Det må en katastrofe til…

Proff-innhold: Er du abonnent? Logg inn for full tilgang. Standardbruker? Logg inn for tilgang til åpent stoff. Ingen tilgang? Registrer deg - bli med i 'det gode selskap'.
shutterstock_1300218256

Slik er det alltid. Angrepet på Hydro får toppledere og fagansvarlige til å stille det riktige spørsmålet: 'Kunne det ha skjedd hos oss?' Svaret er alltid 'ja'. Men å bli 'satt ut', slik Hydro ble, er unødvendig.

Vi minnes REGIN-angrepene på europeiske mobilnett for 10+ år siden. Over natten fikk sikkerhets-ansvarlige i flere titalls telcom-selskaper nærmest åpen pengesekk og klar beskjed: Dette må ikke skje hos oss. 6 måneder senere var mye gjort, pengesekken stengt og situasjonen tilbake til normalen. Hele Europa hadde fått bedre sikkerhet – en stakket stund. For budsjettets voktere forstår ikke - og sikkerhetsansvarlige er for lite flinke til å formidle – at sikring er en løpende aktivitet, ikke et skippertak. Vi kan ta enda hardere i: Tilstrekkelig sikkerhet koster mer hvert år.

Tilbake til Hydro fremstår situasjonen som uoversiktlig – til dels kaotisk. Artikler i presse og media inneholder lite fakta, mange feil og forsterker forvirringen. Ingen kan svare på det viktigste spørsmålet: 'Hvordan kunne det skje?' Svaret kan hjelpe en hel verden. Og Hydro vet naturligvis svaret, men ønsker ikke å hjelpe – muligens med god grunn, men vi ser ingen. At enkelte journalister har fått seg til å skryte av Hydro for åpenhet, avslører kompetansenivået hos journalisten og sier ingen ting om situasjonen.

Her er det vi vet så langt:

  • Ikke virus, ikke smittsomt: LockerGoga er ransomware, som feilaktig oversettes til norsk med 'løsepengevirus'. Dette er ikke et virus og er ikke smittsomt. I mangel av en fungerende oversettelse, holder vi oss til 'ransomware'. Ordet virus får de fleste til å tro at bedre antivirus er løsningen. Men antivirus mot malware og ransomware er som fluepapir mot mygg. Minimal effekt.
  • Ikke dobbeltangrep: NRK og flere melder at Hydro har vært utsatt for dobbelt-angrep. Det stemmer ikke. Angrepet har vært totrinns, med Microsoft AD som angrepsvektor. Hvordan dette har skjedd og om svakheter i AD har spilt en rolle, er så langt ukjent.
  • Ingen åpenhet: Hydro får skryt i enkelte media for åpenhet. Sannheten er at tilgjengelig informasjon om hendelsen er minimal. Kun de mest opplagte fakta, lite som kan hjelpe andre miljøer til å lære av erfaringene og beskytte seg bedre.
  • Ikke over natten: Media melder at 'angrepet skjedde natt til tirsdag'. Sannheten er at krypteringen ble effektuert og oppdaget på det tidspunkt. Hvor lenge inntrengerne har hatt adgang til systemene, er ikke kjent.

Hendelsen er ekstremt alvorlig. Hydro er i stor grad ute av drift, et faktum det ikke legges skjul på og som heller ikke kan skjules. Tilsvarende stor er interessen fra markedet: Hva gikk galt, hva kan vi lære? Så langt ligger det hermetisk lokk på informasjon som kan være faglig nyttig. Det kan være relevante grunner til slik hemmeligholdelse, og vi ser frem til å få 'hull på ballongen'.

I mellomtiden, her er  relevante fakta og observasjoner:

  • LockerGoga er, som vi nevnte ovenfor, ikke et virus, ikke smittsom og ser ut til å være nærmest manuelt plassert på klienter og servere. Nettstedet SecurityBoulevard skriver blant annet ...

"The malware does not have the capability to spread to other targets, but it does appear to use some anti-analysis techniques to avoid detection by security analysts. For example, it seems to detect the presence of a Virtual Machine and has the capability to delete itself from the filesystem in an effort to avoid sample collection."

  • Trend Micro forteller at den benytter avanserte 'evasion technologies' for å unngå både tradisjonell og ML-basert deteksjon. Den er selvstendig, uten behov for nettverk, og kan heller ikke oppdages den veien.
  • Behovet for manuell plassering og spredningen indikerer at angripere har hatt adgang til systemer over lenger tid – uker eller måneder, med høye privilegier. Det betyr at data kan være stjålet.
  • Første kjente bruk av LockerGoga var mot franske Altran i januar i år. Altran er et engineering-selskap med internasjonale forgreninger, og konsekvensen av angrepet var tilsvarende som for Hydro. Heller ikke Altran har offentliggjort teknisk informasjon om angrepet.

Tiltak

Om noen uker eller måneder vil historien om hva som egentlig skjedde hos Hydro forhåpentlig bli kjent. Da kan alle få del i kunnskapen hendelsen har generert. I mellomtiden bruker vi det vi vet – og det vi kan:

Det er preventivt å anta at kjente verktøy ikke vil oppdage LockerGoga. Samtidig vet vi at utplasseringen er helt eller delvis manuell: Inntrengere må ha adgang og høyt privilegie-nivå (admin access). De må også ha tid nok til å gjennomføre spredningen. Det er nok til å fokusere forsvaret på inntrenging og privilegier, og spesielt på kjente sårbarheter i AD. Videre er phishing alltid en høyrisiko-vektor, et sannsynlig første trinn. DNS-filtrering og DMARC i epost-systemet koster lite og har stor effekt, spesielt på nettopp phishing-forsøk.

Og sist, men ikke minst: 2-faktor autentisering er nødvendig – ikke bare for brukere med privilegier, men for alle. Koster mer, leverer mer – og er billig i forhold til kostnadene ved et vellykket angrep.

Vi unner ingen en katastrofe, men når den er et faktum, er deling veien til maksimal erfaringsverdi. Vekst oppstår aldri i vakuum, ofte på skuldrene av feil og ulykker.


Se også …

Vær den første til å kommentere

Skriv en respons

Epostadressen din vil ikke vises.


*


Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.