SIKKERHET

Ett år gammel Netgear-sårbarhet brukt til å stjele sensitive militære dokumenter

Kaptein tok sikkerhetskurs, men glemte å sette FTP-passord på Netgear-ruteren.

MQ-9 Reaper-dronen. Bildet er tatt ved Kandahar i Afghanistan i januar 2018. (Illustrasjonsfoto)
MQ-9 Reaper-dronen. Bildet er tatt ved Kandahar i Afghanistan i januar 2018. (Illustrasjonsfoto) Foto: REUTERS/Omar Sobhani
12. juli 2018 - 12:19
Dokumentene er ikke hemmelighetsstemplet, men underlagt eksportkontroll – det vil si at de ikke skal utgis til noen i land utenfor USA. <i>Skjermbilde:  Recorded Future</i>
Dokumentene er ikke hemmelighetsstemplet, men underlagt eksportkontroll – det vil si at de ikke skal utgis til noen i land utenfor USA. Skjermbilde:  Recorded Future

I begynnelsen av juni fant sikkerhetsanalytikere i selskapet Recorded Future ut at noen forsøkte å selge militære dokumenter på det såkalte «mørke nettet». Hackeren hevdet å ha tilgang til dokumenter om dronen MQ-9 Reaper, inkludert sensitiv informasjon om det amerikanske luftforsvarets treningsprogram for vedlikehold av dronen. Det skriver Ars Technica.

Hackeren skal ha forsøkt å selge dokumentet for 150-200 dollar. Analytikerne ved Recorded Future fikk kontakt med hackeren, og fikk verifisert dokumentene.

Det viser seg at hackeren har fått tilgang til dokumentene gjennom en sårbarhet i trådløse nettverksrutere fra Netgear. Sårbarheten ble kjent for over ett år siden, og lar noen som vet admin-passordet injisere kommandoer som kan gjøre det mulig å lage en bakdør og få tilgang til filer.

I tillegg til informasjon om MQ-9 Reaper-dronen inneholdt dokumentene også informasjon om vedlikehold av M1 Abrahams-stridsvognen, trening av stridsvognpersonell, og så videre. 

Ikke vanlig å selge militære dokumenter på det åpne markedet

Recorded Future skriver at det ikke er uvanlig å finne sensitive data, som personopplysninger, brukernavn og passord, finansiell informasjon eller medisinske opplysninger for salg på det mørke nettet.

«Det er imidlertid svært sjelden at kriminelle hackere stjeler og forsøker å selge militære dokumenter på et åpent marked», står det i rapporten.

Fra de lekkede dokumentene. <i>Skjermbilde:  Recorded Future</i>
Fra de lekkede dokumentene. Skjermbilde:  Recorded Future

Brukte Shodan til å finne den sårbare ruteren

Hackeren brukte søkemotoren Shodan til å søke etter sårbare rutere som hadde port 21 åpen (port 21 brukes til FTP). Sårbarheten i en Netgear-ruter ved Creech Air Force Base gjorde det mulig for hackeren å få tilgang til lokalnettet ruteren sto i, og deretter få tilgang til  datamaskinen til en kaptein ved basen. Hackeren kunne så laste ned en rekke dokumenter fra et cache-område på PC-en.

Den aktuelle kapteinen hadde nettopp fått diplom for gjennomført kurs i kybersikkerhet. <i>Skjermbilde:  Recorded Future</i>
Den aktuelle kapteinen hadde nettopp fått diplom for gjennomført kurs i kybersikkerhet. Skjermbilde:  Recorded Future

«Kapteinen som fikk datamaskinen sin kompromittert hadde ironisk nok nettopp fullført en Cyber Awareness Challenge», og burde visst om de nødvendige tiltakene for å forhindre uautorisert tilgang. I dette tilfellet, sette et passord for FTP», skriver Recorded Future.

Etter at hackeren forsøkte å selge de nevnte dokumentene, skal han eller hun også ha lagt ut ytterligere militærdokumenter. Sikkerhetsanalytikerne har ikke klart å bringe på det rene hvor disse stammer fra, men ut fra innholdet ser de ut til å være stjålet fra Pentagon eller fra en representant for den amerikanske hæren (U.S. Army). 

Hackeren skal ha fortalt Recorded Future at han pleide å underholde seg selv med å se på live video fra militærdroner, samt fra kameraer brukt til grenseovervåking. 

Mer enn 4000 rutere er berørt

Hackeren la ut skjermbilder fra dokumentene på det mørke nettet, og forsøkte å selge dokumentene for mellom 150 og 200 dollar. <i>Skjermbilde:  Recorded Future</i>
Hackeren la ut skjermbilder fra dokumentene på det mørke nettet, og forsøkte å selge dokumentene for mellom 150 og 200 dollar. Skjermbilde:  Recorded Future

Ifølge sikkerhetsekspertene skal mer enn 4000 Netgear-rutere fortsatt være sårbare for denne typen angrep.

Den aktuelle sårbarheten som ble brukt i dette tilfellet er langt fra den første som berører Netgear-rutere, et lignende hull ble funnet i februar i 2016. Også mot slutten av 2016 ble det funnet en rekke alvorlige sårbarheter i Netgear-rutere, som vi har skrevet om her.

Recorded Future skal ha klart å finne både navnet til hackeren og landet vedkommende oppholder seg i, og skriver at de bistår politimyndighetene med deres etterforskning. 

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.