Et ukendt antal DTU-medarbejderes email-konti er blevet kompromitteret af ondsindede hackere. Sådan lyder det i en anmeldelse til Datatilsynet, Version2 har fået indsigt i, og konkret er der blevet logget ind med legitime credentials. Det står i skærende kontrast til DTU’s tidligere udmeldinger om angrebet til blandt andre Ritzau:
»Det er ikke et omfattende angreb. Vi vurderer ikke, at der har været tab af data, eller at der er nogen ting, der er blevet kompromitteret,« lød det fra universitetsdirektør Claus Nielsen 23. august.
Anmeldelsen til Datatilsynet afslører også, at der går fire dage fra de første digitale alarmer bimler til DTU klassificerer de mærkelige hændelser som et angreb. Det har givet angriberne ekstra tid til at rode rundt i systemerne og slette eventuelle spor.
»De holder sig ikke til sandheden«
Version2 har foreholdt DTU’s foreløbige rapport til Datatilsynet for David Theil-Clayton, der før har ledet incident response-teams og har skrevet undervisningsmateriale til et forløb om netop incident response på Aarhus Business Academy. Et forløb, han også er censor på.
»De holder sig ikke til sandheden. Mailserven blev tilgået, og hackerne kunne logge ind med credentials fra flere brugere og logge ind i deres mailbokse. Det er det modsatte af det, de har meldt ud,« siger David Theil-Clayton, der før har set hackere gå bevidst efter mailservere.
»Normalt er man som angriber interesseret i at bruge mailserveren og adressebogen til at distribuere malware internt. Der er næsten ikke nogen bedre måde at komme ud i organisationen,« lyder det fra it-sikkerhedsmanden.
Fire dage fra alarm til handling
En anden ting, han hæfter sig ved, er de fire dage, der ifølge afrapporteringen til Datatilsynet går fra cyberalarmerne begynder at lyde, til DTU kategoriserer de mærkelige hændelser som et hack.
Angrebet blev synligt som driftsforstyrrelser og usædvanlig trafik d. 11 august (formiddag). Vores indbyggede overvågningssystemer gav usædvanlige alarmer.
Dato for hændelsens kostatering: 15-08-2022 11:38:00
Kilde: DTU's afrapportering til Datatilsynet
»Selv hvis du kun har en mistanke, skal du rapportere det. Vidste de virkelig først, der var noget galt den 15 august? Hvad er det, der sker her i mellemtiden? Hvis alarmerne er gået kl 11, virker det fuldstændig usandsynligt, at man først ser dem mandag. Der er noget der bare ikke giver mening,« siger David Theil-Clayton, der vurderer, at de fleste virksomheder ville kategorisere mailindbakken som et kritisk system - idet de ofte indeholder en eller anden form for persondata.
»Enten har man kapaciteten til med sikkerhed at sikre, at et kritisk system ikke er blevet kompromitteret og så reagerer man på alarmer inden for få timer eller også aner man ikke om ens data bliver kompromitteret med det samme og venter fire dage, før man har kapacitet til at kigge på alarmerne,« vurderer David Theil-Clayton, der undrer sig over at DTU dels var fire dage om at reagere på alarmerne, men samtidig føler sig sikre i deres vurdering af, at angriberne ikke slap afsted med data eller i øvrigt opnåede noget med hacket.
Kom ind gennem ‘studentersystem’
DTU skriver også til Datatilsynet, at det var ‘et studentersystem’, der var organisationens svageste punkt:
»Via et studentersystem fik hackere adgang til servere på DTU, hvorfra de ved hjælp af specialsoftware fik tildelt forøgede rettigheder til sig selv. Det er hovedsageligt tekniske systemer og tekniske data, der der er i forløbet identificeret kontakt til DTU’s mailserver,« skriver universitet til Datatilsynet.
Præcis hvilken specialsoftware der er tale om fremgår ikke, ligesom det heller ikke angives hvilke tekniske data, angriberne var interesserede i.
Anmeldelsen beskriver også, at angrebet bestod af DDoS-angreb, 'cyberangreb' samt fysiske angreb. Det fremgår ikke, hvad de sidste to kategorier dækker over.
Uvist omfang
Præcis hvor mange DTU-mail, der er kompromitteret, fremgår heller ikke, men DTU skriver selv til Datatilsynet, at der er tale om ‘et mindre antal’.
»Det er værd at bemærke, at de skriver, der har været adgang til mailserveren. Dermed virker det ret svært at garantere, at der ikke har været adgang til persondata,« siger David Theil-Clayton, der henviser til DTU’s forsikring om, at ingen persondata er kompromitteret som følge af hacket.
DTU har da også bedt omkring 25.000 brugere af universitets systemer om at skifte deres adgangskoder.
»Når man ser på det, de skriver til Datatilsynet, virker det som om, de fortæller én historie til myndigheden og en anden historie til offentligheden. Det kan dog skyldes, at det er to forskellige hold af medarbejdere - dem der arbejder med hændelsen og melder ind til datatilsynet og dem, der går ud og fortæller offentligheden om det,« siger David Theil-Clayton, der understreger, at der ikke nødvendigvis er tale om ond tro fra DTU’s side.
DTU er ikke vendt tilbage inden redaktionens deadline. Vi følger op, når der er nyt.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
