Ny organisasjon rettet mot Ransomware

Dette står å lese på 07 Mai utgaven av Telenor TSOC Blogg:

Den nylig opprettede Ransomware Task Force (RTF) er organisert av “Institute for Security and Technology” i samarbeid med representanter fra teknologi- og sikkerhetsbedrifter, regjeringer, politi og internasjonale organisasjoner. Ransomware-bølgen har etter hvert økt i omfang til å bli en fare for samfunnet, med flere eksempler på ødeleggende angrep mot sykehus, kommuner, politi og offentlig infrastruktur. RTF mener at det må et internasjonalt samarbeid til for å stoppe bølgen. De har akkurat gitt ut sin første rapport med anbefalinger. Disse går blant annet ut på å få politiet til å prioritere denne typen saker, pålegge organisasjoner å informere myndighetene om betalinger av løsepenger og å få kryptobørser til å vite hvem kundene er og overvåke transaksjoner.

https://telenorsoc.blogspot.com/2021/05/oppsummering-av-nyhetsbildet-innen.html

Her har jeg samlet noen linker som kanskje kan bidra til litt utdypende informasjon:

 

Angrep mot Stortinget August 2020

Det første og forholdsvis mindre angrepet mot Stortingets e-mail tjeneste skjedde i September 2020. Man omtaler det første angrepet som kom som omfattende men det neste angrepet som kom noen måneder senere ble mer forholdsvis mer omfattende.

Dette står å lese i Telenor sin TSOC Blogg:

Et mindre antall stortingsrepresentanter fikk epost-kontoene sine hos Stortinget kompromittert. NSM bistår Stortinget i kartlegging og innføring av mitigerende tiltak. PST sa til NRK at en av hypotesene deres er at en statlig aktør står bak IT-angrepet mot Stortinget. De sier at det er mulig det ikke bare er et digitalt angrep, men at det kan være en del av en etteretningsoperasjon mot Norge. Etter angrepet har NSM (NCSC) kommet med råd om å beskytte Exchange og Office 365 ved å slå av gamle måter å logge seg inn på som ikke støtter multifaktorautentisering (MFA), som ActiveSync. Angrepet sees ikke i sammenheng med angrepet mot kommuner i Innlandet omtalt i forrige avsnitt.

https://telenorsoc.blogspot.com/2020/10/oppsummering-av-nyhetsbildet-innen.html

Artikler på web:

Jeg vil forsøke å samle sammen noen linker som gir litt mer informasjon om dette angrepet:

 

Angrepet mot Stortinget i mars 2021

Den store nyheten denne måneden var kompromitteringen av titusenvis av Exchange-servere over hele verden. Microsoft meldte 2. mars om at avanserte angripere brukte fire nye og til da ukjente svakheter til å kompromittere Exchange-servere som var eksponert mot Internet. Exchange-tjenester hostet hos Microsoft var ikke rammet. Angrepene startet egentlig så tidlig som 6. januar og i begynnelsen var det den kinesiske APT-gruppen Hafnium som stod bak angrepene, som for det meste rammet mål i USA. Det er trolig spionasje som var formålet med operasjonen. Microsoft ga raskt ut patcher for svakhetene som ble utnyttet, men i de påfølgende dagene fikk flere trusselaktører tak i verktøyene for å utnytte svakhetene. Exchange-servere som ikke hadde blitt patchet ble kompromittert og disse ble brukt som brohode inn i mange bedrifter for å stjele data, installere programvare for å utvinne kryptovaluta eller å ta ned hele bedriften ved hjelp av ransomware.

Beskrivelsen er hentet ut i fra Telenor TSOC blogg.

https://telenorsoc.blogspot.com/2021/04/oppsummering-av-nyhetsbildet-innen.html

Det kan se ut som at den første del av dette angrepet ikke var rettet mot spesifikt mot Stortinget, det dreide seg heller om en global bølge av angrep mot Microsoft Excange Server (mail server). Så kommer i neste omgang et angrep mot Det Norske Stortinget.

I forbindelse med angrepet mot Exchange-serverne ble Stortinget kompromittert for andre gang i løpet av få måneder. Angrepet er under etterforskning og det er bekreftet at data fra eposter har blitt hentet ut. Etter at angrepet ble kjent gikk Stortinget ut og opplyste om at alle sikringstiltakene som ble vedtatt gjennomført etter det forrige angrepet nå har blitt gjennomført.

Kilden for dette siste sitatet er den samme artikkelen hos Telenot sin TSOC blogg.

