Gigantisk cyberangreb med navn efter København udnytter gabende sikkerhedshul hos Microsoft

Dansk sikkerhedsfirma opdagede som de første det hul i Microsofts mailsystem, som kan have givet kinesiske hackere adgang til mails, kalendere og virksomheders interne netværk.

Microsoft har for en uge siden udstedt såkaldte 'nød-patches', der lukker sikkerhedshullet. Det er næsten to måneder siden, virksomheden blev bekendt med hacket. (© dr)

Hafnium.

Det er det 72. grundstof i det periodiske system - opkaldt efter Hafnia, som er det latinske navn for København.

Men Hafnium er også navnet på en ny hackergruppe, der har skaffet sig adgang til tusindvis af virksomheder og myndighedernes computernetværk verden over.

Microsoft advarede i starten af sidste uge sine kunder mod et gabende sikkerhedshul i mailsystemet Microsoft Exchange og udsendte under stort postyr særlige “patches” - som er en slags lapper til at lukke hullet med.

Hvis du bruger mailprogrammet på dit arbejde, kan din mail derfor også være ramt, hvis din arbejdsgiver selv har Exchange-servere stående. Mens brugere af mailprogrammet Outlook som del af cloud-tjenesten Office 365 ikke er berørt.

- Man kan læse folks emails, kalendere, man kan lægge ransomware ind og faktisk hente samtlige data ned, hvis man har lyst til det. Hackerne har fuld adgang til virksomhedens interne netværk, siger Jacob Herbst, CTO & Partner i IT-sikkerhedsfirmaet Dubex.

Samtidig udpegede Microsoft en gruppe kinesiske statsstøttede hackere som gerningsmændene - og gav gruppen navnet Hafnium. En talsmand for den kinesiske regering afviste beskyldningerne.

Onsdag udsendte det danske Center for Cybersikkerhed en advarsel mod hele fire nye såkaldte 'sårbarheder' i det udbredte Microsoft-produkt, som betød, at hackere uopdaget og gennem længere tid havde haft mulighed for helt uhindret at tilgå hemmelige oplysninger.

Imens begyndte angrebets alvor at tegne sig. Den velansete undersøgende reporter og IT-sikkerhedsekspert, Brian Krebs, anslog, at mindst 30.000 virksomheder i USA ramt. Samtidig var angrebene tiltaget i frekvens siden Microsoft fortalte om sårbarhederne.

Den Europæiske Banktilsynsmyndighed meldte i forgårs ud, at de er en af de virksomheder, som er blevet berørt af Hafnium-hacket. Dubex har scannet den danske del af internettet anslår, at 1800 danske virksomheder og organisationer kan have været ramt.

'Det her er en aktiv trussel', lød det fredag fra Det Hvide Hus´ pressechef Jen Psaki.

En sjælden dansk “zero-day”

Men historien begynder faktisk i Danmark. Et af de fire huller blev nemlig fundet af det danske IT-sikkerhedsfirma Dubex, fortæller CTO & Partner i Dubex, Jacob Herbst:

- I midten af januar ser en af vores kunder her i Danmark nogle mistænkelige ting på en server. Da vi laver såkaldt incident response finder vi ud af at hackerne har brugt en ukendt sårbarhed i Microsofts Exchange Server, forklarer Jacob Herbst.

Hvad er en ”ukendt sårbarhed”?

- Det er en slags masternøgle som virksomheden ikke kender eller kan gøre noget ved. Med den i hånden kan hackerne gå gennem en åben dør, fordi virksomhederne heller ikke ved, de skal beskytte sig mod den. Det er derfor de her ukendte sårbarheder eller zero-days er så alvorligt et problem, siger han.

Et sikkerhedshul, der ikke er blevet opdaget før, kaldes i fagsproget for en zero-day. Det er en sårbarhed i et stykke software, der er helt unik og aldrig før har set dagens lys.

Navnet henviser til den tid, virksomheden har haft til at lappe hullet fra den bliver opdaget - nul dage. Zero-days er derfor guld værd for hackere og spiontjenester verden over, fordi de - indtil de bliver opdaget - giver fri adgang. Hackere, der finder zero-days, kan derfor tjene gigantiske summer ved at sælge dem på det sorte og grå marked.

Microsoft reagerede langsomt

Hafnium-angrebet er ifølge Microsoft og Jacob Herbst rettet mod offentlige myndigheder og virkomheder i “følsomme sektorer”.

Jacob Herbst og Dubex fandt sikkerhedshullet i januar 2021. Han finder det problematisk, at det først er to måneder senere, i marts måned, at Microsoft lukker det:

- Det er vores oplevelse at Microsoft har været relativt langsomme med at reagere. Vi rapporterede den i januar. Det virker på os som Microsoft først reagerede da der for alvor begyndte at komme angreb, på trods af at der har været enkelte virksomheder der er blevet angrebet i den mellemliggende periode, siger Jacob Herbst.

