CFCS: Flere danske virksomheder APT-hacket af statsstøttet aktør

3. oktober 2016 kl. 14:093
CFCS: Flere danske virksomheder APT-hacket af statsstøttet aktør
Illustration: JBoss.
En rapport fra Center for Cybersikkerhed (CFCS) viser, at en stribe danske virksomheder og organisationer er blevet hacket af en statsstøttet aktør.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det fremgår af rapporten fra CFCS, at angrebene på de danske virksomheder er resultatet af en avanceret hackingkampagne, som har været i gang en lang tidsperiode med specialdesignede malwareløsninger.

Aktørerne bag angrebene har udnyttet en række svagheder i open source-applikationen JBoss.

APT

APT står for Advanced Persistent Threat. Det er et særligt avanceret, målrettet og vedholdende hacker‐angreb. Angriberne får adgang til et netværk via sårbarheder i den software, som organisationen bruger. APT‐angreb kræver store ressourcer, teknisk indsigt og konkret viden om målet.

En af de ramte virksomheder er en rådgivende ingeniørvirksomhed, som i løbet af 2015 systematisk er blevet angrebet som et led i en APT-kampagne rettet mod sårbare JBoss-systemer.

Herfra kunne hackerne installere Rekaf-malware på de ramte maskiner, hvilket har givet angriberne mulighed for at sende maskinerne kommandoer for derefter at få adgang til data uden ejerens viden.

Artiklen fortsætter efter annoncen

I tidslinjen er angrebene af den rådgivende ingeniørvirksomhed beskrevet som en række faser. I fase to bliver der etableret en mindre bagdør, hvorefter der kan installeres malware, hvilket er tilfældet i fase fem. Fase tre er installation af en større bagdør.

I begyndelsen af angrebet foretager hackeren en større scanning af en given JBoss-enhed for at finde ud af, om der er installeret bagdøre i forvejen, samt at få et overblik over maskinen for derved at kunne målrette sit angreb helt præcist.

C2-server

En command and control‐server, også kaldet C2‐server eller C&C‐server, er betegnelsen for den tekniske infrastruktur, som en angriber anvender til at kontrollere sin malware. En C2‐server kan for eksempel flytte data ind og ud af en inficeret maskine eller et netværk via den malware, den kontrollerer. På den måde kan en angriber inficere en maskine eller et netværk med yderligere malware eller stjæle værdifuld information.

Ved hjælp af de oplysninger leverer hackeren et exploit, der udnytter sårbarheden i JBoss-installationen.

Exploitet gør det muligt for hackeren at bygge et lille stykke kode, der giver mulighed for at sende kommandoer på maskinen via nettet.

Der er med andre ord bygget et brohoved, hvor aktøren kan give den kompromitterede maskine en ordre om at hente Rekaf-malwaren.

Når først malwaren kører og kan få kontakt til sin C2-server, er der opnået kontrol over enheden.

Formål

I CFCS regner man med, at formålet med APT-kampagnen er opbygning af et ondsindet netværk eller infrastruktur bestående af kompromitterede maskiner til senere cyberangreb.

»I denne sag er der set flere eksempler på, hvordan aktøren har udbygget sin infrastruktur. I sidste instans kan kompromitterede maskiner i en fremmed stats magt bruges som platform for flere målrettede forskellige typer angreb eller til at skjule et angreb ved at operere ud fra uskyldigt udseende IP-adresser,« skriver chef for Center for Cybersikkerhed Thomas Lund-Sørensen.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
Redaktionschef -
3. oktober 2016 kl. 15:02
Redaktionschef

Tak. Rettet.

2
3. oktober 2016 kl. 15:00

Jeg har selv svært ved det :)

1
3. oktober 2016 kl. 14:55

Nu er det jo heldigvis blevet moderne at fortælle man har haft cyberindbrud. Hvem af de seks firmaer vil være først til at stå frem?

Hvordan skete det, hvordan oplevede I det, hvad har I lært af det....osv..