Angrep mot datasystemene i Helse Sør-Øst: Hva er en avansert, vedvarende trussel?

Som kjent er det avdekket et ondsinnet dataangrep mot Helse Sør-Øst. Aktøren som angriper beskrives som en avansert, vedvarende trussel (APT). Men hva er en slik APT?  

Tekst: Sikkerhetsnytt fra Sykehuspartner HF

På ettermiddagen mandag 8. januar mottok Sykehuspartner HF varsel fra HelseCERT om at det pågikk et ondsinnet dataangrep mot Helse Sør-Øst. Egenanalyse med bistand fra HelseCERT avdekket at angrepet omfattet flere servere knyttet til Helse Sør-Øst. Angrepet ble politianmeldt 14. januar.

Hendelsen er under etterforskning av Politiets Sikkerhetstjeneste (PST) som mulig brudd på straffeloven § 121, som har overskriften «etterretningsvirksomhet mot statshemmeligheter».

PST har funnet rimelig grunn til å undersøke om noen samler inn opplysninger av en slik karakter at hvis de blir kjent for en fremmed stat eller avsløres, kan skade grunnleggende nasjonale interesser. Opplysninger om helseberedskap kan falle inn under denne kategorien. Undersøkelsene forsøker også å ta rede på om angrepet utføres på vegne av en fremmed stat.

Ettersom saken er under etterforskning, er det begrenset hva vi kan informere om.

Hva er en avansert vedvarende trussel?

Det følgende er en generell beskrivelse av en såkalt avansert vedvarende trussel (APT), og er ikke en beskrivelse av det aktuelle angrepet mot Helse Sør-Øst og konsekvensene av dette:

APT – Advanced Persistent Threat

En avansert, vedvarende trussel forutsetter at trusselaktøren besitter store ressurser. De har god tid, høy kompetanse og avanserte verktøy. Angrepene er målrettede og i noen tilfeller også støttet av en statlig aktør.

For å forstå hva en APT er, anbefaler vi Rob Joyces presentasjon «Disrupting Nation State Hackers» fra 2016. Rob Joyce ledet fra 2013-2017 Tailored Access Operations, som er NSAs operative arm for cyberoperasjoner mot fremmede stater og hans presentasjon er svært lærerik.

AVANSERT

Angriperne bak trusselen har et bredt spekter av teknikker til rådighet. Disse kan inkludere alt fra å angripe via kjente sårbarheter, målrettede phishingangrep, men også 0-dagssårbarheter hvis operasjonen tilsier det. De kombinerer ofte flere typer teknikker for å gjennomføre et vellykket angrep. Angriperne viser seg ofte å ha et bevisst fokus på omgå operativ sikkerhet, noe som skiller dem fra «mindre avanserte» trusler.

VEDVARENDE

Angriperne prioriterer ofte en bestemt oppgave, snarere enn opportunistisk å søke informasjon for økonomisk eller annen gevinst. Angrepet foregår gjennom kontinuerlig overvåking for å oppnå de definerte målene. Angriperne har som mål å opprettholde en langsiktig tilgang til målet de angriper, i motsetning til trusler som bare trenger tilgang til å utføre en bestemt oppgave.

TRUSSEL

APT er en trussel fordi de har både evne og hensikt. APT-angrep blir utført av koordinerte menneskelige handlinger, snarere enn ved tankeløse og automatiserte angrep. Angriperne har et bestemt mål, er dyktige, motiverte, godt organisert og godt finansiert.

 

Hvordan beskytte mot målrettede angrep:

NSM NorCERT publiserte i 2015 «Hvordan forebygge, oppdage og håndtere målrettede digitale angrep», som inneholder mye viktig informasjon. Rapporten er tilgjengelig fra NSM NorCERTs nettsider.

Frode Hommedal fra Telenor CERT presenterte på countermeasure-konferansen i Canada «Taking the Attacker Eviction Red Pill – or how to structure your thinking when countering espionage and sabotage from “APT”».


Vil du abonnere på sikkerhetsnyhetsbrevet fra Sykehuspartner?

Meld deg på her!

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut /  Endre )

Google-bilde

Du kommenterer med bruk av din Google konto. Logg ut /  Endre )

Twitter-bilde

Du kommenterer med bruk av din Twitter konto. Logg ut /  Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut /  Endre )

Kobler til %s

Blogg på WordPress.com.

opp ↑

%d bloggere like this: