En natt på Tripnet

26 april, 2023

Varför pratar vi inte mer öppet om informationssäkerhets-incidenter? Visst har vi hört talas om att Kalix kommun drabbades av en ransomware-attack och när Coop fick stänga hundratals butiker på grund av IT-attacken mot Kaseya?

Men, varför är det tyst om dataintrång som gått obemärkt förbi? Är det bara vi som upplever en tystnadskultur? Hur skall vi kunna stötta varandra och utbyta erfarenheter om vi inte utbyter information och kunskap? Nu är ett bra tillfälle att ändra på detta.

Vi på Tripnet och våra kunder utsätts hela tiden för försök till dataintrång. Den absoluta merparten stoppas och passerar obemärkt förbi, men ibland kommer en attack igenom och orsakar incidenter. Den vanligaste anledningen är dåligt underhållna system, oftast gamla applikationer med sårbarheter. Det är väldigt ovanligt med dataläckage och hittills har – ta i trä – ingen av våra kunder råkat ut för ransomware och fått sin data krypterad.

Den allvarligaste incident vi på Tripnet har drabbats av, skedde strax innan klockan 22 en måndag i maj 2022. Vår systemingenjör på plats fick larm och upptäckte hög belastning i en av de VMware-miljöer där vi producerar våra molntjänster. Samtidigt hade två kollegor precis gjort en säkerhetscanning av våra system. Första tanken hos dem var – vad har vi gjort nu? Det var några svettiga minuter för dem innan de fick konstaterat att det inte var de själva som överlastade vår miljö.

Robert-natt

Tydlig incidentprocess och transparent kommunikation

Vid störningar arbetar systemingenjörerna enligt vår incidentprocess, viket är en av våra viktigaste processer. När man har en incident är det väldigt lätt att ryckas med i felsökning och att vilja att lösa problemet. Det känns naturligt, men innebär att man tappar överblicken. Erfarenhetsmässigt tar det max 30 minuter innan man drabbas av tunnelseende. Processen är därför vårt viktigaste stöd för att strukturera arbetet. En av de första sakerna vi gör att är att kommunicera till berörda kunder att vi har en incident, och då hellre till för många kunder än att vi riskerar att missa någon. I detta fall informerar vi samtliga kunder efter 14 minuter från första larm.

Det ger oss möjlighet att koordinera vår felsökning med berörda kunder.

Tillbaka till måndagen i maj. Direkt efter första information skickats, eskalerade ansvarig systemingenjör incidenten. Ytterligare kollegor och vår tekniska chef kallades in. Vid större incidenter är det mycket som görs på kort tid. Att felsöka, prata med kunder och skicka ut information kräver ett flertal personer.

Vi upptäckte att källan till den höga lasten var ett kryptominingprogram. Detta program stjäl beräkningskraft för att utvinna kryptovalutan Monero. I samband med detta öppnade vi en säkerhetsincident och ärendet eskalerades till vår säkerhetschef. Vi identifierade en webbhotellserver som källa till spridningen. Eftersom det var akut, togs beslutet att stänga ner denna server, som hanterar en handfull kunder, och kommunicera med dessa. I detta läge ville vi minimera skadan och risken för dataförlust eller -läckage. Senare satte vi upp nya servers för dessa kunder. Dessa servers var, som det heter på bransch-språk, ”totally hacked”.

På webbhotellservern var angripare inloggade, men de kom aldrig vidare till några andra servers. Dock lyckades de genom ett fel i Microsoft AD skicka vidare illvillig kod. Vi identifierade tidigt ett antal platser på Internet som den illvilliga angriparen kommunicerade med. Vi blockerade dessa för att stoppa spridning, eftersom det fanns script som automatiskt laddade mining-mjukvaran på nytt.

_B1A3131

Forensiska analyser och externa specialister

Efter att vi identifierat och isolerat den hackade servern fortsatte vi med forensisk analys för att hitta hur den illvilliga koden tagit sig in och spridits. Parallellt med detta arbetade vi med att analysera om någon data läckt. Denna analys sker i flera etapper. Efter fem intensiva timmar stängs den incident som gäller den höga belastningen, medan säkerhetsincidenten kvarstår och arbetet med de påverkade systemen fortsätter. Eftersom vi snabbt stängde ner angriparnas kommunikation stoppades fortsatta attacker.

Vi konstaterade även att ingen kunddata läckt, men vi såg lokala lösenord på webbhotellservern som röjda. Därför uppmanade vi kunder att byta dessa lösenord om de använt dessa på andra ställen.

Vi insåg tidigt att säkerhetsincidenten var stor och skulle kräva stora resurser för analys, efter att det initiala arbetet var klart. Vi hade kontakt mer flera externa partners för att bolla våra tankar. På grund av arbetets omfattning valde vi dock snabbt att plocka in externa specialister från vår partner Orange Cyber Defence. Insatsen var intensiv och bedrevs tidvis dygnet runt tillsammans med Orange.

