BEC, Cowi og kommuner ramt af Solarwinds: »Vi er heldige, at vi ikke var det direkte mål«

BEC, Cowi og kommuner ramt af Solarwinds: »Vi er heldige, at vi ikke var det direkte mål«
Illustration: Wikimedia.
Angrebet har ramt bredere end først antaget. Ifølge sikkerhedseksperter skal vi skal prise os lykkelige for, at danske virksomheder tilsyneladende ikke har været det primære mål.
4. marts 2021 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Med en systematisk gennemgang af offentlige og hemmelige lister over kompromitterede domæner samt udsagn fra anonyme kilder har Version2 afdækket, hvor bredt Solarwinds-angrebet faktisk har ramt Danmark.

De nye, ramte virksomheder tæller blandt andre Bankernes EDB Central (BEC), ingeniørfirmaet Cowi og flere danske kommuner, herunder Vallensbæk Kommune. De har alle bekræftet, de også var ramt. Derudover fortæller flere anonyme kilder uafhængigt af hinanden, at der er snesevis af andre selskaber og myndigheder, der er ramt i Danmark.

Afslørende DNS-opkald

Det blev hurtigt klart, at man kunne skaffe sig et overblik over, hvem der var kompromitteret af den sårbare Solarwinds Orion-software ved at se, hvilke domæner der kaldte op til hackernes DNS-servere.

Den ondsindede software bruger disse DNS-opkald til at fortælle bagmændene, kortfattet og krypteret, hvilken server den har etableret bagdøren i og venter på besked om at åbne den for hackerne.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
8
6. marts 2021 kl. 10:33

Selvom din malware ligger i firmware og kan kommunikere med netværkshardware udenom operativsystemet, vil det stadig generere netværkstraffik der kan monitoreres :)

Jo men hvis nu malwaren har spredt sig til mange servere i virksomheden, så kan de koordinere sådan at kun en af serverne kontakter omverden. De fleste virksomheder lever stadigvæk i en verden hvor alt er tilladt indenfor firewallen og hvor meget lidt netværkskommunikation overvåges. Malwaren kunne fx. udvælge en server der i forvejen har kommunikation til internettet til opgaven.

Hvis man nu vil være endnu mere avanceret, så kunne man forestille sig at hvis den del af malwaren der ramte workstations skannede memory for en "magic" byte string og at den triggede malware. Den magic byte sequence kunne fx dukke op ved at man sendte en email til en række personer i virksomheden som indeholdte den magiske string. Såfremt en inficeret workstation kan kontakte alle andre inficerede maskiner på intranettet så er det nok til at den kan aktivere alle maskiner.

Måske er ovenstående for søgt men der er mange muligheder og man skal bare bruge et hul og når man skyder med spredehagl behøver man ikke 100% succes. Husk på Stuxnet hvor det handlede om USB sticks, siemens software, kode målrettet PLC'er, etc. Statslige aktører har ret store ressourcer på hånden og i en situation som Solarwinds hvor man kan ramme rigtigt bredt, så gætter jeg på at pengekassen er åben.

7
5. marts 2021 kl. 17:09

Ingen ville opdage dette fordi der ikke findes virus scan af den slags og fordi harddisk firmware sjældent opdateres. Min malware kunne ligge der lige der indtil jeg fik brug for den og den ville være næsten umulig at opdage.

Mjaeh – det meste malware har det med at kalde ud til C&C infrastruktur, da der ikke er direkte adgang til meget af det interessante fra internettet af.

Selvom din malware ligger i firmware og kan kommunikere med netværkshardware udenom operativsystemet, vil det stadig generere netværkstraffik der kan monitoreres :)

6
4. marts 2021 kl. 20:59

Eller firmwaren i docks...

5
4. marts 2021 kl. 16:47

... så ville det første mål med min malware være at udskifte firmwaren på alle harddiske[1] på inficerede maskiner. Når tilstrækkeligt mange harddiske var inficeret, så ville jeg lade min "CPU malware" slette alle spor af misgerningerne med harddiske. Når "CPU malwaren" blev opdaget (som det er sket) og fjernet og alle var glade og parat til at leve lykkeligt til serverrummets ende ... så ville min harddisk malware stadig ligge og hygge sig på millioner af maskiner.

Ingen ville opdage dette fordi der ikke findes virus scan af den slags og fordi harddisk firmware sjældent opdateres. Min malware kunne ligge der lige der indtil jeg fik brug for den og den ville være næsten umulig at opdage.

[1] Harddisk=Hardisk+SSD (+andre tind med onboard firmware der ikke kommer fra OS drivere)

4
4. marts 2021 kl. 13:21

Jeg har stor glæde af [gennemse] knappen, så man kan se, hvordan V2 synes de skal vise, det man skriver, inden man publicerer :-)

3
4. marts 2021 kl. 12:08

Tak, Christian Nobel, for de pæne ord og gode råd, som jeg vil følge.

2
4. marts 2021 kl. 09:32

John, helt OT - kan du ikke være så venlig at lave afsnit når du skriver her, det vil øge læsbarheden meget, hvilket er vigtigt da du altid kommer med god viden.

Du skal huske at lave dobbelt linjeskift, da dette kummelige forum ikke kan håndtere enkelt linjeskift.

1
4. marts 2021 kl. 08:35

Omfanget og alvoren af angrebet og kompromitteringen er desværre endnu langt fra erkendt eller opdaget. Pandoras æske er kun lige så småt blevet åbnet og kommet på klem. Det er tankevækkende, at det for meste kun er de private/semi private organisationer og virksomhder, der indtil nu er kommet frem i lyset med deres oplevelser. Der må også være en række af de mange og talrige offentlige myndigheder og styrelser, der betegnes som samfundsvigtig kritisk infrastuktur, der uden tvivl også er blevet besøgt og sandsynligvis fortsat er under angreb og er blevet kompromitteret. I USA har man ingen problemer med at være mere åbne om arten, omfanget og angrebets art og størrelse. Her fortælles, at bl.a. Pentagon, Department of Homeland Security og det amerikanske atomagentur, har været besøgt og nok også kompromitteret. Herhjemme løftes kun en meget lille flig af sløret til skade forbl.a. muligheden for en bedre bekæmpelse. Det må kunne gøres bedre. Det er der skrevet en artikel om i OLFI (se link), hvor der også linkes til en tidligere kronik her i Version2, skrevet af Torben Ørting Jørgen og mig, med overskriften "Passes der godt nok på Danmark?", der før angrebet, pegede på et akut behov for en bedre organisering og strukturering af Danmarks cyberforsvar og peges på vores manglende evne til at passe bedre på vores samfund og befolkningens berretigede krav på bedre sikkerhed. Opfordringen blev desværre mødt med larmende tavshed fra de såkaldt ansvarliges side. Nu har de fået endnu et alvorligt Wake-up call.https://olfi.dk/2021/02/25/det-danske-cyberforsvar-traenger-akut-til-en-reorganisering/