2015-11-07 09:49

Detaljer om IT-angreppet mot Transportstyrelsen

Transportstyrelsen angreps igår medvetet och riktat i ett IT-angrepp med skadlig kod. Här följer detaljer om hur angreppet gick till och vad det fick och får för konsekvenser.

Under veckan har ett antal myndigheter, företag och organisationer utsatts för det som hävdas vara IT-haverier. Enligt uppgifter från trovärdiga källor är flera av dessa i själva verket IT-angrepp, även om man angett andra orsaker, t ex solstorm som makalöst dåligt bortförklaring för att Luftfartsverkets flygledning fick problem. Det finns fler och mer insatta aktörer, som inte kan namnges, som avfärdar Luftfartsverkets påståenden om solstorm

Angreppen har varit av olika art och kan både handla om intrång över Internet eller fysiska störningar, som exempelvis kabelbrott.

Bland de drabbade denna vecka hittas Kriminalvården, Swedbank, Luftfartsverket, ICA:s distributionssystem och Transportstyrelsen. På sina håll gapar åtminstone färskvarudiskar tomma hos en del ICA-butiker.

Angreppet mot Transportstyrelsen var specifikt och riktat mot myndigheten. Huruvida det handlar om illvilliga hackers, främmande makt eller någon som fått betala ockeravgifter som förseningsavgift går förstås inte att avgöra.

IT-angreppet mot Transportstyrelsen skedde genom att ett tjugotal anställda fick ett e-brev från info@transportstyrelsen.se. E-brevet innehöll en bilaga, som var skadlig kod (trojan/virus) och när ett antal av mottagarna öppnade bilagan smittades deras datorer av viruset.

Exempel på hur ett avbrott kan se ut.
Det är mycket enkelt att förfalska avsändare av E-post, om man själv har kontroll över en SMTP-server som godtar detta. Avsändaren var utanför Transportstyrelsen, men såg ut att komma från info.

Viruset började kryptera innehållet på datorernas hårddiskar, och spreds även internt inom Transportstyrelsen. Efter ett tag började även en central filserver ("G:") att krypteras, med ungefär en mapp i minuten. Den centrala filservern stängdes förstås ner, men stora delar av servern blev krypterad och systemet är nere tills vidare.

De verksamhetskritiska registersystemen drabbades dock inte, då de fortfarande kör på gamla stordatorer, men håller på att migreras till Windows-miljö. Hade angreppet skett längre fram i tiden kunde även registersystemen slagits ut.

Myndigheten har nu förbjudit de anställda att använda sina datorer utanför myndighetens lokaler, t ex vid arbete hemifrån. Man får inte längre heller ta med sig datorer till jobbet eller motsvarande. Individer vars tjänst gör att de måste ta med sig datorer in eller ut från myndigheten behöver framöver tillstånd från IT-säkerhetsansvarig.

Mottagarna av det ursprungliga mailet har fått sina användarkonton låsta och datorer omhändertagna.

Dock var attackvektorn alltså riktad förfalskad e-post till specifika individer på Transportstyrelsen.

Angreppet har polisanmälts.

Även fler myndigheter och system har enligt uppgift upplevt angrepp, men det är inte alltid angriparen hittar sårbarheter.

I andra nyheter har en sprängladdning ombord på en fjärrstyrd undervattensfarkost avsedd för att detonera minor hittats på Nordstream-pipelinen, samtidigt som Sverige håller en beredskapsövning på Gotland. Jag återkommer med ett Midvintermörkerbingo senare under dagen.

Tillägg: Hackare tar på sig angreppen mot Swedbank och idag även mot Nordea, som vars Internetbank eller hemsida gått ner. Nordea brukar dock regelbundet gå ner varje månad runt den 25:e, så det är mer att betrakta som en icke-nyhet om sajten ligger nere.

25 kommentarer:

  1. Du skriver riktad attack men det låter som gamla vanliga Cryptolocker som drabbat många företag och privatpersoner på exakt samma sätt (mail med fejkad avsändare som påminner om företagets egna, bifogad fil, sprider sig till nätverksdiskar osv).

    SvaraRadera
    Svar
    1. De verkar ju göra deg. 3 511 331 065 kr på ett gammalt konto. Man är i fel bransch helt klart.

      https://blockchain.info/address/1Drt3c8pSdrkyjuBiwVcSSixZwQtMZ3Tew?currency=SEK

      Radera
    2. Kollade runt lite, finns löjligt stora summor på vissa konton, hur i helskotta får de ut pengarna sen?

      Radera
    3. Eftersom bitcoins inte är anonyma så måste man använda en tumlare. Efter de är tumlade går de inte att härleda och kan användas i handel. Men när det är så många bitcoins blir det nog svårt. Troligen kommer stor del av dem ligga orörda över längre tid eller tills det kommit bättre sätt att uppnå hundraprocentig anonymitet.

      Radera
  2. Ang "undervattensfarkosten med sprängämen" som hittades "nära" Nordstream - det verkar vara en gammal sak från andra världskriget när man läser uttalanden men man säger inte det rakt ut. Vad är meningen?

