Oprindeligt lød det fra DTU til offentligheden, at de 'vurderede intet var kompromitteret og at der ikke var sket tab af data'. Nu erkender DTU, at man i skrivende stund ikke kan udelukke, at angrebet har ramt andre systemer, samt at angriberne har haft adgang til flere brugeres mailbokse.
»Vi kan ikke garantere, at der ikke er flere kompromitterede systemer, før der er foretaget en fuldstændig gennemgang af DTU’s IT miljø,« skriver it-chef hos DTU Steen Pedersen, der ikke ønsker at stille op til interview, til Version2.
Han skriver også, at 'Det for nærværende ikke er sandsynliggjort, at de pågældende personers navn/mailbokse er blevet misbrugt,' selvom angriberne har skaffet sig fuld adgang til dem og har kunnet logge ind med DTU-brugernes egne credentials.
I forhold til de skiftende forklaringer fortæller Steen Pedersen, at man løbende er blevet klogere:
»Der er tale om et angreb, som vi fortsat arbejder med at analysere. Derfor er både det, vi skriver til Datatilsynet, og det, vi udtaler, selvfølgelig udtryk for vores aktuelle viden på det pågældende tidspunkt,« skriver Steen Pedersen til Version2.
Den første alarm
Den 11 august gik den første alarm i DTU's it-systemer - universitets antivirus havde forhindret en bruger i at køre en kommando. Alligevel hører Datatilsynet først om angrebet syv dage senere.
»Der var umiddelbart ingen grund til at koble en antivirusalarm til et brud på persondatasikkerheden. Det var først, da DTU forfulgte alarmen ”bagud” gennem systemerne, at det blev klarlagt, at der var et muligt brud på persondatasikkerheden,« skriver Steen Pedersen til Version2.
Universitetet skriver at 'alarmen førte til at DTU iværksatte en nøjere gennemgang af logfiler og anden information'. Den 15. august bliver det klart for DTU, at der er et angreb i gang, og Datatilsynet informeres.
Ingen tegn på brug af adgang
Angriberne, som kom ind gennem et kompromitteret studentersystem fik adgang til 'et mindre antal brugere' på DTU's mailkonti. Når angriberne er gået specifikt efter mailkonti skyldes det særligt én ting:
»Normalt er man som angriber interesseret i at bruge mailserveren og adressebogen til at distribuere malware internt. Der er næsten ikke nogen bedre måde at komme ud i organisationen,« lyder det fra it-sikkerhedsmanden, David Theil-Clayton, der før har ledet incident response-teams og har skrevet undervisningsmateriale til et forløb om netop incident response på Aarhus Business Academy.
Der er ifølge DTU ingen tegn på, at indholdet af mailboksene har været tilgået.
»Hackerne har brugt en ”systemteknisk adgang”, der primært giver anledning til den information, som en mailklient vil benytte til at opsætte adgangen til mailboksen. Vi vurderer derfor ikke, at man på den baggrund kan tale om tab af data på DTU-niveau,« skriver Steen Pedersen.
Et målrettet angreb
DTU vurderer også, at der var tale om et ganske målrettet angreb.
Version2: I skriver til Datatilsynet, at der er tale om 'ondsindede handlinger (cyberangreb, fysisk angreb, DDos...)'. Samtidig siger I til offentligheden, at der er tale om et simpelt angreb. Står I ved, at der er tale om et simpelt angreb?
»Angrebet var ”simpelt” i den forstand, at man med få men effektive midler er gået meget målrettet til værks. Vi har ikke lagt skjul på, at der samtidig var tale om et alvorligt angreb,« skriver Steen Pedersen.
Version2: I nævner også, at der er benyttet 'specialsoftware'. Hvad er det en betegnelse for?
»Vi mener der er anvendt programmer designet til målrettet at omgå sikringsforanstaltninger - software der anvendes af personer med tvivlsomme hensigter.«
Version2: Angrebet har stået på i mindst 4 dage. Hvordan kan I garantere, at angriberne ikke har manipuleret de logs, i sandsynligvis baserer ovenstående besvarelser på?
»Kompromittering af en brugerkonto og dermed adgang til en mailboks giver ikke rettigheder til at manipulere logs,« lyder det fra Steen Pedersen der umiddelbart ikke vurderer, angriberne har kunnet ændre logs i DTU's systemer.
Version2: Tilbage i 2019 blev det påpeget af Rigsrevisionen, at eksterne systemer udgjorde en sikkerhedstrussel mod universitetet. Nu har angribere udnyttet et 'studentersystem' til at kompromittere jer. Hvad tænker I om det?
»Kravet om at være åbne mod samfundet, og at kunne tilbyde løsninger, så studerende og medarbejdere kan studere og arbejde uden at være på campus, er en nødvendighed for et universitet. Angrebet kunne derfor lige så vel være sket fra en medarbejders konto.«
Version2: I siger, at der ikke er tabt data. Men til Datatilsynet lyder det, at en 'mindre antal brugere' har fået deres mailbokse kompromitteret med deres credentials - og at det har skabt adgang til deres mailboks. Hvordan kan I garantere, der ikke er tabt data nu, hvor der har været adgang til mailbokse - måske endda flere dage?
»Vi har ikke information, der peger på at indholdet af mailbokse har været tilgået.«
Redigeret 9.9.22 12:12: Version2 skrev tidligere, at DTU ikke svarede på det sidste spørgsmål. Det var ikke helt korrekt, og det delvise svar er nu anført umiddelbart nedenunder spørgsmålet.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