IT-sikkerhedsfirmaet Dubex har scannet den danske del af internettet og anslår, at 1800 virksomheder og organisationer i Danmark kan have været ramt af hacket. Du kan se de sårbare Exchange-servere her. (© Dubex)

Er der en sammenhæng mellem jeres opdagelse og det navn, Microsoft har givet gruppen - som jo peger på København?

- Normalt plejer der at være en sammenhæng mellem navngivningen af hackergrupper og det angreb, man har set. Men præcis hvorfor Microsoft har valgt dette navn kan vi kun gisne om, siger han.

Voldsomt og massivt angreb

Hafnium-angrebet følger efter en stime af store cyberangreb de seneste år.

Måske husker du det såkaldte Notpetya angreb, der lagde Mærsk ned og kostede det danske firma flere milliarder kroner. I slipstrømmen kom WannaCry-angrebet, der lammede britiske hospitaler i maj 2017 og inficerede over 300.000 computere i 150 forskellige lande.

Og senest i december 2020 ramte SolarWinds-angrebet, hvor hackere trængte ind i amerikanske finans-, forsvars-, handelsministerier samt et atomagentur. Det skete, da hackere havde held med at sende en korrupt softwareopdatering ud til SolarWinds kunder. SolarWinds er en stor amerikansk virksomhed, der lever af at levere sikkerhedsløsninger til kunder i hele verden.

Herhjemme blev blandt andre Statens IT, Bankernes EDB Central (BEC), Cowi, flere forsyningsselskaber og kommuner ifølge Version2 ramt af Solarwinds-hacket.

Men ifølge Jacob Herbst kan Hafnium-angrebet vise sig at være i en klasse for sig selv.

- SolarWinds ramte ca. 18.000 virksomheder. Med Hafnium vurderer man, at små 100.000, måske flere, er angrebet. Vi har endnu ikke et overblik over hvor mange steder, adgangen rent faktisk er brugt til noget. Men som det ser ud lige nu, er det et forholdsvist voldsomt og massivt angreb, forklarer han.

Dubex begynder allerede nu at se, at hackerne bruger sikkerhedshullerne til at forberede ransomware-angreb på berørte virksomheder. Ransomware er ondsindet software, der inficerer din computer og kræver et pengebeløb for at låse den op igen.

Angrebet vokser

Hen over weekenden er antallet af berørte virksomheder steget markant. Det skriver det amerikanske medie The Verge.

Fredag blev det anslået, at 30.000 virksomheder var berørt af hacket. Det tal fordoblede ifølge Bloomberg i weekenden, og det anslås nu, at over 100.000 virksomheder globalt er ramt.

Microsoft udstedte for en uge siden såkaldte nød-patches, der er sikkerhedsopdatering, som lukker hullet. Men selv hvis hullet bliver lukket, kan skaden allerede være sket, hvis hackere har fået adgang inden, skriver USA's nationale sikkerhedsråd på Twitter.

Det anslås, at mere end 46.000 virksomeder stadig ikke har fået lukket hullet med Microsofts nød-opdatering. Center for Cybersikkerhed 'opfordrer på det kraftigste' danske virksomheder til at få lukket hullet med det samme.

Meget tyder altså, at de knap to måneder, som det har taget fra Jacob Herbst først gjorde Microsoft opmærksom på hullet, til techgigaten tog affære, har betydet, at angrebet har vokset sig markant større.

Microsoft ønsker ikke at svare på konkrete spørgsmål, men har sendt følgende svar til DR Nyheder:

Vi arbejder tæt sammen med CISA (den amerikanske it-sikkerhedsmyndighed, red.), andre offentlige agenturer og sikkerhedsselskaber for at sikre, at vi leverer den bedst mulige vejledning og afbødning for vores kunder.

Den bedste beskyttelse er at anvende opdateringer så hurtigt som muligt på alle berørte systemer. Vi fortsætter med at hjælpe kunder ved at levere yderligere vejledning til efterforskning og afbødning.

Påvirkede kunder skal kontakte vores supportteam for yderligere hjælp og ressourcer.

Efter artiklens udgivelse har Microsoft sendt et mere uddybende svar til DR Nyheder, der svarer på kritikken om, at firmaet reagerede langsomt:

Denne sårbarhed blev ansvarligt afsløret for Microsoft i begyndelsen af januar, og da vi observerede, at denne sårbarhed blev brugt ud over begrænsede målrettede angreb, arbejdede vi hurtigt for at udgive en opdatering så hurtigt som muligt. Offentliggørelse af en sårbarhed, før opdateringer er tilgængelige, sætter kunder i fare, skriver en talsmand for virksomheden.

Opdateret 16:15 med informationen om, at kunder der bruger Office 365 ikke er berørt af angrebet.

FacebookTwitter