Cybertruslen
Lister
CFCS har arbejdet på at få overblik over SolarWinds-angrebet i Danmark siden december. Der er tegn på kompromittering hos et mindre antal virksomheder og myndigheder.
CFCS har siden den 14. december fået oplysninger om godt 80 danske myndigheder og virksomheder, som potentielt kan have fået installeret en bagdør sammen med softwaren Orion fra SolarWinds. En række af organisationerne anvendte Orion-softwaren i en version, som ikke var sårbar, og som dermed ikke havde en bagdør.
Omkring 30 organisationer har anvendt den kompromitterede version af Orion og har dermed fået installeret en bagdør i deres netværk. På baggrund af data fra blandt andet CFCS’ sensornetværk er det konstateret, at bagdøren i et lille antal tilfælde har været mere aktiv. Fokus er nu på at undersøge, om bagdøren har været udnyttet af aktøren bag angrebet til at stjæle data eller til at installere andre hackerværktøjer på det ramte netværk. På nuværende tidspunkt af undersøgelserne kan en ondsindet udnyttelse hverken be- eller afkræftes.
”SolarWinds kompromitteringen er et alvorligt angreb på danske virksomheder og myndigheder. Derfor har vi arbejdet intensivt på at få et overblik over situationen i Danmark, siden sagen for alvor rullede i december. Indtil videre ser vi tegn på kompromittering hos en lille håndfuld virksomheder og myndigheder. Der kigger vi fortsat på data for at se, om der har været ondsindet aktivitet, men det er endnu for tidligt at konkludere noget,” siger chef for Center for Cybersikkerhed, Thomas Lund-Sørensen.
Siden 14. december har CFCS varslet om angrebet både direkte til myndigheder, virksomheder og samfundskritiske sektorsamarbejder samt offentligt via Twitter, LinkedIn og CFCS’ hjemmeside (se her: varsel om mulige SolarWinds-kompromitteringer). Varslet indeholder oplysninger om tekniske indikatorer, der kan anvendes til at undersøge, hvorvidt aktøren bag angrebet har udnyttet den ondsindede version af Orion-softwaren til at få yderligere fodfæste i organisationens netværk.
CFCS takker de virksomheder, der har henvendt sig med oplysninger om sagen. Vi vil fortsat opfordre til, at virksomheder henvender sig, såfremt de har brugt den sårbare version af SolarWinds Orion-software, og i særdeleshed hvis der er tvivl eller formodning om, at bagdøren er blevet udnyttet. Se kontaktinfo nedenfor.
Softwareleverandøren SolarWinds er på et tidspunkt forud for marts 2020 blevet kompromitteret. SolarWinds leverer softwareplatformen Orion, der anvendes til at administrere og overvåge større it-infrastrukturer. Ifølge åbne kilder lykkedes det i december 2019 aktøren bag angrebet at placere deres egen kode i softwaren Orion fra SolarWinds. I marts 2020 udnyttede aktøren adgangen til at placere en såkaldt bagdør, som kan give aktøren adgang til de netværk, hvor SolarWinds Orion anvendes. Den kompromitterede opdatering blev tilgængelig for SolarWinds' kunder i marts 2020.
Såfremt man har opdateret SolarWinds Orion i marts 2020 eller derefter, er det meget sandsynligt, at der er blevet installeret en bagdør på det pågældende it-system.
Man bør som SolarWinds Orion kunde være opmærksom på, at selvom man kan konstatere, at bagdøren har været installeret, er det ikke sikkert, at aktøren har udnyttet bagdøren til yderligere adgang.
Ifølge åbne kilder har flere amerikanske organisationer efterfølgende konstateret, at aktøren har udnyttet deres bagdør i SolarWinds Orion til at få adgang til systemer på organisationernes netværk. Sikkerhedsfirmaet FireEye var den første SolarWinds-kunde, der beskrev kompromitteringen.
Ud over bagdøren i opdateringen fra SolarWinds, er der også hos SolarWinds-kunder observeret en uautoriseret version af en fil, der indgår i SolarWinds-platformen. Denne fil fungerer også som en bagdør til kundens system.
SolarWinds udsendte i december nye softwareopdateringer til Orion-platformen, der fjerner begge bagdøre. CFCS anbefaler, at alle organisationer, der anvender SolarWinds Orion, opdaterer til denne version.
CFCS' varsel indeholder en kort vejledning til, hvordan man som organisation kan undersøge, om man er berørt af kompromitteringen af SolarWinds. CFCS anbefaler, at berørte organisationer undersøger, hvorvidt der kan være sket yderligere kompromittering.
Undersøgelsen forudsætter, at man som organisation har adgang til logningsdata for det pågældende netværk, der dækker perioden fra marts 2020 frem til det tidspunkt, hvor man har opdateret Orion-platformen til en ikke-kompromitteret version. CFCS anbefaler, at man søger assistance hos sikkerhedsfirmaer med erfaring på området, hvis organisationen ikke besidder de nødvendige kompetencer internt.
CFCS anbefaler, at myndigheder og virksomheder sørger for at foretage tilstrækkelig logning på kritiske systemer for at kunne afdække eventuelle it-sikkerhedshændelser. Du kan finde hjælp i CFCS’ opdaterede logningsvejledning fra december.
Aktøren udnyttede sin adgang til SolarWinds til at snige en bagdør ind med i en softwareopdateringer. Der er tale om et såkaldt supply-chain angreb, som typisk forudsætter betydelige ressourcer for at lykkes, og det er fortsat en meget sjældent set angrebsform.
Myndigheder og virksomheder skal derfor - på trods af SolarWinds Orion-angrebet – blive ved med at opdatere deres it-software og kritiske systemer i øvrigt. Sikkerhedsopdateringer er et af de vigtigste redskaber til at forhindre vellykkede hackerangreb.
CFCS udarbejder for øjeblikket et overblik over hvilke SolarWinds Orion bagdøre, aktøren har haft mulighed for at udnytte hos organisationer i Danmark. CFCS vil derfor gerne høre fra virksomheder, der har anvendt en sårbar version af softwaren. Virksomheder, der har mistanke om, at de er blevet kompromitteret, bør kontakte CFCS.
CFCS tilbyder rådgivning i forbindelse med den indledende afdækning af it-sikkerhedshændelser i den samfundsvigtige infrastruktur og hos statslige myndigheder. Ønsker man som organisation bistand fra CFCS, opfordrer vi til, at der sikres logs og images af de involverede systemer for yderligere analyse.
Hvis du har spørgsmål, er du velkommen til at kontakte CFCS på telefon 33 32 55 80 eller på mail cert@cert.cfcs.dk.
Et supply chain-angreb er kendetegnet ved kompromittering hos leverandøren eller fra tredjepart gennem en leverandør eller betroede samarbejdspartnere.
Software supply chain-angreb er en særlig type supply chain-angreb, hvor aktører gemmer malware i opdateringer, som leverandører utilsigtet distribuerer til sine kunder.