Hackeren ringer altid (mindst) to gange

”Når hackere får adgang til en virksomheds systemer og data, er der sjældent tale om et enkeltstående heldigt gætteri af et password. Der er tale om systematiske og velplanlagte angreb, der foregår over flere måneder,” siger Christian Wernberg-Tougaard, formand for it-sikkerhedsudvalget i IT-Branchen.

It-kriminelle er i dag professionelle organisationer, der metodisk og med forskellige trick hacker sig dybere og dybere ind i en virksomheds it-infrastruktur for at stjæle penge, kreditkortoplysninger og forretningshemmeligheder.

Uanset om det drejer sig om it-kriminelle på jagt efter finansielle midler eller statssponsoreret hackere, så følger de alle ifølge sikkerhedsfirmaet FireEye typisk den samme livscyklus inden for cyberangreb.

I visse tilfælde kan livscyklussen være kortere. Eksempelvis når det handler om Ransomware, hvor motivet er kryptering af data og efterfølgende løsesum. I de tilfælde fokuserer hackerne ikke på at skjule sig eller opsnuse data med henblik på tyveri.

”Selvom man skal have et beredskab klar for hver fase, er der ingen tvivl om, at jo hurtigere man er i stand til at sætte ind i forhold til livscyklussen, jo større er chancen for man undgår tab af følsom data,” udtaler Christian Wernberg-Tougaard.

1. Rekognoscering – Identificering af sårbarheder

De gamle dage, hvor hackere f.eks. sendte en generisk mail ud til flere tusinde mere eller mindre tilfældige modtagere, for så at håbe på, at blot et par stykker trykkede på linket, er slut.

I dag bruger de it-kriminelle mange ressourcer på at identificere sårbarheder hos personer eller virksomheder, før de sætter angrebet ind.

”De undersøger ikke bare ofrets forretning, eventuelle infrastruktur, brug af software og samarbejdspartnere, men kigger også på specifikke medarbejderes aktiviteter på de sociale medier, så de kan skræddersy en e-mail, der er interessant at åbne,” fortæller Jens Monrad, senioranalytiker hos FireEye.

I en sag fra USA, som FireEye optrævlede, havde hackerne f.eks. succes med at identificere de medarbejdere, der havde ansvaret for kontakten med den amerikanske Securities and Exchange Commission (SEC), hvorefter de sendte en mail, der så ud som om, den kom derfra og havde vigtige opdateringer til et relevant dokument. Dokumentet var dog inficeret og åbnede for en bagdør til virksomhedens systemer.

Skal man undgå, at hackerne i første omgang kommer ind, er det derfor vigtigt, at man hele tiden minimere antallet af sårbarheder.

”Det er ikke længere nok bare at opdatere sin software en gang om ugen. Man skal have en strategi for, hvad man gør for at opdage og prioritere sårbarheder. Og så skal man hjælpe medarbejderne på de sociale medier,” siger Jens Monrad.

Han anbefaler bl.a., at man skal udarbejde retningslinjer for, hvad medarbejderne ikke bør skrive om, og at de helst skal bruge to-faktor validering, når de logger ind på sociale medier.

2. Indledende kompromittering - Adgang til mål

Er forarbejdet gjort, og de relevante medarbejdere er identificeret, handler det fra hackernes side nu om at få skabt et hul, der kan udnyttes til de næste faser.

”Hackerne vil typisk forsøge at få ofret til at eksekvere skadelig kode, gennem en vedhæftet fil i en e-mail, eller måske et link til en hjemmeside. I nogle tilfælde laver koden en simpel bagdør til systemerne, og i andre kan det dreje sig om, at koden stjæler medarbejdernes brugeroplysninger, så de kan misbruges senere hen,” siger Jens Monrad.

Har man opdaterede antivirusprogrammer, kan man modstå en del af disse angreb, men det er også vigtigt, at medarbejderne lærer at være kritiske, når de f.eks. modtager en mail fra en direktør, der hurtigt vil have overført nogle penge, eller når de modtager en mail fra ”PostNord” vedr. en pakke, de ikke lige kan huske at have bestilt.

3. Etablering af fodfæste - Styrke position inden for mål

Når et cyberangreb først er lykkedes, og hackerne er inde bag virksomhedens forsvarslinjer, handler det så om at etablere et fodfæste hos ofret, så de kriminelle hele tiden har adgang og kan indsamle yderligere informationer.

Afhængigt af formålet kan dette enten handle om at overvåge sit offer, optage tastatur-tryk eller indsætte skadelig kode, der krypterer data og kræver løsesum for at låse data op.

