Pirater, ikke folk som ulovlig laster ned eller kopier programvare, musikk og film, men væpnede bander som kaprer skip, vakte en viss forundring hos et globalt shippingselskap i fjor. For over en periode på flere måneder hadde de fullstendig skiftet adferd.
Dette skriver sikkerhetsgruppen til Verizon Enterprise Solutions, som denne uken kom med en rapport om 18 ulike tilfeller hvor selskapet har bistått kunder som har blitt utsatt for IT-angrep. Rapporten ble utgitt i forbindelse med et foredrag under RSA-konferansen som arrangeres i San Francisco denne uken, skriver Business Insider.
Skiftet taktikk
Det nevnte shippingselskapet skal ifølge Verizon ha betydelig erfaring med slike pirater. Men plutselig hadde altså piratene skiftet taktikk, og selskapet henvendte seg til Verizon for å få svar på hvorfor.
Tidligere pleide piratene å holde mannskapet som gisler i dagevis, mens skipet ble gjennomsøkt etter verdifull last. Men nå var angrepene blitt langt mer målrettede og effektive. Bare etter noen timer etter at piratene dukket opp, kunne mannskapet forlate sine tilfluktsrom for så å oppdage at piratene hadde gått rett til visse konteinere og forsynt av seg disse, før de tok med seg byttet og forlot fraktskipet igjen.
Det ble etterhvert klart for shippingselskapet at piratene hadde full oversikt over innholdet i alle konteinerne som selskapet fraktet. Men det var ukjent hvordan.
Sårbart CMS
Verizon samlet sammen informasjon om hvor denne typen informasjon kunne finnes i IT-systemene til shippingselskapet. Dette ledet etterforskerne til et «hjemmesnekret» innholdsforvaltningssystem (CMS) som shippingselskapet bruker til å administrere fraktgodset, inkludert konnossementene for hvert av selskapets skip.
Konnossementer er dokumenter der en skipsfører blant annet erklærer at han har fått om bord visse varer.
Etterforskerne fant deretter ut at var blitt lastet opp et ondsinnet og webbasert verktøy via en usikret filopplastingsfunksjon i CMS-løsningen. Filene som ble lastet opp med denne funksjonen, ble lagt i en mappe som også var tilgjengelig via web. Dessuten var den opplastede verktøyfilen satt til å være kjørbar.
I praksis utgjorde verktøyet en bakdør som piratene, eller deres relativt IT-kyndige samarbeidspartnere, kunne bruke til få tilgang til andre deler av systemet, inkludert mulighet til å laste opp og ned andre filer, samt utføre ulike kommandoer.
Kreative amatører
Verizon mener at angriperne har vært kreative, men ikke spesielt dyktige. Fordi bakdøren de skapte ikke kommuniserte via HTTPS, slik som resten av systemet, kunne etterforskerne se hvilke kommandoer som ble kjørt, og dermed få et klart bilde av hva som egentlig foregikk.
I rapporten er det ikke oppgitt navn på verken kunder, steder eller annet som kan identifisere noe eller noen knyttet til de ulike angrepene.
Selv om piratsaken er spesiell, er den representativ for en av fire hovedtyper av sikkerhetssvikt som Verizons RISK-team (Research, Investigations, Solutions and Knowledge) ofte støter på.
Hensikten med rapporten er ifølge Verizon å hjelpe både private selskaper og offentlige myndigheter med å forstå hvordan de kan gjenkjenne tegn på datainnbrudd, samt å opplyse hva Verizon mener ofrene bør gjøre når et innbrudd først har blitt oppdaget.