    Är det en del av informationskriget?

    Ryssland kan nu hävda att det finns spår av sabotage mot Nordstream på svenskt vatten.

    Sverige verka försöka med att få det att låta som om undervattensfarkosten kommer från Ryssland.

    Risken är att det blir pannkaka av det igen precis som förra gången.

    Varför säger de inte rakt ut att det rör sig om en minröjnings-dron som låg där långt innan Nordstream byggdes?


    SvaraRadera
    Svar
    1. Annars är det exakt samma händelseförlopp som när ubåten hittades.

      1. Ett företag (oklart vilket) hittar eller "hittar" farkosten (kan ha varit kände länge)
      2. De tar några kort och skickar till Sjöfartsverket och Försvarsmakten.
      3. Sjöfartsverket utfärdar en varning.
      4. Pressen får nys om det hela (antingen vi tips från företaget).
      5. Pressen ringer Försvarsmakten som uttalar sig sakligt.
      6. Pressen går bananas och skriver artiklar i stil med "Mystisk farkost hittad vid Ryska gasledningen".
      7. När det kommer fram hur gammal farkosten är osv så framstår Sverige som klantigt och paranoida.

      Radera
    2. @Wofser Bra sammanfattat. Journalister och PKlitiker är blinda själlösa automater som är hur enkla som helst att manipulera, även lättare än kulorna i ett flipperspel (om folk nu för tiden känner till vad ett sådant är).

      Radera
  3. Vem vet, Putin kanske hittar spår mellan flygbomben i Sinai och terrorceller i Angered. Svenska staten kan ur rysk synvinkel lätt ses som anhängare till Rysk terrorism genom flathet mot inhemska terrorförgreningar och medhjälp till finansiering. Om undervattensfarkosten vid Nordtstream råkar vara svensk kanske kopplingen kan göras mot det Svenska försvaret. Vem vet, vi kanske får se riktade ryska flygbombningar mot Rinkeby inom kort samt en önskan om en bas på Gotland? Uppenbarligen har inte svenska regeringen alls koll på läget i Sverige just nu och det finns stor risk att främmande makt utnyttjar situationen till att skapa allt större instabilitet.

    SvaraRadera
  4. Tror inte den låg där innan, området minsveptes noggrant på förekommen anledning.

    SvaraRadera
    Svar
    1. Men allt ligger väl inte stilla på havsbotten? Minor osv flyttar uppenbarligen på sig.

      Radera
    2. Med "området minsveptes noggrant" - menar du då att ett företag med lägsta budet minsvepte 120 mil havsbotten?

      Radera
    3. Nä är knappast en gammal mina om den verkligen är nära pipelinen. För att
      citera:

      "Nord Stream has researched the seabed in a staged approach in order to retrieve
      the most detailed data on the exact corridor where the pipeline will be laid
      whilst, at the same time, ensuring that no objects that may endanger the
      integrity of the pipeline or adversely impact the pipeline are in the immediate
      surroundings of the pipeline route. The survey began with a two kilometre wide
      corridor that was screened for large objects and then progressively narrowed
      down to a 15-metre wide corridor, the installa-tion corridor which is specified
      by the installation tolerance defined in the contract with Saipem, i.e. +/- 7.5
      metres in normal pipe laying. In this corridor ferrous objects even as small as
      ten centimetres could be identified."

      (Källa: Nord Stream and Munitions in the Baltic Sea, 2010)

      Radera
  5. Så LFV:s ursäkt med solstormar var lögn?
    Häpnadsväckande för ett affärsverk!

    Vad säger presschefen på LFV om detta?

    Här skulle jag vilja ha litet info från visselblåsare.

    SvaraRadera
    Svar
    1. På radion så var ansvarige intervjuad av nån vetenskapsredaktör. Han hänvisade till radarbilder och oidentifierade spår som inte borde finnas där. Han sade även att det var inte styrkan utan riktningen av solstormen som avgjorde och att de hade sett detta tidigare.
      Du får leta själv i SRs arkiv!

      Radera
    2. http://www.svt.se/nyheter/vetenskap/forskare-efter-flygstoppet-skal-att-se-over-systemen

      Känslig radar såg flyg närma sig från solen!
      Det är väl som alltid nån övernitisk flygledare som tycker att det var dax visa att man brydde sig om dessa strålar.
      Men det kan ju varit Ryska bombflyg som närmade sig i skydd av en nedåtgående sol-som i sista stund släckte ner radarbilden-det får bli en roman på det ;-))

      Radera
    3. @Oppti 11:44
      Tack!

      Från SVT-länken:
      "Anders Andersson menar att det är tredje gången på 16 år som just den här typen av mindre solstorm leder till stora störningar på radarsystemet. Enligt honom blir det problem just på grund av att det störande bruset var så svagt:– Om bruset är starkt så fungerar radarn ändå, men om det är tillräckligt svagt så får det stora konsekvenser. Man kommer innanför radarns tröskelvärde, och radarn skapar en massa spökekon, som skapar stora problem.

