Dette er syvende del i serien om cybersikkerhed. Som flere andre serier på AI-Portalen er denne serie også skrevet i samarbejde med ChatGPT. Du kan læse sjette del her.
Fra kritisk infrastruktur til private virksomheder og individuelle brugere, rækker konsekvenserne af cyberangreb bredt og kan have alvorlige følger. Med en verden, der i stigende grad er forbundet online, har cyberkriminelle udviklet mere sofistikerede metoder til at udnytte sårbarheder, hvilket resulterer i en markant stigning i antallet af cyberangreb globalt. Microsofts Digital Defense Report fra 2023 afslører en skræmmende tendens med stigninger i spionagedrevne cyberangreb, hvor nationale stater udnytter cyberspace til at fremme deres dagsordener og målretter sig mod kritisk infrastruktur og forsvarssystemer i andre lande. Denne udvikling understreger en kritisk realitet; ingen er immune over for risikoen for cyberangreb, og konsekvenserne kan være katastrofale, ikke kun økonomisk men også med hensyn til persondatasikkerhed og national sikkerhed.
Denne artikel har til formål at belyse vigtigheden af cybersikkerhed gennem en serie af reelle eksempler på cyberangreb. Ved at undersøge disse case stories, fra angreb på dansk infrastruktur til sofistikerede globale angrebskampagner, sigter vi mod at lære af fortiden for bedre at sikre fremtiden. Disse cases illustrerer ikke kun de tekniske og taktiske aspekter af cyberangreb og forsvar men understreger også den vitale rolle, som forebyggelse, beredskab, og uddannelse spiller i bekæmpelsen af cybertrusler. Gennem disse historier ønsker vi at fremme en bredere forståelse af cybersikkerhedslandskabet og inspirere til en stærkere og mere modstandsdygtig tilgang til cybersikkerhed på tværs af alle sektorer af samfundet.
Cyber story 1: MOVEit-angrebet
I starten af 2023 udnyttede en hackergruppe en såkaldt zero-day sårbarhed, identificeret som CVE-2023-34362, i MOVEit Transfer, software til filoverførsel udviklet af Ipswitch, et datterselskab af Progress Software Corporation. Denne sårbarhed, en SQL-injektion (SQLi), gjorde det muligt for angribere at udføre uautoriserede databasemanipulationer ved at sende specielt udformede forespørgsler til MOVEit-systemet. Angrebet blev først opdaget og advaret om af Progress Software den 31. maj 2023. Det blev hurtigt klart, at angrebet aktivt blev udnyttet af angribere til at stjæle data fra organisationer ved hjælp af MOVEit Transfer. Gruppen bag angrebet er identificeret som CL0P, en ransomware-gruppe, der menes at være baseret i Rusland eller Østeuropa. De udnyttede sårbarheden til at indsætte en brugerdefineret ASP.NET-webshell, kaldet LEMURLOOT, på ofrenes netværk for at få permanent adgang og muliggøre yderligere angreb.
En zero-day sårbarhed refererer til en sikkerhedsbrist i software, hardware eller firmware, som angribere udnytter, før udviklerne har udgivet en rettelse eller endda er blevet opmærksomme på sårbarheden. “Zero day” antyder, at udviklerne har “nul dage” til at udbedre fejlen, da den allerede er kendt og potentielt udnyttet af ondsindede aktører. Disse sårbarheder er særligt farlige, fordi de giver angribere mulighed for at udnytte systemer, inden beskyttelsesforanstaltninger kan implementeres .
I tilfældet med MOVEit-angrebet, blev zero-day sårbarheden anvendt af CL0P-gruppen til omfattende datatyveri fra organisationer, ved at udnytte en SQL-injektion sårbarhed, der muliggjorde fjernkodeeksekvering på serveren. Der er rapporteret om, at tusindvis af internet-eksponerede servere, der kørte MOVEit, potentielt var sårbare på tidspunktet for angrebet.
Cyber story 2: Angreb på dansk infrastruktur
I maj 2023 oplevede Danmark et af de mest omfattende cyberangreb mod sin kritiske infrastruktur, hvor 22 selskaber, der driver dele af den danske energiinfrastruktur, blev ramt. Dette koordinerede angreb blev afsløret og håndteret i samarbejde med SektorCERT, et cybersikkerhedscenter for kritiske sektorer i Danmark. Angriberne opnåede adgang til nogle af selskabernes industrielle kontrolsystemer, hvilket tvang flere selskaber til at gå i ø-drift for at håndtere truslen. SektorCERT har beskrevet dette angreb som det største mod Danmarks kritiske infrastruktur til dato.
