CFCS: Statsstøttet aktør har forsøgt at kompromittere Cisco-udstyr hos udvalgte myndigheder
En statsstøttet aktør har forsøgt at kompromittere netværksudstyr hos udvalgte danske myndigheder.
Sådan lyder vurderingen fra Center for Cybersikkerhed under Forsvarets Efterretningstjeneste. Det fremgår dels af en pressemeddelelse og dels af en uddybende såkaldt undersøgelsesrapport fra CFCS.(PDF)
»CFCS har konstateret, at en trusselsaktør i 2017 har forsøgt at indhente oplysninger fra internetvendt Cisco-netværksudstyr hos flere danske myndigheder. Flere af myndighederne har ansvarsområder, der kan have interesse for fremmede stater,« hedder det i undersøgelsesrapporten.
CFCS vurderer, at hændelserne er del af en global kampagne rettet mod netværksudstyr, men det fremgår ikke i rapporten, hvornår CFCS er nået til denne erkendelse.
Hvad tidsangivelser angår, så oplyses det i rapporten, at CFCS 18. april 2018 udsendte et offentligt varsel i forbindelse med hændelserne.
Og det fremgår også, at CFCS efterfølgende har »arbejdet videre og håndteret sagerne i samarbejde med relevante myndigheder.«
I maj 2019 har CFCS ifølge rapporten ved hjælp af ikke nærmere definerede »open source-værktøjer« fundet knap 400 netværksenheder i Danmark med den pågældende type sårbarhed. Og i juni 2019 har CFCS varslet »de leverandører af internetforbindelser (ISP’er), som administrerer IP-adresser, hvor der er set sårbare netværksenheder.«
Cisco-enheder
Konkret er der tale om, at en aktør - CFCS kommer ikke specifikt ind på, hvem det er - har haft kig på at udnytte en kendt sårbarhed i Cisco-enheder.
Det fremgår ikke direkte, hvilken type kendt sårbarhed der er tale om. Dog bliver der i CFCS-rapporten henvist til en advisory fra Cisco, der er en opsamling på sårbarheder i Smart Install-funktionen (SMI) i Cisco-udstyr.
I april 2018 bragte Version2 desuden en artikel om flere alvorlige sårbarheder relateret til netop SMI. Her blev sårbarheden benævnt CVE-2018-0171 relateret til Smart Install-tjenesten nævnt som den værste.
CFCS oplyser, at de myndigheder, aktøren er gået efter, alle har haft port 4786 i udstyret eksponeret mod internettet. Desuden fremgår det, at porten håndterer SMI, som bruges til opsætning og konfigurering af netværksudstyr fra internettet eller fra et internt netværk.
»Aktøren har udnyttet en kendt sårbarhed i myndighedernes Cisco-netværksudstyr til at indhente data fra enhederne. Dataene indeholder login-oplysninger til enheden i krypteret form - en såkaldt hash - samt information om enhederne og organisationernes netværksopsætning, som kan være relevant viden for fjendtlige aktører,« hedder det i rapporten.
Det står i rapporten ikke sole klart, hvorvidt der faktisk er danske myndigheder, der er blevet kompromitteret af det, der formodes at være en statsstøttet aktør, eller om der kun har været tale om forsøg på kompromittering. Log-kvaliteten lader til at spille en rolle i forhold til muligheden for at vurdere, hvor galt det er gået.
»Der er tegn på, at aktøren i enkelte tilfælde har kunnet udtrække hashes fra netværksenhederne. I de hændelser er der dog ikke tegn på, at aktøren efterfølgende har benyttet login-oplysningerne til at få adgang til netværkene. Kvaliteten af tilgængelige logs, der kan medvirke til at afdække hændelserne, er dog begrænset,« lyder det i rapporten.
Forsøg på kompromittering
Konsekvent taler rapporten dog om 'forsøg på kompromittering' og ikke faktisk kompromittering. Men som bekendt er fraværet af bevis ikke bevis på fravær, hvilket henvisningen til log-kvaliteten også minder om.
»CFCS vurderer, at der i de omtalte hændelser rettet mod danske myndigheder er tale om forsøg på cyberspionage udført af en statsstøttet hackergruppe. Hackergruppen kan have forsøgt at kompromittere enhederne hos danske myndigheder for at understøtte deres cyberspionage på flere forskellige måder,« hedder det videre i rapporten, som fortsætter:
»Dels kan hackerne have haft til hensigt at kompromittere udstyret hos udvalgte myndigheder for at overvåge eller ændre i trafik, der går ind og ud af myndighedens netværk. Dels kan hackerne have haft en hensigt om at bruge det kompromitterede udstyr til at komme dybere ind i myndighedens netværk for at stjæle følsomme informationer.«
Anbefalinger
I forbindelse med rapporten anbefaler CFCS flere tiltag for at imødegå et angreb.
»CFCS anbefaler i forhold til den beskrevne trussel at sikre, at Cisco Smart Install (SMI) er deaktiveret på internetvendt Cisco-udstyr, medmindre udstyret administreres af organisationens leverandør af internetforbindelser (ISP’en),« hedder det.
Derudover nævner rapporten en flere konkrete tiltag, der kan overvejes. Blandt andet foreslås en sårbarheds-scanning af perimeter-udstyr, samt en opfordring om at sikre, at al intervendt udstyr er opdateret med seneste firmware.
Læs flere konkrete anbefaler i rapporten, der kan findes her (PDF).
Version2 har spurgt CFCS, om organisationen har kendskab til, om der er danske myndigheder, der er blevet kompromitteret via angrebet. Vi har desuden spurgt til, hvornår CFCS opdagede angrebet mod myndighederne. Vi påtænker at vende tilbage, såfremt der er nævneværdigt nyt at fortælle desangående.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
