Et elendigt kodeord og en digital Einstein - sådan foregik et af verdens største hackerangreb

Den russiske hackergruppe Cozy Bear beskyldes for hackerangrebet. Sammen med Fancy Bear menes den at arbejde for den russiske efterretningstjeneste. Foto: TV 2

Hackere har haft adgang til omkring 18.000 netværk hos myndigheder og virksomheder i månedsvis. De behøvede bare at angibe ét sted.

Kan man være mere genial end Einstein?

Altså ikke fysikeren, men det computersystem, som de amerikanske myndigheder har opkaldt efter ham, fordi de anså det for at være lige så exceptionelt som manden selv.

Vi styrer netværksgrejet hos alle
Kevin Thompson, direktør, Solarwinds

Som du nok har gættet, er svaret ja, og faktisk ser en gruppe russiske hackere ud til at være tættere på Einsteins niveau end de amerikanske myndigheder og den softwaregigant, der skulle beskytte deres data.

Der er nemlig meldinger om, at softwaregiganten brugte et mildest talt elendigt password, mens Einstein havde øjnene stift rettet mod det amerikanske præsidentvalg.

Det gav ifølge USA's udenrigsminister, Mike Pompeo, en russisk hackergruppe frit spil til at stjæle data og læse e-mails bag en stor mængde både amerikanske og udenlandske firewalls i månedsvis.

Blandt de amerikanske myndigheder, der er blevet hacket, er energiministeriet, der har ansvar for USA's atomvåben.

En IT-succes ud over det sædvanlige

I alt 18.000 virksomheder, organisationer og myndigheder risikerer at haft besøg af russerne uden at vide det, og siden nyheden om hackerangrebet kom i sidste uge, er amerikanerne begyndt at danne sig et overblik over, hvad russerne egentlig har foretaget sig.

Og det lader til, at amerikanerne er blevet taget godt og grundigt ved næsen - formentlig allerede siden marts måned.

Omkring dette tidspunkt brød hackere ind hos det amerikanske softwarefirma Solarwinds, som du formentlig aldrig har hørt om.

Kevin Thompson på børsen i New York efter at have ringet med klokken og dermed åbnet dagens handel 19. oktober 2018. Foto: Ritzau Scanpix

Det er dog ikke fordi, det er et lille firma.

Solarwinds har 3200 ansatte, hovedkvarteret ligger i Austin i Texas, og så sent som 27. oktober i år, kunne firmaets direktør Kevin Thompson fortælle investorerne, hvor godt det gik:

- Vi tror ikke, at der er nogen i markedet, der bare er tæt på at have den bredde i dækningen, som vi har, sagde han ifølge Reuters.

- Vi styrer netværksgrejet hos alle, tilføjede han.

På firmaets hjemmeside står der, at Solarwinds har 320.000 kunder i 190 lande, og at man betjener 499 ud af 500 firmaer på Forbes' liste over USA's største virksomheder.

Et af Solarwinds' bedst sælgende produkter er programmet Orion, der hjælper virksomheders IT-afdelinger med at overvåge deres netværk.

Solarwinds hovedkvarter i byen Austin i Texas. Foto: Sergio Flores / Ritzau Scanpix

Og det var netop Orion, der på et tidspunkt i foråret fik virtuelt besøg fra Rusland.

Det lykkedes hackerne at sætte en stump kode ind i en af programmets opdateringer og lod så Solarwinds om at sende den inficerede opdatering ud til kunderne.

Dermed låste Solarwinds en potentiel bagdør op hos de virksomheder og myndigheder, der installerede opdateringen.

Ifølge Solarwinds' direktør, Kevin Thompson, blev den inficerede opdatering sendt ud mellem marts og juni i år.

- Vi mener, at denne sikkerhedsbrist er resultatet af et højt sofistikeret, målrettet og fingerfærdigt angreb på vores forsyningskæde fra en fremmed magt, sagde han, da sikkerhedsbristen blev opdaget.

Det var ikke engang Kevin Thompsons eget firma, der opdagede den russiske bagdør. Det gjorde derimod sikkerhedsfirmaet Fire Eye, der lever af at opspore hacking, og som opdagede, at det selv havde haft besøg af hackere.

En uskyldigt udseende fil

Ifølge Fire Eyes' egen beskrivelse rettede mistanken sig hurtigt mod en fil, der hed "SolarWinds.Orion.Core.BusinessLayer.dll", som pludelig gav sig til at kommunikere med en computer, der hverken tilhørte Fire Eye eller Solarwinds.

