Artikel top billede

Sådan beskytter du dig mod angreb fra Kina

Klumme: Der kommer flere og flere meget avancerede kinesiske it-angreb. Se her, hvordan de er skruet sammen. Og se, hvordan du kan beskytte dig.

I en 12-etagers bygning i Shanghai sidder hundreder af kinesiske militærfolk og foretager hackerangreb på vestlige virksomheder.

Det var en af februar måneds mest omtalte historier i sikkerhedsverdenen.

Sikkerhedsfirmaet Mandiant udgav rapporten "APT1: Exposing One of China's Cyber Espionage Units", der forsøger at bevise, at en enhed i hæren er identisk med den såkaldte "Comment Crew", som står bag en lang række hackerangreb.

Den slags beskyldninger fører naturligvis til reaktioner på det politiske plan.

Men rapporten rummer også helt konkrete, nyttige informationer for it-sikkerhedsansvarlige.

Dem fokuserer jeg på i denne klumme.

Lad mig først anbefale, at du henter rapporten og læser den.

Ud over at være elementært spændende læsning giver den et indblik i, hvordan en sikkerhedsorganisation kombinerer og vurderer bevismaterialet efter et hackerangreb.

Rapporten fortæller historien om en hackergruppe, den kalder APT1.

Navnet skyldes, at gruppen udfører angreb er af den type, der kaldes "advanced persistent threat" (APT).

Det er målrettede angreb mod bestemte brancher eller enkelte virksomheder.

Andre kalder gruppen "Comment Crew."

Det navn kommer af, at hackerne benytter kommentarer i HTML-dokumenter til at skjule kommandoer, som sendes til computere, de har overtaget.

Mandiant kender til angreb på 141 virksomheder og organisationer. De første angreb stammer fra 2006.

Den første mail

Som regel begynder et angreb med, at angriberen sender en e-mail, der ser ud til at være relevant for modtageren.

I mailen optræder navne på folk, modtageren kender, og der kan være henvisninger til aktiviteter, de er involveret i.

Det er den type angreb, der kaldes "spear phishing" - målrettet phishing.

Sådan fungerer svindelnummeret

Hvis en modtager åbner den vedhæftede fil, bliver vedkommendes pc inficeret.

Så har hackerne fået adgang ind til firmaet. Den adgang udnytter de, og de bliver ved.

I gennemsnit bruger de forbindelsen til offerets netværk i 356 dage. Det hidtil længste angreb varede i fire år og 10 måneder.

APT1-gruppen udnytter forbindelsen til at hente data fra offeret.

De går blandt andet efter information om produktudvikling, fremstillingsprocedurer, forretningsplaner, interne rapporter og andet, der giver offerets virksomhed konkurrencemæssige fordele.

Vi taler altså om industrispionage.

Gruppen skaffer sig også adgang til brugernavne og passwords samt til information om, hvordan it-systemerne er struktureret.

Udvalgte brancher

Ofrene er fordelt på en snes brancher. Der har været flest angreb på firmaer inden for it og luftfart/rumfart.

Derefter følger offentlige myndigheder, satellit- og telekommunikation, samt videnskabelige forskningsinstitutioner. Også energi- og transportsektorerne er blevet ramt.

Brancherne er interessante derved, at kinesiske virksomheder er aktive inden for mange af dem.

Hvis angrebene er statsfinansierede, er de med til at give kinesiske firmaer konkurrencefordele.

Mandiant bruger mange ord på at godtgøre forbindelsen mellem APT1 og den kinesiske hærs enhed 61398 i Shanghai.

De fører ikke bevis for, at de to er identiske. Men de har så mange argumenter, at det virker som den mest sandsynlige forklaring.

Brug dataene

En dansk kommentator skrev om nyheden:

"Det er da fint, at de har udpeget, hvor de sidder, men ud over det kan de vel så bare sige: Nå! Der sidder de. Og her står vi, og det kan ingen gøre noget ved."

Så galt er det heldigvis ikke.

For Mandiant har nemlig suppleret rapporten med en stribe appendikser, som kan vise sig at være det mest værdifulde, der er kommet ud af hele affæren.

Appendikserne indeholder en stribe tekniske informationer om angrebene.

Sådan kan du bruge tilgængelige data om angrebene

Her finder man en oversigt over de former for skadelig software, gruppen anvender, identificeret med MD5-hashværdier.

