CFCS: Udenrigsministeriets proxy-server forhindrede malware i at kontakte command and control-server

Efter at have omgået både mail-scanner og anti-virus, var det en proxy-server ved udenrigsministeriet, som forhindrede malware i at ringe hjem til bagmændene.
I en periode fra december 2014 til juli 2015 er der blevet sendt en stribe mails med skadeligt indhold til Udenrigsministeriet. (Kilde: Phishing uden fangst, CFCS).

Center for Cybersikkerhed har offentliggjort den rapport, der ligger til grund for Jyllands Postens historie tidligere i dag om et cyberangreb mod Udenrigsministeriet.

Rapporten beskriver i relativ stor detaljegrad det, centeret karakteriserer som et APT-angreb. Altså advanced persistent threat, der er et udtryk, der bruges om mere avancerede cyberangreb, og som fra tid til anden tilskrives stater eller statsstøttede aktører.

Angrebsforsøget havde blandt andet form af en Word-fil med et ikon. Når brugeren klikker på ikonet bliver en exe-fil forsøgt eksekveret. (Kilde: Phishing uden fangst, CFCS).

Af rapporten fremgår det, at angrebet har fundet sted i form af 47 mails med farligt vedhæng sendt til ni forskellige mailadresser i Udenrigsministeriet i perioden december 2014 til juli 2015.

»Et særtræk ved kampagnen er, at angriberne har anvendt kompromitterede e-mail-konti som afsenderadresse med henblik på at få de ondsindede phishing-mails til at fremstå legitime i modtagerens øjne,« bemærker CFCS i rapporten.

Malwaren er på forskellig vis forsøgt camoufleret via MS Office-filer. Rapporten beskriver eksempelvis, hvordan et stort ikon med »click this page« i et Word-dokument ved klik bevirker, at en exe-fil bliver forsøgt eksekveret på systemet. Hvordan det teknisk hænger sammen, er ikke beskrevet i rapporten.

I forbindelse med angrebet har der været brugt forskellige typer office-filer og flere versioner af malwaren.

Mistanke 6. juli 2015

CFCS fik mistanke om, at en maskine tilhørende Udenrigsministeriet var inficeret 6. juli 2015. Mistanken opstod i forbindelse med en rutinemæssig gennemgang af det, CFCS kalder nye indicators of compromise (IOC). Eksempelvis kommunikation til kendte, ondsindede domæner.

Som bekendt har CFCS sensorer stående ved blandt andet ministerier, der indsamler trafikdata. Og det var data fra sådan en sensor, der kunne afsløre, at en maskine havde forsøgt at kommunikere med et ondsindet domæne.

CFCS skriver, at en del af de indkomne mails blev stoppet i Udenrigsministeriets mailscanner, men at nogen er sluppet igennem. Og af disse mails er nogen blevet fanget af den lokale eller den centrale antivirusløsning. Men altså ikke i tilfældet med den ene maskine, der ifølge CFCS blev kompromitteret.

Maskinen har været inficeret i minimum fire måneder, fremgår det af rapporten.

»Det kan ikke bestemmes præcist, hvornår inficeringen er fundet sted,« står der i rapporten.

Men her skulle Udenrigsministeriets proxy-server dog have forhindret, at malwaren, der blandt andet indeholder en keylogger, kunne sende data tilbage til den såkaldte Command and control-server (C2). Altså betegnelsen for den type backend-struktur, som bagmænd bruger til at administrere malware fra.

»I det omfang malwaren har forsøgt at kommunikere med sin C2, er trafikken blevet blokeret af UM’s proxyserver. Proxyservere kan konfigureres til at skanne al indgående-, eller som i dette tilfælde, udgående netværkstrafik og filer. Fordelen ved en proxyserver er, at den fungerer som et sidste forsvar mod udtrækning af følsomme data, hvis det lykkes angribere at undvige mailscannere samt lokale antivirusløsninger,« står der i rapporten

Det fremgår ikke af rapporten, hvilken type proxy-server der er tale om, eller hvordan den i det konkrete tilfælde har forhindret tilbagekaldet til C2.

