US-Cert: Månedlang cyberkampagne i gang mod energi-, luftfarts- og atomkraftsektoren

23. oktober 2017 kl. 15:451
Den amerikansk it-sikkerhedstjeneste US-Cert varsler om cyberangreb mod energi-, luftfarts og atomkraftsektoren
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Amerikanske US-Cert har udsendt en varsling om angreb mod flere kritiske sektorer i USA.

US-CERT, en organisation under Department of Homeland Security, offentliggør hvert år adskillige, teknisk detaljerede varslinger i forhold til aktuelle it-sikkerhedsproblemer, sårbarheder og exploits.

Den seneste varsling er fra 20. oktober, senest opdateret 21. oktober, og den har The Register fået øje på. Alerten handler cyberangreb mod energi-, luftfarts og atomkraftsektoren i USA.

Ifølge varslingen er der tale om en advanced persistant threat (APT), hvor en ukendt aktører siden maj 2017 har kompromitteret visse netværk. Af varslingen fremgår det desuden, at angrebs-kampagnen stadig skulle være i gang.

Artiklen fortsætter efter annoncen

Angrebene indebærer blandt andet en rekogniseringsdel, hvor aktøren forsøger at opsamle informationer om en organisation og dennes netværk.

Derudover har aktøren blandt andet brugt spear-phishing-angreb mod nøglepersoner i organisationer i forbindelse med kompromittering af systemer.

Sådan en angreb kan eksempelvis være foregået via en mail med emnet 'AGREEMENT & Confidential', som så indeholder en tilforladelig PDF, hvori brugeren bliver bedt om at klikke på et link.

Såfremt brugeren gør dette, bliver han eller hun via et short-link sendt til et website, hvorfra en ondsindet fil bliver forsøgt sendt til computeren.

SMB

En anden teknik, som har været benyttet i forbindelse med angrebene, indebærer SMB-protokollen og Microsoft Office. Nærmere bestemt er der tale om et link til en fil på eksempelvis file[:]//[remote IP address]/Normal.dotm

Artiklen fortsætter efter annoncen

Når eksempelvis Microsoft Word forsøger at tilgå filen, så vil klienten bliver forsøgt autentificeret med serveren. Og det kan ifølge US-Cert-varslingen indebære, at brugerens credential hash bliver sendt til serveren, før filen bliver hentet.

I den forbindelse lyder vurderingen i varslingen, at aktøren efterfølgende formentlig har benyttet teknikker til kodeords-knækning for at få fat i klartekst-kodeordet. Og herefter har det med login-oplysningerne været muligt for aktøren at optræde som en autoriseret bruger.

Læs hele den detaljerede varsling hos US-Cert,, hvor der også er links til lister med blandt andet ondsindede filer og ip-adresser, som it-sikkerhedsansvarlige bør være opmærksomme på.

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
23. oktober 2017 kl. 19:36

APT er den eneste reelle sikkerhedstrussel udover denial of service af samfundets infrastruktur (ellers er det bare drilleri og irritation) - underligt at APT fylder så lidt på version2.

Jeg fandt endelig en kvalificeret meningsfælle, et israelsk sikkerhedsfirma, se

http://www.secbi.com/blog/ransomware-captures-the-headlines-but-the-real-threat-to-organizations-is-still-the-apt/

Jeg synes bekymringen over crypto ransomware er skinger og kommercielle IT-firmaer er ved at falde over hinanden for at tilbyde noget, hvor bedste forsvar i virkeligheden er omtanke.

Forhindre: det er patching og fornuftig rettighedsstyring.

Så komme remidiering/damage control af et eventuelt angreb: netværkssegmentering og backup.

Så kommer visse tiltag som lidt afhængig af forretningen er optionel:

brug af evt. Microsofts EMET til overvågnng af hukommelsen, whitelisting af applikationer - intet koster noget - kun evt. awarenesskurser til medarbejderne.

Så kan IT-folkene grine hele vejen hen til båndrobotten af løsesumskravet.

De fortsætter helt sikkert ikke med at rende rundt med hovedet under armen, som artiklen påpeger.