Der er også lister over domænenavne, som indgår i APT1's infrastruktur, sammen med SSL-certifikater til serverne.

Endelig er der en samling såkaldte IOC'er.

En IOC (Indicator of Compromise) er bevismateriale, man finder på en hacket computer.

Det kan for eksempel være konfigurationsfiler, skadelige programmer eller data i registreringsdatabasen.

Alle dataene fra appendikserne er lige til at bruge: Man kan kopiere dem ind i sit IDS (Intrusion Detection System) eller andre programmer og tjekke, om de optræder i nogle af ens systemer.

Samarbejde virker

Så mit råd lyder: Læs rapporten, og gennemgå listen over de brancher, APT1 retter skytset mod.

Hvis din virksomhed er aktiv i en af de brancher, og I har internationale aktiviteter, bør du bruge dataene fra appendikserne.

Mandiants åbenhed om dataene har allerede haft positive konsekvenser: Flere andre sikkerhedsfirmaer har også frigivet information om angreb.

Således har Symantec offentliggjort yderligere IOC'er fra sin egen research.

Tenable Network Security har udgivet en række test, der kan køres med scanningsværktøjet Nessus til at opdage infektioner. Den form for videndeling er lige, hvad vi har brug for.

Naturligvis ændrer APT1 metoder og værktøjer løbende, men hvis vi arbejder sammen, har vi en bedre chance for at opdage hidtil ukendte angreb - og forhindre de kommende.

DKCERT (www.cert.dk) er et dansk Computer Emergency Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT udsender advarsler og tager imod henvendelser om sikkerhedsrelaterede hændelser på internettet.

DKCERT er en tjeneste fra DeIC, Danish e-Infrastructure Cooperation, under DTU.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
IT Relation A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
AI i praksis: Fokus på teknologi og best practice

Tag med os på en rejse ind i AI’s verden, hvor vi udforsker anvendelsesmulighederne og belyser, hvordan AI kan gøre en positiv forskel. Vi kigger nærmere på de teknologier og platforme, som det kan give mening for din virksomhed at satse på, og eksperterne giver dig gode råd til, hvordan man kan arbejde innovativt og agilt med kunstig intelligens-løsninger.

19. august 2021 | Læs mere


MS Power Platform - hvad kan det for dig?

Med Microsoft Power Platform kan virksomhederne både visualisere og dele deres data helt uden kendskab til at kunne kode og digitalisere arbejdsgange. Hør hvordan en række danske virksomheder anvender platformen i store dele af virksomheden – og med succes.

24. august 2021 | Læs mere


Opgøret med legacy-systemer: Få styr på mulighederne, planen og businesscasen

I en verden hvor alt forandres konstant, og hvor kravene til virksomhedernes digitale formåen vokser, er der stadig mange organisationer og virksomheder, der bliver hæmmet af deres legacy-systemer. Det kan være en lang og hård rejse at afskaffe disse systemer, men på sigt kan virksomhederne høste frugt af deres arbejde.

25. august 2021 | Læs mere






Premium
Efter kæmpeinvestering: Danske Dixa skal firdoble antallet af udviklere
På halvandet år skal det unge it-selskab Dixa firdoble holdet af produktudviklere fra 75 til 300. Sådan lyder ambitionen hos det danske selskab, der netop har modtaget en kapitalindsprøjtning på 660 millioner kroner.
Computerworld
Gigantisk kollektivt nedbrud rammer flere internationale hjemmesider
Igen var flere internationale hjemmesider ude af drift. En fejl ramte over 50 af de største internationale websites tordag aften. Se alle detaljer on nedbruddet her.
CIO
Årets CIO 2021: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?
Det er den mest eftertragtede titel for danske it-chefer og CIO'er, der er på spil, når Årets CIO kåres 16. september 2021. Søg selv eller prik til en, som du kender - og læs mere om prisen her.
Job & Karriere
Så meget kan du tjene: Disse stillinger giver den højeste løn i den danske it-branche lige nu
Du skal have ledelsesansvar, hvis du vil helt tops i lønhierakiet i den danske it-branche, viser nye tal. Se hvor meget du kan tjene i de stillinger i it-branchen, der giver den højeste månedsløn lige nu.
White paper
Går du glip af fordelene ved at være på flere online markedspladser?
Der er store fordele ved at være på flere e-handelskanaler – men potentielt også mere besvær. I dette whitepaper kan du læse, hvordan du optimerer indsatsen og samler det hele i én platform.