»Det lykkedes angriberne at kompromittere en enkelt maskine, men UM’s sikkerhedsforanstaltninger forhindrede den installerede malware i at kommunikere med C2-serveren. Angriberne har derfor ikke haft adgang til maskinen, og der er ikke blevet kompromitteret data i forbindelse med angrebet,« understreger CFCS i rapporten, som kan læses i sin helhed her (PDF)

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (7)

Claus Juul

Hvis jeg var hacker, ville jeg have indbygget en backup plan, fx andre servere i andre lande og alternative måder fx mail via intern mailserver eller ftp

Peter Kruse

1) Hvis den pågældende proxy reelt forhindrede kommunikationen fra den kompromitterede maskine, hvorfor tog det så CFCS, 4 måneder at spotte trafikken med deres budgetter?

2) Med hvilke tilladelser blev koden kørt med. En klient med admin og en proxt beskyttelse er ikke meget værd ...

3) Hvorfor er der samples på pågældende kode, som der henvises til i rapporten, offentligt tilgængelige og helt tilbage til Maj måned?

4) Er det praksis at incident og forensic hændelser, af kompromitterede maskiner under beskyttelse af CFCS, skal tage 1 måned? I givet fald, så @CFCS: ring for Guds skyld! Jeg rådgiver gerne, men ikke gratis, da jeg allerede bidrager til at betale jeres løn. Men det er ikke godt nok!

Christian Nobel

Hvis det er det bedste CFCuS kan diske op med, så er jeg på ingen måde imponeret (ud over at de er i stand til at dræne samfundet for så mange penge).

Gordon Flemming

Der er dog en værre gang trutten i egen trompet, jeg kan opsummere artiklen og rapporten til:

"Der blev sendt 47 phising mails til udenrigsministeriet, de blev stoppet af McAfee, undtagen 1, som ikke gjorde nogen skade."

Pyha, det var godt at CFCS fik afværget den katastrofe. Og hvorfor er der ikke nogen anbefaling i rapporten om at skifte 90´er McAfee ud med en Next-Generation Firewall (NGFW)?

John Foley

Enig i dine bemærkninger og vurderinger Peter Kruse. Og især beskæmmende, at CFCS med de stærkt udvide beføjelser, mega-budgetter og ekstra mandskab, er så dårlige til at spotte trafikken m.m. Ufatteligt mange penge, mandskab og ressourcer gør det åbenbart ikke alene.
Tilsyneladende er CFCS hverken kompetent eller tilstrækkeligt uddannet til at tage vare på danskernes sikkerhed i cyberspace. Selv de mange myndigheder m.fl. , der har fået særligt udstyr og sensorer installeret til at opdage og forhindre angreb, bliver ramt uden detection i alt for lang tid.

Claus Juul

Flere sige at :
Havde jeg 40-60 0-Day sårbarheder, fordelt over flere platforme
Udvalgt mit offer, en af jeres kunder, hvor i har været medvirkende til at sikre kunden.
Fundet frem til hvilket platforme jeres kunder bruger.

Så vil jeres kunde ikke kunne kompromitteres eller i vil opdage det lige med det samme.

Det lyder ikke sandsynligt, vel?
Og jeg er ligeglad hvor mange penge i eller jeres kunde havde brugt på at sikre kunden.

Alle kan kompromitteres (incl tappe data), det er bare et spørgsmål om tid.

Jens Jönsson

Maskinen har været inficeret i minimum fire måneder, fremgår det af rapporten.

Scanner man slet ikke maskiner jævnligt med flere forskellige værktøjer ?

Hvad der var ukendt i går, kan sagtens være kendt i dag.....

Jeg har flere gange fundet maskiner der var inficeret, netop ved jævnligt at scanne dem med andre produkter end dem der var installeret som standard beskyttelse. Netop fordi jeg ikke blindt stoler på et produkt.
En proces der nemt kan automatiseres og i princippet ikke er anderledes end at maskiner der ikke er opdateret, ikke får adgang til netværket.

Log ind eller opret en konto for at skrive kommentarer