CFCS: Statsstøttet aktør bag angreb mod danske hostingfirmaer med offentlige kunder
I en nyudgivet rapport fra undersøgelsesenheden hos Center for Cybersikkerhed (CFCS) (PDF) bliver to angreb mod danske hostingfirmaer beskrevet på et overordnet niveau. Angrebene har fundet sted i perioden 2015-2016, hvor det, der beskrives som mellemstore danske hostingfirmaer, er blevet kompromitterede.
De to firmaer bliver benævnt hostingfirma 1 og 2 i rapporten, hvor det også fremgår, at unavngivne offentlige myndigheder er blandt de to virksomheders kunder.
»CFCS har set tegn på, at kompromitteringen af hostingfirma 1 er sket via en hjemmeside hostet på en af hostingfirmaets servere, tilhørende en af hostingfirmaets kunder. Aktøren har sandsynligvis udnyttet en sårbarhed i hjemmesiden til at installere en bagdør direkte på en af hostingfirmaets servere, hvor hjemmesiden ligger. Ved hjælp af bagdøren har aktøren fået uautoriseret adgang til at installere malware på serveren. CFCS antager, at virksomhed 2 muligvis er blevet kompromitteret på en lignende facon, men har ikke oplysninger til rådighed, der kan underbygge dette,« står der om angrebsteknikken i rapporten.
Desuden oplyses det, at aktøren har brugt to forskellige typer malware i sit angreb mod de to hostingfirmaer.
Chef for Center for Cybersikkerhed Thomas Lund Sørensen oplyser til Version2, at det på grund af manglende logning er uvist, hvorvidt det er en eller flere aktører, der står bag de to angreb.
»Vi har slet slet ikke materiale nok til at sige, om det var en eller flere aktører,« siger han.
Thomas Lund Sørensen påpeger, at en del af pointen med rapporten er at understrege vigtigheden af at have styr på logning.
»Hvis man ikke sørger for at have styr på sin it-sikkerhed, herunder også at logge de ting, der sker på systemet, så er man lidt dårligt stillet, når man så skal undersøge, hvad der egentligt er sket af skade, og hvem der i givet fald står bag.«
To typer malware
Hvad angrebene mod de to danske hostingfirmaer angår, så kan CFCS fortælle, at der har været anvendt to forskellige typer malware.
»Den ene type malware er et såkaldt remote access tool (RAT), der bl.a. giver operatøren adgang til at styre den kompromitterede maskine og få adgang til det indhold, der måtte være på den. Malwaren kan også bruges til at lave rekognoscering i det lokale netværk, hvis aktøren f.eks. ønsker at kompromittere endnu flere maskiner hos den ramte part,« fremgår det af rapporten, som fortsætter:
»Den anden type malware er brugt som keylogger, dvs. til at registrere tastetryk på den kompromitterede maskine. Det kan f.eks. være indtastede brugernavne og kodeord til administrator-, og email-konti. Når malwaren har registreret informationen, sendes den tilbage til aktøren via internettet.«
Begge typer malware har ifølge CFCS-rapporten været designet til at være svære at finde, når de kører på en kompromitteret maskine. Desuden er funktionaliteten af den ondsindede kode forsøgt skjult, skulle malwaren blive fundet alligevel.
»På baggrund af de metoder og den malware, der er anvendt i angrebet, vurderer CFCS, at angrebet er udført af en statslig eller statsstøttet aktør. Ud over den APT-relaterede malware er der på de samme systemer også fundet flere typer malware, der bruges til almindelig berigelseskriminalitet eller andet misbrug.«
Præcist hvilke ulykker malwaren har lavet i de to tilfælde er uklart som følge af mangelfuld logning.
»Keylogger-malwaren har i perioden været aktiv på maskiner hos begge hostingfirmaer og har registreret, hvad der er blevet indtastet på maskinerne. Der er også tegn på, at aktøren bag angrebet har kommunikeret med- og muligvis sendt kommandoer til RAT-malwaren på de samme maskiner,« står der i rapporten, som fortsætter:
»CFCS’ analyse af de kompromitterede computere viser, at aktøren aktivt har forsøgt at skjule sin operation ved at forsøge at slette sine spor. Der er også fundet tegn på, at aktøren har overvåget de kompromitterede maskiner for at se, om angrebet blev opdaget.«
Muligt motiv
Herefter kommer CFCS-rapporten ind på, hvad det mulige motiv bag angrebene kan have været.
»Det er muligt, at aktøren har udnyttet de kompromitterede maskiner eller informationer fra dem til at sprede sig i det lokale netværk eller til virksomhedens kunder. Selvom der ikke er tilstrækkelige informationer til at udpege aktørens konkrete mål, så kan sammenlignelige angrebskampagner vise, hvad aktøren sandsynligvis har været ude efter.«
I den forbindelse henvises der i rapporten til en anden rapport 'King of Phantom – genvej til hovedmålet.'
Rapporten har tidligere været omtalt på Version2 og beskriver et angreb, der involverer to anonymiserede firmaer og fandt sted i 2014-2015. Den ene virksomhed er et hostingselskab, og den anden er kunde hos dette selskab. CFCS vurderede også dengang, at dette angreb er gennemført af en statsstøttet aktør.
Artiklen er opdateret med en kommentarer fra chef for Center for Cybersikkerhed Thomas Lund Sørensen.
Annonce:
Kom gratis med til Danmarks største IT-sikkerhedsevent!
Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes i Danmark den 3. og 4. maj 2017. 60 udstillere, 5 konferencesale og mere end 80 seminarer og caseoplæg fra ind- og udland. Læs mere her.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
