Af Lars Bennetzen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Tilbage i januar opdagede det danske sikkerhedsfirma Dubex nogle sårbarheder i Microsoft Exchange (e-mailserver), og chokerende nok det viste sig, at mindst 10 hackergrupper har været gang med at udnytte disse sårbarheder. Vi tager status på situationen, som den ser ud nu. Et er sikkert: Virksomheder over hele verden, også i Danmark, står over for et enormt oprydningsarbejde efter angrebet.
Denne hackersag har haft stor bevågenhed i medierne, og selvom ingen danske virksomheder endnu er stået frem, så er der ingen tvivl om, at også danske virksomheder er blevet ramt.
Flere hundrede danske er ramt
”Vi kan se på vores telemetridata, at vi har blokeret 10 hændelser i Danmark, og hvis vi skalerer det op, så betyder det, at der har været flere hundrede angreb mod danske virksomheder. Og det er næppe alle, der er eller har været i stand til at blokere angrebet,” fortæller Leif Jensen, CBO for sikkerhedsvirksomheden ESET Nordics til AOD PRO.
Omfanget af angrebene er ifølge Leif Jensen stort, og han forudser, at konsekvenserne for virksomhederne vil blive voldsomme, og at virksomhederne står over for et kæmpe, og langsigtet, oprydningsarbejde.
”Vi har kun set toppen af den oprydning, som virksomhederne står overfor. Fordi det handler om en Exchange Server, er det ikke bare et system, du kan slukke for i 14 dage. Du er nødt til at arbejde i et live miljø,” siger Leif Jensen.
Dertil kommer udfordringen med overhovedet at få et overblik over konsekvenserne. For er en virksomhed blevet ramt af angrebet, så har den, ifølge Leif Jensen, ikke været beskyttet, og så er den heller ikke i stand til at køre en analyse, der viser, hvordan den blev ramt – den har heller ikke værktøjerne til det.
”Så det kan komme til at tage lang tid, og samtidig er det ikke lige til at patche i et livemiljø,” fortæller Leif Jensen.
Han gætter på at vi kommer til at se dette angreb være aktivt mindst to måneder endnu, og at der ikke er nogen, der har et overblik over omfanget.
”Hackerne efterlader sig jo ikke logfiler, så det er et kæmpe detektivarbejde de er ude i,” forklarer Leif Jensen.
Et avanceret angreb
Samtidig har det ikke været noget simpelt angreb. Ifølge Leif Jensen så er sårbarheder af denne type ikke noget man falder over ved et tilfælde. Det har været nødvendigt med en meget stor og avanceret research for at finde denne sårbarhed, som ifølge Microsoft faktisk har eksisteret i adskillige år.
”Den slags sikkerhedshuller tager tid at finde. Man prøver sig frem, manuelt, og pludselig er der held i sprøjten. Derfor ser man typisk kun den slags fra grupper, der har rigtig mange ressourcer. Det er grupper, som ofte bliver tillagt at have forbindelse til stater, og hvis formål det er at spionere. Men det er også vigtigt at sige, at det ikke er bevist i dette tilfælde,” siger Leif Jensen.
Alvorlige konsekvenser
Ifølge Microsoft er angrebene sporet til en gruppe, der hedder Hafnium, det latinske navn for København. Den danske hovedstad har dog næppe noget med sagen at gøre. Gruppen stammer måske fra Kina (endda med tilknytning til statslige organisationer), men angriber via virtuelle servere i USA, så det er svært at vide med sikkerhed, hvem de er.
Microsoft har siden 2. marts leveret flere patches og værktøjer, men der er stadig titusinder af servere verden over, som ikke er blevet patchet. Ifølge Bloomberg var 60.000 servere verden over ramt allerede 8. marts.
Selvom man kører Microsofts opdatering af Exchange Server, kan man ikke være sikker på, at der ikke ligger malware på den. Måske strækker angrebene sig tilbage til september sidste år. Microsoft har ifølge ZDNet udgivet et script på GitHub, som it-administratorer kan køre, og det omfatter blandt andet IOC'er (Indicators of Compromise) til de fire svagheder, angriberne retter deres angreb mod.
De fire angreb er rettet mod Microsoft Exchange 2019, 2016, 2013 og 2010 – teknisk har de fået betegnelserne CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 og CVE-2021-27065.
De giver hackergrupperne mulighed for eksempelvis at læse indholdet af brugernes mail, tilføje nye brugerkonti, lægge active directory-dataser på netværket, lægge alle mulige former for malware ind i systemet, læse eller stjæle data, flytte sig videre til andre dele af en virksomheds netværk og meget andet. Der bliver kort sagt åbnet en bagdør til mange af de informationer, man normalt ønsker at holde inden for en organisations egne rækker.
Historien er med andre ord ikke slut endnu – heller ikke her på AOD Pro, hvor vi følger udviklingen i den kommende tid.