Oslo, Norwegen. Das Telefon klingelte um 4 Uhr morgens. Thorstein Gimnes Die Predawn-Glocke wird mit Angst beantwortet, die Schläfrigkeit zu durchbrechen. Und nach den ersten Worten des Gesprächspartners hat sich die Angst nur verstärkt.
"Es scheint, als würden sie uns angreifen", sagte der anrufende IT-Spezialist
Norsk Hydro , eines der weltweit größten Aluminiumunternehmen. Einige der 170 Werke haben die Produktion eingestellt. Andere Objekte wurden von Computersteuerung auf manuell umgestellt.
Im Kontrollraum einer Extrusionsanlage in Norwegen. Nach dem Anschlag stellte Hydro die Produktion in mehreren Werken in Europa und den USA vorübergehend ein.
Schlechte Nachrichten. Und dann wurde es schlimmer.
Die Hackerangriffe auf das Sicherheitssystem im März letzten Jahres betrafen letztendlich alle Mitarbeiter von Norsk Hydro: 35.000 Mitarbeiter in 40 Ländern. Es stellte sich heraus, dass Dateien auf Tausenden von Servern und PCs gesperrt waren. Der finanzielle Schaden erreichte fast 71 Millionen US-Dollar
Alles begann drei Monate zuvor, als einer der Mitarbeiter eine infizierte E-Mail von einem vertrauenswürdigen Client öffnete. Dies ermöglichte es Hackern, in die IT-Infrastruktur einzudringen und ihren Virus heimlich einzuschleusen.
Guimnés Are, der für die Informationssicherheit bei Norsk Hydro zuständig ist, rief sofort den Leiter des Bereitschaftsdienstes für Notfälle an und tätigte am Morgen einen Notruf.
"Es war ein unternehmensweiter Notfall", erinnert sich Guimnes Are. - IT-Experten haben das Netzwerk und die Server bereits getrennt, um eine weitere Verteilung zu vermeiden. Aber wir haben nicht ganz verstanden, was passiert ist. "
Bald wurde der Name des Virus bekannt: LockerGoga, eine der Varianten des Ransomware-Programms. Er verschlüsselte Dateien auf Desktop-Computern, Laptops und Servern im gesamten Unternehmen und zeigte eine Lösegeldanfrage an.
„Willkommen! - Lesen Sie die Nachricht. - Ihre Dateien werden mit den leistungsfähigsten militärischen Algorithmen verschlüsselt. Nur wir haben einen Decoder, mit dem Sie Ihre Daten entschlüsseln können. “
In der Nachricht forderte das Unternehmen ein Lösegeld in Bitcoins und warnte: "Der endgültige Preis hängt davon ab, wie schnell Sie mit uns in Kontakt treten."
Bei einem Notfallmeeting traf das Management von Norsk Hydro drei operative Entscheidungen: Bezahlen Sie kein Lösegeld, rufen Sie das Microsoft-Cybersecurity-Team an, um die Wiederherstellung der Systeme zu unterstützen, und gehen Sie diesem Vorfall völlig offen nach.
Die dritte dieser Lösungen
wurde von Sicherheitsexperten aus der ganzen Welt
gelobt, weil sie gegen die übliche Praxis vieler Organisationen verstießen, die Hacking-Informationen verstecken.
Täglich führten hochrangige Beamte Webcasts durch und beantworteten Fragen. Führungskräfte gaben tägliche Pressekonferenzen im Osloer Hauptquartier, posteten Nachrichten auf Facebook, luden Reporter zu Produktionsstandorten ein und starteten sogar eine neue Unternehmenswebsite für die erste Woche, nachdem ein Angriff entdeckt wurde.
Ransomware greift Norsk Hydro an.
