Den sidste weekend i oktober blev Lyngby- Taarbæk og Gentofte kommuner ramt af et ondsindet phishingangreb. Begge kommuner reagerede prompte og fik situationen under kontrol.
Afdelingschef Mikkel Arp, Center for politik og organisation i Lyngby-Taarbæk Kommune, har delt sine erfaringer om phishing angrebet i KITAs netværk.
”Alle 791 modtagne e-mails med phishing linket i, er centralt fra IT-afdelingen fjernet fra medarbejdernes postkasser. Langt størstedelen var allerede fjernet manuelt, men for en sikkerheds skyld har vi fjernet de sidste for at undgå yderligere spredning. Det skulle vi have gjort med det samme,” siger Mikkel Arp.
Han roser i samme ombæring den opmærksomhed der har været fra kollegaer i KITA´s netværk, både på e-mails, Linked In beskeder og generel opbakning.
Fredag morgen modtager 791 brugere en e-mail fra en anden kommune, med lidt forskellig ordlyd. Dog er fokus i alle e-mails på ”Betaling”, ”Faktura”, ”Bestil” mv.
Mikkel Arp: ”Vi har netop, igen, gennemført en intern phishing kampagne og de fleste brugere sletter derfor e-mailen med det samme, uden at kontakte IT om, at der er modtaget mistænkelige e-mails. Men i løbet af formiddagen får to brugere åbnet e-mailen og klikket på det medfølgende link”.
”Den ene bruger fortsætter med at logge på den efterfølgende Microsoft login side, som viser sig at være falsk og stjæler brugerens multifaktor login for at genanvende det til at oprette en service i Azure, der i løbet af kort tid formår at udsende 750 e-mails til kommuner, ministerier, KL, private virksomheder med flere på vegne af medarbejderen i Lyngby-Taarbæk Kommune,” siger Mikkel Arp.
Starter i Gentofte
I Gentofte Kommune fortæller IT- og digitaliseringschef Anders Brahm. ”Vi har en stærk formodning om, at angrebet blandt kommunerne er startet her i Gentofte, hvor en bruger er blevet offer for en phishing-mail fra en ekstern afsender. På samme måde som i Lyngby-Taarbæk er medarbejderens login og brugerrettigheder blevet overtaget, og har herefter udsendt 1426 mails til en lang række modtagere i kommuner og andre organisationer, badmintonklubber og enkeltpersoner i brugerens eget netværk”.
”Jeg ville have ønsket, at vi havde reageret hurtigere og vil gerne rose Mikkel fra Lyngby-Taarbæk for sin hurtige opfølgning. Det er først i løbet af fredagen, vi kommer rundt om problemet med vores IT-sikkerhedsteam,” siger Anders Brahm.
Det er altså en hacker eller gruppe, der udsender disse mails med et link, der giver mulighed for at overtage en medarbejders brugerrettigheder og udgiver sig for at være denne person og beder modtageren af e-mailen om at indbetale penge til den falske leder. Det er et klassisk ondsindet phishingangreb, hvor der bliver efterspurgt en betaling eller opkrævning, som får brugerne til at klikke på linket.
Anders Brahm: ”Jeg tror angrebet i de to kommuner sker nogenlunde samtidig, og vi får hurtigt henvendelser fra brugere i vores organisation, der siger, at det her virker mærkeligt. Vi har vores IT-sikkerhedsteam, der straks går i gang med at undersøge, hvad er der galt, stoppe skaden og komme tilbage i normal drift. Det forstyrrer rigtig mange og det skal inddæmmes, så vi standser spredningen”.
Lyngby Taarbæk dagen derpå
Mandagen efter angrebet om fredagen var en særdeles hektisk dag.
”Vi er i fortsat dialog med vores SOC (Security Operational Centre) leverandør, Defensive, der på baggrund af observationer hos både os og andre af deres kunder, har udarbejdet en rapport med observationer og anbefalinger, som vi har implementeret”.
”Dog har hverken vi eller Defensive fundet tegn på, at der er foregået andet, end at der er udsendt de 750 e-mails fra én medarbejders konto i Lyngby-Taarbæk Kommune”.
