Kommunen finner raskt ut at de trenger bistand fra IT-sikkerhetseksperter. En ukjent aktør har fått tilgang til påloggingsinformasjon og videresolgt informasjonen på Dark Web for 10 dollar.
For IT-avdelingen startet det hele onsdag 8. februar, da de får beskjed fra lokalt politi om at de potensielt er utsatt for et dataangrep. En uke tidligere ble en nabokommune angrepet, og nå kan flere titalls være utsatt på grunn av en felles tilknytning til et revisorfirma som leverer tjenester til offentlige og private virksomheter i hele regionen. De er nå komprimert, og kundelister med påloggingsinformasjon er solgt på Russian Market på Dark Web for 10 dollar. Politiet har allerede etterforsket saken hos nabokommunen i en uke når IT-avdelingen i Sør-Varanger kommune blir oppringt.
”Vi kontaktet Atea IRT, og det er nok den beste avgjørelsen vi kunne tatt.”
- Det føles ikke noe godt når hendelsen skjer, men vi er klar over trusselbilde. I dag er aktørene så gode at de kan finne bakdører inn i alle systemer. Det som derimot var overraskende, var at angrepet kom fra en tredjepart. Jeg ville tenkt at det var mer sannsynlig at det skulle komme innenfra, fra en bruker-pc, sier Anders Hovland Greve, enhetsleder for IT og servicekontor i Sør-Varanger kommune.
Har vært inne i systemene
Klokken fire på ettermiddagen er IT-avdelingen godt i gang med å kartlegge situasjonen. De finner raskt ut at brukeren nylig har vært innlogget i deres systemer, og tidspunktene sammenfaller med angrepet hos nabokommunen som skjedde uken før. I løpet av kvelden blir de oppringt av politiet, Nasjonal Sikkerhetsmyndighet (NSM) og Nasjonalt Cybersikkerhetssenter (NCSC).
Gjennomgang av loggkildene avdekket at aktøren har kjørt et kartleggingsverktøy for å få oversikt over domene hos kommunen, samt undersøkt hvilke veier de trenger å gå for å få full domenetilgang.
Neste dag, torsdag 9. februar, ser IT-avdelingen at de trenger hjelp fra et Incident Response Team (IRT).
Sør-Varanger kommune ringer Atea IRT som består av høyt sertifiserte og erfarne sikkerhetskonsulenter med bred faglig kompetanse. Sikkerhetskonsulentene er spesialisert på hendelseshåndtering ved uønskede hendelser i virksomheters IT-miljø og har dyp innsikt i gjeldende trusselbilde. Atea IRT er en av de aktørene som er godkjent av Nasjonal sikkerhetsmyndighet igjennom «Kvalitetsordning for leverandører som håndterer IKT-hendelser», opprettet av NSM i 2016.
”Flaks kan ikke være en avgjørende faktor i et slikt scenario. Vi var heldige, vi var i forkant. Neste gang er vi i forkant fordi vi er dyktige og forberedt, ikke på grunn av flaks.”
En time senere er Lead Incident Handler og Sikkerhetsarkitekt Per Tore Stokke fra Atea på saken. Atea IRT kom med konkrete tiltak som skulle iverksettes med en gang. Brannmuren ble stengt, de låste ned serveren og slo av nettverkskortene. Dette var tiltak for nedstenging, som samtidig gjorde det mulig å fortsette daglig drift og arbeide med hendelsen.
- At den lokale it-avdelingen hadde håndtert angrep bra, det gjorde jobben lettere for oss, sier Stokke i Atea.
Ransomware på et tidlig stadie
Angrepet kommunen er utsatt for er forløper til et ransomware-angrep. Ransomware er skadelig kode som krypterer informasjon på systemene som blir hacket. Som navnet antyder, er ransomware et utpressingsvirus. Angriperen bruker det til å kryptere informasjon, slik at den blir utilgjengelig for den som eier den. Deretter blir eieren av informasjonen utpresset av angriperen, som krever løsepenger for dekrypteringsnøkler som kan gjøre informasjonen tilgjengelig igjen.
Angrepet var på et tidlig stadie når IRT-teamet var på saken, og det fikk derfor ikke store konsekvenser. Politiet og NCSC har i ettertid vurdert angrepet. Det har enten vært flere aktører som har vært inne i systemene for å kartlegge og forberede dataen for videresalg, eller er det snakk om et ressursspørsmål der en aktør bare har vært innom og fått et fotfeste, men prioritert angrep på nabokommunen. Dette er bare synsing, og ikke noe man kan si med sikkerhet.
- NCSC anbefalte oss sterkt å ta kontakt med en godkjent leverandør for hendelseshåndtering. Vi kontaktet Atea IRT, og det er nok den beste avgjørelsen vi kunne tatt. Det hjalp oss videre i prosessen og har hjulpet oss med tiltak i ettertid, sier Greve.
Sør-Varanger er en norsk kommune i Finnmark. Kommunen har per 1. januar 2019 10 156 innbyggere og et areal på omkring 3 967 km². Kommunen er geografisk beliggende i det sørøstre hjørnet av fylket, og grenser til Finland og Russland. Kommunen består av Kirkenes, Hesseng, Sandnes, Bjørnevatn, Jarfjord, Svanvik, Skogfoss, Vaggatem, Neiden, Bugøyfjord og Bugøynes.
- Bistå med erfaring og ekspertise i en hektisk og uoversiktlig situasjon
- Iverksette tiltak for skadebegrensning
- Kartlegge hendelsesforløpet og bygge «time line»
- Undersøkelse av uønsket aktivitet i miljøet og mulig datatap
- Anbefalinger og tiltak for å unngå tilsvarende saker
- Utrulling av egen endepunktsikkerhetsløsning for bedre innsyn i hendelsen