Bild: ANU
“Den här rapporten från ANU är ett exempel för alla andra hur man handskas med it-angrepp,” twittrade Vanessa Teague, docent i it-säkerhet vid Universitetet i Melbourne, på onsdag.
“Ärlig, teknisk, detaljerad, och full av goda råd för att skydda data. Attacker kommer att hålla händer. Detta är ett sätt att förstå dem och lära sig att förbättra vårt försvar.”
Hon har rätt.
Rapporten i fråga är en detaljerad incident rapport [PDF] för massiva dataintrång drabbats av Australian National University (ANU) i slutet av 2018, upptäcktes i Maj 2019, och avslöjade två veckor senare, i juni.
Hackare hade fått tillgång till upp till 19 år värt av data i universitetets affärssystem Domän (ESD), som har sina mänskliga resurser, ekonomisk förvaltning, studievägledningen, och “enterprise e-former system”.
ANU är vice förbundskansler och president, Professor Brian Schmidt, hade åtagit sig att göra brott utredning allmänheten. Denna rapport mer än ett svar på det löftet. Det är en måste-läsa.
“Förövarna av våra data breach var extremt sofistikerade. Denna rapport redogör för den nivå av förfining, sådana som har chockat även de mest erfarna Australiska experter på säkerhet,” Schmidt skrev här veckan.
Rapporten redogör för hur angriparna organiserad i fyra separata spearphishing kampanjer och byggt sina uppgifter exfiltration infrastruktur på utsatta web-servrar och system.
Bild: ANU
“Förutom sin effektivitet och precision, skådespelaren undvikit system för upptäckt, utvecklat sina metoder under kampanjen, som används custom malware, och visat en exceptionell grad av driftsäkerhet som lämnade några spår av deras aktiviteter,” enligt rapporten.
Angriparens tradecraft ingår:
Ändra signaturer av mer gemensamma skadlig kod för att undvika detectionAssembling malware och några verktyg inne ANU nätverket efter ett fotfäste hade upprättats. Enskilda komponenter inte utlösa endpoint protectionDownloading “flera typer av virtualisering programvara innan du väljer en”Hämta diskettavbildningar för Windows XP och Kali Linux, även om “det är mycket som tyder mycket användning av Kali Linux”Bygg skräddarsydda malware inom ANU nätverk för att få tillgång till ESD. “Syftet med denna kod är okänd, och ingen kriminaltekniska spår av den eller den körbara filen som sammanställdes från koden har hittats vid tidpunkten för denna rapport,” enligt rapporten
“Skådespelaren använda en tredje part verktyg för att extrahera data direkt från den underliggande databaser av våra administrativa system på ett effektivt sätt kringgås tillämpning-nivå avverkning. Säkerhetsåtgärder för att förhindra att detta händer igen har genomförts,” enligt rapporten.
Angriparna försökte även att maximera effektiviteten av sin spearphishing insatser genom att försöka inaktivera universitetets e-post spam-filter, även om “det finns ingen teknisk bevisning som tyder på att de var framgångsrika i detta försök”.
ANU: s analys visar att angriparna exfiltrated mycket mindre data än 19 års värde som ursprungligen var rädd, men inte visar exakt vad som tagits.
“Trots våra avsevärda kriminaltekniska arbetet, vi har inte kunnat fastställa exakt vilka poster som togs … Vi visste också att de stulna uppgifterna har inte varit ytterligare missbrukas,” Schmidt skrev.
“Frustrerande detta för oss närmare motiv för skådespelaren.”
Även om angriparen hade fått större tillgång, ANU sa att det är tydligt från vägen tas som deras enda mål var att tränga in ESD.
“Det finns ingen teknisk bevisning som tyder skådespelaren nås eller visade något intresse för filer som innehåller allmänna administrativa handlingar eller forskningsresultat, inte heller var ANU Enterprise Records Management System (ERMS) påverkas”, står det i rapporten.
“Det är värt att notera att ANU var föremål för ytterligare försök till intrång inom en timme från det offentliga meddelandet och följande dag, som båda hade slutat.”
ANU har minskat attribut attack till någon särskild motståndare.
För år nu, chief information security officerare (CISOs) och andra har berättat för organisationer att dela med it-säkerhet information för att förbättra deras försvar. Men få gör det, förutom kanske som hemliga ekorrar i sina egna slutna grupper inom industrin.
I det förflutna, jag har varit mycket skeptisk till om allt detta cyber samarbete tala någonsin skulle bli it-åtgärder. ANU har nu föregå med gott exempel. Som kommer att följa?
Relaterade Täckning
ANU att utforma artificiell intelligens ram med Australiensiska värderingar
De forskare som var inblandade hoppas att utformningen ramen kan vara spridda.
ANU fordringar Australiensarna vill regeringen att använda data för att bättre förmåner
Dem som svarade på enkäten sade att de ville ha uppgifterna att användas för att se till att rätt människor får rätt till förmåner, Australian National University har rapporterats.
ANU gäller utrymme teknik för att förutsäga framtida torka och skogsbränder
Universitetet utrymme som används teknik för att förutsäga torka och ökad bushfire riskerar upp till fem månader i förväg.
Cyberkrig strategiska värde “otydlig”: Hugh Vit
Cybers är en billig och effektiv avskräckande effekt, säger en av Australiens ledande strategiska analytiker. Men krig fortfarande kommer att utkämpas i “tråkiga gamla verkliga världen”, så låt oss ompröva kärnvapen.
ANU framgångsrikt åtgärder ljus för quantum internet dataöverföring
Quantum internet kommer att kräva snabba data-och Australian National University anser att det har hittat ett sätt att mäta information som lagras i ljus partiklar som kommer att bana väg för en säker “data motorvägen”.
Hur du snabbt sätta in en skål med honung med Kali Linux (TechRepublic)
Lura eventuella angripare i en fälla med en Kali Linux honeypot.
Relaterade Ämnen:
Australien
Säkerhet-TV
Hantering Av Data
CXO
Datacenter