Jeg har prøvd å se litt på hvordan dette angrepet ble gjennomført, rent teknisk. Det kan se ut som at angrepet har skjedd gjennom de porter og “kommunikasjonskanaler” som vanligvis vil stå åpen hos en mail-server og som brukes til å transportere og framsende mail. Disse svakhetene eller feilene ved MS Exchange serverne skal nå være rettet opp via “patches”.

En annen side ved saken, det er at det kan se ut som at det i forbindelse med dette angrepet ikke bare har vært mulig å hente ut opplysninger fra, eller å manipulere mail, det har også vært mulig å opprette systembrukere på noen av mailserverne som så kan brukes for videre angrep mot det lokale nettverkets infrastruktur.

Artikler på web:

Jeg vil forsøke å samle sammen noen linker som gir litt mer informasjon om dette angrepet:

Angrep mot Norsk Hydro 19 mars 2019

Hydro ble natt til tirsdag 19. mars utsatt for et større cyber-angrep i form av løsepengevirus. Målet kan ha vært å presse Hydro for penger, men det egentlige målet kan også ha vært å sabotere bedriften. Hydro måtte bytte over til manuelle rutiner i produksjonsprosessene der dette var mulig. Det var malwaren LockerGoga som brukt, en relativt enkel malware som ikke har nettverkskommunikasjon. Den må derfor manuelt kopieres til klienter og servere i bedriften som angripes. I Hydros tilfelle ble dette gjort ved at angriperne fikk tilgang til deres Active Directory server. Herfra hadde angriperne full kontroll over nettverket. Det er usikkert hvem som står bak angrepet. Mot slutten av måneden opplyste Hydro at cyberangrepet kan komme til å koste dem opp mot 350 millioner kroner.

Beskrivelsen er hentet ut i fra Telenor TSOC blogg.

https://telenorsoc.blogspot.com/2019/04/

Kommentarer til dette angrepet:

Den 19 mars 2019 så skjedde det et angrep mot Norsk Hydro som er interessant av mange grunner. Angrepet hadde en meget avansert og sofistikert gjennomføring, det fikk store praktiske og økonomiske konsekvenser og det var et angrep som var rettet mot en teknologibedrift. Angrepet var rettet både mot selskapets administrative systemer og selskapets styringssystemer for teknisk produksjon. Begge deler ble ødelagt og satt ut av spill.

Angrepet mot Norsk Hydro er også interessant av en annen grunn. Selv om det også finnes mange forskjeller, så har angrepet en hel del til felles med et senere angrep rettet mot Østre Toten Kommune.

I begge tilfeller så klarte man å ta kontroll over et stort antall Windows PC’er og servere ved å kompromittere og ta kontroll over Windows Active Directory Domain controller, slik at man kunne bruke dette som et utgangspunkt for et angrep mot datanettverket som helhet.

I begge tilfeller så dreide det seg om “manuell hacking” og altså ikke bare et automatisert angrep men manuelle gjennomførte angrep der det må ha tatt ganske mange arbeidstimer å gjennomføre dette angrepet. Angrepet mot Norsk Hydro er vel også på mange måter en praktisk demonstrasjon av det som man kaller for “The Cyber Kill Chain“.

I begge tilfeller så dreide det seg også om å stenge ned og kryptere organisasjonens Windows arbeidsstasjoner og servere og å framsette krav om løsepenger for å “låse opp” datafilene.

Det er en vesentlig stor forskjell mellom disse to angrepene. I tilfellet Norsk Hydro så ble det utviklet ny og fram til da ukjent ransomware. Det var derfor nokså vanskelig å oppdage dette angrepet før det skjedde. I angrepet mot Østre Toten Kommune så brukte man “gammel” ransomware som var kjent fra før. Her var Østre Toten Kommune “et offer i rekken”.

I begge tilfeller så nektet man å etterkomme kravet om løsepenger og man valgte i stedet å gjenopprette systemene manuelt ut i fra de kostnadene som det medførte.

Artikler på web:

Jeg har samlet sammen noen linker som gir litt mer informasjon om dette angrepet:

 

 

 

 

Opplæringsbehov i forhold til teknologifag og sikkerhet

Læreplanmål for teknologifag er ofte skrevet på en slik måte at det gir en del tolkningsrom, og det kan ligge mye praktisk og faktisk innhold i en liten linje. Eksempel fra kommende læreplan for VG3 automatisering:

“installere bussystemer og konfigurere digital- og analog kommunikasjon i automatiserte anlegg, og gjøre rede for komponentenes virkemåte og vurdere tiltak for å etablere et sikkert elektronisk kommunikasjonsnett”

Hvordan kan man så “konkretisere” dette slik at utdanningen “Industriens og arbeidsplassenes behov”.