I en anden sag fra USA, lykkedes det it-kriminelle at hacke sig ind i flere detailvirksomheder, for senere at kunne stjæle kundernes kreditkortoplysninger. Det var et mere sofistikerede angreb, hvor de efter at have fået adgang til systemerne fjernede den skadelige kode, og i stedet brugte normale it-værktøjer, så de ikke blev opdaget af sikkerhedsforanstaltningerne hos ofrenes virksomheder.

”Professionelle hackere er meget opmærksomme på, hvad der kan afsløre dem, når de først er inde. Derfor er det ofte også meget svært at se, at hackerne er aktive indenfor virksomhedens sikkerhedsmur,” forklarer Jens Monrad.

Skal man stå imod i denne fase, er det vigtigt, at man har et system, der effektivt overvåger de digitale indgange til virksomheden. Samtidig skal sikkerhedsafdelingen overvåge adfærden hos brugerne. Er det f.eks. logisk at denne medarbejder pludselig er tilgår på systemet via en VPN-forbindelse eller er aktiv på systemerne under sin ferie?

4. Eskalering af privilegier - Misbrug af legitime brugeroplysninger

Typisk vil den medarbejder, der i første omgang åbnede mailen, ikke have adgang til alle virksomhedens systemer, og derfor vil hackeren nu bruge tiden på at tvinge sig adgang længere ind i it-systemerne.

I sagen om de stjålne kreditoplysninger, fik hackerne via bagdøre adgang til medarbejderadministrationsdelen, og kunne derved give den oprindelige bruger, de i første omgang havde brugt til at komme ind i virksomhed med, langt flere privilegier.

Det hjalp hackergruppen til at få adgang til filer, systemer o.a. som brugeren ikke normalt måtte have adgang til.

Skal man kunne stoppe hackergrupperne i denne fase, er det vigtigt, at virksomheden har helt styr på, hvor dataene gemmes, og hvem der må få adgang til dem. Hvis en medarbejder f.eks. pludselig ud af det blå får nye sikkerhedsrettigheder, der ikke er godkendt af it-afdelingen eller hvis en medarbejder snuser rundt i en database, hvor det ikke er logisk, bør alarmklokkerne ringe.

5. Intern rekognoscering - Identificér måldata

Når det handler om tyveri af f.eks. kreditkortdata, så er de typisk bedre beskyttet end andre af virksomhedens data.

Derfor foretager hackerne i denne fase en omfattende intern rekognoscering for at identificere de systemer, der indeholder de data, de er ude efter – og for at finde de medarbejdere, der har adgang til disse data.

Kreditkorthackerne i ovenstående sag kortlagde ved hjælp af gratisprogrammer virksomhedernes samlede infrastruktur og overvågede dagligt flere hundrede databaser, så de hurtigt kunne finde ud af, hvor kundernes kreditkortinformationer lå henne i systemerne, hvordan de var beskyttet, og hvem der internt i virksomheden havde adgang til de pågældende data.

Denne fase er svær at identificere, fordi de kriminelle typisk vil benytte sig af normale it-værktøjer og systemkommandoer, der kan misfortolkes som almindelig it-administrative opgaver.

Har hackerne fundet frem til det rigtige system, vil de typisk sørge for at skabe et nyt fodfæste, så de ikke skal igennem alle de tidligere faser igen. Typisk vil de installere programmer, benytte sig af legitime fjernkontrolapplikationer, VPN m.m. for at kunne genbesøge ofret fra dette sted.

”Det er vigtigt, at man hele tiden har styr på, hvor ens kritiske data er placeret, og hvem der har adgang til dem, så man hurtigt kan reagere, hvis man oplever en mærkelig brugeradfærd. Desværre er det alt for få virksomheder, der har styr på de ting, og det giver hackerne ret frie rammer,” forklarer Jens Monrad.

6. Fuldførelse af mission - Tyveri af måldata

Er de trængt igennem den sidste mur af sikkerhed, vil de pågældende penge, kreditkortoplysninger og forretningshemmeligheder hurtigt forsvinde.

Hvis hackerne er professionelle, vil de gøre meget for at slette deres spor, og vil samtidig sørge for at beholde et par bagdøre, så de eventuelt kan vende tilbage en anden gang.

”Typisk vil de dele data op i mindre pakker og navngive dem som f.eks. billedfiler, så det ser uskyldigt ud, når data forsvinder fra virksomhedens systemer. Derefter vil de slette deres skadelige kode og logfiler i systemet, så der ikke er noget spor af dem,” fortæller Jens Monrad.

På det tidspunkt er der ikke så meget man kan gøre som virksomhed, og man må nok erkende, at ens data eller penge er forsvundet for altid.

”Et eller andet sted må man jo forsøge at gå tilbage for at finde ud af, hvad der skete, og så ellers starte forfra med at få styr på de enkelte faser i en hackers livscyklus. Jo tidligere man kan stoppe dem, jo enklere er det,” afslutter Jens Monrad.