Nul
In November 2016, de Australische Signals Directorate (ASS) werd gewaarschuwd door een “partnerorganisatie” dat een hacker had toegang gekregen tot het netwerk van een 50-persoon aerospace engineering bedrijf dat uitbesteedt aan het Ministerie van Defensie.
Beperkte technische informatie over de F-35 Joint Strike Fighter, de P-8 Poseidon maritieme patrouille vliegtuigen, de C-130 transport vliegtuigen, de Joint Direct Attack Munition (JDAM) slimme bom kit, en “een paar Australische marineschepen” onder de gevoelige gegevens gestolen van een kleine Australische defensie aannemer in 2016.
De geheime informatie was beperkt op grond van de International Traffic in Arms Regulations (ITAR), het AMERIKAANSE systeem dat is ontworpen voor controle op de uitvoer van defensie – en militaire technologieën, volgens Mitchell Clarke, een incident response manager bij de ASD die werkte op de zaak.
Een document is een wireframe diagram van “één van de marine, nieuwe schepen”. Een kijker kan “zoom in naar beneden om de kapitein op de stoel en zie dat het is, weet je, 1 meter afstand van de nav stoel”, Clarke zei.
De diefstal van gegevens werd voor het eerst gemeld op dinsdag als onderdeel van de 2017 Threat Report van de Australische Cyber Security Centrum (ACSC). Weinig informatie werd gegeven op het moment. Het slachtoffer werd beschreven als een “kleine Australische bedrijf met de aanbestedende links voor de nationale veiligheid projecten”. De aanvaller had “duurzame toegang tot het netwerk voor een langere periode van tijd” en had gestolen van een “significante hoeveelheid”.
Clarke verstrekt aanzienlijk meer detail in zijn presentatie op de nationale conferentie van de Australian Information Security Association (AISA) in Sydney op woensdag.
ASD naam van deze advanced persistent threat (APT) acteur “APT ALF”, na een teken in de lange Australische TV-soap Home and Away.
De aanvaller had in feite al in het netwerk ten minste sinds medio juli 2016, met de heimelijke gegevensverplaatsing vanaf ongeveer twee weken later. ASD verwijst naar de drie maanden tussen de aanvaller toegang krijgen, en de ASD zich bewust als ‘ Alf ‘s Mystery Blij Leuke Tijd”.
De aanvaller zou weinig moeite met het verkrijgen van toegang.
Het slachtoffer netwerk is klein. Één persoon beheerd voor alle IT-gerelateerde functies, en ze zou alleen in de rol van negen maanden. Een hoog personeelsverloop was typisch.
Er was geen beschermende DMZ-netwerk, geen reguliere patch-regime, en een gemeenschappelijke Lokale Administrator account wachtwoord op alle servers. Gastheren waren veel internet-gerichte diensten.
De toegang was in eerste instantie verkregen door gebruik te maken van een 12-maanden oude kwetsbaarheid in de IT-Helpdesk Portal, dat was de montage van de vennootschap file server met behulp van het Domein Administrator-account. Zijwaartse beweging met dezelfde referenties uiteindelijk gaf de aanvaller toegang tot de domeincontroller en de extern bureaublad-server en naar e-mail en andere gevoelige informatie.
“Dit is niet ongewoon,” het Clarke zei. “Pas over 12 maanden oud is, als je kijkt naar de overheid, dat is niet verouderd, helaas.”
De aanvaller hoeft geen last van, echter. De ASD ‘ s onderzoek blijkt dat internet-facing diensten hadden ook nog hun standaard wachtwoorden, admin::admin en gast::te gast.
Een belangrijk aspect van dit incident is dat een klein bedrijf, met middelen die waren duidelijk onvoldoende gezien de gevoeligheid van de gegevens die zij bezit, is nog steeds in geslaagd om te krijgen en houden ITAR-certificering.
Volgens Clarke, een toepassing voor ITAR-certificering is meestal slechts “twee of drie pagina ‘s”, en vraagt alleen maar de fundamentele vragen over de organisaties die’ security-houding.
“Een van de leerresultaten van deze specifieke case study voor ten minste de Australische regering is dat we moeten zoeken naar een manier om te beginnen om een beetje meer gedetailleerd in onze aanbestedende om het mandaat van welk type beveiliging controles nodig zijn,” Clarke zei.
“Dat is niet voor mijn team te beantwoorden, maar dat is een uitkomst van dit soort dingen.”
Clarke heeft gewezen op het belang van het volgen van beste praktijken voor het beveiligen van netwerken, met inbegrip van de ASD is van Essentieel belang Acht strategieën te beperken cybersecurity-incidenten.
Tech Pro Onderzoek
HET leader ‘ s guide op de dreiging van malware fileless
Network security beleid
De Lunch en het leren: BYOD regels en verantwoordelijkheden
Richtlijnen voor de bouw van security beleid
Security awareness en training beleid
0