Aalborg Universitet hacket: »De kan have skaffet sig adgang til forskning og alle andre oplysninger«

Illustration: AAU
I sidste uge lukkede Aalborg Universitet ned for alle interne it-systemer på grund af en såkaldt ‘kritisk hændelse’. Nu viser en aktindsigt, at ukendte hackere måske har haft adgang til blandt andet forskningsdata, HR og økonomisystem.

Kriminelle hackere har kompromitteret Aalborg Universitets brugerdatabase og har potentielt skaffet sig adgang til både forskning, økonomi og HR-oplysninger.

Derfor lukkede universitetet tirsdag i sidste uge for alle interne it-systemer, og ifølge en anmeldelse til Datatilsynet fra 5. august, som Version2 har fået aktindsigt i, frygter universitetet det værste.

»Universitetets systemer er blevet udsat for et cyberangreb, hvorved universitetets brugerdatabase er blevet kompromitteret,« skriver universitetet og uddyber, at hackerne kan have fået fingrene i »forskningsdata og alle andre oplysninger på AAUs databaser.«

»Potentielt har hackerne adgang til forskningsdata, adgang til ESDH-systemet, oplysninger i HR-systemet, oplysninger i økonomisystemer m.v.«

Læs også: Aalborg Universitet ramt af "kritisk" it-hændelse: Mistænker cyberangreb

Aalborg Universitet meldte ellers ud i sidste uge, at man regner med, at det er lykkes at inddæmme og begrænse hændelsen.

Mandag oplyser AAU til Version2, at man ikke er klar til at udtale sig om sagen, og at anmeldelsen til Datatilsynet er udtryk for ‘worst case scenario’. Reelt kender man ikke skadens omfang, da man stadigvæk er i gang med at undersøge, hvad den kompromitterede brugerdatabase har været brugt til.

Har hyret eksterne eksperter

Aalborg Universitet blev ifølge dokumenter fra Datatilsynet første gang opmærksom på, at der kunne være noget i gære 27. juli, da en ansat på AAUs it-kontor opdagede, at tilladelser fra en kollegas mailkonto var blevet ændret.

Universitetet besluttede at hyre eksterne specialister i form af det danske konsulenthus CSIS, der 3. august kunne fortælle AAU, at universitetets brugerdatabase med ca 30.000 personer var blevet kompromitteret.

»Der er efter deres anbefaling lukket for alle adgange til systemerne/internettet den 4/8/2020.«

Ransomware-mistanke

Da undersøgelsen af angrebet stadig pågår, ved AAU som sagt ikke, om der er sket andet og mere end en kompromittering af brugerdatabasen.

Ifølge anmeldelsen til Datatilsynet har der dog været »mistanke om tilsigtet opstart på ransomware-udrulning«.

Fredag gik Aalborg Universitet i gang med en gradvis genåbning af it-systemerne, som alle brugere dog skal skifte adgangskode til, ligesom der er indført krav om VPN for at logge på systemerne udefra.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 John Michael Foley

Tankevækkende og lidt overraskende, at AAU har set sig nødsaget til at hyre eksterne eksperter alt den stund at universiteterne har deres eget sikkerhedsorgan, DK-CERT, der er offentligt finansieret og til dagligt skal varetage forskningsnettets It- og cybersikkerhed. På DK-CERT's hjemmeside kan man ikke læse noget om hackerangrebet til trods for at der i deres formålsparagraf står: DKCERT (Danish Computer Security Incident Response Team) overvåger sikkerheden på forskningsnettet og informerer om aktuelle sikkerhedshændelser.

  • 23
  • 0
#2 Povl H. Pedersen

Såfremt hackere har eskaleret sine rettigheder til Domain Administrator, så er det helt klart at den potentielle skade er, at de har fået adgang til alt det man kan få adgang til med Windows users accounts. Enhver anden vurdering ville være en fejlvurdering, medmindre man har direkte dokumentation for at det ikke er sket. Man må antage den potentielle skade.

Det faktum at alle har fået besked på at skifte password (forhåbentlig har alle forinden fået ændret password til noget 3die part ike kender), viser også at man tager det alvorligt. Det gælder om at lukke hackeren ude fra de konti han har overtaget. Og med adgang til Domain Controller har man adgang til usaltede password hashes, og det er trivielt (langt under en time) at prøve alle passwords på max 8 tegn med kun store/små/tal. Så man kan antage at mange passwords også er kompromiteret. Så må man håbe at der vælges nye der ikke er det gamle med +1 i enden.

  • 9
  • 0
#3 Claus Bobjerg Juul

Min forståelse er at DK-CERT har meget få ansatte og slet ikke har resurser til at hjælp ved sådanne hændelser. Jeg tænker at de kan tilbyde hjælp i form af en incident manager og nogle værktøjer og erfaring, men at hjælpe med at konstatere om man er kompromitteret er ikke en kompetance DK-CERT har.

Det er i sidste ende et politisk spørgsmål, hvilke resurser DK-CERT skal have.

