Kristiansund kommune hacket

Hackere slo til mot kommunens «blindsone»: I fem døgn hadde de full kontroll over Citrix-inngangen

Da IT-avdelingen ble kjent med sårbarheten, var det for sent.

Da angrepet skjedde, hadde ikke Kristiansund kommune tilstrekkelige rutiner og prosedyrer. Til slutt varslet IKT Orkidé om en kritisk sårbarhet, noe som gjorde at kommunen oppdaget innbruddet.
Da angrepet skjedde, hadde ikke Kristiansund kommune tilstrekkelige rutiner og prosedyrer. Til slutt varslet IKT Orkidé om en kritisk sårbarhet, noe som gjorde at kommunen oppdaget innbruddet. (Illustrasjonsfoto: Eugene Sergeev, Colourbox)

Da IT-avdelingen ble kjent med sårbarheten, var det for sent.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 235,- i måneden.
Bli Ekstra-abonnent »

Hackere brøt seg inn på datasystemene til Kristiansund kommune. Dette er historien om det hittil ukjente datainnbruddet, som skjedde 12. januar 2020, og hva de lærte av hendelsen.

IT-avdelingen i kommunen vedgår i ettertid at de burde ha fanget opp og håndtert en kjent risiko som angriperne klarte å utnytte.

Allerede i dagene før innbruddet var trusselaktører i gang med å skanne internett på jakt etter Citrix-servere med en kritisk sårbarhet (CVE-2019-19781).

Dette er et mye omtalt sikkerhetshull, som i verste fall lar angripere bryte seg inn på flere titalls tusen virksomheters nettverk og applikasjoner.

Kristiansund kommune er trolig bare én av mange ofre. Hos dem ga den intense skanningen treff på en inngangsport mot Citrix-miljøet. En portal de hadde planlagt å avvikle.

I fem påfølgende dager har ukjente bakmenn fulle administrative rettigheter til kommunens Citrix ADC (tidligere Netscaler). 

Systemansvarlig i kommunen blir ikke klar over den kritiske sårbarheten, eller angrepet de er rammet av, før 17. januar 2020. Citrix publiserte sin advarsel om sårbarheten 17. desember 2019, akkurat én måned tidligere.

Les også

Traff en blindsone

Uheldigvis skjer datainnbruddet bare ni dager før det angrepne systemet etter planen skulle avvikles. IT-avdelingen oppgir at de i november året før besluttet å legge ned løsningen, men det rekker de altså ikke.

Programvaren var også levert av en leverandør som kommunen ikke lenger hadde noen avtale med, og den havnet dermed i blindsonen, ifølge IT-sjefen.

Arild Ovesen er enhetsleder for IT-avdelingen i Kristiansund kommune. Han mener at kommunen ble rammet i et større globalt angrep på Citrix-servere.

– Vi var for sent ute med å installere sikkerhetsoppdateringer, og jeg måtte dra ut kontakten, sier Arild Ovesen til Digi.no.

Han røsket ikke bokstavelig talt ut pluggen. Hackerne brøt seg inn på en instans av skytjenesten Citrix Application Delivery Controller (ADC) som kommunen kjørte i Microsoft Azure.

– Kunne ha satt systemer ut av spill

Løsningen har fungert som en portal mot internett med kontrollert adgang til fagsystemer, enten de kjører lokalt «on-prem» eller i skyen gjennom Citrix-plattformen.

Innbruddet på dette nivået betyr at uvedkommende har etablert et slags brohode inn på kommunens Citrix-løsning. 

IT-sjefen forklarer at dette kun er den delen av Citrix som kommuniserer med tekniske fagsystemer. Han hevder de har solide sikkerhetsmekanismer mellom disse serverne og såkalt «sikker sone», der blant annet pasientdata ligger.

– Derimot kunne tilgangen i verste fall blitt brukt til å sette byggstyringssystemer og annen teknisk infrastruktur ut av spill og gitt store kostnader til opprydning, konstaterer Arild Ovesen.

I sin redegjørelse til Datatilsynet viser Ovesen til at det kun var noen få resterende brukere igjen på Citrix-komponenten som ble angrepet.

Tar på seg ansvaret

Avviklingen av Citrix-portalen var planlagt som ledd i overgang til en annen løsning, som gir kommunen støtte for innlogging via den offentlige ID-porten.

Kristiansund kommune jobber også tett med og er største kommune i IKT Orkidé, det interkommunale samarbeidsforetaket for alle kommunene på Nordmøre.

– IKT Orkidé har et tilsvarende system, som ble patchet, mens det glapp for vårt restsystem. Det er noe jeg har brukt en del tid på i etterkant, sier Ovesen.

– Hvem hadde ansvaret for å holde den sårbare Citrix-komponenten oppdatert?

– Ansvaret lå på meg. Det er helt klart mitt ansvar å sørge for at også denne løsningen ble passet godt nok på til den ble faset ut.

I etterkant av hendelsen er det gjort endringer i rutinene. Blant annet er det nå flere enn bare IT-sjefen som mottar sikkerhetsvarsler, slik at han ikke blir en flaskehals. Ovesen sier at de har innført et «litt mer rigid regime» enn tidligere.

Les også

Stille før stormen?

I en snau uke i midten av januar 2020 har angriperne administratortilgang på en server i skyløsningen.

På dag null er kode automatisk plantet eller overført til Citrix ADC-serveren. Men de neste dagene skjer det ikke noe mer. Ingen vet hva hackerne pønsker på.

– Angriperne har ikke skaffet seg kontroll over noe som helst annet enn boksen de landet i. Applikasjonene er ikke installert på ADC-en, det er installert på Citrix-serverne bak, poengterer Ovesen.