Her synes jeg at man har mye “god konkretisering” å finne i disse to dokumentene:

Norsk Industri – Veikart:

https://www.norskindustri.no/bransjer/teknobedriftene/cybersikkerhet-og-industri-4.0/veikartet/

Sintef – Grunnprinsipper:

https://www.ptil.no/globalassets/fagstoff/prosjektrapporter/ikt-sikkerhet/id4-grunnprinsipper-for-ikt-sikkerhet_sintef-rapportnr-2021-00055-feb—signert.pdf

Problemstillingene kan vel være relevante også for andre elektrofag og TIF, skulle man tro.

Jeg har også linket opp en video som viser de noen av de sikkerhetsmessige problemstillingene man har å gjøre med i forbindelse med industrielle datanettverk.

https://iot.el3.no/video-om-industrielle-datanettverk-og-sikkerhet/

En interessant og litt relevant artikkel hos Dagens Næringsliv:

https://www.dn.no/innlegg/datasikkerhet/hacking/cyberkriminalitet/innlegg-2021-kommer-til-a-bli-hackernes-ar/2-1-959390

Hackerangrep mot Østre Toten Kommune

Østre Toten Kommune ble hacket ca den 10 Januar i år. (2021) Ca 1.000 PC’er og servere med Windows operativsystem ble kryptert og det ble satt fram et krav om løsepenger for å åpne filene igjen. Østre Toten Kommune betalte ikke.

Etter et slikt angrep så kan være en mulighet for oss andre, å sette oss inn i hvordan dette angrepet skjedde, slik at vi kan lære av det som skjedde, slik at man kan forhindre at tilsvarende angrep skjer i framtiden.

Man kan vel kanskje si det slik at hos Østre Toten Kommune, så hadde man gjort de aller fleste tingene “riktig”, of ut i fra “anbefalt metode”, men det viste seg at når man gjorde tingene på “den riktige måten”, så medførte det at dette at ca 1000 PC’er og servere ble låst ned og at alle data gikk tapt. Bacupdata gikk for en stor del også tapt.

Det viste seg at det ikke var tilstrekkelig å gjøre tingene “ut i fra rutine”. Det krevdes også “noe mer” for å forbebygge dette angrepet.

Det systemoppsettet som man hadde  hos Østre Toten Kommune, og som gjorde dette hackerangrepet mulig kan etter mitt syn kort oppsummeres slik:

  • Det hadde blitt satt opp mange datamaskiner på et felles lokalnett, slik at datamaskiner kunne kommunisere med hverandre via lokalnettet.
  • Man lot den samme domenekontrolleren kontrollere sikkerheten på ca 1000 datamaskiner.
  • Det kan se ut som at man hadde satt opp en åpning for remote desktop pålogging fra en av maskinene og ut mot internett.

Det hackerne så gjorde, kort fortalt, det var å komme seg inn på lokalnettet, logge seg inn på domenekontrolleren og så kryptere og låse ned samtlige servere og PC’er via domenekontrolleren.

Bare de PC’ene som ikke var kontrollert av domenekontrolleren kunne unngå å bli ødelagt.

Det kan se ut som at systemadministrator hadde  “hadde satt opp tingene på forholdsvis vanlig måte” men de kanskje ikke hadde ikke etablert en god nok “digital sikkerhetskultur” og de hadde ikke utført en god nok fortløpende risikovurdering til at man klarte å forebygge det som skjedde.

Nasjonal sikkerhetsmyndighet sier dette om sikkerhetskultur:

Nasjonal sikkerhetsmyndighet definerer sikkerhetskultur til å være summen av de ansattes kunnskap, motivasjon, holdninger og atferd som kommer til uttrykk gjennom virksomhetens totale sikkerhetsatferd.

Fra veileder fra Digitaliseringsdirektoratet:
Internkontroll i praksis – informasjonssikkerhet – Grunnleggende innføring

3.2 Risikovurdering

Internkontroll handler om risikostyring. Risikovurdering er den grunnleggende aktiviteten i risikostyringen. Uten risikovurderinger får man ingen risikostyring eller internkontroll. Vi kaller risikovurdering «hjertet» i internkontrollen.

