Af Rasmus Elm Rasmussen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Gruppen, som Symantec har døbt Hidden Lynx, har senest angrebet organisationer i Sydkorea og er ellers særligt kendt for at angribe den amerikanske forsvarsindustri. Symantec kan se, at infrastrukturen og værktøjerne, der anvendes i angrebene stammer fra Kina.
”Hackerne begrænser sig ikke kun til få mål, men rammer i stedet hundredvis af forskellige organisationer i mange forskellige lande samtidigt. Bredden og antallet af mål tyder på, at gruppen er en professionel ”hacker for hire”-gruppe. De stjæler værdifuld forretningskritisk information på ordre og arbejder ikke med specifikke mål”, siger it-sikkerhedsekspert Peter Schjøtt, Symantec.
” Vi ved endnu ikke specifikt, hvem der hyrer dem, men noget tyder på, at de er bestilt af nogen, der vil i kødet på dele af den amerikanske forsvarsindustri. Men det er ikke det eneste, fx har også regeringsfunktioner, finansielle organisationer, industri og medier i en række lande været mål for gruppen. Det er en utrolig velorganisteret gruppe på i hvert fald mellem 50-100 cyberkriminelle, og deres tjenester står til rådighed for alle, der vil betale for det. Hackers for hire er en stigende tendens, som alle – både virksomheder og nationer – skal være opmærksomme på”, siger Peter Schjøtt, Symantec.
Hackergruppen har en vedholdenhed og tålmodighed, som en intelligent jæger, og går gerne hele vejen igennem leverandørkæden med inficerende angreb for at få ram på det ønskede mål. Siden 2011 har Symantec observeret mindst seks betydningsfulde hacker-kampagner af denne gruppe. Den mest bemærkelsesværdige af disse kampagner er VOHO-angrebet i juni 2011, som ramte det amerikanske sikkerhedsfirma Bit9.
”Hackerne ville have adgang til nogle specifikke firmaer i den amerikanske forsvarsindustri, hvis it-systemer var beskyttet af Bit9’s sikkerhedssoftware. De brugte derfor en specielt designet trojansk hest netop rettet mod Bit9, som de ved hjælp af watering hole-metoden plantede i sikkerhedsfirmaet.
Dermed fik de adgang til det helligste af det helligste hos Bit9, nemlig virksomhedens signeringsnøgler, som Bit9 bruger til at kvalitetsstemple software som sikkert og pålideligt. Med signeringsnøglerne kunne hackerne signere malware, som Bit9’s software fejlagtigt godkendte som sikkert. På den måde kunne kineserne få adgang til de amerikanske forsvarsvirksomheder. Sådanne firmaer indeholder meget information, som enten konkurrenter eller andre nationer kunne have interesse i at besidde”, fortæller Peter Schjøtt, Symantec.
Hvordan beskytter man sig mod dem
”Der er ikke nogen quick-fix løsning. For at beskytte sig mod hackere bør virksomheder finde ud af, hvad kronjuvelerne i netop deres virksomhed er og nøje overveje, hvordan man beskytter dem. Virksomheden er nødt til at have en række forskellige beskyttelsesprodukter, der lapper ind over hinanden. De skal ikke bare lappes tilfældigt sammen, men der skal tages nogen bevidste valg om sikkerhed og risikovillighed. Sikkerhed er ikke bare noget, man hiver ned fra hylden og sætter op og kigger på en gang imellem ved lejlighed. Virksomheden må nøje overveje, hvordan sikkerheden sættes sammen og driftes”, siger Peter Schjøtt, Symantec.
Om watering hole angrebsmetoden
Gruppen er pionerer i en ny angrebsmetode kaldet watering hole-angreb, som bruges til at stjæle oplysninger fra virksomheder og organisationer. Metoden har fået sit navn, fordi den benytter samme angrebstaktik, som sultne rovdyr, der ligger på skjul ved vandhuldet, hvor de uskyldige ofre kommer ned for at drikke. Metoden er simpel: Hackerne udvælger et offer, som de ønsker at ramme.
Derefter sætter de en ”fælde” op på for eksempel en webside, som de regner med, at offeret vil besøge. Det gør de ved at hacke siden og placere en kode på den. Så venter den kriminelle på, at offeret ”løber i fælden”. Det udsete offer behøver ikke engang at åbne en underside eller downloade filer fra websiden for at blive inficeret. Når det er sket, kan hackeren begynde at manipulere med offerets pc eller Mac.