IT-sjefen mener at hackerne måtte gjort mye arbeid for å få tilgang til noe mer enn de hadde, men innrømmer at tilgang til ADC-en absolutt kunne ha gitt dem mulighet til å forsøke slike ytterligere innbrudd.

Skadepotensialet var således stort. Det medgir Ovesen. Ifølge ham skal likevel ingen data ha gått tapt. Det kunne gått verre. Hackerne kunne ha brutt seg videre inn i løsningene til kommunen med en taktikk kalt sideveis forflytning, eller lateral movement på engelsk.

– Det er tydelig at angriperne har lagt inn en egen åpning, som lå klar til å gjøre noe mer, forklarer IT-sjefen.

Hackerne rekker imidlertid ikke å gjøre noe mer ugagn før de blir kastet ut. Det skjer etter fem døgn. Det var til slutt systemansvarlig i IKT Orkidé som varslet om sårbarheten og gjorde at Kristiansund kommune satte i gang undersøkelser som avdekket angrepet.

Hvilke planer angriperne hadde for videre utnyttelse, hvem som står bak eller motivene deres er ukjent. Ulike former for datatyveri og/eller forsøk på å ødelegge data ved hjelp av kryptering, for deretter å kreve løsepenger, er ikke uvanlig, men om dette lå i kortene her, blir bare spekulasjoner.

Lysene alltid påskrudd

IT-sjefen drar fram to punkter når vi spør om den viktigste lærdommen han sitter igjen med etter hendelsen.

– Alt som er tilgjengelig fra internett, må være sikret. Om det betyr at noen må være igjen på jobb for å patche de systemene umiddelbart når varselet kommer, så er det det vi må gjøre. Det andre er at man må isolere serverne og sørge for at tjenester ikke har tilgang til andre tjenester man ikke trenger, bare fordi man er i et nettverk, sier han.

– I etterpåklokskapens lys, hva burde dere ha gjort annerledes?

– Enhver internetteksponert tjeneste skal ha veldig høy prioritet, både på overvåkning, varsling og vedlikehold. Her glapp øynene fra ballen, sier Ovesen.

Kommunen har ifølge ham aldri før opplevd noe lignende. Verken før Citrix-hendelsen ved inngangen til 2020 eller siden.

– Ikke på den måten, hvor vi er blitt angrepet utenfra. Men vi har hatt «morsomheter» innomhus, som også har vært rapportert til Datatilsynet. Det har vært av typen elever som stjeler passord fra lærere og den typen ting. Ikke noe vi har brukt flere hundre tusen kroner på å undersøke og rette opp.

Les også

«Zero trust»

Hendelsen har ført til skjerpet fokus på informasjonssikkerhet, spesielt på kommunens såkalte «zero trust»-tilnærming, hvor de ifølge IT-sjefen isolerer enkelttjenester for å minimere angrepsflate sideveis i tjenestemiljøet.

Zero trust («null tillit») er en stadig mer utbredt sikkerhetsmodell, som innebærer at all tilgang til IT-systemene stammer fra det åpne internett fremfor fra pålitelige enheter som kun befinner seg på innsiden av en virksomhets brannmur.

Du må fortsatt bevise hvem du er, og det gjøres med tofaktor- eller multifaktor-autentisering, slik man er vant til fra nettbankene.

– Vi startet med zero trust i 2018, men kommunale IT-systemer er notorisk komplekse, så vi har jobbet mye med å redusere kompleksitet og å få alle våre 184 fagsystemer eller brukerflater enten ut i tredjeparts skytjenester tilgjengelig fra internett eller inn på Citrix, sånn at du kan sørge for å bevise hvem du er, sier Ovesen.

Heller ett hvelv enn tusener av skattekister

Kommunen har også en teknolog som rådmann, Arne Ingebrigtsen – med bakgrunn fra IT-bransjen, som har gått offensivt inn for en forenkling av IT-infrastrukturen. Blant annet med mål om at hele kommunens digitale infrastruktur skal ligge i nettskyen.

De vil virtualisere alle applikasjoner, samt legge applikasjonsserverne i skyen. Det er dette som blir kalt hvelvet i den vedtatte strategien. Synet er at det er enklere å passe på ett hvelv enn å passe på tusenvis av skattekister.

– Mye er blitt flytta inn i hvelvet. Vi kan ikke fokusere på å sikre 6000 endepunkter. I stedet er vi nødt til å sikre hvelvet. Det er et bilde på tjenestene våre, sier IT-sjefen, som anslår at de er omtrent 94 prosent ferdig med moderniseringen. 

I prosessen har de klart å konsolidere bort noen applikasjoner, ifølge Ovesen, men langt fra så mange som de har ønsket.

– Forbløffende mange har vi vært nødt til å beholde, men bygd om. Jeg skulle ønske jeg kunne si at vi har fått fjernet unødvendige fagsystemer i stor skala, men det har vi ikke, sier han.

Det har kostet

Citrix-innbruddet og arbeidet med å rydde opp i etterkant har åpenbart medført ekstra kostnader. Hvor mye det vil ende opp med å belaste kommuneøkonomien, virker mer uvisst.

– Den kanskje største kostnaden, uten at den er kvantifisert, er å legge om og det å gjøre ting på nye måter. Tanken er det likevel er rimeligere enn å bli utsatt for nye angrep, sier Ovesen.

IT-sjefen anslår at det er gått med noen hundre interne timer. Kommunen har også hentet inn ekstern bistand fra Ateas Incident Response Team.

Her inngår blant annet en større kartlegging og logganalyse for å komme til bunns i om angrepet hadde ført til nye angrep sideveis i kommunens systemer. Atea klarte ikke å finne spor som tydet på videre inntrengning.

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen