DTU undersøger fortsat angreb: Kan ikke udelukke flere kompromitterede systemer

9. september kl. 10:431
DTU undersøger fortsat angreb: Kan ikke udelukke flere kompromitterede systemer
Illustration: 13FTStudio/Bigstock.
Angrebet var målrettet, vurderer DTU
Artiklen er ældre end 30 dage

Oprindeligt lød det fra DTU til offentligheden, at de 'vurderede intet var kompromitteret og at der ikke var sket tab af data'. Nu erkender DTU, at man i skrivende stund ikke kan udelukke, at angrebet har ramt andre systemer, samt at angriberne har haft adgang til flere brugeres mailbokse. 

»Vi kan ikke garantere, at der ikke er flere kompromitterede systemer, før der er foretaget en fuldstændig gennemgang af DTU’s IT miljø,« skriver it-chef hos DTU Steen Pedersen, der ikke ønsker at stille op til interview, til Version2. 

Han skriver også, at 'Det for nærværende ikke er sandsynliggjort, at de pågældende personers navn/mailbokse er blevet misbrugt,' selvom angriberne har skaffet sig fuld adgang til dem og har kunnet logge ind med DTU-brugernes egne credentials. 

I forhold til de skiftende forklaringer fortæller Steen Pedersen, at man løbende er blevet klogere: 

Artiklen fortsætter efter annoncen

»Der er tale om et angreb, som vi fortsat arbejder med at analysere. Derfor er både det, vi skriver til Datatilsynet, og det, vi udtaler, selvfølgelig udtryk for vores aktuelle viden på det pågældende tidspunkt,« skriver Steen Pedersen til Version2. 

Den første alarm

Den 11 august gik den første alarm i DTU's it-systemer - universitets antivirus havde forhindret en bruger i at køre en kommando. Alligevel hører Datatilsynet først om angrebet syv dage senere.

»Der var umiddelbart ingen grund til at koble en antivirusalarm til et brud på persondatasikkerheden. Det var først, da DTU forfulgte alarmen ”bagud” gennem systemerne, at det blev klarlagt, at der var et muligt brud på persondatasikkerheden,« skriver Steen Pedersen til Version2. 

Universitetet skriver at 'alarmen førte til at DTU iværksatte en nøjere gennemgang af logfiler og anden information'. Den 15. august bliver det klart for DTU, at der er et angreb i gang, og Datatilsynet informeres. 

Ingen tegn på brug af adgang

Angriberne, som kom ind gennem et kompromitteret studentersystem fik adgang til 'et mindre antal brugere' på DTU's mailkonti. Når angriberne er gået specifikt efter mailkonti skyldes det særligt én ting:

»Normalt er man som angriber interesseret i at bruge mailserveren og adressebogen til at distribuere malware internt. Der er næsten ikke nogen bedre måde at komme ud i organisationen,« lyder det fra it-sikkerhedsmanden, David Theil-Clayton, der før har ledet incident response-teams og har skrevet undervisningsmateriale til et forløb om netop incident response på Aarhus Business Academy.

Der er ifølge DTU ingen tegn på, at indholdet af mailboksene har været tilgået. 

»Hackerne har brugt en ”systemteknisk adgang”, der primært giver anledning til den information, som en mailklient vil benytte til at opsætte adgangen til mailboksen. Vi vurderer derfor ikke, at man på den baggrund kan tale om tab af data på DTU-niveau,« skriver Steen Pedersen. 

Et målrettet angreb

DTU vurderer også, at der var tale om et ganske målrettet angreb.  

 Version2: I skriver til Datatilsynet, at der er tale om 'ondsindede handlinger (cyberangreb, fysisk angreb, DDos...)'. Samtidig siger I til offentligheden, at der er tale om et simpelt angreb. Står I ved, at der er tale om et simpelt angreb?

 »Angrebet var ”simpelt” i den forstand, at man med få men effektive midler er gået meget målrettet til værks. Vi har ikke lagt skjul på, at der samtidig var tale om et alvorligt angreb,« skriver Steen Pedersen.

