Hacker spadserede direkte ind i FBI's it-systemer: Ringede til support og fik password

En hacker har via mailkompromittering og simpel social engineering fået kontaktoplysninger på 29.000 Homeland Security-ansatte og en større mængde data. Læs her, hvordan han kom ind på netværket.

Mens hackergruppen Anonymous' på forhånd annoncerede angreb mod børsen i New York og Bank of England ikke ser ud til at være blevet til noget, er nyheden om et andet stort hackerangreb dukket op.

Det drejer sig om et angreb på det amerikanske Justitsministerium og landets beskyttelsesministerium Homeland Security, som blandt andet har ansvaret for forbundspolitiet FBI og efterretningstjenesten CIA.

En anonym hacker har tiltusket sig over 20.000 FBI-ansattes personlige data som navne, jobtitler, mailadresser og telefonnumre.

Hackeren også er kommet i besiddelse af data på 9.000 andre Homeland Security-ansatte, som efter sigende mandag er blevet uploadet fra en Twitter-konto med et pro-palæstinensisk budskab.

Det skriver online-mediet Motherboard, som har efterprøvet flere af telefonnumrene på listen, hvilket førte frem til flere af de Homeland Security-ansatte eller deres telefonsvarer.

Udover listerne med navne, mailadresser og telefonnumre hævder hackeren at have downloadet 200 gigabyte data fra det amerikanske Justistsministerium, som indtil videre ikke vides om vil blive publiceret.

Sådan kom hackeren ind
Hackeren har fortalt Motherboard, at brohovedet til FBI-oplysningerne blev kreeret ved først at kompromittere en mailkonto tilhørende en af Justitsministeriets medarbejdere.

Senere kontaktede hackeren Motherboard fra denne mailadresse, som han dog ikke i detaljer vil afsløre, hvordan han fik adgang til.

Med mailkontoen prøvede hackeren først at komme ind på Justitsministeriet webportal, hvilket ikke lykkedes.

"Derfor ringede jeg til dem og fortalte, at jeg var ny og ikke forstod, hvordan jeg skulle komme forbi portalen. De spurgte, om jeg havde en token-koden, og jeg svarede nej. De sagde, at det var okay, og at jeg bare kunne bruge deres," forklarer hackeren ifølge Motherboard.

Læs også: Syriske hackere ydmyger USA på det amerikanske forsvars website

Efter login kom hackeren ind til en virtuel maskine, hvor han indtastede oplysningerne fra den allerede kompromitterede mailbruger.

Det gav ham mulighed for at vælge adgang til tre forskellige computere, hvoraf den ene tilhørte den kompromitterede mailbruger.

"Jeg klikkede på den og havde fuld adgang til computeren," forklarer hackeren, som havde adgang til dokumenter på den specifikke computer samt til andre dokumenter på det lokale netværk.

"Jeg havde adgang til det hele"
På netværket fandt han blandt andet listen over tusindvis af Homeland Security-medarbejdere og begyndte download af 200 gigabyte data ud af en samlet pulje på en terabyte.

Denne datapulje indeholdt ifølge hackeren blandt andet militærmails og kreditkortnumre.

"Jeg havde adgang til det hele, men jeg kunne ikke hente hele den terabyte data derinde," siger hackeren til Motherboard, som dog ikke har fået adgang til disse datasæt.

Til Motherboard siger en talsmand fra Homeland Security om angrebet:

"Vi undersøger disse rapporteringer omkring denne påståede afsløring af Homeland Security-medarbejderes kontaktoplysninger. Vi tager arbejdet meget alvorligt, selvom der på dette tidspunkt ikke er tegn på brud på nogen følsomme eller personligt identificerbare oplysninger," lyder det officielle svar.

Læs også:
Hollandsk politi hacker krypteret smartphone: Sådan har det kunnet lade sig gøre

Krypto-ransomware eksploderer i 2016: Sådan fungerer det - og sådan beskytter du dig



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Brother Nordic A/S
Import og engroshandel med kontormaskiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Datasikkerhed

Aldrig tidligere har det været mere afgørende, at vores it-systemer og data er sikre, for aldrig tidligere har vi været så afhængige af data. Og aldrig tidligere har vores data og systemer været så udsatte med så mange indgangsveje og muligheder for at blive ramt: Cloud, mobilbrug, BYOD samt virksomhedernes ofte meget fragmenterede it-infrastruktur med mange forskellige applikationer på kryds og tværs har givet mange nye kanaler ind til virksomhedernes netværk og systemer. Læs mere



Tips og tricks med Excel - Gratis inspirationsseminar

Kom til et spændende inspirationsseminar, der giver dig indsigt i hvordan Excel også kan benyttes til opgaver, som du måske ikke i dag bruger programmet til. Læs mere



Skygge-it

Mange it-afdelinger kæmper for at håndtere det kontrol-tab, der følger med, når medarbejdere og afdelinger begynder at anskaffe egne it-løsninger, som ikke nødvendigvis er koordineret eller godkendt af it-afdelingen. På dette How To seminar får du overblik over værktøjer og metoder til at håndtere skygge-it, så du genvinder kontrollen og minimerer it-sikkerheds-risikoen. Læs mere







CIO
Skandalerne i Skat er en urimelig sejr for de digitaliserings-modvillige
Klumme: Skandalerne i Skat er en vigtig sejr for dem, som ikke tror på digitalisering af den offentlige sektor. Og Skats problemer bliver ikke løst af organisationsændringer.
Comon
25.000 danskere gået i kuponsvindel-fælde på Facebook på blot seks timer: "Det spredte sig som en steppebrand"
Fakta, Netto, Aldi, Lidl, Lego og flere andre varemærker bliver lige nu udnyttet i forbindelse med kuponsvindel på Facebook, og danskerne klikker i hobetal. Læs hvad der sker, hvis du klikker.
Channelworld
Forbrugerne knuselsker denne computer: 2-i-1-maskinen viser vejen frem
Hybridmaskinerne viser vejen frem i et presset pc-marked. Den er populær blandt almindelige danskere, men mangler stadig fodfæste i firmaerne. Forventningerne er dog tårnhøje.
White paper
Hvorfor investere i et output management værktøj?
Standard ERP-systemer er ikke bygget til at fremstille individuelt tilpassede forretningsdokumenter, som opfylder dine kunders behov. Læs med og bliv klædt på til den dag, hvor din virksomhed skal vælge en løsning.