Sikkerhedsansvarlige kan afsløre og forhindre industrispionage fra en hackergruppe, der ser ud til at være en del af den kinesiske hær. Det skriver Shehzad Ahmad i denne klumme fra Computerworld.
Shehzad Ahmad, der er chef for det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
I en 12-etagers bygning i Shanghai sidder hundreder af kinesiske militærfolk og foretager hackerangreb på vestlige virksomheder.
Det var en af februar måneds mest omtalte historier i sikkerhedsverdenen. Sikkerhedsfirmaet Mandiant udgav rapporten "APT1: Exposing One of China’s Cyber Espionage Units," der forsøger at bevise, at en enhed i hæren er identisk med den såkaldte "Comment Crew," der står bag en lang række hackerangreb.
Den slags beskyldninger fører naturligvis til reaktioner på det politiske plan.
Men rapporten rummer også helt konkrete, nyttige informationer for it-sikkerhedsansvarlige. Dem fokuserer jeg på i denne klumme.
Mindst 141 angreb
Lad mig først anbefale, at du henter rapporten og læser den.
Ud over at være elementært spændende læsning giver den også et indblik i, hvordan en sikkerhedsorganisation kombinerer og vurderer bevismaterialet efter et hackerangreb.
Rapporten fortæller historien om en hackergruppe, den kalder APT1. Navnet skyldes, at gruppen udfører angreb er af den type, der kaldes advanced persistent threat (APT). Det er målrettede angreb mod bestemte brancher eller enkelte virksomheder.
Andre kalder gruppen "Comment Crew." Det navn kommer af, at hackerne benytter kommentarer i HTML-dokumenter til at skjule kommandoer, som sendes til computere, de har overtaget.
Mandiant kender til angreb på 141 virksomheder og organisationer. De første angreb stammer fra 2006.
Den første mail
Som regel begynder et angreb med, at angriberen sender en e-mail, der ser ud til at være relevant for modtageren.
I mailen optræder navne på folk, modtageren kender, og der kan være henvisninger til aktiviteter, de er involveret i.
Det er den type angreb, der kaldes spear phishing – målrettet phishing.
Hvis en modtager åbner den vedhæftede fil, bliver vedkommendes pc inficeret. Så har hackerne fået adgang ind til firmaet.
Den adgang udnytter de. Og de bliver ved.
I gennemsnit bruger de forbindelsen til offerets netværk i 356 dage. Det hidtil længste angreb varede i fire år og ti måneder.
APT1-gruppen udnytter forbindelsen til at hente data fra offeret.
De går blandt andet efter information om produktudvikling, fremstillingsprocedurer, forretningsplaner, interne rapporter og andet, der giver offerets virksomhed konkurrencemæssige fordele.
Vi taler altså om industrispionage.
Gruppen skaffer sig også adgang til brugernavne og passwords samt information om, hvordan it-systemerne er struktureret.
Udvalgte brancher
Ofrene er fordelt på en snes brancher. Der har været flest angreb på firmaer inden for it og luftfart/rumfart.
Derefter følger offentlige myndigheder, satellit- og telekommunikation, samt videnskabelige forskningsinstitutioner. Også energi- og transportsektorerne er blevet ramt.
Brancherne er interessante derved, at kinesiske virksomheder er aktive inden for mange af dem.
Hvis angrebene er statsfinansierede, er de med til at give kinesiske firmaer konkurrencefordele.
Mandiant bruger mange ord på at godtgøre forbindelsen mellem APT1 og den kinesiske hærs enhed 61398 i Shanghai.
De fører ikke bevis for, at de to er identiske. Men de har så mange argumenter, at det virker som den mest sandsynlige forklaring.
Brug dataene
En dansk kommentator skrev om nyheden: "Det er da fint, at de har udpeget, hvor de sidder, men ud over det kan de vel så bare sige: Nå! Der sidder de. Og her står vi, og det kan ingen gøre noget ved."
Så galt er det heldigvis ikke.
For Mandiant har nemlig suppleret med rapporten med en stribe appendikser, der kan vise sig at være det mest værdifulde, der er kommet ud af hele affæren.
Appendikserne indeholder en stribe tekniske informationer om angrebene.
Her finder man en oversigt over de former for skadelig software, gruppen anvender identificeret med MD5-hashværdier.
Der er også lister over domænenavne, som indgår i APT1's infrastruktur, sammen med SSL-certifikater til serverne.
Endelig er der en samling såkaldte IOC'er. En IOC (Indicator of Compromise) er bevismateriale, man finder på en hacket computer. Det kan for eksempel være konfigurationsfiler, skadelige programmer eller data i registreringsdatabasen.
Alle dataene fra appendikserne er lige til at bruge: Man kan kopiere dem ind i sit IDS (Intrusion Detection System) eller andre programmer og tjekke, om de optræder i nogle af ens systemer.
Samarbejde virker
Så mit råd lyder: Læs rapporten og gennemgå listen over de brancher, APT1 retter skytset mod.
Hvis din virksomhed er aktiv i en af de brancher, og I har internationale aktiviteter, bør du bruge dataene fra appendikserne.
Mandiants åbenhed om dataene har allerede haft positive konsekvenser: Flere
andre sikkerhedsfirmaer har også frigivet information om angreb.
Således har Symantec offentliggjort yderligere IOC'er fra deres egen research.
Tenable Network Security har udgivet en række test, der kan køres med scanningsværktøjet Nessus til at opdage infektioner.
Den form for videndeling er lige, hvad vi har brug for.
Naturligvis ændrer APT1 metoder og værktøjer løbende, men hvis vi arbejder sammen, har vi en bedre chance for at opdage hidtil ukendte angreb – og forhindre de kommende.
Oprindelig offentliggjort i Computerworld og på Computerworld Online den 8. marts 2013