Danske forretningshemmeligheder og statens sikkerhed er under pres.
Hackergrupper i udlandet udfører i stigende grad spionerende angreb mod myndigheder og virksomheder i Danmark, vurderer Center for Cybersikkerhed under Forsvarets Efterretningstjeneste.
De mest professionelle grupper benytter sig ifølge Center for Cybersikkerhed af den avancerede hackermetode APT (Advanced persistent threat - Avanceret vedvarende trussel), som er steget kraftigt i omfang de senere år.
Avancerede hackere
APT-grupper henter data fra virksomheder, der udvikler forskellige former for avanceret elektronik, telekommunikation og itsikkerhed eller fra virksomheder i medicinal-, forsvars- og luftfartsindustrien.
Samtidig forsøger grupperne ifølge Center for Cypersikkerhed at få adgang til netværk, der tilhører de danske myndigheder, og det lykkedes for eksempel at få adgang til Søfartsstyrelsen, Statens IT og Erhvervs- og Vækstministeriet i 2012.
Herunder kan du få overblik over, hvordan et APT-angreb foregår baseret på oplysninger fra Center for Cybersikkerhed.
Fase 1
En APT er et særligt avanceret, målrettet og langvarigt hackerangreb. Angriberne får adgang til et netværk ved at benytte sig af sårbarheder i den software, som den angrebne part bruger.
Angriberne bruger specialfremstillede hackerværktøjer, der gør dem i stand til at skjule sig i det netværk, der er under angreb.
Et APT-angreb begynder med, at gruppen bag udfører en omfattende undersøgelse af det netværk, der skal angribes. Det er i denne fase, at angriberne får viden, som kan bruges til at tilpasse den malware, der skal bruges i angrebet.
Det er også i denne fase, at angriberne gør sig begreb om, hvordan de bedst kan bruge metoderne social engineering og spear phishing.
Fase 2
I næste fase afsendes malwaren. Denne er ofte enten vedhæftet en e-mail som en legitimt udseende fil eller indeholdt i en e-mail som et link.
Når offeret klikker på den vedhæftede fil eller linket i e-mailen, bliver malwaren installeret og offerets computer inficeret.
Fase 3
Når APT-gruppen har fået fodfæste i det ramte netværk, bestræber den sig på, at dens aktiviteter ikke bliver bemærket.
Et af kendetegnene ved APT-angreb er, at hackerne forsøger at gemme sig i netværkstrafikken inden for normal kontortid, og at angriberne gør brug af VPN-forbindelser, hvor de ved hjælp af brugernavne og passwords får fjernadgang til det netværk, de gerne vil angribe.
Center for Cybersikkerhed er bekendt med, at angribere i en række tilfælde har skaffet sig adgang til samtlige passwords i en organisation via angreb på password-databasen i de ramte netværk.
Denne database downloades til servere, som angriberne kontrollerer. Her bliver de krypterede passwords brudt.
Når angriberne har adgang til brugernavne og passwords, kan de bevæge sig forholdsvist ubemærket og tilsyneladende legitimt rundt på det netværk, der er angrebet.
Fase 4
Endelig vil angriberne forsøge at vedligeholde deres adgang til det ønskede netværk. Dette betyder eksempelvis, at de vil forsøge at installere yderligere malware skjult dybt i systemet på den enkelte computer, som kan vækkes til live, hvis den dør, APT-gruppen kommer ind ad, lukkes.
Center for Cybersikkerhed vurderer, at et APT-angreb forudsætter, at angriberen er tilknyttet eller sponseret af en organisation med tilstrækkelige økonomiske ressourcer, teknisk viden og konkret viden om det mål, organisationen ønsker at kompromittere.