Sådan gennemhullede ukendte hackere Danmarks it-sikkerhed med spredehagl

3 kommentarer.  Hop til debatten
Sådan gennemhullede ukendte hackere Danmarks it-sikkerhed med spredehagl
Illustration: Iskra Dinkova.
I stilhed fik en sofistikeret hackergruppe adgang til centrale systemer hos alt fra dansk forsyning til finansverdenen. Uden at det var meningen.
5. marts 2021 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Al opmærksomhed var 13. december 2020 rettet mod corona-virusset, der for alvor havde fat i den danske befolkning. Men alt imens mange gik hjemme og forsøgte at holde sig raske op mod jul, gik det op for it-verdenen, at en helt anden form for sygdom gennem flere måneder havde spredt sig til mere end 18.000 virksomheder, myndigheder og organisationer i hele verden.

Heriblandt snesevis af danske virksomheder og organisationer, der helt uden at vide det var blevet ofre for det såkaldte Solarwinds-angreb, som Microsofts præsident senere skulle kalde »det største og mest sofistikerede hack til dato«.

Der er nemlig tale om en type it-angreb, ingen kan beskytte sig mod, og som kun de største selskaber har kræfter til at opdage, lyder det i kor fra it-sikkerhedskonsulenter og forskere.

»Vi er heldige, at vi ikke var det direkte mål her. Hvis Danmark havde været målet, var vi blevet kompromitteret. Det er helt sikkert. Angriberne har været inde nogle steder, hvorfra de reelt kunne skade Danmark enten gennem spionage eller ved decideret at forstyrre samfundskritiske systemer,« siger Jacob Herbst, der er direktør i it-sikkerhedsfirmaet Dubex og sidder i det nationale it-sikkerhedsråd.

Artiklen fortsætter efter annoncen

Solarwinds-angrebet har tidligere været beskrevet i pressen, men Ingeniørens it-medie Version2 har i denne uge kastet yderligere lys over dets egentlige omfang i Danmark:

Blandt mange andre blev Statens IT, Bankernes EDB Central (BEC), Cowi, flere danske forsyningsselskaber og flere kommuner, herunder Vallensbæk, ramt, fremgår det af offentlige og hemmelige lister over kompromitterede domæner samt udsagn fra anonyme kilder. De nævnte virksomheder og myndigheder har alle bekræftet, at de er påvirket af hacket.

Overordentligt sofistikerede

Hele miseren begyndte, da en endnu ukendt hackergruppe hackede sig ind i den velrenommerede amerikanske softwarevirksomhed Solarwinds’ produktionsmiljø helt tilbage i september 2019. Her integrerede de en lillebitte kodestump i en afkrog af den netværks-software, der udgør selskabets hovedprodukt.

På den måde lykkedes det hackergruppen at installere en såkaldt bagdør, der stod åben i seks måneder. Et gabende hul i it-sikkerheden, som ukendte hackere har kunnet vade lige igennem, når det passede dem, og overtage, overvåge eller ødelægge infrastrukturen indefra hos de mange ramte organisationer, der benytter Solarwinds’ software.

For at kunne styre netværkene skal den slags software nemlig have adgang til centrale dele af it-infrastrukturen hos de ramte selskaber.

»Solarwinds-platformen har oftest administratorrettigheder der, hvor den kører, og derfor er den særligt interessant at kompromittere. Det er et fantastisk sted at komme ind i for hackerne,« siger Jacob Herbst.

Her lå den ondsindede kode og ventede. Først ventede den på at blive rullet ud til de mange tusinde kunder rundt omkring i verden med den næste opdatering til Solarwinds. Når den så var blevet installeret, fordi Solarwinds’ kunder gjorde, som man skal – opdaterede deres software – kom den ind ad hoveddøren, godt gemt væk i et stykke software, hele verden stolede blindt på. Et klassisk angreb gennem forsyningskæden, på engelsk et supply chain-angreb, og et uhørt succesfuldt et af slagsen.

»Den her gruppe er sofistikeret og på ingen måde gemene kriminelle, der bare gør det her for sjov eller for at tjene nogle hurtige penge. Alt tyder for eksempel på, at de sletter deres logs og de andre spor, hackere normalt efterlader sig,« siger Jan Lemnitzer, der som lektor på CBS forsker i nye cybertendenser og it-sikkerhed. Han fortæller, at der i dag er bred enighed om, at målet var USA og firmaer, der lå inde med avancerede hackervåben, som gruppen ville have fingrene i.

