CFCS: Fremmed stat brugte kattekillinge-malware til at spionere mod danske virksomheder

En dansk hostingvirksomhed var mål for et langvarigt og målrettet angreb, som ifølge Center for Cybersikkerhed er udført af en fremmed stat.

En ukendt fremmed stat ser ud til at have stået bag et langvarigt angreb mod mindst én dansk virksomhed og flere udenlandske virksomheder. Det oplyser Center for Cybersikkerhed i en ny rapport om hændelsen.

Angrebet fandt sted mod en dansk hostingvirksomhed og derfra mod én af virksomhedens kunder, som ligeledes var en dansk virksomhed. I mere end ét år havde angriberne en bagdør ind i systemerne.

Ifølge Center for Cybersikkerhed er det ikke muligt at sige, hvilke oplysninger angriberne eventuelt har fået fat på, men det var ifølge den efterfølgende undersøgelse muligt for angriberne at navigere rundt på netværket i mere end et år og tilgå alle kundens data.

Den pågældende virksomhed blev først opmærksom på angrebet, da den modtog en henvendelse fra Center for Cybersikkerhed.

Der var tale om et angreb med malware i kategorien Advanced Persistent Threat, som dækker over software, der er designet til at inficere systemer i længere tid uden at blive opdaget. Det er en kategori af malware, som anvendes af efterretningstjenester til industrispionage.

Center for Cybersikkerhed vurderer således også, at der er tale om malware, der er udviklet med støtte fra en fremmed stat. Ofte anvendes hidtil ukendte sikkerhedshuller i software sammen med målrettede angreb mod personer i de pågældende virksomheder til at inficere systemet.

Et problem i den konkrete efterforskning var, at angrebet havde stået på så længe, at logfilerne for systemerne for længst var slettet af it-afdelingen, så det ikke var muligt at fastslå, hvordan virksomheden i første omgang var blevet kompromitteret. Der var dog sandsynligvis tale om et angreb via e-mail, såkaldt spear-phishing, med en vedhæftet fil eller et link.

Malwaren, der blev benyttet, var af PlugX-typen, som tidligere er set ved denne type angreb ifølge Center for Cybersikkerhed. Et særligt kendetegn ved den konkrete variant, som blev fundet, var, at den skjulte sin primære komponent i en valid JPEG-billedfil, som forestillede tre kattekillinger.