"Transparenz ist das Fundament der Norsk Hydro-Kultur", sagte Halvor Molland, Senior Vice President Media Relations. Durch die ehrliche und umgehende Veröffentlichung von Informationen über das Geschehen war das Unternehmen insbesondere bestrebt, die Schattentaktik von Cyberkriminellen zu verletzen und möglicherweise ähnliche Bedrohungen zu verhindern.
"Wir wollten anderen helfen, aus unseren Erfahrungen zu lernen", sagte Molland. "So können sich die Menschen besser auf solche Situationen vorbereiten und nicht das durchmachen, was wir durchmachen mussten."
In den frühen Morgenstunden des Vorfalls bat Norsk Hydro das Microsoft
Detection and Response Team (DART) um Hilfe, das vor Ort ist, um die angegriffenen Unternehmen zu unterstützen und Fernuntersuchungen durchzuführen.
„Diesem Fall wurde eine maximale Schwerestufe zugewiesen“, sagt Jim Meller, DART-Mitglied und Spezialist für Cyber-Angriffe. Meller wurde nach Ungarn geschickt, in eine kleine Stadt in der Nähe von Budapest, wo sich eines der größten Aluminiumwerke von Norsk Hydro befindet. Die Produktion dort blieb ohne Zugang zu Netzwerkdiensten.
Eine der vielen Hydro-Pressekonferenzen, die während des Angriffs abgehalten wurden.
Meller verbrachte drei Wochen in Ungarn und schuf ein Team regionaler Ingenieure und Architekten. Ihm zufolge bestand die anfängliche Aufgabe des Teams darin, das Unternehmen bei der Wiederherstellung und Wiederaufnahme des Geschäftsbetriebs und der Dienstleistungen zu unterstützen. Andere DART-Mitglieder sind nach Oslo geflogen. "Unter unserer Führung konnte Norsk Hydro die Lücke schließen, mit der der Angreifer einen Angriff starten konnte", sagt Meller.
Sie untersuchten den LockerGoga Ransomware-Virus, der auch
das Ingenieur- und Beratungsunternehmen Altran Technologies in Frankreich und zwei US-amerikanische Industrieunternehmen
angriff - Hexion in Ohio und Momentive in New York.
Laut Gimnes Are in Oslo stellte eine Gruppe von hauptberuflichen und freiberuflichen forensischen Ermittlern fest, dass Hacker im Dezember 2018 eine angehängte Datei als Cyberwaffe verwendeten, die von einem Mitarbeiter eines Kunden gesendet wurde, der während des normalen E-Mail-Briefwechsels als zuverlässig an einen Mitarbeiter von Norsk Hydro galt.
"Sie enthielten Anweisungen zur Installation des Trojaners auf dem Computer des Hydro-Mitarbeiters in diesem Anhang", sagte Guimnes Are. - Unser Virenschutzprogramm hat dieses Trojanerprogramm einige Tage später erkannt. Aber es war schon zu spät. Zu diesem Zeitpunkt war das Virus bereits im System verankert. “
Meller sagte, dass der Virus zunächst normale Benutzer des Computernetzwerks von Norsk Hydro kompromittierte und dann die Administrator-Anmeldeinformationen beschlagnahmte, mit denen Hacker die gesamte IT-Infrastruktur verwalten konnten.
"Als die Angreifer die Kontrolle über die Umgebung erlangten, beschlossen sie, die Ransomware durch manuelle Verteilung von den Norsk Hydro-Domänencontrollern zu verteilen", sagte Meller.
"Dies war ein weiteres Beispiel für eine kürzlich verfolgte Strategie, bei der eine angreifende Gruppe eine beständige Bedrohung (
Advanced Persistent Threat, APT) einsetzt, um eine weitere Malware in der Hoffnung auf eine schnellere Monetarisierung zu geringeren Kosten einzuführen", sagte Meller.
Norsk Hydro hatte jedoch nicht die Absicht, Hackern ein einziges Bitcoin zu zahlen oder über die Wiederherstellung gesperrter Dateien zu verhandeln. Stattdessen entschied sich das Unternehmen, seine Daten mithilfe zuverlässiger Backup-Server wiederherzustellen.
