Malware huserede uset i fire år på servere hos forskningscenter for velfærd

Et hackerangreb på servere hos SFI – Det Nationale Forskningscenter for Velfærd kan have fungeret som springbræt til kritiske data, vurderer sikkerhedsekspert.

To webservere ved SFI – Det Nationale Forskningscenter for Velfærd blev i foråret taget offline, da organisationen konstaterede ondsindet software – såkaldt malware – på serverne.

Opdagelsen skete under det, som SFI over Version2 kalder ‘den løbende overvågning af serverne,’ som forskningscentret i år har fået hjælp til af Center for Cybersikkerhed.

Malwaren stammer fra 2012, oplyser SFI, som ikke ved, hvem der har inficeret serverne, eller hvad formålet har været. Institutionen kan ikke svare på, om der er hevet data ud af de inficerede servere.

‘Hackere udvikler som bekendt hele tiden nye angrebsteknikker, som går uden om de gængse it-sikkerhedsforanstaltninger. Det har også været tilfældet her,’ skriver Hanne Friis Kaas, der er økonomi- og administrationschef ved SFI, i en mail til Version2.

Læs også: Hver tiende offentligt ansatte har kendskab til succesfulde hackerangreb

‘Vores systemer har naturligvis logning, men af sikkerhedsmæssige årsager kan jeg ikke oplyse nærmere om logningsniveauet, eller om hvordan logningen har været sat op,’ skriver hun.

Version2 har blandt andet spurgt SFI, hvordan malwaren kunne gå under radaren i fire år, samt hvordan serverne i første omgang er blevet kompromitteret. Forskningscenteret henviser imidlertid til, at visse oplysninger ikke kan deles af hensyn til sikkerhedsforhold.

De inficerede servere har huset boligstatistik og data til Tilbudsportalen.dk. Ifølge Socialstyrelsen, der ejer systemet, er der ingen personfølsomme data på serverne.

Dataansvarlig kendte ikke til server

Systemets dataansvarlige er Udlændinge-, Integrations- og Boligministeriet. Her er man i første omgang ikke klar over servernes eksistens, da Version2 kontakter ministeriet:

»Vi er et nyt ministerium. Så der kan godt være noget, vi har liggende driftet ude i byen, men som vi ikke har fået noget at vide om,« forklarer Martin Pedersen, der er chef for digitalisering og drift ved Koncern It i ministeriet.

Også herfra lyder det, at serverne ikke har indeholdt persondata.

Læs også: It-sikkerheden sejler hos offentlige forsyningsvirksomheder

Det betyder dog ikke, at man kan afvise, at hackere har haft videre adgang til yderligere systemer hos SFI, der blandt andet forsker i vilkår for misbrugte børn, psykisk syge og andre udsatte grupper.

Det fortæller Jacob Herbst, der er chief technical officer hos it-sikkerhedsvirksomheden Dubex.

»Hvis man er blevet kompromitteret, og man ikke har en log, der fuldstændigt viser, hvad der er foregået, eller en effektiv segmentering, så er det efter min opfattelse meget modigt at sige, at der kun har været adgang til ikke-kritisk information. For du har dybest set ingen beviser for det,« forklarer Jacob Herbst.

Ifølge sikkerhedseksperten er det en almindelig hackerstrategi at forsøge at sløre sin tilstedeværelse.

»Og en fin måde at gøre det på er at lægge sin bagdør ind på en knap så kritisk server og bruge den som springbræt til at få adgang til de systemer, man gerne vil have adgang til,« siger Jacob Herbst.

Fjernadgang

Hackerne gør i stigende grad også brug af de værktøjer, der allerede er på systemet – for eksempel til fjernadgang. Det betyder, at de ikke behøver at installere deres egne hackerværktøjer, og at de dermed bedre kan skjule, hvad de laver. I dette tilfælde lykkedes det altså hackerne at holde sig skjult i fire år.

»Så at serverne med malware ikke selv har indeholdt kritiske data, kan ikke bruges til at afgøre, om andre systemer med mere kritiske data har været kompromitteret, og om der er tale om et alvorligt angreb eller ej,« understreger Jacob Herbst.

Ifølge Jacob Herbst kan de udefrakommende for eksempel have fået adgang ved, at en hacker har narret en bruger med en phishing-mail eller en falsk webside og på den måde er kommet ind på indersiden af netværkets firewall.