”I Azure blev vi opmærksomme på, at der fra medarbejderens konto var oprettet en ny service, hvorfra phishingmailen havde spredt sig. Servicen er nu fjernet og rettighederne til at skabe nye services i Azure er reduceret til et minimum af personer og roller”.
”I Lyngby-Taarbæk har vi 2faktor godkendelse på så meget som muligt – også på webmail. Men da medarbejderen hos os, har anvendt sit 2faktor login i den falske Microsoft 2faktor prompt, der kom efter at have klikket på linket i phishingmailen, er der åbnet for en session med fuld adgang fra den pågældende medarbejders Office 365 konto,” siger Mikkel Arp.
Medarbejderen har ingen data i OneDrive, SharePoint, Teams eller andre Office 365 applikationer. Der er kun data i Outlook.
Til gengæld kan vi med vores OSDatascanner se, at der i Outlook også er e-mails med cpr. nr. og derudover er der adgang til både den interne kommunale- og medarbejderens personlige adressebog, der også indeholder navne og e-mailadresser.
Derfor er vi nu i gang med at lave en forhåndsanmeldelse til Datatilsynet, da der jo i praksis er tale om et databrud.
Vi bliver formentlig pålagt at orientere både medarbejdere og de berørte borgere om, at deres informationer kan være tilgået uberettiget.
Gentofte Kommune rundt i alle hjørner
Som nævnt var det en enkelt uheldig bruger, der var årsagen til phishingmailen.
Anders Brahm: ”Vi har selvfølgelig scannet vores systemer og netværk for, om der skulle være andre brugere, der havde ondsindede mails eller andet liggende på deres maskine. Det er der ikke. Vi har været rundt i alle hjørner om den her sag for at undgå, at den blomstrer op igen og begynder at sprede phishing”.
”Men for mig er det ikke et spørgsmål om alene at undgå, at vi som en enkelt kommune bliver hacket igen. Næste gang er det bare en anden kommune, hvor en bruger rammer et andet program. Det er sådan det sker. Det vigtigste for mig er, hvor gode vi er til at reagere, når det sker. Vores hacker modstandere og andre, der spreder den slags skidt, prøver hele tiden med nye metoder. De bliver dygtigere og dygtigere, og det
bliver nemmere og nemmere at gennemføre den slags angreb. Så det afgørende er, at vi har et godt cyberforsvar både hver især og sammen som sektor. Det synes jeg vi har haft i den konkrete sag. Og KITA netværket har med sin opbakning og sin reaktion vist sin sande værdi,” siger Anders Brahm.
Ifølge Anders Brahm har brugeren klikket på det skadelige link cirka et døgn inden den ondsindede kode begynder at gøre det, den er blevet sat til.
Ikke kun de to angrebne kommuner, Lyngby-Taarbæk og Gentofte er ramt. En række andre kommuner har modtaget phishing mails fra dem, men på grund af, at de to kommuner har delt informationer om angrebet har de andre kommuner været på vagt. Det har angiveligt medvirket til, at det ikke har ramt værre end tilfældet er.
Mikkel Arp: ”Så på trods af million investeringer i awareness, firewalls, SOC-overvågning og mange andre tekniske foranstaltninger, skal der stadig kun én manuel handling til, før skaden kan ske. Jeg er glad for, at kommunerne har reageret hurtigt på lukningerne i egne firewalls og at de har kommunikeret ud til brugere om, at underligt udseende e-mails fra Lyngby-Taarbæk og Gentofte, blot skal slettes”.
KL
Pia færch fra KL sendte også en mail ud seks minutter over midnat lørdag den 26. oktober og advarede kommunerne mod phishing angrebet i de to kommuner.
Derudover skriver KL også om Sundhedsdatastyrelsens DCIS Sund MISP-platform.
”Det ondsindede link ”resolver” både på http og Https og derudover går det via cloudflare. Cloudflare ligger foran det domæne, som indeholder skadelig kode og derfor kan I ikke bruge ipadresser til at blokere, men I kan godt bruge domains.
De domain’s der bliver brugt hedder:
http[:]//bio.link/orbes
https[:]//bio.link/orbes
”Vi i KL, DCIS sund og de ramte kommuner anbefaler, at I blokerer for dette hurtigst muligt,” skriver KL.