Etunti-tietosuojapoikkeama 11.-12.7.2022 päivittyvä tiedotus
Päivitämme tälle sivulle tietoa tietoturvapoikkeamasta sitä mukaan, kun jotain uutta selviää. Selvitämme poikkeamaa yhteistyössä palveluntarjoajan kanssa ja toteutamme samalla toimenpiteitä joilla varmistamme, ettei tämä toistu.
Päivitykset uusimmasta vanhimpaan:
Selvitystyön avulla olemme saaneet tarkentavaa tietoa siitä mitä on tapahtunut. Alle on kirjattu etunti.fi verkkosivulle kohdistuvan automaatiohyökkäyksen aikajana.
03.07.2022 02:33:19
Etunti.fi wordpress plugins kansioon luodaan satunnaisilla kirjaimilla kansio ”pnahsqu”, joka sisältää haitallista sisältöä. Tämä on todennäköinen hyökkäyksen aloituskohta.
06.07.2022 05:40:11
”pnahsqu” kansiossa tapahtuu jotain, jonka jälkeen luodaan toinen kansio ”ockzkdw”. Seuraavien tuntien aikana samaan plugins kansioon luodaan useampi satunnaisesti nimetty kansio, jotka sisältää eri nimiset versiot samasta etähallinnan mahdollistavasta haittaohjelmasta.
06.07.2022 05:40:22
plugins kansiooon ilmestyy ”log.txt” tiedosto joka sisältää haittaohjelman konfiguraation sekä wp-1ogin_bak.php etähallinan mahdollistavan niin kutsun php shellin. Kumpikin tiedosto kopioi itseään palvelimelle varmistaakseen hyökkääjän pääsyä palvelimelle.
Leviämisen jälkeen haittaohjelma jää odottamaan käskyjä. Loki tiedosto oli tyhjennetty, jonka takia kaikkia toimenpiteitä ei voida täydellä varmuudella tunnistaa. Palvelimelta ei kuitenkaan löydy jälkiä aktiivisista ihmisen tekemistä toimenpiteistä.
11.07.2022 12:28:10
wp-1ogin_bak.php aktivoituu ja luo lisää wordpress plugin kansioita. Oletettavasti kansioiden kautta siirretään tarvittava toiminnallisuus kalastelusivun tekemistä varten.
11.07.2022 14:59:12
etunti.fi/wp-admin/X kansio ilmestyy palvelimelle joka sisältää Office 365 kalastelusivun.
12.07.2022 07:20:30
etunfi.fi/wp-admin/X kansio poistetaan palveluntarjoajan toimeksiannon tuloksena ja ensivaste palvelimella aloitetaan.
12.07.2022 08:04:33
etunti.fi/core/modules/wp-1ogin_bak.php haittaohjelma poistetaan, joka välittömästi laukaisee laajamittaisen tiedostojen tuhoamisen palvelimella haittaohjleman piilotoiminnallisuuden kautta.
12.07.2022 10:39
Digisten Oy eskaloi tilanteen tietoturvan yhteistyökumppanille (Kymmenen Hunttia Oy) ja ensivasteen koordinointi aloitetaan, todisteiden kerääminen tutkintaa varten aloitetaan.
12.07.2022 21:15
Levykuva toimitetaan tutkintaa varten USB tikulla, ja tietojen indeksointi ja ja hyökkäyksen laajuuden selvittäminen aloitetaan.
13.07.2022 11:18
Tutkinnan yhteydessä tunnistetaan hyökkäyksen olevan edelleen käynnissä, ja tilanne tuodaan ensivastetta koordinoivalle työryhmälle tietoon. Minuutteja myöhemmin hyökkäys saadaan pysäytettyä, eikä palvelimella näy jälkiä haittaohjelmasta.
Päivityssivun julkaisu.
Tieto hyökkäyksestä tulee Digistenille ja selvitystyö alkaa.
Palveluntarjoajan pilvipalvelu sulkeutuu tunnistaessaan hyökkäyksen.
Hyökkäys saa alkunsa palveluntarjoajan nettisivuilta, josta hyökkäys leviää myös toiminnanohjausjärjestelmään.