For det utrænede øje lignede den trojanske hest en fil fra 2014. Foto: TV 2

Filen viste sig at være en såkaldt trojansk hest.

- Den udfører kommandoer såsom at flytte filer, foretage systemprofiler, genstarte maskinen og slukke for systemprocesser, skriver Fire Eye.

Ifølge firmaets analyser kunne det fremmede stykke software ikke ses af antivirusprogrammer.

Programmet gav sig heller ikke til at virke lige med det samme efter opdateringen af Orion, men først efter omkring 14 dage, så det blev endnu sværere at opdage.

Den trojanske hest snød også det ekstremt dyre Einstein-system, som patruljerer de amerikanske myndigheders netværk.

Tak, fordi du rapporterede om den dårlige konfiguration på en ansvarlig måde
E-mail fra Solarwinds

Einstein fokuserer ifølge avisen Washington Post på at finde programstumper og internetforbindelser, der tidligere er brugt til hacking, men ikke helt nye måder at trænge ind på.

Så Einstein fungerer nærmest som en udsmider, der holder alle navne på en bestemt liste ude, men ikke reagerer på ukendte navne.

En rapport om internetsikkerhed anbefalede ellers allerede i 2018 politikerne i USA's kongres, at det ville være en god idé at se på andet end kendte trusler også, men intet skete.

Et rigtig dårligt password

At lade nøglen til så mange vigtige oplysninger ligge hos et enkelt firma, var, set i bakspejlet, en stor risiko.

Især fordi Solarwinds faktisk modtog klager over dårlig sikkerhed.

Er NSA blevet forledt af en lokkedue?
Robert K. Knake, ekspert i cybersikkerhed

For eksempel fra sikkerhedseksperten Vinoth Kumar, der fortæller nyhedsbureauet Reuters, at han i november 2019 skrev til virksomheden for at gøre opmærksom på, at adgangskoden til serveren med deres opdateringer var "solarwinds123".

Et billede med informationer om adgangskoden lå offentligt tilgængeligt på fildelingstjenesten Github.

Vinoth Kumar fortæller til magasinet Newsweek, at han først fik svar fra Solarwinds tre dage senere.

- Tak, fordi du rapporterede om den dårlige konfiguration på en ansvarlig måde. Konfigurationen på Github er blevet adresseret og er ikke længere offentligt tilgængelig, de eksponerede brugeroplysninger er der også taget hånd om, hed det i en e-mail fra Solarwinds, som Newsweek har set.

Efterfølgende har Vinoth Kumar undersøgt, hvor længe det usikre password har været i brug, og han siger til Newsweek, at det formentlig har været uændret siden juni 2018.

That Github repo was open to the public since 17 Jun 2018 😱 pic.twitter.com/SHUWaPXIeK
— Vinoth Kumar (@vinodsparrow) December 15, 2020

- Angrebet kan nemt være foretaget af hvem som helst, siger Vinoth Kumar til Reuters.

Alligevel peger amerikanerne dog på Rusland.

Narret af russerne

Ifølge Washngton Post mener FBI, at det er den russiske efterretningstjeneste SVR og deres hackergruppe APT29 - også endt som Cozy Bear - der står bag.

Robert K. Knake, der var embedsmand med ansvar for cybersikkerhed under Barack Obama, retter en voldsom kritik mod USA's manglende evner til at bremse russerne:

- Hvordan kan dette ikke være et massivt efterretningssvigt, især fordi vi angiveligt mandsopdækkede russiske aktører, der kunne udgøre en trussel forud for valget, skriver han på Twitter og angriber efterretningstjenesten NSA for intet at have foretaget sig.

- Er NSA blevet forledt af en lokkedue, mens SVR - Ruslands mest sofistikerede spionagentur - "stille plyndrede" myndighederne og det private erhvervsliv?, skriver han.

I'm struggling with what the SolarWinds incident means for defending forward. How is this not a massive intelligence failure, particularly since we were supposedly all over Russian threat actors ahead of the election?
— Rob Knake (@robknake) December 15, 2020

En talsmand for det russiske styre nægter dog, at landet er indblandet.

- Hvis amerikanerne ikke kunne gøre noget ved det i månedsvis, burde de nok ikke komme med grundløse beskyldninger mod russerne for alt muligt, siger talsmanden Dmitry Peskov.

Præcis hvilke data der er blevet stjålet, og hvem der er ramt, er stadig under efterforskning.

Men såvel Los Alamos National Laboratory, hvor USA's atomvåben udvikles, som alle større leverandører af militærudstyr, bruger ifølge New York Times Solarwinds' Orion-system.