Det bekræfter det private sikkerhedsfirma Dubex, der i månedsvis har holdt den ondsindede kode i et sikkert miljø for at observere den:

»Et angreb som det her kræver enorme ressourcer og mange forskellige kompetencer. Det er altså ikke nogen lille gruppe,« lyder det fra Hassan Kallas, der er chef for Dubex’ Cyber Defence Center.

Efterhånden som Hassans folk fik skilt softwaren ad, fandt de ud af, at den onde kodestump i nogle tilfælde venter helt op til 14 dage i dvale. Men så sker der også noget vigtigt for det efterfølgende opklaringsarbejde. Den onde kode vågner og får den inficerede server til at ringe op til en DNS-server, hackerne kontrollerer. Den ondsindede software fortæller, kortfattet og krypteret, hvilken server den har etableret bagdøren i, og venter på besked om at åbne den for, hvem end der stod bag hacket. Det er disse lister, Version2 blandt andet har brugt til at skabe et overblik, der viser, at Danmark er blev ramt meget bredt.

Selvom alt faktisk tyder på, at vi ikke var målet.

»Alt i alt lader det til, at vi ikke var det primære mål. I starten var vi bange for, hvad de ville os. Ville de udsætte os for ransomware? Ville de stjæle informationer eller bruge os til noget helt tredje? Nu viser det sig heldigvis, at målet hovedsageligt var amerikanske myndigheder og virksomheder,« lyder det fra en relativt lettet it-drifts- og udviklingsleder i Vallensbæk Kommune, Johnny Schnegelsberg-Laursen.

Og akkurat de samme toner kommer fra de andre ramte. Cowi, BEC, SAS og Vestforbrænding var nok kompromitterede, men man kan ikke finde det mindste bevis for, at hackerne har brugt adgangen til noget. Men kan man være sikker?

»Problemet med den her form for angreb er, at man ikke kan være sikker på, at man ikke er et mål. Man kan sandsynliggøre, at bagdørene ikke er blevet brugt, men de her hackere er dygtige,« siger Jan Lemnitzer fra CBS.

Ingen af de påvirkede, Version2 har været i kontakt med, kan altså udelukke, at deres systemer er blevet misbrugt. Eller som BEC’s chief information security officer, Adam Sandenholt, udtrykker det:

»Man kan aldrig udelukke, at bagdøren er blevet udnyttet, og det tror jeg ikke, nogen af de øvrige 18.000 andre, der er ramt på verdensplan, kan. Men vores analyser viser ingen indikationer på det.«

Hele verden var blind

Angrebet var så godt camoufleret, at Solarwinds ikke selv opdagede, at deres software blev misbrugt. Det skete først, da det enorme amerikanske sikkerhedsfirma FireEye greb hackerne på fersk gerning i sine systemer. Ikke desto mindre lykkedes det de ukendte hackere at stjæle alle de hackerværktøjer, FireEye gennem årene har udviklet til at teste selskabers it-sikkerhed.

På det her tidspunkt havde ingen andre opdaget angrebet. NSA, der som en del af det amerikanske forsvarsministerium siden Edward Snowdens afsløringer har været mistænkt for at overvåge det halve af verden i realtid, havde intet set. NSA’s årlige budget på godt 70 milliarder kroner kunne ikke bygge en radar, der kunne opfange angrebet, der trods alt havde ramt netop det amerikanske forsvarsministerium. Samt Microsoft og Intel, to amerikanske techgiganter.

Herhjemme er der absolut intet, der tyder på, at Center for Cybersikkerhed (CFCS) som den primære danske it-sikkerhedsmyndighed havde øjnene på Solarwinds-hacket. CFCS er ikke vendt tilbage på Version2’s henvendelser, men den første advarsel fra CFCS til de berørte danske virksomheder og myndigheder kom først, efter at FireEye havde advaret resten af verden.

Vi vil se flere angreb som dette

Forklaringen på hackernes evne til at holde sig skjult skal findes i de stadigt mere komplekse it-produkter, virksomheder bruger.

»Langt de fleste programmer er sammensat af programstumper fra adskillige underleverandører, der også har underleverandører. Hvordan vil man teste dem alle for sikkerhedsproblemer? Det kan man ikke,« lyder det fra Jan Lemnitzer, der bakkes op af de berørte selskaber, der alle føler en vis afmagt.

»Det kræver en masse hygiejne, og at man konstant vurderer, hvilke leverandører, man køber af. Men denne sag viser, at det stadig kan gå galt. Solarwinds er jo ikke hvem som helst,« siger Adam Sandenholt fra BEC, der ligesom de andre involverede it-sikkerhedschefer henviser til, at Solarwinds var – og stadig er – et anerkendt selskab, der generelt laver sikre programmer.

Konstant og dyr overvågning

Men hvordan lykkedes det alligevel FireEye at fange hackerne med fingrene i kagedåsen?

