CFCS: Fremmed stat brugte kattekillinge-malware til at spionere mod danske virksomheder

15. januar 2016 kl. 12:066
En dansk hostingvirksomhed var mål for et langvarigt og målrettet angreb, som ifølge Center for Cybersikkerhed er udført af en fremmed stat.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

En ukendt fremmed stat ser ud til at have stået bag et langvarigt angreb mod mindst én dansk virksomhed og flere udenlandske virksomheder. Det oplyser Center for Cybersikkerhed i en ny rapport om hændelsen.

Angrebet fandt sted mod en dansk hostingvirksomhed og derfra mod én af virksomhedens kunder, som ligeledes var en dansk virksomhed. I mere end ét år havde angriberne en bagdør ind i systemerne.

Ifølge Center for Cybersikkerhed er det ikke muligt at sige, hvilke oplysninger angriberne eventuelt har fået fat på, men det var ifølge den efterfølgende undersøgelse muligt for angriberne at navigere rundt på netværket i mere end et år og tilgå alle kundens data.

Den pågældende virksomhed blev først opmærksom på angrebet, da den modtog en henvendelse fra Center for Cybersikkerhed.

Artiklen fortsætter efter annoncen

Der var tale om et angreb med malware i kategorien Advanced Persistent Threat, som dækker over software, der er designet til at inficere systemer i længere tid uden at blive opdaget. Det er en kategori af malware, som anvendes af efterretningstjenester til industrispionage.

Center for Cybersikkerhed vurderer således også, at der er tale om malware, der er udviklet med støtte fra en fremmed stat. Ofte anvendes hidtil ukendte sikkerhedshuller i software sammen med målrettede angreb mod personer i de pågældende virksomheder til at inficere systemet.

Et problem i den konkrete efterforskning var, at angrebet havde stået på så længe, at logfilerne for systemerne for længst var slettet af it-afdelingen, så det ikke var muligt at fastslå, hvordan virksomheden i første omgang var blevet kompromitteret. Der var dog sandsynligvis tale om et angreb via e-mail, såkaldt spear-phishing, med en vedhæftet fil eller et link.

Malwaren, der blev benyttet, var af PlugX-typen, som tidligere er set ved denne type angreb ifølge Center for Cybersikkerhed. Et særligt kendetegn ved den konkrete variant, som blev fundet, var, at den skjulte sin primære komponent i en valid JPEG-billedfil, som forestillede tre kattekillinger.

Emner
6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
Knud Jensen
16. januar 2016 kl. 16:50

Synes det er lidt sjovt med en artikel som advarer om at åbne indhold hvor der er et billede af 3 kattekillinger. Og så medfølger der et sådan billede i artiklen :)

  • more_vert
    • insert_linkKopier link
5
Thomas Jensen
15. januar 2016 kl. 20:03

Hvordan kan man opdage, at det er en stat og ikke blot en skurk fra samme stat, der spionerer?
Hvordan kan man opdage, at det er en stat uden at kunne finde ud af hvilken stat, der er tale om?

Alle arbejder forskelligt og når man sidder og kigger på på et hackerangreb der kører hele døgnet i mange måneder og man kan se folk skifter "stil" og foretrukne værktøjer hver 8 timer, så kan man normalt konkludere at der er tale om en stat eller noget andet meget organiseret. Man kan også ofte observere hvor trafikken går hen for man har en ide om hvem der "ejer/bruger" serverne data dumpes på og på f.eks. RDP sessioner kan man se hvilke tegnsæt der foretrækkes.

Det er ikke fordi de ikke kan stave til landet, men man har ikke lyst til at fornærme en anden stat. Slet ikke en som normalt bliver pænt "pige"sur hvis man beder dem lade være med at lave industri spionage. Det kan have store konsekvenser at lægge sig ud med andre stater ved at beskylde dem direkte for noget, men jeg har kraftigt på fornemmelsen at man har en kraftig ide om hvilken det er.

Jeg værdsætter meget at rapporter som disse offentligøres, så man kan få et bedre indblik i det nuværende trusselsmiljø. Jeg ville dog gerne have kendt branchen som kunden er i.

  • more_vert
    • insert_linkKopier link
4
Ditlev Petersen
15. januar 2016 kl. 15:26

Hvad er så forskellen? Det ved jeg naturligvis godt, sådan omtrent da. Men en honey pot ville vel kun afsløre gernings-"objektet", hvis man var heldig? For vedkommende opererer vel ikke direkte fra en adresse, som man kan placere i hovedkvarteret for noget spændende? Og folk på det niveau falder vel ikke for billedfiler linket til i dokumenter og andre basale numre.

  • more_vert
    • insert_linkKopier link
3
Ulrik Suhr
15. januar 2016 kl. 14:11

Jeg er nogle gange forbløffet over der ikke laves en honey pot hvor man bagefter kan sige. medarbejder xx fra land yy i afdeling zz har prøvet at tilgå vores hemmelige filer... Er det ikke en åben mulighed for at fange data omkring angriberen hvis de kommer tilbage...

Måske gør de og vil ikke ud med det, men det virker lidt underligt at der ikke følges op med en honey pot.

  • more_vert
    • insert_linkKopier link
2
Christian Nobel
15. januar 2016 kl. 14:04

Endnu en af CFCuS' send-flere-penge udmeldinger.

Reelt set har de sikkert intet belæg for at postulere at det er en malware "der er udviklet med støtte fra en fremmed stat", for det kunne vel ligeså godt være udviklet af den afskyelige snemand fra Shan-gri-la.

Med ved at benytte metoden med at påstå, at hver gang der har været nogle banditter på færde har det været en (uhaha) "fremmed stat", så er deres håb vel at politikerne tror at de er åh-så-nødvendige for at afværge "terrortruslen", og der dermed kan pumpes endnu flere midler i dem fra krigsministeriets side.

  • more_vert
    • insert_linkKopier link
1
Erling Sjørlund
15. januar 2016 kl. 13:41

Hvordan kan man opdage, at det er en stat og ikke blot en skurk fra samme stat, der spionerer? Hvordan kan man opdage, at det er en stat uden at kunne finde ud af hvilken stat, der er tale om?

  • more_vert
    • insert_linkKopier link