I stedet for å bare ha fokus bare på at “alle skal følge regelverket” så mener jeg at det vil være forholdsvis god ide, å bygge opp en digital sikkerhetskultur der man også, systematisk og over tid, bygger opp kompetanse i forhold til teknisk datasikkerhet og samtidig som fortløpende risikovurdering som en del av en digital hverdag.

Sett i etterpåklokskapens man også ha gjennomført disse endingene:

  • Nettverket segmenteres i den grad dette kan passe inn i separate nettverkssegmenter og sikkerhetssoner, der PC’er og servere ikke har tilgang til hverandre slik som de har det når de er plassert inn på et felles lokalnett.
  • PC’er som det ikke er nødvendig å styre fra domenekonttroller ulelates fra domenekontrollerens kontrollområde. Disse PC’ene kan med fordel kjøre i sin egen sikkerhetsone.
  • Ekstern gateway scannes regelmessig fra utsiden, slik at man hele tiden har kontroll på at det ikke finnes noen åpne porter fra internett og inn på lokalnettet. I den grad det er helt nødvendig å åpne inngående porter for tilgang fra Internett, så åpnes disse bare for en kort tidsperiode, for så å lukkes igjen.
  • Man bør arbeide systematisk og over tid med å bygge opp en “digital sikkehetskultur” basert på gode kunnskaper, motivasjon og holdninger hos alle ansatte. Opplæring innenfor IKT sikkerhet bør prioriteres.
  • Alt arbeide med datamaskiner og annet IKT og nettverkstilkoblet utstyr bør skje ut i fra en fortløpende risikovurdering og en kultur for IKT sikkerhet, der man hele tiden vurderer risko og mulig skade opp mot hverandre. På dene måten så bør man kunne forebygge framtidige uønskede hendelser.

På de to postene under så er det linket opp en del informasjon som jeg famt på Internett for å kunne sette meg inn i denne saken.

Hackerangrep norsk kommune 2

Linker for referanse

https://internkontroll-infosikkerhet.difi.no/sites/sikkerhet/files/grunnleggende_innforing_-_internkontroll_informasjonssikkerhet.pdf

https://nsm.no/fagomrader/sikkerhetsstyring/sikkerhetskultur/

https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/varsel-om-losepengevirus

Cert France

https://digitalguardian.com/blog/fbi-warns-pysa-ransomware-targeting-educational-sector

King Ransom

Dfrir Report

https://digital.nhs.uk/cyber-alerts/2020/cc-3633

https://www.microsoft.com/security/blog/2017/11/06/defending-against-ransomware-using-system-design/

Hackerangrep mot norsk kommune

Det skjedde forholdsvis nylig et hackerangrep mot en norsk kommune. Det kan være intersant å samle inn lit informasjon om dette angrepet og hvordan dette angrepet skjedde.

https://www.ostre-toten.kommune.no/dataangrepet/

Temaside hos totenidag.no

https://nsm.no/aktuelt/kommuner-og-offentlige-virksomheter-ma-beskytte-seg-mot-losepengevirus

https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/varsel-om-losepengevirus

https://www.nrk.no/innlandet/teknisk-oppvask-pa-datamaskiner-i-ostre-toten-etter-dataangrep.-kommuner-hackes-daglig.-1.15326840

https://www.nrk.no/innlandet/info-som-hackarar-fekk-ut-fra-ostre-toten-kommune-kan-ha-hamna-pa-det-morke-nettet-1.15439495

https://fencenordic.com/blogg/norsk-kommune-ble-hacket-og-tapte-nesten-alt

Artikkel i IT-Avisen

https://nsm.no/aktuelt/risiko-2021-helhetlig-sikring-mot-sammensatte-trusler

https://frifagbevegelse.no/nyheter/kommune-setter-itdriften-ut-til-eksternt-firma-etter-dataskandale–en-fallitterklaring-sier-tillitsvalgte-6.158.772570.0f8386444d

https://www.tietoevry.com/no/nyhetsrom/alle-nyheter-og-meldinger/andre-nyheter/2021/03/kompetanse-ma-hoyere-pa-dagsorden-i-kampen-mot-hackere/

https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/informasjonssikkerhet-internkontroll/sikkerhetsarkitektur/

https://nsm.no/fagomrader/sikkerhetsstyring/sikkerhetskultur/

https://internkontroll-infosikkerhet.difi.no/sammendrag

https://internkontroll-infosikkerhet.difi.no/sites/sikkerhet/files/grunnleggende_innforing_-_internkontroll_informasjonssikkerhet.pdf

https://nsm.no/fagomrader/sikkerhetsstyring/sikkerhetskultur/