Billede: ANU
“Denne rapport fra ANU er et eksempel for alle andre, hvordan at beskæftige sig med cyberangreb,” tweeted Vanessa Teague, lektor i internetsikkerhed ved University of Melbourne, på onsdag.
“Ærlig, tekniske, detaljeret og fuld af gode råd til at beskytte data. Angreb vil holde sker. Dette er vejen til at forstå dem og lære at forbedre vores forsvar.”
Hun har ret.
Den pågældende rapport er en detaljeret hændelsen rapport [PDF] i massive brud på datasikkerheden lidt ved Australian National University (ANU) i slutningen af 2018, opdaget i Maj 2019, og afslørede to uger senere, i juni.
Hackere havde fået adgang til op til 19 år værd af data i universitetets Virksomhedens Systemer Domæne (ESD), som huser sine menneskelige ressourcer, økonomisk forvaltning, studieadministration, og “enterprise e-former-systemer”.
ANU ‘ s rektor og formand, Professor Brian Schmidt, havde forpligtet sig til at gøre bruddet undersøgelse offentlige. Denne rapport mere end leverer på dette løfte. Det er et must-read.
“Gerningsmændene af vores data, brud var yderst sofistikeret. Denne rapport indeholder oplysninger om niveau af raffinement, de holder af, som har chokeret selv de mest erfarne Australske sikkerhed eksperter,” Schmidt skrev i denne uge.
Rapporten beskriver, hvordan de angribere organiseret i fire separate spearphishing kampagner og bygget deres data exfiltration infrastruktur på kompromitteret web-servere og legacy systemer.
Billede: ANU
“I tillæg til deres effektivitet og præcision, den skuespiller, der er unddraget detection systemer, udviklet deres teknikker i løbet af kampagnen, der anvendes brugerdefineret malware, og udvist en usædvanlig grad af operationel sikkerhed, der efterlod nogle spor af deres aktiviteter,” siger rapporten.
Angriberen er tradecraft i prisen:
Ændre underskrifter for mere almindelige malware for at undgå detectionAssembling malware og nogle værktøjer inde i ANU netværk efter fodfæste, var blevet etableret. De enkelte komponenter udløser ikke endpoint protectionDownloading “flere typer af virtualiserings-software, før du vælger en”Downloading af disketteaftryk til Windows XP og Kali Linux, selvom “der er meget, der tyder på meget brug af Kali Linux”Kompilering skræddersyede malware i ANU netværk for at få adgang til ESD. “Formålet med denne kode er fortsat ukendt, og ingen kriminaltekniske spor af det eller den eksekverbare fil, som blev udarbejdet ud fra den kode, der er blevet fundet på tidspunktet for denne betænkning,” hedder det i rapporten
“Skuespillerens brug af en tredjeparts værktøj til at udtrække data direkte fra de underliggende databaser af vores administrative systemer effektivt omgået program-niveau skovhugst. Sikkerhedsforanstaltninger mod, at dette sker igen, er blevet gennemført,” siger rapporten.
Angriberne forsøgte endda at maksimere effektiviteten af deres spearphishing indsats ved at forsøge at deaktivere universitet e-mail-spam-filtre, selv om “der er ingen tekniske beviser for at antyde, at de var en succes i dette forsøg”.
ANU ‘ s analyse viser, at angriberne exfiltrated meget mindre data end 19 års, der oprindeligt var frygtet, men ikke vise præcist hvad der blev taget.
“På trods af vores omfattende kriminaltekniske arbejde, vi har ikke været i stand til at afgøre, præcist, hvilke poster der blev taget … Vi vidste også den stjålne data har ikke været yderligere misbrugt,” Schmidt skrev.
“Frustrerende dette bringer os ikke nærmere til, hvilke motiver skuespiller.”
Selv om angriberen havde fået en bredere adgang, ANU sagde, at det er klart fra den vej, der er truffet om, at deres eneste mål var at trænge ind i ESD.
“Der er ingen tekniske beviser tyder på, at den aktør, der har adgang til eller vist nogen interesse i filer, der indeholder generelle administrative dokumenter eller data; det var heller ikke ANU Virksomheden Records Management System (ERMS) ramt,” hedder det i rapporten.
“Det er værd at bemærke, at ANU var genstand for yderligere forsøg på indtrængen inden for en time af den offentlige bekendtgørelse og den følgende dag, som begge blev stoppet.”
ANU har afvist at tillægge angrebet til en bestemt modstander.
For år nu, chief information security officers (CISOs) og andre har fortalt organisationer til at dele cybersecurity oplysninger til at forbedre deres forsvar. Men få gør, undtagen måske som hemmelige egern i deres egen lukkede industri grupper.
I fortiden, har jeg været meget skeptisk over for, om alle denne cyber samarbejde tal nogensinde ville blive cyber handling. ANU har nu sat et eksempel. Hvem vil følges?
Relaterede Dækning
ANU til at designe kunstige intelligens ramme med Australske værdier
Forskerne håber, at design rammer kan være udbredt.
ANU krav Australierne ønsker regeringen at bruge data fra mere målrettede ydelser
Respondenterne i undersøgelsen sagde, at de ønskede data, der skal bruges til at sørge for at de rette mennesker fik de rigtige ydelser, Australian National University har rapporteret.
ANU gælder space tech til at forudsige fremtidige tørke og skovbrande
Universitetet brugt plads-teknologi til at forudsige, tørke og øgede bushfire risikerer op til fem måneder i forvejen.
Cyberkrig er strategisk værdi “uklar”: Hugh Hvid
Cybers er en billig og effektiv præventiv virkning, siger en af Australiens førende strategiske analytikere. Men wars vil fortsat blive udkæmpet i de “kedelige gamle virkelige verden”, så lad os overveje atomvåben.
ANU held foranstaltninger lys for kvante-internet dataoverførsel
Quantum internettet vil kræve en hurtig flytning af data og Australian National University mener, at det har fundet en måde at måle oplysninger, der er gemt i lys partikler, som vil bane vejen for en sikker “data-motorvej”.
Hvordan til hurtigt at implementere en honeypot med Kali Linux (TechRepublic)
Lokke muligt for angribere i en fælde med en Kali Linux honeypot.
Relaterede Emner:
Australien
Sikkerhed-TV
Data Management
CXO
Datacentre