»De opdagede kun hackerne, fordi de arbejder på en måde, hvor de hele tiden agerer, som om de lige var blevet hacket. De har folk, der sidder og leder efter angribere i deres systemer døgnet rundt, og det er de færreste virksomheder, der kan og vil bruge ressourcer på det,« siger Jan Lemnitzer.

Han fortæller, at den ubehagelige konklusion er, at hvis man er en førende virksomhed, er det fremover sådan, man skal opføre sig, for man kan ikke forhindre den her slags angreb i første omgang. De virksomheder, der ikke har råd til det, kan kun håbe, de ikke bliver angrebet af supply chain-angreb.

Det er nemlig de færreste virksomheder, der kan undvære eller skære ned på underleverandører, fortæller lektoren.

»Solarwinds-sagen viser for alvor, hvad globaliseringen betyder for it-sikkerheden,« siger Jan Lemnitzer, der ligesom flere andre kilder er helt overbevist om, at Solarwinds-hacket giver andre grupperinger blod på tanden i forhold til at prøve kræfter med supply chain-angreb. Det forlyder da også, at CFCS har netop denne slags angreb på programmet, når de skal lægge cybersikkerheds-strategien for Danmark her i 2021.

3 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
3
10. marts 2021 kl. 09:23

Herhjemme bruges der også milliader af kroner af CFCS, der er den primære danske it-sikkerhedsmyndighed, men pengene er spildt og der bør derfor straks igangsættes en reorganisering af det danske cyberforsvar og etableres en organisation, der bedre kan sikre samfundet og dets befolkning bedre end hidtil

Der er meget lidt konstruktivt i din kritik. Det lyder mere som om du gerne vil have del i pengene sådan at de kan blive "spildt" andre stder.

Lige nu har ingen noget godt forsvar mod den slags angreb. Et veludført angreb bliver ikke opdaget og derfor ved vi ikke hvor ramt vi er lige nu. Man kan have alle mulige invendinger mod CFCS (og jeg har selv en del) men jeg har svært ved at se CFCS eller nogen andre udfrakommende løse netop dette problem (men derfor kan der sagtens være en række andre grunde til CFCS).

Problemet med IT sikkerhed kræver en grundlæggende ændring i hvordan vi tænker IT systemer, netværk, etc. Vores nuværende setup svarer til at virksomheder og myndigheder lader alle døre og vinduer stå åbne og så forventer at grænsekontrollen holder udenlandske forbrydere ude af landet og at ingen statsborgere kunne finde på den slags.

2
6. marts 2021 kl. 08:28

Den onde kode vågner og får den inficerede server til at ringe op til en DNS-server, hackerne kontrollerer. Den ondsindede software fortæller, kortfattet og krypteret, hvilken server den har etableret bagdøren i, og venter på besked om at åbne den for, hvem end der stod bag hacket.

Der må være tale om en avanceret AI med følelser, siden koden kan være ond. Og dial-up er vist også gået af mode. ;)

1
5. marts 2021 kl. 08:41

I artikel står der bl.a, at:

"Herhjemme er der absolut intet, der tyder på, at Center for Cybersikkerhed (CFCS) som den primære danske it-sikkerhedsmyndighed havde øjnene på Solarwinds-hacket. CFCS er ikke vendt tilbage på Version2’s henvendelser, men den første advarsel fra CFCS til de berørte danske virksomheder og myndigheder kom først, efter at FireEye havde advaret resten af verden."

Og det var også tilfældet i USA hvor NSA, hvis årlige budget er på mere end 70 milliader kroner, heller ikke evnede eller formåede at opdage angrebet, men dog senere erkendte, at bl.a deres Department og Homeland Security, Pentagon og det amerikanske atomagentur var blevet ramt.

Herhjemme bruges der også milliader af kroner af CFCS, der er den primære danske it-sikkerhedsmyndighed, men pengene er spildt og der bør derfor straks igangsættes en reorganisering af det danske cyberforsvar og etableres en organisation, der bedre kan sikre samfundet og dets befolkning bedre end hidtil. Det og meget mere har jeg skrvet om i bladet OLFI, og som kan læses via linket her: https://olfi.dk/2021/02/25/det-danske-cyberforsvar-traenger-akut-til-en-reorganisering/

Jan Lemnitzer er inde på noget af det rigtige , idet han udtaler at »De (Fire Eye) opdagede kun hackerne, fordi de arbejder på en måde, hvor de hele tiden agerer, som om de lige var blevet hacket. De har folk, der sidder og leder efter angribere i deres systemer døgnet rundt, og det er de færreste virksomheder, der kan og vil bruge ressourcer på det,«