För oss är denna incident dessbättre unik. Vi fick en bekräftelse på att våra processer och vår kompetens även fungerade vid en så här pass omfattande incident och att vi har rätt partners. Det är även i sammanhanget bra att ha en extern, tredje part med sig tidigt i processen. Det gav oss information och rapporter från en oberoende part att förmedla till kunder och till deras slutkunder och andra intressenter.

Polisanmälan av cyberbrott

Hur fungerar det att polisanmäla denna typ av brott? Hur gör man och hur agerar polisen? Vår VD Ulf Persson skrev ihop en polisanmälan utifrån vår mall som han tog med sig och åkte till Polisen. När han kom in på Polisstationen på Stampgatan i Göteborg fick han snabbt lämna in sin anmälan i luckan och blev ombedd att vänta kvar. Efter en halvtimme fick han prata med polisen Pernilla. De gick gemensamt igenom anmälan och säkerställde att alla uppgifter fanns med, och att hon uppfattade informationen rätt. Hon informerade även om hur hon skulle hantera anmälan vidare.

Senare på dagen ringde en annan polis, Thomas, som arbetar med cyberbrott. Han berättade att de såg detta som ett grovt dataintrång och skulle hantera brottet på sin regionala cyberbrottsavdelning. De bad även om kompletterande information. Vi skickade analysen från Orange till dem. Senare kontaktade de oss för att få mer data och kunna göra en fortsatt forensisk analys. Som vi förstår det, var detta ytterligare en pusselbit i ett större pussel. ”Kända gärningsmän”, sa de någon gång.

– Min uppfattning är att Polisen tagit detta på allvar, att de är både professionella och kompetenta att hantera denna typ av brott. Jag tror att denna typ av brottslighet är väldigt svår att utreda, säger VD Ulf Persson. Polisen har klart överträffat min förväntan, jag hade nog inte trott att då se så stort intresse från dem. För mig känns det viktigt att kunna prata om detta och ge polisen den hjälp de behöver. De har sannolikt en helt annan övergripande bild än vad vi har.

IMG_5440

Slutsatser

För att ens kunna hantera dataintrång är det avgörande att man kan upptäcka dem. Givetvis ska man ha många skyddslager runt sina system, men man kan inte längre lita på att det alltid räcker med smarta brandväggar och nästa generations antivirus. Man behöver räkna med att systemen inte bara blir utsatta för försök till dataintrång, utan även att dessa kan lyckas. I samband med incidenten installerades ytterligare mjukvaror på servrarna för att hjälpa oss i den forensiska analysen och för att säkerställa att inte illvillig kod kan startas och om den ändå skulle startas – att vi upptäcker den.

Snitt tiden det tar att upptäcka ett dataintrång är 287 dagar. Det räcker inte år 2022! I denna incident kunde vi både upptäcka och agera snabbt. Ofta har man lite tid på sig, men ju fortare man agerar, desto bättre. Det är viktigt att planera för vad som är viktigt, tänka på tillgänglighet, konfidentialitet och integritet. I vilket läge ska systemen plockas bort från Internet och vad krävs för att återansluta dem igen?

Efter incidenten har vi funderat lite kring om det är hotbilden eller kravbilden som har ändrats?

– Jag tror att det i takt med att en ökad andel av intäkterna genereras genom IT, kommer det automatiskt förväntningar om hög tillgänglighet, helst 100 %, säger Ulf Persson. Det är numera självklart att affärs- och samhällskritiska system kan publicera på Internet och då skall de även vara 100% konfidentiella, så kravbilden har ökat. Det pågår i skrivande stund ett krig i Europa och det är stora spänningar i vår omvärld, så hotbilden har också ökat.

 

TIPS FRÅN OSS PÅ TRIPNET

  • Skydda dina system i många lager. Funktioner som skall förhindra intrång, t ex antivirustjänster behöver övervakas.
  • Förutsätt att dataintrång kan ske, oavsett dessa lager.
  • Programvara för detektering och åtgärd av illvilliga operationer (EDR) behövs och ska övervakas.
  • Planera i förväg. Fundera inte på om du kommer att bli hackad, utan när. Säkerställ att du har tillgång till experter och resurser om det skulle behövas.
  • Arbeta strukturerat med informationssäkerhet

Då har du koll på dina informationstillgångar och kan fatta välgrundade beslut.

Hör gärna av dig!

Telefonnummer, e-postadresser och kartor.

Våra senaste artiklar

Att förebygga en katastrof

Vi ser att de Tabletop-övningar vi gjort på Trip...

Hans Werner trendspanar inför året 2025

Hur kommer det egentligen att bli med Donald Trump...

Cyberattackerna och NATO

Inför Sveriges inträde i NATO trodde många att ...