Kun tukipalvelu on uhka

By Danny Bradbury • 28. toukokuuta 2026 • 5 minuutin lukuaika

Vanhat sosiaalisen manipuloinnin hyökkääjät eivät koskaan kuole; ne vain kehittyvät ja paranevat. Tässä on tarina hyökkäysryhmästä, joka oli tarpeeksi rohkea pitämään vaarantavan infrastruktuurin näkyvillä, ja neuvoja siitä, mitä asialle voi tehdä.

Toukokuun lopulla 2024 Microsoft seurasi Storm-1811:n jäljittämää taloudellisesti motivoitunutta kyberrikollisryhmää tekemässä jotain, mitä perinteisiä suojausmenetelmiä ei ollut suunniteltu havaitsemaan – ryhmä kirjautui Teamsiin, sanoi hei ja pyysi apua.

Pilvi- ja ohjelmistojätin uhkatiedustelutiimi oli jo dokumentoitu Samat operaattorit olivat väärinkäyttäneet Quick Assist -etätukityökalua saman vuoden huhtikuun puolivälistä lähtien, mutta siirtyminen Teamsiin antoi heille uuden etuoven. Microsoftin analyytikoiden mukaan Storm-1811 on "taloudellisesti motivoitunut kyberrikollisryhmä, jonka tiedetään käyttävän BlackBasta-kiristyshaittaohjelmia", ja heidän operaatioon rekisteröimillään vuokralaisilla oli niin yleisiä nimiä, että ne jäivät huomaamatta: 'Help Desk', 'Help Desk IT', 'Help Desk Support', 'IT-tuki'.

Siitä lähtien sama kaava on jatkunut. Viime vuoden marraskuun 4. päivänä ulkopuolinen käyttäjä kirjautuneena asiakasympäristöön käyttönimellä ”IT-tuki” ja tilillä mostafa.s@dhic.edu.eg. Kahdenkymmenenkahdeksan minuutin kuluessa he olivat avanneet pika-apunäytönjako-istunnon kohdetta vastaan, joka luuli puhuvansa kollegoiden kanssa.

Viisi kuukautta myöhemmin, maaliskuussa tänä vuonna, BlueVoyant julkaistu tutkinnan aiheeseen liittyvästä kampanjasta, jossa pudotetaan aiemmin dokumentoimaton A0Backdoor-niminen hyötytiedosto, ja arvioi sen "BlackBasta-lunnasohjelmajengiin liittyvien taktiikoiden, tekniikoiden ja menettelytapojen evoluutioksi, joka hajonnut operaation sisäisten keskustelulokien vuotamisen jälkeen". Miehistö on muuttunut; pelisuunnitelma ei.

Tämä on jatkuva ongelma. Teamsilla on neljän vuoden historia siitä, että imitoijat ovat antaneet luottamusmallin vääntää sisältäpäin. Check Point Research paljasti maaliskuusta 2024 lokakuun 2025 loppuun asti voimassa olleen tiedon mukaan. dokumentoitu että hyökkääjät voivat hiljaa korvata keskusteluja käyttämällä uudelleen clientmessageid-tunnusta, väärentää ilmoitusten lähettäjiä, muuttaa näyttönimiä yksityisissä keskusteluissa ja väärentää soittajien henkilöllisyyksiä ääni- ja videopuheluissa.

Lailliset työkalut rikollisten käsissä

Syy tämän toimivuuteen skaalautuvasti on arkkitehtuuriin, ei käyttäytymiseen liittyvä. Lähes jokainen komponentti on hyväksytty. Quick Assist toimitetaan oletuksena Windows 11:ssä ja aktivoidaan kuusinumeroisella koodilla; MSI-asennusohjelmat allekirjoitetaan digitaalisesti ja ne sijaitsevat Microsoftin henkilökohtaisessa pilvitallennustilassa; haitallinen hostfxr.dll lataa itsensä sivulataukseen lailliseen prosessiin ja purkaa A0Backdoor-salaus vasta, kun se on tallennettu muistiin, jossa useimmat päätepisteiden tarkastukset ovat jo lopettaneet työnsä.

