CFCS efter DDoS mod ministerium: International mediedækning øger risiko for flere angreb

Den er sandsynligt, men ikke sikkert, at tyrkisk hackergruppe stod bag DDoS-angrebet mod Udlændinge- og Integrationsministeriet, vurderede Center for Cybersikkerhed blandt andet umiddelbart efter angrebet.

Opdateret. Tidligere optrådte flere statistikker i artiklen over den formodede datatrafik i forbindelse med DDoS-angrebet mod udlændinge og integrationsministeriet 27. september. Statistikken, som UIM har sendt til Version2 i forbindelse med vores aktinsigt i DDoS-angrebet, har vist sig at være fra dagen efter angrebet, og altså ikke for selve angrebet. De statistiske skærmbilleder er pillet ud af artiklen.

Medieomtale af DDoS-angrebet mod Udlændinge- og Integrationsministeriets hjemmeside kunne i sig selv være med til at øge risikoen for flere angreb. Sådan lyder det blandt andet i en vurdering fra Center for Cybersikkerhed under Forsvarets Efterretningstjeneste, som Version2 har fået aktindsigt i.

Vurderingen er fra 28. september 2017, hvilket er kort tid efter angrebet, der startede om eftermiddagen 27. september.

»CFCS vurderer, at cyberangrebet og den følgende internationale mediedækning vil øge risikoen for flere overbelastningsangreb mod især Udlændinge- og Integrationsministeriet, men også mod andre danske myndigheder,« står der blandt andet i den skriftlige vurdering.

I trusselsvurderingen står det også at læse, at CFCS - som det også var fremme i forbindelse med angrebet, finder det sandsynligt, at en tyrkisk gruppe stod bag, og at årsagen var integrationsminister Inger Støjbergs (V) offentliggørelse af »en Muhammed-tegning på egen Facebook-profil og den deraf følgende medieomtale«.

»Det er sandsynligt, at den tyrkiske aktivistgruppe Aslan Neferler Tim står bag angrebet. Det er imidlertid vanskeligt at bestemme oprindelsen af et overbelastningsangreb, og det kan derfor ikke udelukkes, at gruppen blot tager ansvar for angrebet uden selv at stå bag.«

CFCS vurderer også, at hændelsen kan inspirere andre til at udføre angreb, som ikke er DDoS-angreb.

»Det er muligt, at hændelsen vil inspirere aktører til at udføre andre typer cyberangreb mod danske myndigheder. Disse cyberangreb kan for eksempel være forsøg på ændring af indholdet på hjemmesider eller profiler på sociale medier.«

Også Udenrigsministeriets hjemmeside blev om aftenen den 27. september ramt af et overbelastningsangreb, fremgår det af trusselsvurderingen:

»Dette angreb varede ca. 45 minutter, hvorefter hjemmesiden igen var tilgængelig.«

Forsvar mod DDoS

I aktindsigten i forløbet omkring DDoS-angrebet mod ministeriet er der også flere orienterende mails fra en it-driftschef ved Udlændinge- og Integrationsministeriet.

Her fremgår det blandt andet, at angrebet startede omkring klokken 15, den 27. september, hvor der observeredes øget trafik på ministeriets hjemmeside, uim.dk

I en orienterende mail fra driftschefen sendt 28. september fremgår det, at der opsattes et forsvar mod angrebet.

»Der er opsat forsvar mod DDoS-angreb via [censureret], der i korthed 'sorterer' angreb fra og hindrer, at utilsigtede forespørgsler når frem til hjemmesiden, således at siden er funktionsdygtig og tilgængelig.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
Niels Baggesen

Der er opsat forsvar mod DDoS-angreb via [censureret],

Det er der nu ingen grund til at censurere, enhver kan med et host opslag på uim.dk se at det er Cloudflare (og så fik UIM endda ved samme lejlighed en IPv6 adresse :-)

/Niels

Mogens Bluhme

Der er en del vi ikke ved om angrebet. Eksempelvis om det bare er et volumetrisk angreb. Ud fra det jeg ved kan jeg ikke se om der kunne være lag 4-7 komponenter i det - slowloris eller andet sjov. Så kan man hurtigt overbelaste webserver's CPU'er og memory med forholdsvis lidt båndbredde.

Med lidt snilde kan man muligvis finde de originale IP-adresser bag Cloudflare - første led i reconnaissance er at konstatere, at ministeriet er kunde hos Statens IT og de derfor skal findes hos sidstnævnte.

Men der findes mere raffinerede måder at bypasse scrubbingcentre på hvis man er et stykke over scriptkiddies-niveauet.

Jakob Møllerhøj Journalist

På baggrund af debatten har vi været i efterfølgende kontakt med UIM. Tallene, som vi har modtaget i forbindelse med vores aktindsigt i DDoS-angrebet, passer godt nok, de viser sig dog at være for dagen efter selve angrebet.

Vi har pillet statistikkerne ud af artiklen, da de ikke var retvisende i sammenhængen. Jakob - V2

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017