"Was bekommen Sie, wenn Sie in einer solchen Situation ein Lösegeld zahlen?" Fragte Gimnes. - Vielleicht geben Sie die verschlüsselten Daten zurück, wenn der Angreifer Ihnen den Schlüssel gibt. Der Rückkauf wird Ihnen jedoch nicht dabei helfen, die Infrastruktur des Unternehmens wiederherzustellen: alle Server, alle Computer, alle Netzwerke. “
„Das Lösegeld wird dir nicht helfen, aus der Situation herauszukommen. Sie müssen Ihre Infrastruktur neu aufbauen, um sicherzustellen, dass der Angreifer nicht in der Infrastruktur bleibt “, fügte er hinzu.
Eric Derr ist General Manager des
Microsoft Security Response Centers . Dieses Center schützt Kunden vor Schäden aufgrund von Sicherheitslücken in den Sicherheitssystemen von Microsoft-Produkten und -Diensten und spiegelt auch Angriffe auf Microsoft Cloud schnell wider. Derr ruft Cyber-Angriffsorganisationen nachdrücklich dazu auf, in Bezug auf Vorfälle so offen wie möglich zu sein.
"Norsk Hydro hat allen ein Beispiel gegeben, wenn es darum geht, auf Vorfälle zu reagieren", sagte Derr. - Das Lösegeld nicht zu bezahlen und DART zu verwenden, um die Situation herauszufinden und Eindringlinge auszuschließen, ist eine hervorragende Lösung. Das Teilen des erworbenen Wissens mit der Welt ist von unschätzbarem Wert. Wenn Unternehmen dies tun, werden wir alle besser und Angreifer arbeiten härter. “
„Natürlich könnten einige Unternehmen, die mit Ransomware-Angriffen konfrontiert sind, versucht sein, Angreifer für die Rückgabe der gestohlenen Daten zu bezahlen. Die Zahlung eines Lösegelds an Hacker garantiert jedoch nicht, dass das Unternehmen in der Lage ist, die verlorenen Daten wiederherzustellen “, sagte Ann Johnson, Corporate Vice President für Cybersecurity-Lösungen bei Microsoft.
"Es gibt einen intelligenteren Weg - folgen Sie dem Norsk Hydro-Plan", sagt Johnson. - Ihre Daten sind sowohl für Sie als auch für Cyberkriminelle von strategischer Bedeutung. Deshalb möchten Hacker Ihre Daten erhalten. Deshalb müssen Ihre Daten geschützt und als Backup gespeichert werden. “
„Gleichzeitig sollten Unternehmen in Cybersicherheit investieren“, betont sie.
"Bei Norsk Hydro arbeitet die IT-Abteilung daran, das Sicherheitsbewusstsein der Mitarbeiter zu schärfen", sagte Molland, Vice President Media Relations. Dazu gehört das Senden von Test-E-Mails an Mitarbeiter, damit diese
häufige Phishing-Tricks wie gefälschte Anmeldeseiten und böswillige Anhänge erkennen können.
"Wenn ein Unternehmen der Cybersicherheit nicht genügend Aufmerksamkeit schenkt", warnt Johnson, "werden die Angreifer zu seinen" Stammkunden "."
„Höchstwahrscheinlich haben Sie in Straßencafés Schilder mit der Aufschrift„ Füttern Sie die Vögel nicht “gesehen. Wenn die Vögel gefüttert werden, kehren sie dorthin zurück, wo es ihnen leicht gefallen ist, Futter zu bekommen. Das gleiche Konzept gilt für Cyberkriminelle, sagt Johnson. "Wenn sie wissen, dass Sie einen schwachen Schutz haben, werden sie diese Schwächen immer wieder nutzen."
