Noll
I November 2016, den Australiska Signaler Direktoratet (ASD) blev varnad av en “partner” som en angripare hade fått tillgång till det nätverk av ett 50-person aerospace engineering företag som underleverantörer till Department of Defence.
Begränsad teknisk information om F-35 Joint Strike Fighter, P-8 Poseidon maritime patrol flygplan, C-130 transportplan, Joint Direct Attack; (JDAM) smart bomb kit, och “några Australiska örlogsfartyg” var bland de känsliga uppgifter stulits från en liten Australian defence entreprenören i och med 2016.
Den hemliga informationen var begränsad under International Traffic in Arms Regulations (ITAR), den AMERIKANSKA systemet för kontroll av export av försvars – och militär-relaterad teknik, enligt Mitchell Clarke, en incident response manager på ASD som arbetade med fallet.
Det ena dokumentet var en wireframe diagram av “en av flottans nya fartyg”. En betraktare skulle kunna “zooma ner till kaptenens stol och se att det är, du vet, 1 meter från nav stol”, Clarke sade.
De uppgifter som stöld var först rapporterade på tisdagen som del av 2017 Threat Report från den Australiska Cyber Security Centre (ACSC). Lite information gavs vid den tiden. Offret beskrivs som en “liten Australiska företaget med upphandlande länkar till den nationella säkerheten projekt”. Angriparen hade “en hållbar tillgång till nätverket för en längre tid” och hade stulit en “betydande mängd data”.
Clarke förutsatt betydligt mer i detalj i sin presentation att den nationella konferensen för den Australiska Information Security Association (AISA) i Sydney på onsdag.
ASD heter denna avancerade ihållande hot (APT) skådespelare “APT ALF”, efter en karaktär i den långvariga Australiska TV soap opera Hemma och Borta.
Angriparen hade i själva verket varit med i nätverket sedan åtminstone mitten av juli 2016, med data exfiltration med början cirka två veckor senare. ASD hänvisar till tre månader mellan angripare att få tillgång, och ASD blir medvetna om det, “Alf s Mystery Glad Rolig Tid”.
Angriparen skulle ha haft lite problem att få tillträde.
Offrets nätverk var liten. En person lyckades alla IT-relaterade funktioner, och de hade bara varit i rollen som för nio månader. Hög personalomsättning, vilket var typiskt.
Det fanns ingen skyddande DMZ-nät, ingen vanlig lapp-system och en gemensam Lokal Administratör lösenord på alla servrar. Värdarna hade många internet-inför-tjänster.
Tillgång ursprungligen fått genom att utnyttja en 12-månader gamla sårbarhet i företagets IT-Helpdesk-Portal, som var montering av företagets filserver med den Domän administratörskonto. Sidorörelse att använda samma autentiseringsuppgifter så småningom gav angripare åtkomst till domänkontrollanten och för fjärrskrivbord-server, och för att e-post och annan känslig information.
“Detta är inte ovanligt,” Clarke sade. “Bara om 12 månader gammal, om man ser på regeringen, det är inte så uppdaterad, tyvärr.”
Angriparen behöver inte ha brytt sig med det, dock. ASD: s undersökning visade att internet-inför-tjänster fortfarande hade sina default lösenord, admin::admin och gäst::gäst.
En viktig aspekt av denna händelse är att ett litet företag, med resurser som var klart otillräckligt med hänsyn till de känsliga uppgifter som de höll, men lyckades ändå att få och hålla ITAR-certifiering.
Enligt Clarke, ett program för ITAR-certifiering är oftast bara “två eller tre sidor”, och ställer grundläggande frågor om organisationers säkerhet hållning.
“Ett av de resultat av lärande från denna fallstudie, åtminstone för den Australiska regeringen är att vi måste hitta ett sätt att börja vara lite mer detaljerad i vårt entreprenad uppdrag om vilken typ av säkerhetsåtgärder är nödvändiga,” Clarke sade.
“Det är inte för mitt team att svara på, men det kommer att bli ett resultat av denna typ av sak.”
Clarke har betonat vikten av att följa bästa praxis för att säkra nät, inklusive ASD är Viktigt Åtta strategier för att minska it-incidenter.
Tech Pro Forskning
DET ledande guide till hotet om fileless malware
Nätverk säkerhetspolitik
Lunch och lär: BYOD regler och ansvar
Riktlinjer för att bygga säkerhetspolitik
Medvetenheten och utbildningsstrategi
0