Angrebets alvorlighed og potentielle konsekvenser understreger vigtigheden af robuste cybersikkerhedsforanstaltninger og det fortsatte behov for organisationer som SektorCERT, der spiller en afgørende rolle i at opdage, forhindre og håndtere cybertrusler mod landets vigtige tekniske systemer. Ifølge SektorCERT viser dette angreb, at Danmark konstant er mål for cyberkriminelle og at den digitale sikkerhed for kritisk infrastruktur kræver kontinuerlig opmærksomhed og ressourcer. Samarbejde og fælles indsats blandt sektorens aktører er nødvendigt for at styrke modstandsdygtigheden over for sådanne trusler.
Typisk for denne type angreb, som involverer kritisk infrastruktur, kan metoderne omfatte en række teknikker som for eksempel:
– Udnyttelse af sårbarheder: Angribere kan lede efter og udnytte kendte eller ukendte sårbarheder (såkaldte zero-day sårbarheder) i software eller hardware, der anvendes af målorganisationerne.
– Phishing-kampagner: Angribere kan sende ondsindede e-mails for at narre modtagere til at åbne vedhæftede filer eller klikke på links, der fører til installation af malware eller giver direkte adgang til organisationens netværk.
– Indsættelse af webshells: Som set i MOVEit-angrebet, kan angribere indsætte en webshell på et kompromitteret system for at opnå vedvarende adgang og udføre fjernkommandoer【.
– Lateralt bevægelse: Når adgang er opnået, kan angribere bevæge sig lateralt inden for netværket for at finde og eksfiltrere følsomme data eller for at opnå adgang til yderligere systemer.
– Dataeksfiltration: Angribere kan stjæle følsomme data, som kan bruges til afpresning, spionage eller andre ondsindede formål.
Detaljerne om, hvordan disse metoder specifikt blev anvendt i angrebet på den danske infrastruktur, er ikke offentliggjort. Generelt er det dog sådan, at angreb mod kritisk infrastruktur ofte er sofistikerede og udnytter en kombination af teknikker for at undgå detektion og maksimere deres indvirkning.
Cyber story 3: Cyberangrebet på Estland i 2007
Cyberangrebet på Estland i 2007 var kendetegnet ved en række sofistikerede metoder. Angriberne anvendte primært Distributed Denial of Service (DDoS) angreb, som overvældede estiske servere med trafik. De benyttede sig af botnets for at koordinere angrebet og målrettede vigtige estiske websites, herunder regerings-, nyheds- og finansielle institutioners sider. Andre metoder inkluderede ping floods og spamming af kommentarsektioner på nyhedssider samt defacement af websites, hvor indholdet på siderne blev ændret eller ødelagt. Disse angreb viste et hidtil uset niveau af koordination og var et af de første eksempler på statsstøttet cyberkrigførelse.
Cyberangrebene på Estland i 2007 involverede sofistikerede DDoS-angreb, som overvældede servere med massiv trafik. Angrebet, der var koordineret og muligvis statsstøttet, rettede sig mod vigtige nationale websider, hvilket forstyrrede estiske institutioner og offentlighedens adgang til tjenester. Bagmændene, identificeret som pro-Kremlin grupper og enkeltpersoner, udnyttede teknikker som botnets og ping floods. Konsekvenserne førte til oprettelsen af NATO’s Cooperative Cyber Defence Centre of Excellence i Estland for at styrke cybersikkerhed.
Cyber story 4: MGM Resorts International
I 2023 oplevede MGM Resorts International et markant cyberangreb, hvor hackere stjal personlige data fra et ikke-oplyst antal kunder. Angrebet blev offentliggjort den 11. september og forårsagede betydelig forstyrrelse af MGM’s ejendomme ved at lukke pengeautomater og spillemaskiner samt trække selskabets hjemmeside og online bookingsystemer offline. Hackere fra undergruppen Scattered Spider hævdede senere ansvaret for angrebet. De hackede data omfattede navne, kontaktinformationer, køn, fødselsdatoer og kørekortnumre. For en begrænset gruppe kunder fik hackere også adgang til socialsikringsnumre og pasoplysninger. Det er endnu ikke kendt, hvor mange personer der er berørt af datalækagen, men MGM Resorts tiltrækker årligt titusindvis af besøgende. Selskabet vurderer, at angrebet vil reducere dets tredje kvartals profit med cirka $100 millioner, men forventer at cybersikkerhedsforsikringen vil dække de økonomiske konsekvenser.
