Det vakte opsigt, da den amerikanske medico-koncern Stryker 11. marts blev ramt af et cyberangreb, som slog selskabets Microsoft-miljø ud globalt.
Stryker har selv oplyst, at angrebet ramte ordrebehandling, produktion og forsendelser, og at selskabet ikke har fundet tegn på ransomware eller klassisk malware. Samtidig understregede koncernen, at patientrettede tjenester og tilkoblede produkter ikke blev ramt.
Ansvar blev hurtigt taget. Den Iran-linkede gruppe Handala koblede selv angrebet til den geopolitiske optrapning og pralede på Telegram med at have slettet mere end 200.000 systemer, servere og mobile enheder og stjålet 50 terabyte data.
De tal er ikke bekræftet af Stryker. Reuters har samtidig beskrevet, hvordan Strykers ansatte fandt Handalas logo på login-sider, mens fjernenheder med Windows blev slettet.
Ifølge Jacob Herbst, forperson for regeringens cybersikkerhedsråd og Director of Strategic Cybersecurity and Policy hos Conscia, er det metoden, der gør sagen opsigtsvækkende.
“Det, der sker her, er i virkeligheden et klassisk 'living off the land'-angreb: Man bruger de værktøjer, der allerede findes i den kompromitterede infrastruktur. I det her tilfælde har man villet lave et destruktivt angreb og brugt Intune device management nulstillingsfunktionen til at gennemføre det,” siger han til Computerworld, og fortsætter:
“Angrebet består i virkeligheden af Lego-klodser, vi har set før, bare sat sammen på en ny måde. Hvor den slags værktøjer oftest bliver brugt til spionage, datatyveri eller ransomware, er de her blevet brugt destruktivt.”
Dine værktøjer bruges mod dig selv
Jacob Herbst kalder det et typisk living off the land-angreb. Det er ikke nødvendigt for hackere at skrive avancerede koder og konstruere opsigtsvækkende orme, der inflitrerer it-systemerne.
For i yderst komplekse it-landskaber som for eksempel Stryker, så bruger virksomheden selv en række værktøjer, som hackerne så misbruger.
Et legitimt Microsoft-værktøj er brugt som masse-sletteknap.
Udover hackerne kan slippe afsted med mindre arbejde, har taktikken også den fordel, at brugen af legitime værktøjerikke antænder en kavalkade af røde malware alarmer, når de misbruges, forklarer han.
Ifølge BleepingComputer fik angriberne fat i en Intune-administratorkonto, oprettede en ny Global Administrator-konto og brugte derefter Intunes indbyggede wipe-funktion.
Mediet skriver med kilde til sagen, at knap 80.000 enheder blev slettet. Handala selv taler om langt flere.
“Man skal være opmærksom på, at de her værktøjer også kan bruges til destruktive angreb,” understreger han og fortsætter:
“Det er i hvert fald en kraftig reminder om, hvor vigtigt det er at have styr på sin cloud-sikkerhed og sit cloud-miljø.”
Hans stik til Microsoft er heller ikke svært at høre.
“Man kan med rette argumentere for, at når man har værktøjer, der er så kraftfulde, så giver det mening at bygge nogle grænser ind.”
“Det kunne være yderligere godkendelser. Det kunne være throttling, så man for eksempel kun kan nulstille et begrænset antal pc’er i minuttet,” siger han med henvisning til at opsætte regler for, hvor man begrænset antallet af enheder, som man kan nulstille på en gang.
“Jeg har svært ved at se den legitime use case, hvor man har behov for at nulstille titusindvis af enheder på få timer udover måske nogle få undervisningsmiljøer eller lignende.”
Computerworld har forelagt Microsoft kritikken. Selskabet er ikke vendt tilbage inden redaktionens deadline.
Det spørgsmål er allerede landet hos myndighederne. Onsdag bad CISA virksomheder om at hærde deres endpoint management-systemer efter Stryker-sagen. Advarslen pegede direkte på Microsoft Intune og på behovet for strammere kontrol med administrative roller og følsomme handlinger som device wipe.
Gammel gæld gør slaget hårdere
Stryker-sagen stoppede ikke ved sorte skærme. Reuters skrev den 18. marts, at nogle operationer blev forsinket, fordi selskabet havde problemer med at levere patienttilpasset udstyr. Samtidig kæmpede Stryker med elektroniske bestillingssystemer og måtte skubbe ordrer igennem ad manuelle veje.
Ifølge Jacob Herbst peger sagen direkte ind i et gammelt problem, som mange virksomheder stadig slæber rundt på.
“Identity and access management er helt centralt for at beskytte cloud miljøer. Det samme er to-faktor og begrænsning af administrative rettigheder.”
“Det er et kæmpe problem. I gamle dage var producenternes anbefaling ofte, at hvis en service skulle virke, så gav man bare servicekontoen fulde rettigheder.”
For regningen kommer alligevel - bare senere.
“Der ligger stadig enormt meget gæld rundt omkring i form af gamle opsætninger og gamle konfigurationer. Folk har skruet op for rettighederne for at få noget til at virke, og når det så endelig virker, får man aldrig rullet tilbage og strammet op igen.”
