US-Cert: Månedlang cyberkampagne i gang mod energi-, luftfarts- og atomkraftsektoren
Amerikanske US-Cert har udsendt en varsling om angreb mod flere kritiske sektorer i USA.
US-CERT, en organisation under Department of Homeland Security, offentliggør hvert år adskillige, teknisk detaljerede varslinger i forhold til aktuelle it-sikkerhedsproblemer, sårbarheder og exploits.
Den seneste varsling er fra 20. oktober, senest opdateret 21. oktober, og den har The Register fået øje på. Alerten handler cyberangreb mod energi-, luftfarts og atomkraftsektoren i USA.
Ifølge varslingen er der tale om en advanced persistant threat (APT), hvor en ukendt aktører siden maj 2017 har kompromitteret visse netværk. Af varslingen fremgår det desuden, at angrebs-kampagnen stadig skulle være i gang.
Angrebene indebærer blandt andet en rekogniseringsdel, hvor aktøren forsøger at opsamle informationer om en organisation og dennes netværk.
Derudover har aktøren blandt andet brugt spear-phishing-angreb mod nøglepersoner i organisationer i forbindelse med kompromittering af systemer.
Sådan en angreb kan eksempelvis være foregået via en mail med emnet 'AGREEMENT & Confidential', som så indeholder en tilforladelig PDF, hvori brugeren bliver bedt om at klikke på et link.
Såfremt brugeren gør dette, bliver han eller hun via et short-link sendt til et website, hvorfra en ondsindet fil bliver forsøgt sendt til computeren.
SMB
En anden teknik, som har været benyttet i forbindelse med angrebene, indebærer SMB-protokollen og Microsoft Office. Nærmere bestemt er der tale om et link til en fil på eksempelvis file[:]//[remote IP address]/Normal.dotm
Når eksempelvis Microsoft Word forsøger at tilgå filen, så vil klienten bliver forsøgt autentificeret med serveren. Og det kan ifølge US-Cert-varslingen indebære, at brugerens credential hash bliver sendt til serveren, før filen bliver hentet.
I den forbindelse lyder vurderingen i varslingen, at aktøren efterfølgende formentlig har benyttet teknikker til kodeords-knækning for at få fat i klartekst-kodeordet. Og herefter har det med login-oplysningerne været muligt for aktøren at optræde som en autoriseret bruger.
Læs hele den detaljerede varsling hos US-Cert,, hvor der også er links til lister med blandt andet ondsindede filer og ip-adresser, som it-sikkerhedsansvarlige bør være opmærksomme på.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
