CFCS: Fremmed stat brugte kattekillinge-malware til at spionere mod danske virksomheder

En dansk hostingvirksomhed var mål for et langvarigt og målrettet angreb, som ifølge Center for Cybersikkerhed er udført af en fremmed stat.

En ukendt fremmed stat ser ud til at have stået bag et langvarigt angreb mod mindst én dansk virksomhed og flere udenlandske virksomheder. Det oplyser Center for Cybersikkerhed i en ny rapport om hændelsen.

Angrebet fandt sted mod en dansk hostingvirksomhed og derfra mod én af virksomhedens kunder, som ligeledes var en dansk virksomhed. I mere end ét år havde angriberne en bagdør ind i systemerne.

Ifølge Center for Cybersikkerhed er det ikke muligt at sige, hvilke oplysninger angriberne eventuelt har fået fat på, men det var ifølge den efterfølgende undersøgelse muligt for angriberne at navigere rundt på netværket i mere end et år og tilgå alle kundens data.

Den pågældende virksomhed blev først opmærksom på angrebet, da den modtog en henvendelse fra Center for Cybersikkerhed.

Der var tale om et angreb med malware i kategorien Advanced Persistent Threat, som dækker over software, der er designet til at inficere systemer i længere tid uden at blive opdaget. Det er en kategori af malware, som anvendes af efterretningstjenester til industrispionage.

Den primære komponent i malwaren lå skjult i en JPEG-billedfil, der forestiller tre kattekillinger.

Center for Cybersikkerhed vurderer således også, at der er tale om malware, der er udviklet med støtte fra en fremmed stat. Ofte anvendes hidtil ukendte sikkerhedshuller i software sammen med målrettede angreb mod personer i de pågældende virksomheder til at inficere systemet.

Et problem i den konkrete efterforskning var, at angrebet havde stået på så længe, at logfilerne for systemerne for længst var slettet af it-afdelingen, så det ikke var muligt at fastslå, hvordan virksomheden i første omgang var blevet kompromitteret. Der var dog sandsynligvis tale om et angreb via e-mail, såkaldt spear-phishing, med en vedhæftet fil eller et link.

Malwaren, der blev benyttet, var af PlugX-typen, som tidligere er set ved denne type angreb ifølge Center for Cybersikkerhed. Et særligt kendetegn ved den konkrete variant, som blev fundet, var, at den skjulte sin primære komponent i en valid JPEG-billedfil, som forestillede tre kattekillinger.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (6)

Erling Sjørlund

Hvordan kan man opdage, at det er en stat og ikke blot en skurk fra samme stat, der spionerer?
Hvordan kan man opdage, at det er en stat uden at kunne finde ud af hvilken stat, der er tale om?

Christian Nobel

Endnu en af CFCuS' send-flere-penge udmeldinger.

Reelt set har de sikkert intet belæg for at postulere at det er en malware "der er udviklet med støtte fra en fremmed stat", for det kunne vel ligeså godt være udviklet af den afskyelige snemand fra Shan-gri-la.

Med ved at benytte metoden med at påstå, at hver gang der har været nogle banditter på færde har det været en (uhaha) "fremmed stat", så er deres håb vel at politikerne tror at de er åh-så-nødvendige for at afværge "terrortruslen", og der dermed kan pumpes endnu flere midler i dem fra krigsministeriets side.

Ulrik Suhr

Jeg er nogle gange forbløffet over der ikke laves en honey pot hvor man bagefter kan sige.
medarbejder xx fra land yy i afdeling zz har prøvet at tilgå vores hemmelige filer...
Er det ikke en åben mulighed for at fange data omkring angriberen hvis de kommer tilbage...

Måske gør de og vil ikke ud med det, men det virker lidt underligt at der ikke følges op med en honey pot.

Ditlev Petersen

Hvad er så forskellen?
Det ved jeg naturligvis godt, sådan omtrent da.
Men en honey pot ville vel kun afsløre gernings-"objektet", hvis man var heldig? For vedkommende opererer vel ikke direkte fra en adresse, som man kan placere i hovedkvarteret for noget spændende? Og folk på det niveau falder vel ikke for billedfiler linket til i dokumenter og andre basale numre.

Thomas Hedberg

Hvordan kan man opdage, at det er en stat og ikke blot en skurk fra samme stat, der spionerer?
Hvordan kan man opdage, at det er en stat uden at kunne finde ud af hvilken stat, der er tale om?

Alle arbejder forskelligt og når man sidder og kigger på på et hackerangreb der kører hele døgnet i mange måneder og man kan se folk skifter "stil" og foretrukne værktøjer hver 8 timer, så kan man normalt konkludere at der er tale om en stat eller noget andet meget organiseret. Man kan også ofte observere hvor trafikken går hen for man har en ide om hvem der "ejer/bruger" serverne data dumpes på og på f.eks. RDP sessioner kan man se hvilke tegnsæt der foretrækkes.

Det er ikke fordi de ikke kan stave til landet, men man har ikke lyst til at fornærme en anden stat. Slet ikke en som normalt bliver pænt "pige"sur hvis man beder dem lade være med at lave industri spionage. Det kan have store konsekvenser at lægge sig ud med andre stater ved at beskylde dem direkte for noget, men jeg har kraftigt på fornemmelsen at man har en kraftig ide om hvilken det er.

Jeg værdsætter meget at rapporter som disse offentligøres, så man kan få et bedre indblik i det nuværende trusselsmiljø. Jeg ville dog gerne have kendt branchen som kunden er i.

Knud Jensen

Synes det er lidt sjovt med en artikel som advarer om at åbne indhold hvor der er et billede af 3 kattekillinger. Og så medfølger der et sådan billede i artiklen :)

Log ind eller opret en konto for at skrive kommentarer