      Det som gör att LFV hävdar att problemen orsakats av en solstorm är att dessa spökekon ska ha legat i en rak linje mot solen, och att störningsbruset uppstod under de 15 minuter då solen stod i en viss vinkel:"

      Det är uppenbarligen ett undermåligt radarsystem, som LFV 2102 införskaffade från den amerikanska firman SAAB Sensis, som inte kan urskilja signaler från vitt brus när bruset är för lågt. Det är dålig reklam för detta radarsystem.

      Att radarsystemet går ner då bruset kommer från en rak linje från solen, som det normalt gör vid solstormar, borde man ha tänkt på när LFV gjorde kravspecifikationen till Sensis. (Man ställer sig frågan om LFV har den tekniska kompetensen att upphandla radarsystem?)

      Om nu detta inte var ett IT-haveri!

      Det aggressiva ryska bombflyget flyger an Sverige lämpligast på morgonen då det har solen i ryggen. Här var det nog sannolikare med en drönararmada från Nato från sydväst, som hade som mål att slå ut de i Sverige framväxande muslimska terroristcellerna.

      Radera
  6. Vår beredskap är inte god.

    Nu är stunden då Ryssland har ett fönster när EU är upptagna och myndighetssverige håller på att kollapsa.

    Om det sker ett militärt angrepp mot Sverige, kommer då bostadsbubblan krasha?

    SvaraRadera
  7. Cornus inlägg intressant. Antingen är Transportstyrelsens rutiner och skydd hopplöst efter sin tid eller så handlar det om ny kod som inte använts tidigare så att skydden inte kan identifiera nämda kod. Och ifall det senare alternativet gäller, då blir det hela ännu mer intressant.

    SvaraRadera
  8. Med Linux och skilda användarbehörigheter hade aldrig detta hänt + att skattebetalarna skulle slippa att betala miljontals kronor i licenspengar till microsoft, som levererar det säkerhetsmässigt undermåliga systemen. Försvarsmakten använder i.a.f Linux.

    SvaraRadera
    Svar
    1. Hur gör du med filer som användaren måste ha access till? Du verkar inte ha förståelse för problemet. Licenspengarna som staten betalar till Microsoft hade staten fått betala i konsultarvoden om man kört *nix. Det är dessutom billigare att hyra in en MS-konsult än motsvarande Linuxkonsult.

      Radera
  9. Läsvärt angående intrång
    http://www.sweclockers.com/artikel/21218-attackvektorn-det-ar-du

    SvaraRadera
  10. Behövs inte så mycket "IT" för att skapa säkerhetsluckor, när man har socialsekreterarkompetens i verksamheten. Att hemliga privata uppgifter faxas(!) till slumpmässiga nummer ÄR allvarligt, eftersom somliga av klienterna är offer för grov brottslighet och har hemlig identitet eftersom någon psykopat är ute efter att mörda henne. Snubben som driver bilverkstan är åtminstone hederlig nog att rapportera om detta till Sydsvenska MAD, många andra som får sådana fax kastar dem nog bara i soporna, utom de som avsiktligen ser till att få dem.
    http://www.sydsvenskan.se/omkretsen/nya-hemliga-socialfax-sands-till-bilverkstad/
    "under tolv-femton års tid tickat in mer än 30 sekretessbelagda handlingar på hans fax "
    :-O

    SvaraRadera
    Svar
    1. Hur svårt kan det vara för Socialstyrelsen att säga "Från första januari skall SAMTLIGA använda kryfax". Detta genomförs enklast med en enkel kryptodosa som sätts mellan telefonjacket och faxen. När A vill skicka ett fax till B gör hen som vanligt. Om B saknar kryptodosa bryts kopplingen och "Ej svar". Om B har dosa skickas allt som vanligt. Detta fanns i Försvaret redan 1991. En sådan lösning skulle kunna genomföras på en månad och koden behöver aldrig bytas. Antingen har du dosa eller inte.
      Alternativet är att alla loggar i ett gemensamt system som VG-regionens nya vårplaneringssystem. Där används SITHS-kort / E-legitimation.

      Radera
  11. Satt själv på en ATC när solstormen inträffade. De ovanliga förhållanden som rådde i atmosfären skapade falska radarekon. Vi kunde inte skilja riktiga ekon från falska. Vi hade flera hundra radarekon över hela södra sverige och fick falska transpondersignaler överallt ifrån. Av denna anledning kunde ATC bedrivas säkert. Då stängdes luftrummet.

    Flightradar m. fl. har andra mindre känsloga mottagare som inte verkade reagera. Det är ju onegligen anmärkningsvärt.

    Hursom helst var det ingen attack eller konspiration.

    SvaraRadera
  12. Tycker nog att angreppet på Windows är lite obefogat. Windows är som alla vet en bloat som startar och stänger ner långsamt och dessutom ofta visar en visuellt tilltalande vänteikon efter man klickat på något, tills man bara vill dö. Men att insinuera att Windows i sig är virusframkallande är helt befängt. Windows är ju viruset, hur svårt kan det vara att fatta. Och dessutom betalar fårket för det. Allla skrattar, hela vägen till banken.

    SvaraRadera

Related Posts Plugin for WordPress, Blogger...