Version2 kunne tidligere i dag fortælle, at Nationalbanken jævnfør en aktindsigt, Version2 har fået i sagen, i syv måneder fra juni til december 2020 havde en Solarwinds-bagdør i sit it-system.
I den samme aktindsigt skriver Nationalbanken, at man ikke kan finde nogle IOC’er, Indications of Compromises. Med andre ord tyder intet ifølge Nationalbanken selv på, at Solarwinds-bagdøren er blevet udnyttet i de syv måneder, den har stået åben.
Men faktisk er der i løbet af det opklaringsarbejde, Nationalbanken og dens underleverandører har lavet, opdaget flere eksempler på ting, der ifølge eksperter kan være tegn på yderligere kompromittering.
Version2’s aktindsigt viser helt konkret, at en ZIP-fil med en installationspakke til en sårbar udgave af Solarwinds er dukket op i et servermiljø.
Derudover viser dokumenter, som er lækket til Version2 af en whistleblower, der er bekymret for sikkerheden i Nationalbanken, at den ramte Solarwinds-installation styrer og overvåger dele af Nationalbankens produktionsmiljø.
Dokumenterne viser også, at to core polling engines i det kompromitterede servermiljø begynder at kommunikere med internettet dagen inden, bagdøren lukkes i dem, samt at en server med en IP, der ikke umiddelbart genkendes, pludselig figurerer i en oversigt over netværket. Og at den har adgang til internettet. Det har en af Nationalbankens Solarwinds-installationer i øvrigt haft helt indtil d. 11 januar.
»Woah, what?!,« siger Lucas Lundgren, der som white hat hacker hos virksomheden Banshie lever af at trykteste virksomheders sikkerhed, og er ved at få det vand, han er i færd med at drikke, galt i halsen. Da han har fået vejret igen, fortsætter han:
»Det er godt nok stort. Selv hvis alt det her viser sig at være ingenting, er der helt sikkert brug for at hæve sikkerheden, for den virker mangelfuld,« siger hackeren, der mener, at det virker ‘som om man over hele linjen ikke har reageret hurtigt og voldsomt nok.’
»Det her burde være the big dig. Fort Knox. Og det er ikke det umiddelbare indtryk, man får. Det hele virker too little too late, og de risikerer at være kompromitterede dybere end stage1,« lyder det bekymret fra Lucas Lundgren.
Derudover viser de lækkede dokumenter, at Nationalbankens leverandør, JN Data, vælger det billigste af to scenarier, da man gen-sikrer det ramte servermiljø.
Siden Nationalbanken og tre af dens it-leverandører, BEC, KMD og JN Data, ikke ønsker at stille op til interview, er det umuligt at sige, hvordan efterforskningen af de mystiske hændelser præcis er foregået, og hvad den er endt ud i. Men med den viden, vi besidder i dag, undrer flere eksperter sig over Nationalbankens håndtering. Det kommer vi tilbage til senere.
Priority 1
For at få det bedst mulige overblik over sagen, skal vi tilbage til 14. december 2020. Det er her, det går op for verden, at formodede russiske statshackere har formået at indbygge bagdøre i en version af Solarwinds Orion, der er blevet installeret i 18.000 organisationer og virksomheder verden over. Herunder Nationalbanken, bankens leverandør BEC, flere energiselskaber og Statens It.
JN Data, der leverer netværksovervågningen til BEC’s servere i Nationalbanken, reagerer med det samme. For den netværksovervågning faciliteres netop af den ramte version af Solarwinds Orion - det kompromitterede stykke software, der har givet it-afdelinger i hele verden sved på panden.
De lækkede dokumenter viser, at JN øjeblikkeligt opretter en såkaldt priority 1-sag, og at JN Datas Cyber Defence Center (CDC), aktiveres.
Hvad der præcis ligger på de servere, Solarwinds Orion har overvåget og styret for JN Data og Nationalbanken, fremgår ikke. Dokumenterne viser dog, at der blandt andet er tale om et produktionsmiljø med mere end ti løbende backups, to polling engines og adskillige store switches.