Hackere hævdede også at have stjålet 6 terabyte data fra MGM Resorts samt Caesars Entertainment. Selvom det ikke var klart, om der blev krævet løsesum, rapporterede Caesars til tilsynsmyndigheder, at hackerne den 7. september fik adgang til data på et betydeligt antal af deres loyalitetsprogrammedlemmer, herunder følsomme oplysninger som kørekort- og socialsikringsnumre. Angrebet på MGM forårsagede forstyrrelser i drift og gjorde spillemaskiner inoperative i dets kasinoer i Las Vegas.
Scattered Spider-gruppen, der stod bag angrebet, er kendt for sine effektive sociale engineering-taktikker og har tidligere målrettet telekommunikations- og forretningsprocesoutsourcingvirksomheder samt kritisk infrastrukturorganisationer. Gruppen bruger ofte telefonopkald til at foregive at være en medarbejder, der har brug for nulstilling af adgangskoder, for at narre ofre til at udlevere loginoplysninger. Dette understreger vigtigheden af at være opmærksom på og forsvare sig mod sociale engineering-angreb.
Cyber Story 5: Operation Triangulation
Operation Triangulation er en sofistikeret cyberangrebskampagne rettet mod iOS-enheder, identificeret af Kaspersky. Kampagnen anvender en række exploits, herunder zero-day sårbarheder, til at eksekvere skadelig kode uden brugerinteraktion via iMessage-vedhæftede filer. Efter at have opnået adgang, downloader og eksekverer malware yderligere stadier fra en C&C-server, hvilket resulterer i en fuldt fungerende APT-platform.
Kaspersky opdagede Operation Triangulation ved at overvåge netværkstrafikken på deres dedikerede Wi-Fi-netværk for mobile enheder. De bemærkede mistænkelig aktivitet fra flere iOS-baserede telefoner, skabte offline-backups af de pågældende enheder, og undersøgte dem med Mobile Verification Toolkit, hvilket afslørede kompromitteringens spor. Analyse af disse backups gjorde det muligt at identificere og rekonstruere infektionssekvensen. Kampagnen, som blev første gang opdaget i 2019, var stadig aktiv i 2023, med den seneste vellykkede infektion på iOS 15.7.
Teknologi som trussel og forsvar
Operation Triangulation og de øvrige cyberangreb beskrevet i artiklen understreger en voksende trend i den digitale tidsalder, hvor cyberkriminelle og statsstøttede aktører udnytter avancerede teknologier til at gennemføre komplekse angreb. Disse operationer afspejler ikke kun den teknologiske udvikling inden for hacking og malware men også en udvidelse af de motiver og mål, der driver disse angreb. Fra det strategisk koordinerede angreb på dansk infrastruktur, som udstillede sårbarheder i national kritisk infrastruktur, til det sofistikerede MOVEit-angreb, der udnyttede en zero-day sårbarhed til omfattende datatyveri, viser disse hændelser en tydelig eskalering i både omfang og alvor af cybertrusler.
Disse historier er vigtige påmindelser om, at cybersikkerhed ikke længere kun er en IT-problemstilling, men et centralt element i national sikkerhed, virksomhedsledelse og personlig integritet. Med hvert angreb bliver det klart, at den konstante udvikling og tilpasning af forsvarsstrategier er afgørende for at kunne modstå fremtidige trusler. Denne evolution kræver ikke kun teknologisk innovation men også en kulturel skift mod en større bevidsthed om og forståelse for cybersikkerhedens betydning.
Samtidig fremhæver disse tilfælde den dobbelte kant af teknologi – som både en facilitator for udvikling og et potent værktøj for skadelige aktører. Den hurtige udvikling inden for digitale teknologier giver enestående muligheder for vækst og innovation, men også nye sårbarheder, som kan udnyttes. Dette tveæggede sværd nødvendiggør en balancegang mellem at omfavne de positive aspekter af teknologisk fremskridt, mens man aktivt arbejder på at beskytte mod de potentielle risici, det medfører.
Share