Version2: I nævner også, at der er benyttet 'specialsoftware'. Hvad er det en betegnelse for? 

»Vi mener der er anvendt programmer designet til målrettet at omgå sikringsforanstaltninger - software der anvendes af personer med tvivlsomme hensigter.« 

Version2: Angrebet har stået på i mindst 4 dage. Hvordan kan I garantere, at angriberne ikke har manipuleret de logs, i sandsynligvis baserer ovenstående besvarelser på?

»Kompromittering af en brugerkonto og dermed adgang til en mailboks giver ikke rettigheder til at manipulere logs,« lyder det fra Steen Pedersen der umiddelbart ikke vurderer, angriberne har kunnet ændre logs i DTU's systemer. 

Version2: Tilbage i 2019 blev det påpeget af Rigsrevisionen, at eksterne systemer udgjorde en sikkerhedstrussel mod universitetet. Nu har angribere udnyttet et 'studentersystem' til at kompromittere jer. Hvad tænker I om det?

»Kravet om at være åbne mod samfundet, og at kunne tilbyde løsninger, så studerende og medarbejdere kan studere og arbejde uden at være på campus, er en nødvendighed for et universitet. Angrebet kunne derfor lige så vel være sket fra en medarbejders konto.«

Version2: I siger, at der ikke er tabt data. Men til Datatilsynet lyder det, at en 'mindre antal brugere' har fået deres mailbokse kompromitteret med deres credentials - og at det har skabt adgang til deres mailboks. Hvordan kan I garantere, der ikke er tabt data nu, hvor der har været adgang til mailbokse - måske endda flere dage?

»Vi har ikke information, der peger på at indholdet af mailbokse har været tilgået.«

Redigeret 9.9.22 12:12: Version2 skrev tidligere, at DTU ikke svarede på det sidste spørgsmål. Det var ikke helt korrekt, og det delvise svar er nu anført umiddelbart nedenunder spørgsmålet. 
 

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
9. september kl. 12:52

Jamen, det lyder da nogenlunde som jeg gættede på i går: Overfladiske svar, der dækker over kaos.

"Han skriver også, at 'Det for nærværende ikke er sandsynliggjort, at de pågældende personers navn/mailbokse er blevet misbrugt,' selvom angriberne har skaffet sig fuld adgang til dem og har kunnet logge ind med DTU-brugernes egne credentials. "

Den rette konklusion og udtalelse på nuværende tidspunkt burde være, at "Det ved vi ikke noget om endnu, for det har vi ikke nået at undersøge til bunds endnu". (Hvilket er foruroligende, når der er gået en måned)

"Version2: I siger, at der ikke er tabt data. Men til Datatilsynet lyder det, at en 'mindre antal brugere' har fået deres mailbokse kompromitteret med deres credentials - og at det har skabt adgang til deres mailboks. Hvordan kan I garantere, der ikke er tabt data nu, hvor der har været adgang til mailbokse - måske endda flere dage? »Vi har ikke information, der peger på at indholdet af mailbokse har været tilgået.«"

Igen: Den rette, sandfærdige udtalelse ville være, at "Vi er ikke nået så langt endnu i vore undersøgelser, at vi har overblik over, om data kan være tilgået - men det er sandsynligt, at de har været det"*

For det giver jo ingen mening, at ondsindede hackere har haft adgang til systemerne i flere dage, uden at de skulle have skaffet sig adgang til data, når nu de har haft mulighed for det - vel? Hvad skulle meningen have været med ikke at bruge en adgang, når man nu har skaffet sig den?

Jeg er ret overbevist om, at hvis man ellers kan undersøge hændelsen ordentligt, så har der været adgang til data.

Jeg kunne godt tænke mig svar på, om nogle af de berørte systemer og mailbokse har indeholdt sundhedsdata, eller adgange til sundhedsdata eller forskning?

(PS: Hvad betyder "tab af data"? Jeg går ud fra, at det er det samme som, at data er blevet tilgået uretmæssigt? Men de befinder sig vel stadig i systemerne?)