Den danske forsvarsministeren, Claus Hjort Frederiksen, anklaget sist søndag Russland for å stå bak flere vellykkede phishingangrep mot det danske forsvaret. Dette trolig med bakgrunn i en rapport fra Center for Cybersikkerhed (CFCS) om angrepene, hvor det pekes i retning av en meget kjent trusselaktør, APT28 (Advanced Persistent Threat 28), som kanskje er mer kjent som Fancy Bear.
Det er antatt at APT28 er en russisk, statssponset kyberspionasjegruppe. Den samme gruppen skal stå bak en rekke andre angrep og innbrudd, inkludert de mye omtalte phishingangrepene som Democratic National Committee skal ha blitt utsatt for våren 2016, i forbindelse med den amerikanske valgkampen.
Les også: – Slik kan du oppdage russiske hackerangrep
Også i Frankrike?
Ifølge en rekke aviser skal Trend Micro denne uken ha bekreftet at det har blitt gjort forsøk på phishingangrep mot den kampanjen til den ene av de franske presidentkandidatene, Emmanuel Macron. Også i dette tilfellet pekes det på Fancy Bear.
Macron selv har i flere uker hevdet at kampanjen hans har vært utsatt for russiske kyberangrep. Macron anses som langt mer kritisk til Russland enn den gjenværende motkandidaten, Marine Le Pen.
Men overfor Reuters avviser en talsmann for Kreml, Dmitry Peskov, at Russland har hatt noe med disse angrepene å gjøre.
Kompromittering av epostkontoer
I det danske tilfellet skal phishingangrepene resultert i at angriperne har fått tilgang til innloggingsinformasjon til det danske forsvarets ikke-graderte eposttjeneste, webmail.mil.dk.
Dette har skjedd ved at angriperne har narret ansatte tilknyttet forsvaret til å oppgi brukernavn og passord på falske innloggingssider. Angrepene skal ha skjedd i to omganger i 2015 og 2016.
I tillegg har det fra samme aktør blitt registrert forsøk på å spre skadevare, samt «brute force»-angrep mot utvalgte mil.dk-epostkontoer og servere som tilhører det danske forsvarets myndighetsområde, blant annet via SSH-protokollen. Men det har ikke blitt funnet tegn til at de to sistnevnte angrepsformene har vært vellykkede.
Leste du denne? Snarrådig ingeniør reddet TV5 fra «den totale ødeleggelse»
Manglende sikkerhet
I CFCS-rapporten går det tydelig fram at de vellykkede kompromitteringene av epostkontoene kunne ha blitt forhindret ved at eposttjenesten benytter to-faktor autentisering ved innlogging. Det står riktignok ikke i klartekst i rapporten at webmail.mil.dk ikke støtter et slikt sikkerhetstiltak, men mye tyder på at dette ikke er tilfellet.
To-faktor autentisering støttes av mange sivile tjenester, for eksempel ved innlogging på Gmail og andre Google-tjenester, Facebook og Microsoft ulike tjenester. I tillegg til brukernavn og passord, må man gjerne også oppgi en korrekt engangskode.
Til Version2 sier Peter Kruse i sikkerhetsselskapet CSIS at da han først hørte om angrepene, forventet han at det ville dreie seg om noe avansert, ikke simpel phishing. Slike phishingangrep er mulig å få til uten store ressurser eller omfattende tekniske kunnskaper om hacking.
Kruse sier at han ikke fatter at det er mulig at militæret har en åpen webmail-tjeneste uten to-faktor autentisering, selv om den ikke er gradert.
DMARC
Han stusser også over at det danske forsvaret selv ikke nå, etter angrepene, har implementert DMARC (Domain-based Message Authentication, Reporting & Conformance), som kan hindre uvedkommende i å sende epost som ser ut til å stamme fra en konto tilhørende et gitt domene, uten at avsenderen virkelig har tilgang til kontoen.
Ved for eksempel å oppgi at avsenderen av en epost er en annen mil.dk-konto, vil mottakerne lettere kunne overse at det er noe mistenkelig ved eposten. DMARC kan blant annet hindre at slike epostmeldinger når fram til mottakeren.
– Det har på alle måter vært en lavthengende frukt. Man har ikke implementert DMARC, og de har ikke engang gjort det ennå, og det forstår jeg ikke, når man har vært utsatt for noe slikt, avslutter Kruse.
Les mer om DMARC: Denne funksjonen kan forhindre svindel med e-postadresser (Digi Ekstra).