Det første store spørgsmål
Det leder direkte til det første store spørgsmål: Var Kronos2, det digitale hjerte i Danmarks finansielle infrastruktur helt eller delvist styret og overvåget af den ramte Solarwinds-installation?
Kronos2 er særligt interessant, fordi der hver dag flyder 639 milliarder kroner gennem systemet, der faciliterer alle betalinger mellem bankerne, og som udgør skelettet i den danske, finansielle infrastruktur. Som det også fremgår af billedet, faciliterer Kronos2 indirekte alle valutahandler, detailbetalinger og værdipapirhandler.
Version2’s aktindsigt hos Nationalbanken viser, at Solarwinds-kompromitteringen indgik i et statusmøde om driftsstabiliteten af netop Kronos2 den 25. januar 2021. Derfor har Version2 forsøgt at få Nationalbanken til at be- eller afkræfte whistleblowerens påstand om, at Kronos2 vitterligt er koblet op på den kompromitterede Solarwinds-installation. Som det er tilfældet med alle vores øvrige spørgsmål, har Nationalbanken ikke ønsket at svare.
Nationalbankens manglende vilje til at forholde sig til Version2’s spørgsmål ærgrer Carsten Schürmann, der er professor i it-sikkerhed på ITU.
»Hvis alt er sikkert og er foregået efter bogen, hvorfor så ikke komme ud og sige det?,« starter professoren, der mener, at Nationalbanken burde åbne op:
»Der er brug for en bedre gennemsigtighed, så alle kan lære af det her. Måske har de faktisk gjort det rigtige, og så kan andre lære af dem.«
»Bare så I kan sove trygt i nat :-)«
Tilbage i december er det ikke kun JN Data, der er i gang med at finde ud af, hvad der er sket. Version2’s aktindsigt viser, at der den 16 december tikker en mail ind hos den it-sikkerhedsansvarlige hos Nationalbanken.
Overskriften er »Bare så I kan sove trygt i nat :-)«, og den kan ses her på siden.
Af mailen fremgår det, at KMD, der også driver dele af Nationalbankens it-setup, har kørt et malware-check. KMD skriver:
»Hej alle. Egenkontrolleren ligger jo og holder øje med alverdens .exe filer på serverne, og se hvad den har sladret om siden i lørdags…“Nogen” har fredag-lørdag downloadet SolarWinds Orion til en produktionsserver i MGT domænet :-)«
I en opfølgende mail fremgår det, at der var tale om en installationspakke, der ikke var pakket ud. Deraf konkluderer KMD Nationalbank, at den ikke er installeret - og derfor slettes den med det samme. Det fremgår ikke af aktindsigten, hvilken version af Solarwinds det var, eller om ZIP-pakken indeholdt andet.
Sletter muligt bevismateriale
Og hvad der kan virke som en intuitivt fornuftig handling - at slette noget, der kan være farligt for ens system - forundrer Lucas Lundgren:
»Slettede de filen? Nej. NEEEJ! Angriberne ved helt sikkert, de er opdaget, hvis det er deres ZIP-fil, og den slettes. Nationalbanken er gået lige i fælden. I stedet skulle de have puttet logning på filen og kopieret den ind i et sikkert miljø for at se, hvordan den opfører sig, og hvad den indeholder,« siger Lucas Lundgren.
»Hvis jeg så en ZIP-fil, jeg ikke selv havde hentet, ville jeg tænke 'hvad fanden?!' Som det fremgår af den mail, er det en kæmpe Indication of Compromise,« lyder det fra hackeren, der bakkes op af sin kollegiale konkurrent, sikkerhedsrådgiver hos Improsec, Morten Munck:
»Det er best-practice at lave en forensic-undersøgelse for at finde ud af, hvad der er blevet eksekveret på maskinen og på den måde finde ud af, præcis hvad der er sket,« siger Morten Munck, der ikke vil udtale sig konkret om Nationalbanken, men kun om, hvad der generelt er best practice i it-sikkerhedsbranchen.
Som det fremgår af aktindsigten er der ikke lavet yderligere undersøgelser af filen, inden den blev slettet, men det materiale, Version2 har fået via aktindsigt og læk, tyder ikke på det. Nationalbanken har stadigvæk ingen kommentarer.
Var serverne slukket eller ej?
Imens KMD bøvler med ZIP-filen, lukker JN Data ifølge whistleblowerens dokumenter ned for den ramte Solarwinds-installation, mens Solarwinds-installationerne patches med sikkerheds-updates. 16 december 2020 kører Solarwinds igen, viser dokumenter, Version2 har fået af whistlebloweren.
Det stemmer ikke overens med, at BEC, der har kontakten til Nationalbanken, skriver til banken, at Solarwinds fortsat er lukket ned d. 18 december 2020, som det fremgår i Version2’s aktindsigt. Nationalbanken har ikke ønsket at kommentere på, om de føler sig tilstrækkeligt oplyst af underleverandørerne.
»Den her server er ikke vores«
Den 18. december popper endnu en mistænkelig hændelse op. En Solarwinds-installation, som JN Data-medarbejdere ikke kan genkende, fremgår pludselig på oversigten over nationalbankens netværk. Det rejser en intern bekymring, som JN Datas Cyber Defence Center præsenteres for, viser de lækkede dokumenter.
Det spor ender blindt. Hvad JN Datas CDC gør herfra, ved vi ikke. Morten Munck ønsker ikke at kommentere på den konkrete sag, men konstaterer:
»Når der er tale om kritisk infrastruktur, bør man have styr på, hvilke enheder, der er i ens netværk,« siger sikkerhedsrådgiveren.
Vælger billigste løsning
Samtidig foregår der en vigtig diskussion i JN Datas Cyber Defence Center. For skal man genetablere alle de services, Solarwinds har styret og holdt øje med fra bunden, eller skal man nøjes med at nulstille kodeordene til dem?
Nulstilling af passwords koster lige under én million kroner, mens en total genetablering af de mange services står i lige over tre millioner kroner, fremgår det.
JN Data vælger den mindst omkostningstunge og hurtigste løsning og nøjes med at nulstille kodeordene, fremgår det af whistleblowerens dokumentation. Det bekymrer white hat hacker Lucas Lundgren:
»Det er foruroligende, de ikke genoprettede diverse services, men kun skiftede kodeord. For hvis systemer vitterligt er kompromitteret, eller man antager det er kompromitteret, så behøver angriberne ikke kodeordene. Med andre ord kan man ændre låsen til døren, men som angriber var det første jeg ville gøre at lave en bagdør til mig selv. Og det har de altså haft syv måneder til i det her tilfælde,« siger Lucas Lundgren, der igen bakkes op af Morten Munck:
»Hvis man er blevet kompromitteret af avancerede modstandere, kan det være svært at vide, om man har fået fjernet alle spor. I sådanne tilfælde bør man overveje at genetablere services fra en ”kendt god” backup eller bygge helt nyt.«
Går mod leverandørs anbefaling
Og i Solarwinds-sagen er der bestemt tale om avancerede modstandere, vurderer it-sikkerhedsprofessor Carsten Schürmann.
»Man skal også huske, hvem man er oppe mod her. Det er sandsynligvis den russiske efterretningstjeneste, FSB. Hvis de først har en bagdør, kan de gøre enorm skade,« siger Carsten Schürmann.
Beslutningen går også imod hardwareproducenten Ciscos Solarwinds-anbefalinger. Cisco leverer ifølge Version2’s dokumentation stort set al Nationalbankens netværks-hardware. Konkret skriver Ciscos sikkerheds-afdeling, Talos:
»Nulstil alle credentials, Solarwinds bruger og implementer en rotationspolitik for disse accounts. Kræv lange og komplekse kodeord,« lyder det fra Cisco, der altså anbefaler at man opretter nye credentials og ikke bare skifter kodeordene til de gamle. Og det gør sagen endnu mere klar, mener ekstern lektor i it-sikkerhed, Jan Lemnnitzer:
»Hvis 3 millioner er prisen på en højere sikkerhed mod et russisk hack af Nationalbanken, er det billigt,« siger Jan Lemnitzer og Lucas Lundgren stemmer i:
»Tre millioner er peanuts i sådan en sammenhæng, især når der faktisk er flere små mistænkelige hændelser.«
Version2’s lækkede dokumenter viser desuden, at der går en uge, før passwords nulstilles, hvilket lyder langsomt i Lucas Lundgrens ører:
»Det virker vildt mærkeligt, at Nationalbanken ikke har mere kontrol, men lader deres underleverandører behandle de her ting så langsomt,« siger Lucas Lundgren som en direkte reaktion.
Version2’s lækkede dokumentation viser også, at der går en uge fra JN Data’s Cyber Defence Center får valget mellem de to løsninger, til det giver grønt lys til den mindst omfattende af dem. JN Data går altså ikke i gang med nulstillingen af kodeord med det samme.
Én måned senere: Solarwinds tages af internettet
Et par uger senere, omkring den 11. januar, beslutter JN Data, at internetadgangen til Solarwinds skal sløjfes. Det fremgår af de lækkede dokumenter, Version2 ligger inde med.
Her fremgår det, at det vil skabe praktiske problemer i forhold til driften og opdateringen af Solarwinds, fordi den ikke kan nås direkte, men at det godt kan lade sig gøre. Og det åbner endnu en flanke, vurderer Carsten Schürmann:
»Hvis man kan tage en tjeneste af internettet, skal man gøre det, og selvfølgelig helst inden skaden sker. Det handler simpelthen om at gøre angrebsfladen så lille som muligt.«
Han bakkes op af Lucas Lundgren:
»Det hele skulle have været af internettet med det samme og forblive sådan, indtil der var klarhed over situationen. Hvis man kører systemer som Kronos2, man ikke kan tage offline, så kør et replica, mens man laver en ren installation, der kan tage over så snart som muligt,« siger white hat hackeren.
Servere begynder at snakke
Den 11. januar dukker der flere oplysninger op ifølge det læk, version2 er i besiddelse af. To af BEC’s såkaldte polling engines har sendt netværkstrafik på et tidspunkt, de burde være tavse. Helt konkret begynder serverne at sende netværkstrafik den 16 december, dagen før de skulle opdateres med den sidste hotfix fra Solarwinds, der skulle lukke bagdøren i dem endeligt.
Netværkstrafikken klassificeres af JN Data som ‘Office 365-trafik,’ som det beskrives i lækket. Derfor vælger man, fremgår det, ikke at se videre ind i denne hændelse.
Men denne form for klassificeringer ikke er noget, man typisk kan stole 100 procent på, idet den kan manipuleres på forskellige måder, fortæller Lucas Lundgren og whistlebloweren.
»I har fandme brugt timer af vores juristers tid«
Version2 har gentagne gange henvendt sig til BEC, KMD, JN Data og ikke mindst Nationalbanken, der umiddelbart afviste at stille op til interview med følgende bemærkning:
»Nu har I fandme brugt jeg ved ikke hvor mange timer af vores juristers tid på en aktindsigt, og så vil I også have et interview?!,« lyder det fra en kommunikationsrådgiver hos Nationalbanken.
Siden da har Nationalbanken sendt følgende kommentar til Version2 på mail. Den forholder sig ikke konkret til et eneste af vores spørgsmål:
»SolarWinds-angrebet ramte også den finansielle infrastruktur i Danmark. De relevante systemer blev inddæmmet og analyseret, så snart kompromitteringen af SolarWinds Orion blev kendt. Der blev grebet konsekvent og hurtigt ind på en tilfredsstillende måde, og ifølge de udførte analyser var der ingen tegn på, at angrebet har haft reelle konsekvenser.«
Ærgerlige over stilhed
Den manglende respons fra Nationalbanken overrasker ikke Version2’s kilder, men den ærgrer dem:
»De spørgsmål, I har stillet, er gennemtænkte og peger mod information, der skal ud. Så det er interessant, at de ikke siger noget,« lyder det fra it-sikkerhedsprofessor Carsten Schürmann, der bakkes op af Lucas Lundgren:
»Alle kan blive hacket, det er ikke det faktum, at de blev ramt, men deres reaktion, jeg synes er skuffende,« siger Lucas Lundgren.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
