Dansk sikkerhedsfirma udsat for hævnangreb: Fik 400.000 mails fra hackere

Hackere svarer igen mod dansk sikkerhedsfirma, der arbejder på at lukke et botnet. Torsdag blev angrebet sat ind med 400.000 e-mails til den danske it-sikkerhedsfirma.

Fik I mange mails i går?

"Ha, ha. Det tror jeg roligt, at man kan sige," lyder det fra Peter Kruse, der er teknisk direktør i it-sikkerhedsselskabet CSIS.

Torsdag 30. januar blev der nemlig sendt 400.000 mails til det danske sikkerhedsfirmas mailserver.

De mange mails blev sendt som en lille hilsen til CSIS for selskabets arbejde med at ødelægge et botnet.

"De it-kriminelle, som står bag netbanktyven Dyreza og et tilhørende botnet, valgte at svare tilbage på en operation, som CSIS i går gennemførte, og som havde indflydelse på driften af deres botnet," fortæller Peter Kruse.

"Vores operation var en såkaldt 'probe', hvor vi løbende vurderer, hvor modstandsdygtigt et botnet er overfor forskellige former for 'takedowns' fra vores side. Vi lagde deres botnet ned i et par timer, og det fik altså konsekvenser for os på mail-fronten," fortæller han.

Som et direkte svar på den aktion, valgte Dyreza nemlig at svare igen ved at indsætte CSIS som afsender i et massivt spamrun.

Blev udsat for et Joe Job
Denne type angreb går under betegnelsen et Joe Job, og målet med en sådan manøvre er at overbelaste mailservere ved at indsætte en valid adresse i en spoofet mailheader.

"Det kan sammenlignes med et DDoS-angreb, men rettet mod mailservere."

Ifølge CSIS havde Dyreza bemærket, at den ødelæggende aktion mod deres botnet stammede fra et dansk IP-adresserum.

"Der er ikke så mange i Danmark, der foretager denne type 'takedowns' mod botnet, så det har ikke været så svært at regne ud, at det var vores virksomhed, der stod bag. Det er altså en straffeaktion fra de kriminelle. Vi ved, hvordan vi skal lægge deres botnet ned, og det betyder åbenbart krig," fortæller Peter Kruse.

Læs også: Sådan går det, når hackerne selv bliver hacket Hvordan blev dette angreb effektivt?

"Selvom vi naturligvis beskytter vores mailservere med blandt andet SPF (Sender Policy Framework) og DMARC (Domain-based Message Authentication Reporting and Conformance), så løfter problemet sig, fordi mange andre mailservere ikke anvender teknologierne. Det gør det så ikke bedre, at afsenderdomænet ikke eksisterer (sendt som csis.dik).

Angrebet fra Dyreza kan teknisk sammenlignes med et DDoS-reflektionsangreb idet mailservere, som modtager den uønskede post, vil returnere en fejlmeddelelse. Det sker fordi csis.dk optræder i headeren "Return-Receipt-To". Alle autosvar vil sendes via en legitim MX record og dermed godkendes af SPF.

Der sker altså det, at der bouncer en fejlmeddelelse tilbage til kontakt@csis.dk, der er den konto, som kunder og brugere normalt anvender til kontakt med firmaet.

DMARC er også uden effekt da, der anvendes et ikke-eksisterende domæne (csis.dik) som afsender.

"Dette angreb er effektivt, fordi mange mailservere ikke er konfigureret forsvarligt, og det reflekterer direkte tilbage til vores mailserver," siger han.

Angrebet mange gange
Derfor blev CSIS altså bombet med henved 400.000 mails i løbet af ganske kort tid.

"Mange af beskederne blev dog filteret fra i vores mail firewall, men der slap cirka 15.000 mails igennem, før vi fik lukket helt ned, så der har været lidt oprydning her til morgen," fortæller han grinende.

Men der er ikke sket nogen skade efter angrebet, fortsætter han.

"Når man piller ved de it-kriminelles økonomi, bliver de vrede. CSIS har tidligere været udsat for denne og andre typer modangreb fra it-kriminelle, og det er ikke utænkeligt, at det vil ske igen. I mellemtiden vil vi fortsætte vores bestræbelser på at nedskyde botnet og opspore it-kriminelle, så de kan retsforfølges for deres ugerninger," siger Peter Kruse.

Kun en enkelt gang har firmaets webside været i knæ.

"I dag har vi flere separate linjer, så vi kan trykke på en knap og skifte, hvis der er belastning på en linje. I 2004 var vi dog ramt af et massivt DDoS-angreb, hvor vi gik ned. Der kom millioner af forespørgsler på en gang, og det kunne vi ikke håndtere på det tidspunkt. Der måtte vi ned."

Læs også:
Sådan går det, når hackerne selv bliver hacket

Farlige hacker-fif: Her er hackernes hemmelige metoder

Politisk magtspil om hacker-lov: Venstre vil sikre flertal uden om regeringen

Dansk firma: Fik hacket Apple ID og modtog for 650.000 kroner iPhone 6




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...
mest debaterede artikler

Computerworld
Jens Højgaard skrev negativ anmeldelse på Trustpilot - nu er han blevet sagsøgt for 11.419 kroner
En negativ anmeldelse på Trustpilot om et inkassofirma har indtil videre kostet den selvstændige hvidevare-reparatør Jens Høgni Højgaard flere tusinde kroner og en tur i retten. Forklaringen er, at inkassofirmaet har forbudt kunder at udtale sig negativt i offentlighed om selskabet.
CIO
Har rulllet Mac-computere ud til 90.000 ansatte: Her er seks nyttige erfaringer fra IBM's store Mac-udrulningsprojekt
På lidt over et år har IBM rullet 90.000 Mac-computere ud til medarbejderne, mens virksomheden har gjort sig en hel række erfaringer. Læs her, hvad IBM har lært af projektet.
Comon
Overblik: Her har du ni af årets allerbedste bærbare computere
Her har du en liste over ni af de bedste bærbare computere, du kan købe i Danmark.
Channelworld
Overblik: Det ved vi efter første retsmøde i den store Atea-bestikkelsessag
Den første sag om bestikkelse af offentlige ansatte kører i disse dage, hvor offentlige ansatte anklages for at have modtaget bestikkelse fra it-giganten Atea.
White paper
Case: Uafhængig rådgivning bragte uventet navn på banen for Icopal
Icopal lyttede til uafhængig rådgivning fra Kompetera, og det bragte et uventet navn inden for storage på banen, da man skulle udskifte det gamle storagesystem.