CFCS: Statsstøttet aktør bag angreb mod danske hostingfirmaer med offentlige kunder

Der har været flere angreb mod danske hostingfirmaer, som har offentlige kunder, fortæller Center for Cybersikkerhed i ny rapport.

I en nyudgivet rapport fra undersøgelsesenheden hos Center for Cybersikkerhed (CFCS) (PDF) bliver to angreb mod danske hostingfirmaer beskrevet på et overordnet niveau. Angrebene har fundet sted i perioden 2015-2016, hvor det, der beskrives som mellemstore danske hostingfirmaer, er blevet kompromitterede.

De to firmaer bliver benævnt hostingfirma 1 og 2 i rapporten, hvor det også fremgår, at unavngivne offentlige myndigheder er blandt de to virksomheders kunder.

»CFCS har set tegn på, at kompromitteringen af hostingfirma 1 er sket via en hjemmeside hostet på en af hostingfirmaets servere, tilhørende en af hostingfirmaets kunder. Aktøren har sandsynligvis udnyttet en sårbarhed i hjemmesiden til at installere en bagdør direkte på en af hostingfirmaets servere, hvor hjemmesiden ligger. Ved hjælp af bagdøren har aktøren fået uautoriseret adgang til at installere malware på serveren. CFCS antager, at virksomhed 2 muligvis er blevet kompromitteret på en lignende facon, men har ikke oplysninger til rådighed, der kan underbygge dette,« står der om angrebsteknikken i rapporten.

Desuden oplyses det, at aktøren har brugt to forskellige typer malware i sit angreb mod de to hostingfirmaer.

Chef for Center for Cybersikkerhed Thomas Lund Sørensen oplyser til Version2, at det på grund af manglende logning er uvist, hvorvidt det er en eller flere aktører, der står bag de to angreb.

»Vi har slet slet ikke materiale nok til at sige, om det var en eller flere aktører,« siger han.

Thomas Lund Sørensen påpeger, at en del af pointen med rapporten er at understrege vigtigheden af at have styr på logning.

»Hvis man ikke sørger for at have styr på sin it-sikkerhed, herunder også at logge de ting, der sker på systemet, så er man lidt dårligt stillet, når man så skal undersøge, hvad der egentligt er sket af skade, og hvem der i givet fald står bag.«

Læs også: Center for cybersikkerhed: DDoS udgør alvorligste trussel mod teletjenester

To typer malware

Hvad angrebene mod de to danske hostingfirmaer angår, så kan CFCS fortælle, at der har været anvendt to forskellige typer malware.

»Den ene type malware er et såkaldt remote access tool (RAT), der bl.a. giver operatøren adgang til at styre den kompromitterede maskine og få adgang til det indhold, der måtte være på den. Malwaren kan også bruges til at lave rekognoscering i det lokale netværk, hvis aktøren f.eks. ønsker at kompromittere endnu flere maskiner hos den ramte part,« fremgår det af rapporten, som fortsætter:

»Den anden type malware er brugt som keylogger, dvs. til at registrere tastetryk på den kompromitterede maskine. Det kan f.eks. være indtastede brugernavne og kodeord til administrator-, og email-konti. Når malwaren har registreret informationen, sendes den tilbage til aktøren via internettet.«

Begge typer malware har ifølge CFCS-rapporten været designet til at være svære at finde, når de kører på en kompromitteret maskine. Desuden er funktionaliteten af den ondsindede kode forsøgt skjult, skulle malwaren blive fundet alligevel.

»På baggrund af de metoder og den malware, der er anvendt i angrebet, vurderer CFCS, at angrebet er udført af en statslig eller statsstøttet aktør. Ud over den APT-relaterede malware er der på de samme systemer også fundet flere typer malware, der bruges til almindelig berigelseskriminalitet eller andet misbrug.«

Præcist hvilke ulykker malwaren har lavet i de to tilfælde er uklart som følge af mangelfuld logning.

»Keylogger-malwaren har i perioden været aktiv på maskiner hos begge hostingfirmaer og har registreret, hvad der er blevet indtastet på maskinerne. Der er også tegn på, at aktøren bag angrebet har kommunikeret med- og muligvis sendt kommandoer til RAT-malwaren på de samme maskiner,« står der i rapporten, som fortsætter:

»CFCS’ analyse af de kompromitterede computere viser, at aktøren aktivt har forsøgt at skjule sin operation ved at forsøge at slette sine spor. Der er også fundet tegn på, at aktøren har overvåget de kompromitterede maskiner for at se, om angrebet blev opdaget.«

Muligt motiv

Herefter kommer CFCS-rapporten ind på, hvad det mulige motiv bag angrebene kan have været.

»Det er muligt, at aktøren har udnyttet de kompromitterede maskiner eller informationer fra dem til at sprede sig i det lokale netværk eller til virksomhedens kunder. Selvom der ikke er tilstrækkelige informationer til at udpege aktørens konkrete mål, så kan sammenlignelige angrebskampagner vise, hvad aktøren sandsynligvis har været ude efter.«

I den forbindelse henvises der i rapporten til en anden rapport 'King of Phantom – genvej til hovedmålet.'

Rapporten har tidligere været omtalt på Version2 og beskriver et angreb, der involverer to anonymiserede firmaer og fandt sted i 2014-2015. Den ene virksomhed er et hostingselskab, og den anden er kunde hos dette selskab. CFCS vurderede også dengang, at dette angreb er gennemført af en statsstøttet aktør.

Artiklen er opdateret med en kommentarer fra chef for Center for Cybersikkerhed Thomas Lund Sørensen.

Annonce:
Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes i Danmark den 3. og 4. maj 2017. 60 udstillere, 5 konferencesale og mere end 80 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Gert G. Larsen

Hvilke to firmaer er det? Jeg har oplevet nogle ting hos et af mine større hostingfirmaer, og jeg vil gerne vide om der er sammenhæng.

Der er intet farligt i at fortælle at man har været ramt af angreb i dag. Tværtimod.

  • 0
  • 0
#3 Peter Jensen

»Hvis man ikke sørger for at have styr på sin it-sikkerhed, herunder også at logge de ting, der sker på systemet, så er man lidt dårligt stillet, når man så skal undersøge, hvad der egentligt er sket af skade, og hvem der i givet fald står bag.«

Logfilerne er da det første en professionel indtrænger vil fikse.

  • 1
  • 3
#4 Peter Hansen

Logfilerne er da det første en professionel indtrænger vil fikse.

Det er sjovt som denne hersens husmands- / godtfolkslogik om, at det ikke nytter noget at logge, fordi loggen er det første, der vil blive slået fra ved indtrængen, gennemsyrer opfattelsen af logning på version2.

Det er tilsyneladende som regel folk uden kendskab til moderne sikkerhedspraksis, der fremsætter udsagnet, fordi det nok giver mening i deres verden. Faktum er imidlertid, at det gældende niveau for logning er, at det integreres i den daglige driftsovervågning, hvilket betyder, at på forhånd definerede hændelser fremhæves og bringes til drifts-/sikkerhedsovervågnings opmærksomhed via notifications, så snart de indtræder, så de kan træffe de fornødne forholdsregler til at efterforske hændelsen og evt. udføre en kontrolleret nedlukning.

Det er sjovt, som der er så mange it-høkere herinde, der tror, at fordi deres egne systemer har en passiv log, som skal inspiceres manuelt, så er alle professionelle driftsinstallationer indrettet på same måde.

  • 3
  • 1
Log ind eller Opret konto for at kommentere