Angribere fjernstyrede hostingfirmaers servere

Ukendte angribere har inficeret to danske hostingfirmaer med skadelig software til fjernstyring og opsamling af tastetryk. På grund af manglende logning ved man ikke, om følsomme data er kommet i de forkerte hænder.

Center for Cybersikkerhed beskriver angrebene i undersøgelsesrapporten "Outsourcing – hvem har ansvaret?" Offentlige myndigheder er kunder hos de ramte hosting-firmaer.

Det ene firma blev angrebet via en webside, der lå på dets servere. Angriberne har sandsynligvis udnyttet en sårbarhed på websiden til at installere en bagdør. Igennem bagdøren kunne de så installere skadelig software på selve serveren.

Center for Cybersikkerhed vurderer, at en statslig eller statsstøttet aktør står bag angrebet.

Angrebene foregik fra april 2015 til sommeren 2016. Der mangler log-oplysninger til at afdække, nøjagtig hvad der er sket. Men det er sikkert, at programmet til at opsamle tastetryk har været aktivt hos begge firmaer. Der er også tegn på, at bagmændene har kommunikeret med fjernstyringsprogrammet.

Det er muligt, at angriberne har fået fat i brugernavne og passwords – ikke kun på brugere hos hostingfirmaet, men også hos kunderne.

Anbefaling

Når en organisation outsourcer it-opgaver til et hostingfirma, skal den indgå klare aftaler om sikkerheden, metoder til beskyttelse og logning af hændelser. Læs mere i rapporten fra Center for Cybersikkerhed.

Link