Nul
I November 2016, den Australske Signaler Direktorat (ASD) blev alarmeret af en “samarbejdspartner”, at en hacker havde fået adgang til nettet i en 50 personers rumfart ingeniør firma, der har udliciteret til forsvarsministeriet.
Begrænsede tekniske oplysninger om F-35 Joint Strike Fighter, P-8 Poseidon maritime patrol aircraft, C-130 transportfly, Joint Direct Attack Munition (JDAM) smart bombe kit, og “et par Australske flåde” var blandt de følsomme data stjålet fra en lille Australske leverandør af forsvarsmateriel i 2016.
Den hemmelige oplysninger var begrænset i henhold til den International Traffic in Arms Regulations (ITAR), det AMERIKANSKE system er designet til at kontrollere udførsel af forsvar og militær-relaterede teknologier, ifølge Mitchell Clarke, en incident response manager på ASD, der arbejdede på sagen.
Det ene dokument var en wireframe-diagram over “en af søværnets nye skibe”. En viewer kan “zoome ind ned til kaptajnens stol og se, at det er, du ved, 1 m væk fra nav stol”, sagde Clarke.
Tyveri af data blev rapporteret første gang på tirsdag, som en del af 2017 Trussel Rapport fra det Australske Cyber Security Center (ACSC). Lidt information blev givet på det tidspunkt. Offeret blev beskrevet som en “lille Australske selskab med kontraherende links til den nationale sikkerhed projekter”. Angriberen havde “vedvarende adgang til nettet i en længere periode” og havde stjålet en “betydelig mængde af data”.
Clarke forudsat betydeligt mere detaljeret i sin præsentation til den nationale konference af den Australske Information Security Association (AISA) i Sydney på onsdag.
ASD er opkaldt denne advanced persistent threat (APT) skuespiller “APT ALF”, efter en karakter i det lange løb Australsk TV-soap opera Hjem og Væk.
Angriberen havde i virkeligheden været i netværket i hvert fald siden midten af juli 2016, med data exfiltration starter omkring to uger senere. ASD refererer til de tre måneder mellem de hacker at få adgang, og ASD bliver klar over det, som “Alf’ s Mystery Glad Sjov Tid”.
Angriberen ville have haft lidt problemer med at få adgang.
Offeret ‘ s net var for lille. En person, der forvaltes af alle IT-relaterede funktioner, og de havde kun været i den rolle, der for ni måneder. Den store personaleudskiftning, var typisk.
Der var ingen beskyttende DMZ netværket, ingen regelmæssig patching regime, og en fælles Lokale Administrator konto password på alle servere. Værter havde mange internet-tjenster.
Adgang oprindeligt blev erhvervet ved udnyttelse af en 12-måneders-gamle svaghed i virksomhedens IT-Helpdesk Portal, som var montering af virksomhedens fil-server, der bruger det Domæne Administrator konto. Lateral bevægelse ved hjælp af de samme legitimationsoplysninger til sidst gav angriberen adgang til domænecontrolleren, og remote desktop server, og at e-mail og andre følsomme oplysninger.
“Det er ikke ualmindeligt,” Clarke sagde. “Kun omkring 12 måneder gamle, hvis man ser på regeringen, det er ikke det, at ud af dato, desværre.”
Angriberen behøver ikke at have besvær med det, dog. ASD ‘ s undersøgelse viste, at internet-tjenster, stadig havde deres standard passwords, admin: admin og guest::guest.
Et vigtigt aspekt af denne hændelse er, at en lille virksomhed, med ressourcer, der var klart utilstrækkelige i betragtning af følsomheden af de data, de havde, lykkedes det alligevel at få og holde ITAR-certificering.
Ifølge Clarke, en ansøgning om ITAR-certificering er som regel kun “to eller tre sider”, og kun beder om grundlæggende spørgsmål om organisationernes sikkerhed kropsholdning.
“En af de læringsresultater, som er fra netop denne case study for mindst den Australske regering, er, at vi er nødt til at finde en måde at begynde at være lidt mere detaljeret i vores kontraherende at give mandat til, hvilken type af sikkerhed, kontrol er påkrævet,” Clarke sagde.
“Det er ikke for mit hold til at svare, men der kommer til at være et resultat af denne slags ting.”
Clarke understregede vigtigheden af at følge bedste praksis for at sikre netværk, herunder ASD er Vigtigt Otte strategier for at afbøde cybersecurity hændelser.
Tech Pro Forskning
DET leader ‘ s guide til truslen fra malware fileless
Netværk sikkerhedspolitik
Frokost og lære: BYOD regler og ansvar
Retningslinjer for opbygning af sikkerhedspolitikker
Sikkerhed bevidsthed og uddannelse-politik
0