Den 30. juni deltog jeg i Secureworks Threat Intelligence Summit, der i år selvfølgelig foregik virtuelt. Her gjorde Secureworks eksperter status over deres arbejde med at bekæmpe cyberkriminalitet.
Secureworks er Dell Technologies’ cybersikkerhedsafdeling, der leverer sikkerhedsløsninger baseret på Threat Intelligence, som er viden, der bygger på erfaringer, og som gør det muligt at forebygge, opdage og reagere hurtigt på cyberangreb.
En af konklusionerne på konferencen var, at cyberkriminelle, ligesom alle andre mennesker, holder frokostpauser. Det i sig selv er ikke nogen nyhed, men det siger noget om den detaljeringsgrad, som Secureworks eksperter arbejder med, når de prøver at forstå, hvem de cyberkriminelle egentlig er – og ikke mindst hvordan de opererer. Hertil blev der præsenteret et konkret eksempel, hvor en gruppe af cyberkriminelle, som går under betegnelsen ’Bronze Union’, havde angrebet en underleverandør til forsvarsindustrien. Gruppen følger den taktik, der kaldes ’many paths to success’, der betyder, at de forsigtigt prøver at finde forskellige sårbarheder hos offeret. Er der en risiko for, at de bliver opdaget, falder de tilbage og prøver en ny teknik.
I det konkrete eksempel prøvede Bronze Union først en sofistikeret taktik baseret på web shells, der placeres hos offeret, og som ofte overses, fordi de til forveksling ligner den eksisterende software. Herefter var der en pause i angrebsaktiviteten på en time og 40 minutter og da Bronze Union blev aktiv igen, var taktikken ikke lige så velovervejet. De prøvede nemlig at ændre en række firewallregler og endte med at lukke sig selv ude fra systemerne. Secureworks’ analytikere konkluderede derfor, at der enten sad en ny og mere uerfaren hacker i stolen, eller at var der tale om en person, der havde holdt en lang frokost med et par stærke drinks.
Denne observation – kombineret med utallige andre datapunkter – gør Secureworks i stand til at kategorisere Bronze Union som trusselsaktør. Næste gang vi møder dem hos kunderne, kan vi genkende deres måde at arbejde på og er derfor i stand til at træffe de rigtige forholdsregler. Secureworks har for nylig valgt at offentliggøre profiler over trusselsaktører, så andre kunder og leverandører kan få glæde af dem – det kan du læse mere om her. I dette ‘forbryderalbum’ kan man se mere om Bronze Union, og hvordan de adskiller sig fra andre cyberkriminelle. Selvom grupperingen generelt arbejder ud fra den forsigtige ’many paths to success’-tilgang, er den også kendetegnet ved individer, der har evner og bemyndigelse til at afvige fra det normale og prøve nye tilgange af for at kunne udnytte en opstået situation, der giver dem maksimalt udbytte ud af angrebet.
Bronze Union er derfor en farlig aktør – når de altså ikke holder frokost. Når de trænger ind i en virksomheds it-systemer, tager de i gennemsnit 46 GB data med sig ud og installerer 15 forskellige af deres værktøjer i offerets it-miljø. Derudover er de i stand til at manipulere offerets egne systemer til at arbejde for dem. Udbyttet kan være trivielle data, men gruppen kan også være heldig at finde den helt store gevinst. Det sker f.eks., hvis offeret har sine egne applikationsudviklere ansat, hvilket mange virksomheder har i dag. En applikationsudvikler råder ofte over nogle certifikater, der netop skal garantere, at den software der udvikles, kommer fra kundens egen organisation. Hvis angriberen får adgang til at misbruge disse certifikater, sidder han med helt andre kort på hånden, da malwaren, forsynet med certifikatet, kan passere uhindret gennem offerets systemer.
Alle virksomheder har derfor i dag brug for Threat Intelligence. Secureworks bruger Threat Intelligence til at handle proaktivt og beskytte kunden. Det er virkelig godt at opdage en web shell, som en angriber har anbragt. Men hvis man samtidig ved, at denne web shell kun er én af de ’many paths to success’, så kan man tilrettelægge den rigtige reaktion og dæmme op for hele angrebet for at undgå skadevirkninger.
Præsentationerne fra Secureworks Threat Intelligence Summit er fortsat tilgængelige online, og det er muligt at se dem her: https://web.secureworks.com/GlobalTISummit
Ønsker du at få indsigt og inspiration fra vores eksperter leveret direkte til din indbakke, kan du tilmelde dig vores nyhedsbrev.