Taggat med: Bolagsverket

Analys av förundersökningsprotokollet från hackerhärvan

En hacker som skriver på ett tangentbord. Mycket avancerad hacker

Det senaste omtalade dataintrånget där fleratlet inblandade står åtalade har orsakat stor medial uppmärksamhet. Men hur avancerade var intrången och vilka metoder användes i hackerhärvan B 8322-16.

Förundersökningsprotokollet (FUP) innehåller mängder med olika åtalspunkter där många består i att skadlig kod har skickat i form av Word-filer där makron funnits bifogade. Dessa makron har sedan exekverat PowerShell-kod och efter detta har lösenord dumpats ut samt så har förflyttningar internt genomförts (lateral movements).

Vi kan utläsa att bl.a. den åtalade 37-åringen som varit ansvarig för dataintrången lagt ut uppdrag på sajten Freelancer.com för att få skadlig kod utvecklad.

Nedan skärmdump från Freelancer.com visar att 37-åringen vill ha en exploit utvecklad i C# för sårbarheten MS16-032 för ca 14 EUR vilket var det vinnande budet:

Denna exploit har sedan troligtvis används lokalt hos offren som fått Word-filer för att eskalera behörigheter, eftersom MS16-032 är en lokal sårbarhet.

Som kommunikation mellan personerna i ligan användes Jabber och enligt FUP:en så återfinns kortare utdrag av chatt-kommunikationen vilket indikerar på att historik lagrades eller frånvarande kryptering (hemlig telefonavlyssning av datatrafik).

Tittar vi på Github-sidan tillhörande 37-åringen så ser vi mängder med forkade repon som bl.a. innehåller PoshC2, laZange, Powershell-attacker samt lokala Windows-exploits.

Även återfinnes luckystrike som är ett verktyg för att skapa skadliga office-makron:

Som mail-tjänst användes bl.a. svenskutvecklade CounterMail. Jag kan även utläsa att flertalet olika BankID utnyttjats där man bl.a. kommit över någons SEB digipass för att sedan installera BankID på en iPad, detta för att komma åt bankkonton och ändra uppgifter hos Bolagsverket.

Falska snarlika domäner har registrerats där riktiga företaget har haft .se men bedragarna har registrerat .nu, även felstavningar av .se-domäner har registrerats och nyttjats för bedrägeri via E-post (falska intyg, pass osv).

Flertalet affärssystem har ändrats så att utbetalningsuppgifter går till bedragarna. Ett av affärssystemen som används var Microsoft Dynamics AX. De förekomster där bedragarna har blivit upptäckta är där manuella metoder varit inblandade och extra avstämningar har genomförts.

Slutsats

Min slutsats är att intrången inte var speciellt avancerade men utnyttjade det faktum att viss tillit finns mellan personer och företag och därmed användes social engineering.

Även har attackerna med tiden förfinats och blivit mer och mer avancerade. Av stor vikt är att monitorera exekveringar av PowerShell samt följ upp samtliga antivirus-larm i Er organisation.

Kommentar på Riksrevisionens rapport om informationssäkerhet i staten

RiksrevisionenMyndigheten Riksrevisionen släppte för några dagar sin rapport med titeln Informationssäkerhetsarbete på nio myndigheter (RiR 2016:8). Rapporten omfattar en granskning gällande informationssäkerheten hos myndigheterna  Svenska kraftnät, Arbetsförmedlingen, Bolagsverket, Försäkringskassan, Lantmäteriet, Migrationsverket, Post- och telestyrelsen, Sjöfartsverket och Statens tjänstepensionsverk.

Arbetet med informationssäkerhet når inte upp till en godtagbar nivå på de granskade myndigheterna

Granskningen har genomförts med hjälp av intervjuer samt så har relevant dokumentation på tre av myndigheterna granskas. Övriga myndigheter har fått svara på en enkät.

Några av de positiva sakerna som tas upp i rapporten:

  • Alla tre myndigheter använder teknisk implementation i form av VPN och tvåfaktorsautentisering, vilket innebär en väsentligt minskad risk vid fjärranslutning.
  • Alla sex myndigheter uppger att de har en metod för att klassificera sina informationstillgångar.
  • Alla tre myndigheter har genomfört tekniska åtgärder för att höja säkerheten på bärbara datorer, och den tekniska säkerheten för dessa är därför god.

Och de negativa delarna och där brister framgår är desto mer, några av dessa är:

  • Den tredje myndigheten når inte upp till godkänt, eftersom backuperna förvaras på samma fysiska plats som originaldata.
  • En myndighet saknar skriftliga bestämmelser för säkerhetsloggning.
  • Det saknas dock bestämmelser om att lösenord inte får loggas.
  • En av de tre myndigheterna har en lösenordspolicy som når upp till godkänt.
  • Ingen av myndigheterna utför dock regelbundna och övergripande analyser som fokuserar på informationssäkerhet.
  • Ingen av myndigheterna når upp till godkänd nivå i fråga om att säkra nyckelkompetens.
  • Flera myndigheter har uppgett att man får, som det heter, uppfinna hjulet på egen hand i alltför stor utsträckning.
  • Två myndigheter har en otillräcklig organisation för att hantera incidenter.

Men hur kan det komma sig att hanteringen av informationssäkerheten kan bli så här? För även om detta bara är ett litet axplock av våra 340 myndigheter så gäller mycket av det som lyfts upp i Riksrevisionens rapport även på andra myndigheter. Och precis som Riksrevisionen skriver i sin rapport så är det främst myndighetsledningens ansvar att prioritera och ta ansvar för informationssäkerheten och inte delegera ner i organisationen.

Jag tror främst att det beror på individnivå, några av myndigheterna har lyckats att rekrytera och behålla engagerade och högt presterande medarbetare. Och därav de olika nivåerna på olika områden inom infosäk på myndigheterna. 

Givetvis är det även också brist på engagemang och intresse från myndighetsledningens sida. Kanske rentav så att brist på intresse för teknik och hur infosäk-arbete måste genomsyra allt arbete på myndigheten. För IT är inte enbart en fråga för IT-avdelningen, utan alla medarbetare på myndigheten måste ha utbildning och förståelse för cybersäkerhet.

Eller som Riksrevisionen framhäver slutsatserna:

Säkerhetsarbetet implementeras inte i de ordinarie verksamhetsprocesserna. Kärnverksamheten uppfattar inte att den har något ansvar för informationssäkerheten, utan att det ligger någon annan-stans i myndigheten såsom på IT- eller säkerhetsfunktioner.

Och även följande är intressant:

Granskningen visar att myndigheternas ledningar har delegerat ansvaret för informationssäkerhet, utan att se till att de ansvariga har ett tillräckligt mandat att utföra sina uppgifter och tillräckligt med resurser.

Tips: Läs även Kim Hakkarainens reflektioner.

Här kan du ladda Riksrevisionens rapport i sin helhet:

Informationssäkerhetsarbete på nio myndigheter - En andra granskning av informationssäkerhet i staten
Informationssäkerhetsarbete på nio myndigheter En andra granskning av informationssäkerhet i staten