Poliisi kaatoi SocGholish-verkon – mutta vaara väijyy tutuilla sivuilla
Kansainvälinen viranomaisisku katkaisi yhden netin vanhimmista haittaohjelmaverkoista. Tartunnan ei silti tarvitse tulla hämärältä sivulta. Se tulee tutulta, joka on salaa murrettu.
Tiivistelma
Operation Endgame -operaatiossa kaadettiin 18.6.2026 SocGholish-verkko, joka tartutti haittaohjelmaa lähes 15 000 murretun WordPress-sivuston kautta. Hyökkäys piilottui valeselainpäivityksen taakse tavallisilla, luotetuilla sivuilla. Yksi puolustus pätee: oikeat selaimet päivittyvät itse, eikä sivuston työntämää päivitystä pidä koskaan asentaa.
Hyvä uutinen ensin. Kansainvälinen viranomaisrintama kaatoi 18.6.2026 yhden netin pitkäikäisimmistä haittaohjelmaverkoista, kun Operation Endgame -operaatio iski SocGholishin koneistoon. Mukana olivat Alankomaiden poliisin kyberyksikkö NHCTU ja syyttäjälaitos, Kanadan RCMP, Yhdysvaltain FBI ja Saksan BKA, Europolin ja Eurojustin tukemina.
Operaatiossa otettiin alas 106 palvelinta ja verkkotunnusta. BleepingComputerin mukaan puhdistettiin lisäksi 14 971 tartunnan saanutta WordPress-sivustoa, joiden kautta haittaohjelmaa oli levitetty kävijöille.
Tutkinnassa paljastui myös vuotaneita kirjautumistunnuksia noin 1,4 miljoonalle WordPress-sivustolle. Omistajia kehotettiin vaihtamaan salasanat, päivittämään WordPress ja ottamaan kaksivaiheinen tunnistautuminen käyttöön.
– Näillä toimilla viemme rikollisilta pääsyn tartunnan saaneisiin tietojärjestelmiin. Näin estämme lisävahinkoja kansalaisten, yritysten ja organisaatioiden digitaalisille järjestelmille kaikkialla maailmassa, sanoo Maikel Rollman, NHCTU:n edustaja.
Tartunta tulee luotetulta sivulta
Tässä on se kohta, joka kannattaa sisäistää. Et saa tartuntaa käymällä jollain hämärällä tai epäilyttävällä sivulla. Saat sen käymällä ihan tavallisella, luotetulla sivulla, joka on salaa murrettu.
Juuri tämä tekee valepäivityksistä niin tehokkaita. Vanha varovaisuusohje "älä mene epämääräisille sivuille" ei oikeastaan auta, kun ansa on piilotettu sivustolle, jolla käyt päivittäin ja jota pidät täysin turvallisena.
SocGholish, jota kutsutaan myös nimellä FakeUpdates, on toiminut vuodesta 2017. Sitä pyörittää pääsynvälittäjäryhmä TA569, jota tietoturvayhtiö Proofpoint kuvaa web-injektiohyökkäysten "isoisäksi". Verkko kaappaa laillisia mutta murrettuja WordPress-sivustoja, myös aivan tavallisia pienyritysten kotisivuja.
Kävijälle näytetään sivun päällä ponnahdusikkuna, joka kehottaa päivittämään selaimen tai jonkin ohjelman heti. Klikkaus lataa haittaohjelman, joka avaa takaoven ja voi johtaa kiristysohjelmaan. Proofpointin mukaan ketju on päätynyt esimerkiksi LockBitiin, RansomHubiin ja WastedLockeriin.
Julkisissa raporteissa TA569 ja SocGholish on yhdistetty Evil Corp -ryhmään. Venäjältä toimiva Evil Corp on länsimaissa pakotelistalla ja tunnetaan Dridex- ja Zeus-haittaohjelmista, joiden aiheuttamat tappiot ylittävät 100 miljoonaa dollaria.
Operaatiossa puhdistetut tunnusvuodot kertovat, kuinka laaja koneisto oli. Yksikin murrettu sivusto tarjoilee valepäivitystä jokaiselle kävijälle, joten lähes 15 000 sivustoa tavoitti tartuntayrityksellään valtavan yleisön ennen alasajoa.
Valepäivityshyökkäys (FakeUpdates)
Rikollinen murtautuu lailliselle sivustolle ja istuttaa siihen koodin, joka näyttää kävijälle aidolta vaikuttavan selainpäivityskehotteen. Sivu on oikea ja tuttu, joten varoituskello ei soi. Päivitys on silti naamioitu haittaohjelma.
Suomalaiselle lukijalle riski on konkreettinen. Kohtaat tämän tavallisella arkisivulla, joka on murrettu, ja eteesi pomppaa vakuuttavan näköinen Chromen tai Edgen ilmoitus "selain on päivitettävä". Kyberturvallisuuskeskus on varoittanut juuri tästä ketjusta aiemmin: valepäivityskehote johtaa haittaohjelmaan, etäkäyttöön ja henkilö- tai maksutietojen varkauteen.
Miten siis erottaa aito päivitys huijauksesta? Oikeat selaimet päivittävät itsensä automaattisesti taustalla. Mikään verkkosivu ei koskaan pyydä sinua asentamaan selainpäivitystä.
Tunnistusmerkit
- Päivityskehote ilmestyy verkkosivun sisälle tai ponnahdusikkunaan, ei selaimen omasta valikosta eikä käyttöjärjestelmästä.
- Viesti painostaa lataamaan tai asentamaan jotain heti.
- Kehote näkyy sivulla, jolla sillä ei ole mitään asiaa, kuten uutissivulla, blogissa tai pienyrityksen kotisivulla.
Mitä tehdä
- Älä klikkaa kehotetta. Sulje välilehti.
- Päivitä selain vain selaimen omasta valikosta, älä koskaan sivuston tarjoamasta linkistä.
- Jos asensit jo jotain, aja haittaohjelmaskannaus ja vaihda salasanasi.
- Jos pyörität WordPress-sivustoa, vaihda tunnukset, päivitä WordPress ja ota kaksivaiheinen tunnistautuminen käyttöön.
- Ilmoita kalastelusta ja haittaohjelmasta Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
EU-puolta operaatiossa vetivät Saksa ja Alankomaat, eikä nimettyjä suomalaisuhreja tullut esiin. Tätä artikkelia kirjoitettaessa uusia tartuntahavaintoja Suomesta ei ole tullut julki. Verkko on nyt poikki, mutta valepäivitysten temppu ei katoa mihinkään. Saman tartuntatavan voi ottaa käyttöön kuka tahansa seuraava ryhmä, ja jää nähtäväksi, nouseeko tilalle uusi pääsynvälittäjä. Silloin pätee yhä se yksi sääntö, jonka kannattaa jäädä mieleen: päivitystä, jota sivusto työntää sinulle, ei asenneta koskaan.