Jopa komento- ja ohjausjärjestelmät ovat piilossa näkyvillä: A0Backdoor ei käytä TXT-tietueisiin perustuvia DNS-tunneleita, joita kypsät turvallisuuskeskukset ovat oppineet merkitsemään, vaan koodaa ohjeensa DNS MX -kyselyihin.

Aika yhtenäiselle hallinnolle

Miltä hallinto sitten näyttää, kun hyökkääjät käyttävät omia työnkulkujasi aseina sinua vastaan käyttämällä oletusarvoisesti päällä olevia ominaisuuksia?

Näiden ominaisuuksien tarkempi tarkastelu on lähtökohta, samoin kuin oletusarvoisesti asetettujen ominaisuuksien poistaminen käytöstä. Tietoturvatiimit saattavat estää B2B-keskustelukutsut kääntämällä oletusarvon Set-CsTeamsMessagingPolicy-asetuksella. He voisivat verrata pika-avustajan tunnettuun tukityönkulkuun ja käsitellä Teamsin ChatCreated-tapahtumia ensiluokkaisena signaalina päätepisteiden ja identiteettitelemetrian rinnalla.

Mutta näitä ei pitäisi tehdä itsenäisesti. Nämä hyökkäykset toimivat juuri siksi, ettei yksikään omistaja näe tarpeeksi toimiakseen. Identiteettitiimillä ei ole signaalia ChatCreated-tapahtumasta, jota se ei käytä, eikä SOC:lla ole sääntöä MX-kyselylle, jota se ei ole koskaan tutkinut. Yhtenäinen hallintatapa sisältää yhtenäisen kokonaisvaltaisen näkymän niitä käyttäviin yrityksen työnkulkuihin.

Integroitu hallintajärjestelmä (IMS) on kokonaisvaltaisen hallintotyönkulun organisointiperiaate. Esimerkiksi ISO 27001 -standardin mukaan tietoturva- ja hallintotiimit voivat tarkastella ulkoista chat-käytäntöä A.5.15-käyttöoikeussääntöjen mukaisesti. Organisaatiot voivat valottaa DNS MX -kanavaa päättämällä valvoa MX:tä pelkän TXT:n sijaan A.8.16:n (valvontatoimien) mukaisesti. Tällainen yhdistetty ajattelu voi tuoda ChatCreatedin ja MX-telemetrian samalle analyytikon näytölle.

Samoin Quick Assist -näytönjako kuuluu työpöytäsuunnitteluun kohdassa A.8.2 (etuoikeutetut käyttöoikeudet, mukaan lukien etätyöpöytätyökalut). Sen ohittama MFA-kehote kuuluu kohtaan A.5.15 (IAM), kun taas MSI-asennuksia voidaan valvoa järjestelmällisesti kohdassa A.8.19 (ohjelmistoasennus).

Näiden riskien yhteinen ymmärtäminen myös tasoittaa tietä paremmalle reagoinnille tapahtumiin. Jos olet sisällyttänyt tällaisen riskin valvontakehykseesi, on helpompi käsitellä yhteistyöohjelmiston kautta tapahtuvaa kompromissia tunnistettuna skenaariona ja laatia sitä varten toimintasuunnitelma osiossa A.5.24 (tapahtumien hallinnan suunnittelu ja valmistelu).

ISO 27001 on looginen ratkaisu tällaiselle työlle, koska se pakottaa identiteetin, käyttöoikeudet ja tapauksiin reagoinnin yhden jatkuvasti auditoitavan järjestelmän sisälle kolmen erillisen hallintajärjestelmän sijaan. Juuri tämän aukon Storm-1811 ja sen seuraajat jatkuvasti läpikäyvät.