CFCS: Udenrigsministeriets proxy-server forhindrede malware i at kontakte command and control-server

Center for Cybersikkerhed har offentliggjort den rapport, der ligger til grund for Jyllands Postens historie tidligere i dag om et cyberangreb mod Udenrigsministeriet.

Rapporten beskriver i relativ stor detaljegrad det, centeret karakteriserer som et APT-angreb. Altså advanced persistent threat, der er et udtryk, der bruges om mere avancerede cyberangreb, og som fra tid til anden tilskrives stater eller statsstøttede aktører.

Af rapporten fremgår det, at angrebet har fundet sted i form af 47 mails med farligt vedhæng sendt til ni forskellige mailadresser i Udenrigsministeriet i perioden december 2014 til juli 2015.

»Et særtræk ved kampagnen er, at angriberne har anvendt kompromitterede e-mail-konti som afsenderadresse med henblik på at få de ondsindede phishing-mails til at fremstå legitime i modtagerens øjne,« bemærker CFCS i rapporten.

Malwaren er på forskellig vis forsøgt camoufleret via MS Office-filer. Rapporten beskriver eksempelvis, hvordan et stort ikon med »click this page« i et Word-dokument ved klik bevirker, at en exe-fil bliver forsøgt eksekveret på systemet. Hvordan det teknisk hænger sammen, er ikke beskrevet i rapporten.

I forbindelse med angrebet har der været brugt forskellige typer office-filer og flere versioner af malwaren.

Mistanke 6. juli 2015

CFCS fik mistanke om, at en maskine tilhørende Udenrigsministeriet var inficeret 6. juli 2015. Mistanken opstod i forbindelse med en rutinemæssig gennemgang af det, CFCS kalder nye indicators of compromise (IOC). Eksempelvis kommunikation til kendte, ondsindede domæner.

Som bekendt har CFCS sensorer stående ved blandt andet ministerier, der indsamler trafikdata. Og det var data fra sådan en sensor, der kunne afsløre, at en maskine havde forsøgt at kommunikere med et ondsindet domæne.

CFCS skriver, at en del af de indkomne mails blev stoppet i Udenrigsministeriets mailscanner, men at nogen er sluppet igennem. Og af disse mails er nogen blevet fanget af den lokale eller den centrale antivirusløsning. Men altså ikke i tilfældet med den ene maskine, der ifølge CFCS blev kompromitteret.

Maskinen har været inficeret i minimum fire måneder, fremgår det af rapporten.

»Det kan ikke bestemmes præcist, hvornår inficeringen er fundet sted,« står der i rapporten.

Men her skulle Udenrigsministeriets proxy-server dog have forhindret, at malwaren, der blandt andet indeholder en keylogger, kunne sende data tilbage til den såkaldte Command and control-server (C2). Altså betegnelsen for den type backend-struktur, som bagmænd bruger til at administrere malware fra.

»I det omfang malwaren har forsøgt at kommunikere med sin C2, er trafikken blevet blokeret af UM’s proxyserver. Proxyservere kan konfigureres til at skanne al indgående-, eller som i dette tilfælde, udgående netværkstrafik og filer. Fordelen ved en proxyserver er, at den fungerer som et sidste forsvar mod udtrækning af følsomme data, hvis det lykkes angribere at undvige mailscannere samt lokale antivirusløsninger,« står der i rapporten

Det fremgår ikke af rapporten, hvilken type proxy-server der er tale om, eller hvordan den i det konkrete tilfælde har forhindret tilbagekaldet til C2.

»Det lykkedes angriberne at kompromittere en enkelt maskine, men UM’s sikkerhedsforanstaltninger forhindrede den installerede malware i at kommunikere med C2-serveren. Angriberne har derfor ikke haft adgang til maskinen, og der er ikke blevet kompromitteret data i forbindelse med angrebet,« understreger CFCS i rapporten, som kan læses i sin helhed her (PDF)