Dansk sikkerhedsfirma udsat for hævnangreb: Fik 400.000 mails fra hackere

Annonceindlæg fra Barco

Er jeres mødelokaler sikre nok?

Den moderne arbejdsplads er i stigende grad afhængig af mødelokaler til at fremme samarbejde, men dette skift medfører også stigende sikkerhedsudfordringer.

Grundet forskellige antispam-filtre valgte masser af mailservere på grund af afsender-adressen "csis.dik" (bemærk: .dik), at returnere mailen, da domænet ikke findes. Resultatet er, at "Return-Receipt-To" som er en funktion, der anvendes til at bekræfte at mailen også kommer igennem, bouncer en fejlmeddelelse tilbage til "kontakt@csis.dk". Kilde: CSIS.

Fik I mange mails i går?

"Ha, ha. Det tror jeg roligt, at man kan sige," lyder det fra Peter Kruse, der er teknisk direktør i it-sikkerhedsselskabet CSIS.

Torsdag 30. januar blev der nemlig sendt 400.000 mails til det danske sikkerhedsfirmas mailserver.

De mange mails blev sendt som en lille hilsen til CSIS for selskabets arbejde med at ødelægge et botnet.

"De it-kriminelle, som står bag netbanktyven Dyreza og et tilhørende botnet, valgte at svare tilbage på en operation, som CSIS i går gennemførte, og som havde indflydelse på driften af deres botnet," fortæller Peter Kruse.

"Vores operation var en såkaldt 'probe', hvor vi løbende vurderer, hvor modstandsdygtigt et botnet er overfor forskellige former for 'takedowns' fra vores side. Vi lagde deres botnet ned i et par timer, og det fik altså konsekvenser for os på mail-fronten," fortæller han.

Som et direkte svar på den aktion, valgte Dyreza nemlig at svare igen ved at indsætte CSIS som afsender i et massivt spamrun.

Blev udsat for et Joe Job

Denne type angreb går under betegnelsen et Joe Job, og målet med en sådan manøvre er at overbelaste mailservere ved at indsætte en valid adresse i en spoofet mailheader.

"Det kan sammenlignes med et DDoS-angreb, men rettet mod mailservere."

Ifølge CSIS havde Dyreza bemærket, at den ødelæggende aktion mod deres botnet stammede fra et dansk IP-adresserum.

"Der er ikke så mange i Danmark, der foretager denne type 'takedowns' mod botnet, så det har ikke været så svært at regne ud, at det var vores virksomhed, der stod bag. Det er altså en straffeaktion fra de kriminelle. Vi ved, hvordan vi skal lægge deres botnet ned, og det betyder åbenbart krig," fortæller Peter Kruse.

Læs også: Sådan går det, når hackerne selv bliver hacket

Man kan sammenligne det med et DDoS-angreb mod en mailserver.

Hvordan blev dette angreb effektivt?

"Selvom vi naturligvis beskytter vores mailservere med blandt andet SPF (Sender Policy Framework) og DMARC (Domain-based Message Authentication Reporting and Conformance), så løfter problemet sig, fordi mange andre mailservere ikke anvender teknologierne. Det gør det så ikke bedre, at afsenderdomænet ikke eksisterer (sendt som csis.dik).

Angrebet fra Dyreza kan teknisk sammenlignes med et DDoS-reflektionsangreb idet mailservere, som modtager den uønskede post, vil returnere en fejlmeddelelse. Det sker fordi csis.dk optræder i headeren "Return-Receipt-To". Alle autosvar vil sendes via en legitim MX record og dermed godkendes af SPF.

Der sker altså det, at der bouncer en fejlmeddelelse tilbage til kontakt@csis.dk, der er den konto, som kunder og brugere normalt anvender til kontakt med firmaet.

DMARC er også uden effekt da, der anvendes et ikke-eksisterende domæne (csis.dik) som afsender.

"Dette angreb er effektivt, fordi mange mailservere ikke er konfigureret forsvarligt, og det reflekterer direkte tilbage til vores mailserver," siger han.

Angrebet mange gange

Derfor blev CSIS altså bombet med henved 400.000 mails i løbet af ganske kort tid.

"Mange af beskederne blev dog filteret fra i vores mail firewall, men der slap cirka 15.000 mails igennem, før vi fik lukket helt ned, så der har været lidt oprydning her til morgen," fortæller han grinende.

Men der er ikke sket nogen skade efter angrebet, fortsætter han.

"Når man piller ved de it-kriminelles økonomi, bliver de vrede. CSIS har tidligere været udsat for denne og andre typer modangreb fra it-kriminelle, og det er ikke utænkeligt, at det vil ske igen. I mellemtiden vil vi fortsætte vores bestræbelser på at nedskyde botnet og opspore it-kriminelle, så de kan retsforfølges for deres ugerninger," siger Peter Kruse.

Kun en enkelt gang har firmaets webside været i knæ.

"I dag har vi flere separate linjer, så vi kan trykke på en knap og skifte, hvis der er belastning på en linje. I 2004 var vi dog ramt af et massivt DDoS-angreb, hvor vi gik ned. Der kom millioner af forespørgsler på en gang, og det kunne vi ikke håndtere på det tidspunkt. Der måtte vi ned."

Læs også:
Sådan går det, når hackerne selv bliver hacket

Farlige hacker-fif: Her er hackernes hemmelige metoder

Politisk magtspil om hacker-lov: Venstre vil sikre flertal uden om regeringen

Dansk firma: Fik hacket Apple ID og modtog for 650.000 kroner iPhone 6