CFCS efter DDoS mod ministerium: International mediedækning øger risiko for flere angreb

9 kommentarer.  Hop til debatten
Den er sandsynligt, men ikke sikkert, at tyrkisk hackergruppe stod bag DDoS-angrebet mod Udlændinge- og Integrationsministeriet, vurderede Center for Cybersikkerhed blandt andet umiddelbart efter angrebet.
Reportage2. november 2017 kl. 05:11
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Opdateret. Tidligere optrådte flere statistikker i artiklen over den formodede datatrafik i forbindelse med DDoS-angrebet mod udlændinge og integrationsministeriet 27. september. Statistikken, som UIM har sendt til Version2 i forbindelse med vores aktindsigt i DDoS-angrebet, har vist sig at være fra dagen efter angrebet, og altså ikke for selve angrebet. De statistiske skærmbilleder er pillet ud af artiklen.

Medieomtale af DDoS-angrebet mod Udlændinge- og Integrationsministeriets hjemmeside kunne i sig selv være med til at øge risikoen for flere angreb. Sådan lyder det blandt andet i en vurdering fra Center for Cybersikkerhed under Forsvarets Efterretningstjeneste, som Version2 har fået aktindsigt i.

Vurderingen er fra 28. september 2017, hvilket er kort tid efter angrebet, der startede om eftermiddagen 27. september.

»CFCS vurderer, at cyberangrebet og den følgende internationale mediedækning vil øge risikoen for flere overbelastningsangreb mod især Udlændinge- og Integrationsministeriet, men også mod andre danske myndigheder,« står der blandt andet i den skriftlige vurdering.

Artiklen fortsætter efter annoncen

I trusselsvurderingen står det også at læse, at CFCS - som det også var fremme i forbindelse med angrebet, finder det sandsynligt, at en tyrkisk gruppe stod bag, og at årsagen var integrationsminister Inger Støjbergs (V) offentliggørelse af »en Muhammed-tegning på egen Facebook-profil og den deraf følgende medieomtale«.

»Det er sandsynligt, at den tyrkiske aktivistgruppe Aslan Neferler Tim står bag angrebet. Det er imidlertid vanskeligt at bestemme oprindelsen af et overbelastningsangreb, og det kan derfor ikke udelukkes, at gruppen blot tager ansvar for angrebet uden selv at stå bag.«

CFCS vurderer også, at hændelsen kan inspirere andre til at udføre angreb, som ikke er DDoS-angreb.

»Det er muligt, at hændelsen vil inspirere aktører til at udføre andre typer cyberangreb mod danske myndigheder. Disse cyberangreb kan for eksempel være forsøg på ændring af indholdet på hjemmesider eller profiler på sociale medier.«

Også Udenrigsministeriets hjemmeside blev om aftenen den 27. september ramt af et overbelastningsangreb, fremgår det af trusselsvurderingen:

»Dette angreb varede ca. 45 minutter, hvorefter hjemmesiden igen var tilgængelig.«

Forsvar mod DDoS

I aktindsigten i forløbet omkring DDoS-angrebet mod ministeriet er der også flere orienterende mails fra en it-driftschef ved Udlændinge- og Integrationsministeriet.

Her fremgår det blandt andet, at angrebet startede omkring klokken 15, den 27. september, hvor der observeredes øget trafik på ministeriets hjemmeside, uim.dk

I en orienterende mail fra driftschefen sendt 28. september fremgår det, at der opsattes et forsvar mod angrebet.

»Der er opsat forsvar mod DDoS-angreb via [censureret], der i korthed 'sorterer' angreb fra og hindrer, at utilsigtede forespørgsler når frem til hjemmesiden, således at siden er funktionsdygtig og tilgængelig.

9 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
9
2. november 2017 kl. 15:15

På baggrund af debatten har vi været i efterfølgende kontakt med UIM. Tallene, som vi har modtaget i forbindelse med vores aktindsigt i DDoS-angrebet, passer godt nok, de viser sig dog at være for dagen efter selve angrebet.

Vi har pillet statistikkerne ud af artiklen, da de ikke var retvisende i sammenhængen. Jakob - V2

8
2. november 2017 kl. 12:42

Der er en del vi ikke ved om angrebet. Eksempelvis om det bare er et volumetrisk angreb. Ud fra det jeg ved kan jeg ikke se om der kunne være lag 4-7 komponenter i det - slowloris eller andet sjov. Så kan man hurtigt overbelaste webserver's CPU'er og memory med forholdsvis lidt båndbredde.

Med lidt snilde kan man muligvis finde de originale IP-adresser bag Cloudflare - første led i reconnaissance er at konstatere, at ministeriet er kunde hos Statens IT og de derfor skal findes hos sidstnævnte.

Men der findes mere raffinerede måder at bypasse scrubbingcentre på hvis man er et stykke over scriptkiddies-niveauet.

7
2. november 2017 kl. 11:54

mon ikke de 1g passer med interface størrelsen før flytningen til CF som grov filter

6
2. november 2017 kl. 10:49

Er de tal i webstatistiken korrekte? Det kan da ikke passe at den mængde trafik kan vælte en webside af den størrelse?

4
2. november 2017 kl. 10:07

National- og afvisningsministeriet?

Jeg gad vide om styrelsen ville være kommet under angreb, hvis der havde været en anden minister og en anden dagsorden på programmet.

3
2. november 2017 kl. 10:03

Det er vel bare normal trafik, 4MB pr minut, lidt vanvittigt at kalde det et DDoS angreb :D

2
2. november 2017 kl. 08:43

Kan man godt kalde det et DDoS angreb ?

1
2. november 2017 kl. 07:31

Der er opsat forsvar mod DDoS-angreb via [censureret],

Det er der nu ingen grund til at censurere, enhver kan med et host opslag på uim.dk se at det er Cloudflare (og så fik UIM endda ved samme lejlighed en IPv6 adresse :-)

/Niels