En ny analyse fra Cato Networks viser, hvordan en ung og uerfaren hacker med gratis værktøjer kom ind på fire franske computere, begik banale fejl og arbejdede i et mønster, der minder om en skoledag.
Alligevel stjal han adgangskoder og sørgede for, at han kunne komme tilbage, selv da serveren bag angrebet var nede i 18 dage.
Sjældent får sikkerhedsforskere så klart et indblik i et hackerangreb.
I en ny analyse har Cato Networks rekonstrueret hele forløbet bag Operation Poisson. Catos sikkerhedsteam kunne gennemgå alle 339 kommandoer, som en fransktalende hacker tastede over 33 dage. Målene var en lille fransk virksomhed i bilbranchen og flere privatpersoner.
Poisson var ikke nogen avanceret statshacker. Alt tyder på, at han var ung og uerfaren. Han brugte gratis værktøjer og lavede fejl, som en mere erfaren ville have undgået.
Alligevel virkede det.
Han kom ind på fire computere og fik fat i adgangskoder til bank, mail og offentlige portaler.
Han ville kunne komme tilbage
Det afgørende skete efter en uge.
Poisson nøjedes ikke med den server, han brugte til at styre angrebet. Han installerede også almindelige fjernadgangs- og VPN-værktøjer på en af ofrenes computere.
Den slags værktøjer bruges hver dag i lovlige sammenhænge. Her blev de brugt som en bagdør.
Det betød, at han stadig kunne nå computeren, hvis den normale forbindelse forsvandt.
Og det gjorde den.
Dagen efter gik serveren, han styrede angrebet fra, offline. Den var væk i 18 dage.
Normalt ville det ligne slutningen på angrebet. Men ikke her. Da serveren kom tilbage, var ofrene der stadig. Programmerne havde kørt videre i baggrunden, og forbindelsen blev genetableret.
Han skulle ikke bryde ind igen.
Han kunne bare fortsætte.
Derfor er sagen vigtig
Operation Poisson viser, at oprydning efter et cyberangreb ikke kan stoppe ved den synlige del af angrebet.
Det er ikke nok at fjerne malware, blokere trafik eller afskære forbindelsen til den server, hackeren bruger, hvis han allerede har sørget for en anden vej ind.
Den vej kan ligge i helt almindelige programmer, som på papiret er helt lovlige.
For mindre virksomheder er det særligt relevant. Ofrene i sagen var ikke store koncerner med døgnbemandede sikkerhedsafdelinger. Det var en lille virksomhed og privatpersoner.
Og som Cato-rapporten viser, kræver det ikke nødvendigvis en avanceret hacker at ramme dem.
Nogle gange er en ung og uerfaren angriber med gratis værktøjer nok.
Læs mere
Læs hele analysen fra Cato CTRL: https://www.catonetworks.com/blog/cato-ctrl-operation-poisson-analyzing-a-cybercriminals-entire-operation/