  • 3
  • 0
#4 Per Gøtterup

Hvorfor var det ikke allerede et krav før?

At have en loginmulighed - især i Windows - stående frit åben for omverdnen er da under al kritik. Der bliver jævnligt fundet sikkerhedshuller og hvis man via malware eller social engineering har fået startet noget inde på systemerne så er adgang let og ukompliceret. Det er bare ikke godt nok efter min mening.

Al fjernadgang bør kun være muligt via VPN eller tilsvarende sikrede forbindelser.

  • 10
  • 0
#8 Mogens Bluhme

Og med adgang til Domain Controller har man adgang til usaltede password hashes

Nu er jeg ikke Windows-mand så jeg spørger af nysgerrighed. Jeg undrer mig over, at Domain Controller/Active Directory ikke er splittet op for at minimere risiko. Det er mit indtryk, at den stort set ikke er konkurrenceudsat i Danmark. Er den så overlegen i forhold til konkurrende LDAP-eller andre løsninger.? Man skal ikke duckduckgo'e eller searx'e ret meget, før man faktisk finder alternativer.

  • 0
  • 0
#17 Jack nix

Skriv en hilsen til Kina/Rusland ind i databasen :)

Når Kina i så omfattende grad stjæler virksomheds- og forskningshemmeligheder, burde man lave en masse honeypots med falsk forskning. Så kunne de røvhuller f.eks. spille millioner på at kopierer elendige jægerfly's dele.

  • 9
  • 0
#18 Søren Koch

Den er jo før brugt (mujligvis med success)

Da russerne ville lave en kopi af Concorde fik de en lufthavnsmedarbejder i frankrig til at indsamle stumper af gummi fra dækkene så de kunne lave dæk der kunne holde til de store belastninger. Det fik franskmændene så at vide og de fik Goodyear (mener jeg) til at lave et par kilo af 'den værste gummi de kunne finde på' som de så fik nanden til at give russerne.

Om så russerne i sidste ende faldt for den ved jeg ikke, men de må i hvert fald have brugt en del tid på at analyserede, men uanset hvad er det en god hidtorie. :-)

  • 1
  • 0
#19 E Sørensen

At DKCERT ikke hjælper AAU er ikke korrekt. DKCERT har bidraget med råd og vejledning ifm. hændelsen på CISO- og teknikerniveau og varetager under fortrolighed en koordinerende rolle ift. andre universiteter og i denne sag også ift. CSIS. DKCERT har dog en begrænset kapacitet til selve den tekniske håndtering af hændelser.

Mht. information om hændelser har DKCERT skrevet om hændelsen på cert.dk den 5.8 og sendt nyheden ud med nyhedsbrevet mandag den 10.8. DKCERT skriver løbende mange nyheder med den konsekvens, at ældre nyheder skubbes ned i nyhedsarkivet, efterhånden som nye publiceres. Af den grund kan omtalen af AAU-hændelsen ikke findes på ”forsiden” af cert.dk, men skal findes i nyhedsarkivet.

https://www.cert.dk/da/news/2020-08-05/Aalborg-Universitet-udsat-for-kri...

  • 3
  • 1
#20 John Michael Foley

Ja, informationen var godt gemt nede i arkivet og burde have stået allerøverst på hjemmesiden så længe sagen kører, til skræk og advarsel. Mon ikke bla. Datatilsynet har bemærkninger til sagen? I stedet for er der næsten intetsigende informationer på hjemmesiden, der permanent fremhæver DK CERT chefens fortræffeligheder og store engagement. Det kan tillige undre, at DK CERT ikke har den fornødne indsigt og kompetencer til selv at overvåge og afsløre hacket, og må ty til støtte og hjælp fra et privat it- og cybersikkerhedsfirma. Dette til trods for at skatteyderne betaler millioner af kroner til DK CERT årligt, uden at få ret meget til gengæld. Når det private firma (CSIS) så har løst opgaven for DK CERT sender firmaet selvfølgelig en regning, som skatteborgeren også skal betale fordi DK CERT ikke er sin opgave voksen. Double up - skatteydere. Betaling ved kasse 1.

  • 4
  • 0
#22 Lasse Birnbaum Jensen
20 : DKCERT får ikke noget regning - regningen går til AAU i dette tilfælde. AAU har selv valgt at indgå samarbejde med CSIS. DKCERT har den størrelse som er ønsket af universiteterne. Universiteterne har valgt at have kræfter til sikkerhed mv. lokal ansat (nogen bruger flere midler på dette end andre). DKCERT har efter aftale med universiteterne netop den rolle som er beskrevet i #19. De anvender deres netværk til at koordinere på tværs og med eksterne partnere.

DKCERT er en aktivt medspiller i de internationale fora til gavn for universiteterne.

(Jeg er ansat på et universitet og medlem af DKCERTs advisory board - er ikke AAU)

  • 1
  • 0
Log ind eller Opret konto for at kommentere