Australian National University har sat en ny standard for gennemsigtig rapportering af databrud. De mistede ikke alle 19 års data, men de er ikke tættere på at forstå angriberens motiver.
"Denne rapport fra ANU er et eksempel for alle andre på, hvordan man håndterer cyberangreb," tweetede Vanessa Teague, lektor i cybersikkerhed ved University of Melbourne, onsdag.
"Ærlig, teknisk, detaljeret og fuld af gode råd til beskyttelse af data. Angreb vil blive ved med at ske. Dette er måden at forstå dem og lære at forbedre vores forsvar."
Hun har ret.
Den pågældende rapport er en detaljeret hændelsesrapport [PDF] af massivt databrud led af Australian National University (ANU) i slutningen af 2018, opdaget i maj 2019 og afsløret to uger senere i juni.
Hackerne havde fået adgang til op til 19 års data på universitetets Enterprise Systems Domain (ESD), som huser dets menneskelige ressourcer, økonomistyring, studerendes administration og "virksomheds e-formularer systemer".
ANU's vicekansler og præsident, professor Brian Schmidt, havde forpligtet sig til at offentliggøre undersøgelsen af bruddet. Denne betænkning lever op til det løfte mere end. Det er et must-read.
"Gerningsmændene bag vores databrud var ekstremt sofistikerede. Denne rapport beskriver niveauet af sofistikering, som har chokeret selv de mest erfarne australske sikkerhedseksperter," skrev Schmidt i denne uge.
Rapporten beskriver, hvordan angriberne organiserede fire separate spearphishing-kampagner og byggede deres dataeksfiltreringsinfrastruktur på kompromitterede webservere og ældre systemer.
"Ud over deres effektivitet og præcision undgik skuespilleren detektionssystemer, udviklede deres teknikker under kampagnen, brugte tilpasset malware og demonstrerede en exceptionel grad af driftssikkerhed, der efterlod få spor af deres aktiviteter," rapporten sagde.
Angriberens håndværk omfattede:
- Ændring af signaturerne for mere almindelig malware for at undgå opdagelse
- Samling af malware og nogle værktøjer inde i ANU-netværket, efter at der var etableret fodfæste. Individuelle komponenter udløste ikke slutpunktsbeskyttelse
- Download af "flere typer virtualiseringssoftware, før du vælger en"
- Downloader diskbilleder til Windows XP og Kali Linux, selvom "der er lidt beviser, der tyder på meget brug af Kali Linux"
- Kompilering af skræddersyet malware inden for ANU-netværket for at få adgang til ESD. "Formålet med denne kode er stadig ukendt, og der er ikke fundet nogen retsmedicinske spor af den eller den eksekverbare fil, som blev kompileret fra koden på tidspunktet for denne rapport," hedder det i rapporten.
"Aktørens brug af et tredjepartsværktøj til at udtrække data direkte fra de underliggende databaser i vores administrative systemer omgik effektivt logning på applikationsniveau. Sikkerhedsforanstaltninger mod, at dette sker igen, er blevet implementeret," hedder det i rapporten.
Angriberne forsøgte endda at maksimere effektiviteten af deres spearphishing-indsats ved at forsøge at deaktivere universitetets e-mail-spamfiltre, selvom "der er ingen retsmedicinske beviser, der tyder på, at de havde succes med dette forsøg".
ANUs analyse viser, at angriberne eksfiltrerede meget mindre data end de 19 års værdi, der oprindeligt var frygtet, men viser ikke præcis, hvad der blev taget.
"På trods af vores betydelige retsmedicinske arbejde har vi ikke været i stand til nøjagtigt at fastslå, hvilke optegnelser der blev taget... Vi vidste også, at de stjålne data ikke var blevet yderligere misbrugt," skrev Schmidt.
"Frustrerende nok bringer dette os ikke tættere på skuespillerens motiver."
Selvom angriberen havde fået bredere adgang, sagde ANU, at det fremgår tydeligt af vejen, at deres eneste mål var at trænge ind i ESD.
"Der er ingen retsmedicinske beviser, der tyder på, at skuespilleren har tilgået eller vist nogen interesse i filer, der indeholder generelle administrative dokumenter eller forskningsdata; heller ikke var ANU Enterprise Records Management System (ERMS) berørt," hedder det i rapporten.
"Det er værd at bemærke, at ANU var genstand for yderligere indtrængensforsøg inden for en time efter den offentlige meddelelse og den følgende dag, som begge blev stoppet."
ANU har afvist at tilskrive angrebet en bestemt modstander.
I årevis har chefinformationssikkerhedsofficerer (CISO'er) og andre bedt organisationer om at dele cybersikkerhedsoplysninger for at forbedre deres forsvar. Men de færreste gør det, undtagen måske som hemmelige egern inden for deres egne lukkede industrigrupper.
Tidligere har jeg været det meget skeptisk om, hvorvidt al denne snak om cybersamarbejde nogensinde ville blive cyberhandling. ANU har nu sat eksemplet. Hvem vil følge?
Relateret dækning
ANU til at designe kunstig intelligens-ramme med australske værdier
De involverede forskere håber, at designrammen kan anvendes bredt.
ANU hævder, at australierne ønsker, at regeringen bruger data til bedre målrettede fordele
Respondenter på undersøgelsen sagde, at de ønskede, at dataene skulle bruges til at sikre, at de rigtige mennesker modtog de rigtige fordele, har Australian National University rapporteret.
ANU anvender rumteknologi til at forudsige fremtidige tørker og skovbrande
Universitetet brugte rumteknologi til at forudsige tørke og øget risiko for skovbrande op til fem måneder i forvejen.
Cyberwars strategiske værdi 'uklar': Hugh White
Cybers er et billigt og effektivt afskrækkende middel, siger en af Australiens førende strategiske analytikere. Men krige vil stadig blive udkæmpet i den "kedelige gamle virkelige verden", så lad os genoverveje atomvåben.
ANU måler med succes lys til kvante internetdataoverførsel
Kvanteinternettet vil kræve hurtige data, og det mener Australian National University, det har fundet en måde at måle information lagret i lette partikler, som vil bane vejen for en sikker "data motorvej".
Sådan implementerer du hurtigt en honeypot med Kali Linux (TechRepublic)
Lok mulige angribere i en fælde med en Kali Linux honeypot.