Sådan blev CSC's mainframe hacket
De personer, som skaffede sig adgang til en mainframe hos it-serviceleverandøren CSC, benyttede samme metode, som før var blevet brugt til at få adgang til en mainframe hos Logica, nu CGI, i Sverige. Det oplyser sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS til Version2.
»De har brugt samme sårbarheder i z/OS. Ifølge retsprotokollerne er det helt identiske sårbarheder. Det er sket i flere lag, hvor de har eskaleret deres rettigheder på mainframen,« siger Peter Kruse til Version2.
I Sverige betød det, at hackerne i løbet af en periode på to år potentielt fik adgang til alle systemer på samme mainframe.
En mainframe er en stor computer, der kan køre mange virtuelle instanser, som normalt er adskilt, men hvis man har adgang til selve administrationssystemet på mainframen, har man potentielt også mulighed for at tiltvinge sig adgang til alle systemerne på mainframen.
I Sverige koncentrerede hackerne sig om at få adgang til netbanksystemerne hos Nordea, som blandt andet blev brugt til at forsøge at overføre penge fra danske kunders netbanker.
Ifølge de oplysninger, der er kommet i den svenske sag, fik hackerne først adgang til mainframen via en FTP-konto. Derfra fik de mulighed for at forsøge at knække flere adgangskoder til systemet ved hjælp af værktøjet John the Ripper, som kan forsøge at gætte kodeord ud fra hashværdier i en kodeordsfil.
Det var angiveligt svage kodeord hos Logica til administrationssystemerne, som var medvirkende til, at hackerne fik den første fod i døren på mainframen.
Hackerne brugte desuden også flere sårbarheder på systemet til at eskalere deres rettigheder og få adgang til hele mainframen.
Adgangen til mainframen hos Logica blev ifølge Peter Kruse brugt til at placere og afvikle scripts på systemet, som ser ud til at være specifikt beregnet på at give hackerne fri adgang.
»Det er tydeligt, at de folk, der har udviklet dem, har villet give sig selv adgang til mainframen igen og adgang til at styre den,« siger Peter Kruse.
Peter Kruse kan ikke udtale sig konkret om, hvilke sårbarheder der er udnyttet i den danske udlægger af sagen, men han bekræfter, at der er tale om de samme sårbarheder, som blev brugt i Sverige.
I forbindelse med den danske hackersag er det kommet frem, at en 20-årig dansker, som er mistænkt i sagen, angiveligt også skulle have fået fat i adgangskoder til politiets e-mails. Det skete forud for hackingen af den danske mainframe, men Peter Kruse er ikke bekendt med, at der skulle være sket forsøg på målrettede phishing i forbindelse med hackingen.
»Spørgsmålet er, om de har ledt efter andre mainframes. Det her er allerede Skandinaviens største hackersag nogensinde, og den kan udrulle sig til at blive endnu større,« siger Peter Kruse til Version2.
Motivet for hackingen af CSC's mainframe og Rigspolitiets systemer er mere uklart end den svenske sag, hvor i hvert fald en del af motivet ser ud til at have været økonomisk.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.