Læs også: Sikkerhedsbosser: For lidt opbakning og for få penge til it-sikkerhed i det offentlige

»Her kan du installere malware som laver en forbindelse ud, du kan fange med din command and control-server, og så gå baglæns ind på netværket,« forklarer sikkerhedseksperter og tilføjer:

»Man kan sammenligne det med en fjernadgang til en pc i netværket, som du så kan bruge til at få adgang til den information, du er ude efter.«

Ifølge SFI’s redegørelse blev malwaren først opdaget, da Center for Cybersikkerhed blev involveret. Og det er ikke usædvanligt.

»Normen er desværre, at det er eksterne, der opdager det og kommer og fortæller os, at vi er kompromitteret,« påpeger Jacob Herbst, der blandt andet henviser til hacker­angrebet mod CSC, som blev tilfældigt opdaget af svensk politi.

Læs også: It-chefer fortæller ikke topledelsen om brud på datasikkerheden

Det er ifølge sikkerhedseksperten langtfra usædvanligt, at det tager lang tid for både virksomheder og myndigheder at opdage, når et system er inficeret.

En undersøgelse foretaget af sikkerhedsvirksomheden Mandiant viser, at det i snit tager 146 dage for organisationer at opdage et sikkerhedsbrud. Tallet, der er udregnet på baggrund af data fra 2015, er en væsentlig forbedring i forhold til 2012, hvor det typisk tog over 400 dage at detektere ubudne gæster.

Til sammenligning tager det ca. tre dage at tiltuske sig administrator­rettigheder i systemet, når først man er indenfor, påpeger Mandiant i undersøgelsen.

Myndighederne vil nu forbedre sikkerheden omkring de berørte servere – blandt andet med hjælp fra Center for Cybersikkerhed.

Denne artikel stammer fra den trykte udgave af Ingeniøren.

Illustration: MI Grafik
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert G. Larsen

»Vi er et nyt ministerium. Så der kan godt være noget, vi har liggende driftet ude i byen, men som vi ikke har fået noget at vide om,«

WHAAT!? Sådan som politikerne fletter rundt i ministerierne i tide og utide, så er der da kæmpe risiko for at dette gør sig gældende alle mulige steder!

Deres ansvarsfølelse minder mig om P3's nylige video om SKAT.

Hvad er det egentlig de der "Statens IT" laver i hele denne sammenhæng?

PS: God artikel Version2. Godt at se noget med lidt mere kød på :-)

Jens Jakob Andersen

Gad vide hvornår de servere sidsts har været patchet? Hvis man ikke sørger for at patche sine web-vendte systemer - enten ved at gøre det selv, eller sikre sig at udbyderen gør det - samt løbende overvåger loggen for anomaliteter - så står dørene piv-åbne.

Se fx på listen over huller i Joomla, Wordpress, osv - der er et utal af åbninger.

De 4 råd fra Cyberforsvar der virker - skal gælde for både klienter - og servere...
https://fe-ddis.dk/cfcs/CFCSDocuments/Cyberforsvar%20der%20virker.pdf

Det interessante er vel at den vejledning er fra 2013 - og har man nogensinde undersøgt hvor bredt den er implementeret?

Anders Due

Hej Gert

"Det der Statens It" er en statslig styrelse, der leverer it-drift og service til en række kunder i staten.

Desværre står vi ikke for det system, der er omtalt her - men du må meget gerne komme forbi os og se vores CMDB eller statens eneste ISO 27.001-certifikat - vi giver også en kop kaffe og flere detajler, hvis du er interesseret.

Venlig hilsen
Anders, Statens It

ove kjær kristensen

Spørgsmålet er om en dobbelt sikkerhed er tilstrækkelig? For ca. 5 år siden blev jeg hacket, og fik derefter en dobbelt sikkerhed, så det sendes kode til min mobil når min computer fjern betjenes, men det er måske også falsk tryghed? Store computer systemer har kapacitet til, at bryde alle koder, og de er effektive, det er kun et spørgsmål om tid, men hvor tit skal vi egentlig skifte vor kode?

Thomas Hedberg

Store computer systemer har kapacitet til, at bryde alle koder, og de er effektive, det er kun et spørgsmål om tid, men hvor tit skal vi egentlig skifte vor kode?

Det er ikke så meget et spørgsmål om hvor tit du skal ændre den. Det er mere et spørgsmål om at du benytter gode og ikke mindst unikke adgangskoder alle steder og så husk ellers at noget af det vigtigste kodeord du har er til din email -. for den kan typisk resette alle de andre koder.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder