact Signing -palvelua. Operaattorit rekisteröivät satoja Microsoft-tilejä varastetuilla yhdysvaltalaisilla ja kanadalaisilla henkilöllisyyksillä, ja kierrättivät niiden kautta 72 tunnin varmenteita.
Asiakaspuolella tilaaminen oli oikeastaan triviaalia. Tilauslomake oli tavallinen Google Form, ja allekirjoitustaso maksoi noin 4 600, 6 900 tai 8 300 euroa (5 000, 7 500 tai 9 000 dollaria) bitcoinissa. Tilaukset hallittiin signspace[.]cloud-portaalin kautta.
– Fox Tempest on taloudellisesti motivoitunut uhkatoimija, joka pyörittää allekirjoituspalvelua muille kyberrikollisille. Sen avulla ne saavat haittaohjelmansa, myös kiristyshaittaohjelmat, leviämään tehokkaammin, Microsoftin Digital Crimes Unit toteaa tiedotteessaan.
Ketkä ostivat allekirjoituksia
Asiakaslista on synkkä luettelo nykyisen kiristysohjelmamaiseman pelaajia. Palvelua käyttivät muun muassa Rhysida, Akira, INC, Qilin ja BlackByte. Sen kautta leimattiin myös Oyster- eli Broomstick-takaovi, Lumma Stealer ja Vidar-tietovaras.
Microsoft kertoo, että käyttäjien joukossa olivat Storm-0501, Storm-2561, Storm-0249 ja Vanilla Tempest -nimellä jäljitetyt toimijat. Kohteena olivat erityisesti terveydenhuolto, koulutus, hallinto ja finanssipalvelut Yhdysvalloissa, Ranskassa, Intiassa ja Kiinassa. Suomea koskevaa lukua ei toistaiseksi ole julkaistu.
Mitä tämä näytti uhrille? Ladattu asennusohjelma, usein väärennetty AnyDesk, Teams, PuTTY tai Webex, näytti Windowsille hetken aidolta.
– Koska Oyster-haittaohjelma oli allekirjoitettu Microsoftin Artifact Signing -palvelun varmenteella, Windows-käyttöjärjestelmä tunnisti haittaohjelman aluksi luotettavaksi ohjelmistoksi, Microsoft kirjoittaa Security Blog -raportissaan.
Käyttäjälle näytettiin vähemmän varoituksia, ja päätelaitteen suojausohjelmistot pitivät tiedostoa hetken luotettavana.
Kuka takedownin teki
Microsoftin DCU veti kannetta, mutta operaatio oli kansainvälinen. Microsoftin tiedotteen mukaan yhteistyökumppaneina toimivat tietoturvayhtiö Resecurity, VPS-palveluntarjoaja Cloudzy, Europolin verkkorikoskeskus EC3 sekä FBI. Suomalaista viranomaiskommenttia ei tähän mennessä ole annettu.
Onko ongelma nyt ratkaistu? Yhden palveluntarjoajan kohdalla on. Liiketoimintamalli, jossa luotettavuutta myydään tunneiksi kerrallaan, jää silti elämään, ja seuraava operaattori paikkaa aukon nopeasti.
Mitä tehdä
Ohjeet ovat sinänsä tuttuja, mutta painopiste muuttuu. Älä luota varmenteeseen yksin.
- Lataa asennusohjelmat vain valmistajan virallisilta sivuilta, Microsoft Storesta tai luotetuista paketinhallinnoista. Sponsoroidut hakumainokset, somelinkit ja sähköpostiliitteet ovat se kanava, jossa Fox Tempestin asiakkaiden leimaamat ohjelmat liikkuivat.
- Varo erityisesti väärennettyjä AnyDesk-, Teams-, PuTTY- ja Webex-asennusohjelmia. Nämä olivat operaation suosikkihoukutuksia.
- Pidä Windows päivitettynä. Varmenteet on mitätöity, mutta vain päivitetty järjestelmä noudattaa mitätöintilistaa.
- SmartScreen-varoituksia ei kannata sivuuttaa rutiininomaisesti. Mainetarkistus ja käyttäytymispohjainen tunnistus ovat tällä hetkellä parempi suoja kuin pelkkä allekirjoituksen näkyminen.
- Jos epäilet ladanneesi haittaohjelman, aja Microsoft Defender Offline -skannaus ja tee ilmoitus Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Suomalaisille viesti on ihan käytännöllinen. Vihreä varmennemerkki on kertonut "tämän julkaisi se taho, joka väittää julkaisseensa", mutta jos kuka tahansa voi muutamalla tuhannella dollarilla ostaa leiman Microsoftilta näyttävällä nimellä, ohjeen painoarvo putoaa.
Käyttäytymistä seuraava suojaus ja lähde, josta ohjelma ladataan, ovat nyt etusijalla. Jää nähtäväksi, miten alustavalmistajat tiukentavat artifaktien allekirjoitusprosessejaan jatkossa.