Status på den seneste uges cyberangreb
Den seneste uge har budt på en af de mest intensive cyberangreb mod danske hjemmesider. På tværs af landet blev primært offentlige hjemmesider og øvrige hjemmesider for kritisk infrastruktur udsat for målrettede angrebsforsøg, herunder DDoS-angreb, CSRF-angreb og systematiske probes.
Hos os har angrebene betydet skærpet overvågning, øget samarbejde med KommuneCERT – og vigtigst af alt endnu en praktisk demonstration af, hvorfor vores egenudviklede infrastruktur giver en helt unik beskyttelse.
I dette blogindlæg opsummerer vi hændelsesforløbet, vores observationer, og hvorfor vores kunder kom igennem angrebet uden nedbrud.
Et målrettet angreb – og et stærkt forsvar
Angrebet på vores infrastruktur begyndte tirsdag den 11. november, hvor én kommuneløsning blev ramt af en unormal og ekstremt høj trafikmængde. Vores egenudviklede firewall – moliri CyberShield – opdagede trafikken øjeblikkeligt, og efter få indskærpelser faldt svartiderne hurtigt tilbage til normalen.
I løbet af det efterfølgende døgn registrerede vi omkring 5 millioner ondsindede forespørgsler, primært via POST-requests i et kombineret DDoS- og CSRF-angreb - og i den efterfølgende uge har moliri CyberShield blokeret mere end 10 millioner forespørgsler fra at nå vores kunders løsninger. Vi erfarede også, at angrebslister over hjemmesider med potentielle sårbarheder dagligt blev delt på ´the dark web´.
Angrebene fortsatte henover weekenden og helt frem til valgdagens afslutning, ligesom angriberne også systematisk scannede hundredvis af vores kunders hjemmesider for sårbarheder - et billede der også stemmer fuldt ud overens med de observationer, vi har modtaget fra KommuneCERT.
Vores investering i sikkerhed betaler sig
"I vores dialog med KommuneCERT, som er kommunernes fælles cybersikkerhedsenhed, blev vi bekræftet i, at vi bruger den korrekte tilgang. Vi har bygget et forsvar, som er 100% baseret på vores infrastruktur, og som dermed beskytter vores kunder mod præcis de angreb, der kommer - og det er ganske enkelt den mest effektive løsning."
- Peter Terkildsen, CTO
Hvorfor vi oplevede stabil drift
Vigtigste konklusion fra ugen er, at vores investering i en fuldt kontrolleret teknologi-stack betaler sig. De store investeringer i cybersikkerhed og beredskab, har givet os en effektiv modstandskraft, fleksibilitet og handlekraft.
- 100% egenudviklet infrastruktur - vores forsvar bygger ikke kun på standard løsninger hentet fra hylden. Vi har fuld kontrol over hver eneste komponent – og dermed mulighed for at beskytte præcist mod de vektorer, angriberne anvender.
- CyberShield er en skræddersyet firewall - designet specifikt til moliri og vores offentlige kunders trusselsbillede, kan CyberShield reagere automatisk på mønstre i trafikken, forud for et angreb, og kan udvides i realtid, når nye angrebsmetoder dukker op.
- Løbende opgraderinger - også midt i angrebet - vores udviklingsteam tilsidesatte alle andre opgaver for at fintune CyberShield flere gange i løbet af ugen, mens angrebene stod på.
Vores betragtninger – og hvad der venter
Probes, hvor potentielle angribere scanner eller tester løsninger for at finde svagheder, er en almindelig kendt metode, der typisk foregår gennem automatiserede forespørgsler, der undersøger, om der findes åbne porte, gamle versioner, sårbarheder eller andre indgange, som kan udnyttes i et senere angreb. Disse sker ofte længe før et egentligt angreb - og selv små tegn på svagheder kan udløse gentagne angreb.
Antallet af probes, vi registrerer på vores løsninger, er steget markant over de seneste år. Men særligt mængden af probes rettet mod php hjemmesider (som f.eks. Wordpress) er vokset. Disse mindre php sites kan være en sikkerhedsrisiko, hvis de f.eks. anvendes som indgang til delte services eller databaser. Dvs. forsøger man at angribe en kommunal hjemmeside, kan et separat subsite i praksis fungere som en trojansk hest.
Der sker desværre en kraftig udvikling på området - og særligt med anvendelsen af AI, kan hackergrupper nu udvikle såkaldte exploits på rekordtid. Vi ser oftere og oftere patch-diffing (en teknik, der bruges til at identificere forskelle mellem to versioner af en software) blive anvendt i kombination med AI. Og jo længere der er mellem opdateringer af den bagvedliggende software, jo større sårbarhed. Kun ved at analysere hver eneste request og proaktivt lukke konkrete mønstre, kan angreb forebygges og blokeres. Standard løsninger er ikke længere tilstrækkelige.
Vores samarbejde med KommuneCERT var en vigtig del af ugens beredskab, og deres feedback har vist os, at vi har valgt den rigtige tilgang,
Angrebene var målrettet hver enkelt hjemmeside, ofte baseret på tidligere identificerede sårbarheder – noget som generisk anti-DDoS software ikke altid kan beskytte imod. Og idet vores forsvar bygger 100% på vores egen infrastruktur, var det muligt for os at tilpasse beskyttelsen, når angrebene ændrede karakter.
Vi oplevede, at nedbrud primært ramte systemer med uopdateret software eller lokal hosting. Flere af de hjemmesider, der gik ned, var ikke i stand til at bekæmpe angrebene. Men de der var, endte ofte med at iværksætte såkaldte "catch-all" løsninger, f.eks. gennem massive IP-restriktioner eller blokering af al udenlandsk trafik - effektive, men drastiske kompromiser, som hverken forebygger angreb eller fungerer som et gangbart beredskab på lang sigt.
Selvom angrebene for nu er stilnet af, er der ikke tid til at hvile på laurbærerne. Der er behov for yderligere investeringer i sikkerhed og beredskab, som rettidig forberedelse til de næste cyberangreb. For der vil komme nye angreb, hvor læringen fra disse angreb, anvendes til at identificere nye angrebsmetoder.
