CFCS: Flere danske virksomheder APT-hacket af statsstøttet aktør

Illustration: JBoss
En rapport fra Center for Cybersikkerhed (CFCS) viser, at en stribe danske virksomheder og organisationer er blevet hacket af en statsstøttet aktør.

Det fremgår af rapporten fra CFCS, at angrebene på de danske virksomheder er resultatet af en avanceret hackingkampagne, som har været i gang en lang tidsperiode med specialdesignede malwareløsninger.

Aktørerne bag angrebene har udnyttet en række svagheder i open source-applikationen JBoss.

Læs også: Advarsel: Statsstøttede hackere går efter danske JBoss-installationer

En af de ramte virksomheder er en rådgivende ingeniørvirksomhed, som i løbet af 2015 systematisk er blevet angrebet som et led i en APT-kampagne rettet mod sårbare JBoss-systemer.

Herfra kunne hackerne installere Rekaf-malware på de ramte maskiner, hvilket har givet angriberne mulighed for at sende maskinerne kommandoer for derefter at få adgang til data uden ejerens viden.

Illustration: Teknologiens Mediehus

I tidslinjen er angrebene af den rådgivende ingeniørvirksomhed beskrevet som en række faser. I fase to bliver der etableret en mindre bagdør, hvorefter der kan installeres malware, hvilket er tilfældet i fase fem. Fase tre er installation af en større bagdør.

I begyndelsen af angrebet foretager hackeren en større scanning af en given JBoss-enhed for at finde ud af, om der er installeret bagdøre i forvejen, samt at få et overblik over maskinen for derved at kunne målrette sit angreb helt præcist.

Ved hjælp af de oplysninger leverer hackeren et exploit, der udnytter sårbarheden i JBoss-installationen.

Exploitet gør det muligt for hackeren at bygge et lille stykke kode, der giver mulighed for at sende kommandoer på maskinen via nettet.

Der er med andre ord bygget et brohoved, hvor aktøren kan give den kompromitterede maskine en ordre om at hente Rekaf-malwaren.

Når først malwaren kører og kan få kontakt til sin C2-server, er der opnået kontrol over enheden.

Formål

I CFCS regner man med, at formålet med APT-kampagnen er opbygning af et ondsindet netværk eller infrastruktur bestående af kompromitterede maskiner til senere cyberangreb.

»I denne sag er der set flere eksempler på, hvordan aktøren har udbygget sin infrastruktur. I sidste instans kan kompromitterede maskiner i en fremmed stats magt bruges som platform for flere målrettede forskellige typer angreb eller til at skjule et angreb ved at operere ud fra uskyldigt udseende IP-adresser,« skriver chef for Center for Cybersikkerhed Thomas Lund-Sørensen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert G. Larsen

Nu er det jo heldigvis blevet moderne at fortælle man har haft cyberindbrud.
Hvem af de seks firmaer vil være først til at stå frem?

Hvordan skete det, hvordan oplevede I det, hvad har I lært af det....osv..

  • 3
  • 0
Log ind eller Opret konto for at kommentere