„Die beste Verteidigung ist die richtige Kombination menschlicher Handlungen, Prozesse und Technologien. Wir empfehlen die Implementierung einer Multi-Faktor-Authentifizierung, eines robusten Aktualisierungsprozesses und einer Datensicherung “, fügte sie hinzu.
Mitarbeiter des norwegischen Norsk Hydro-Werks arbeiten mit Papierunterlagen, um Kundenaufträge während eines Cyberangriffs manuell auszuführen.
Im vergangenen März haben DART-Mitglieder in Ungarn und Norwegen Norsk Hydro bei der Entwicklung sicherer Verfahren zur Wiederherstellung von Servern mit verbesserten Sicherheitseinstellungen unterstützt. Laut Meller haben sie das Unternehmen auch mit den bestehenden Bedrohungen und dem bekannten Verhalten der Angreifer vertraut gemacht, um das Risiko künftiger Angriffe zu verringern.
Bei Norsk Hydro wurden interne Arbeiten nach dem Vorfall an mehreren Fronten durchgeführt. Das Unternehmen stellte auf alte Methoden um, um die Produktion wieder aufzunehmen und den Geschäftsbetrieb wieder aufzunehmen. Darüber hinaus setzten sie sich für die Sicherheit der Mitarbeiter und die Umwelt ein.
„Wir fahren schweres Gerät. Wenn wir die Kontrolle darüber verlieren, gefährdet dies die Sicherheit der Menschen und kann zu schwerwiegenden Zwischenfällen führen “, sagte Molland, Vizepräsident für Medienarbeit. - Sicherheit ist für uns immer das Wichtigste. An zweiter Stelle steht die Sorge um die Umwelt und die Vermeidung unkontrollierter Emissionen in Atmosphäre, Boden und Wasser aufgrund plötzlicher Maschinenstillstände. “
Die Führungskräfte warnten von Hand vor einem Cyberangriff, fotografierten ihn auf Smartphones und sandten ihn an Manager von Norsk Hydro-Werken und -Büros auf der ganzen Welt. Die Außendienstmitarbeiter druckten Papierwerbung in lokalen Druckereien und hängten sie an Treppen, Treppenläufen und Aufzügen auf, damit die Mitarbeiter sie lesen konnten, wenn sie bei der Arbeit ankamen.
„Bitte schließen Sie keine Geräte an das Hydro-Netzwerk an. Schalten Sie keine Geräte ein, die an das Hydro-Netzwerk angeschlossen sind. Bitte trennen Sie die Geräte vom Hydro-Netzwerk “, lesen Sie die Warnungen mit einer einfachen Signatur:„ Sicherheitsdienst “.
Hydro-Fabrikarbeiter in Portland bedienen Geräte manuell, um Kundenaufträge in der Anfangsphase eines Cyberangriffs zu erfüllen.
Alle Mitarbeiter in den ersten Tagen nach der Entdeckung des Angriffs auf Papierunterlagen gearbeitet. Einige Werke haben auf manuelle Steuerung umgestellt, um Produktionsaufträge zu erfüllen. Mitarbeiter im Ruhestand, die mit dem alten Papiersystem vertraut waren, kehrten freiwillig in ihre Werke zurück, um die Produktion zu unterstützen.
"Die Art und Weise, wie wir zusammenkamen, um die Situation zu überwinden und zur Produktion zurückzukehren, war ein extremes Teambuilding-Training", sagte Molland.
"Unser Unternehmen verfügt über eine organisierte Notfallvorsorgemethode, die Maßnahmen auf Unternehmensebene, im Unternehmensbereich und auf Betriebsebene definiert", fügte er hinzu. "Es hat zu unserem Vorteil funktioniert." Als wir getroffen wurden, konnten wir konstruktiv und geordnet mit der Situation umgehen. “
„Mit anderen Worten, Prävention ist wichtig, aber das Blockieren aller Angreifer sollte nicht die einzige Sicherheitspriorität des Unternehmens sein“, sagt Joe De Wliger, IT-Direktor bei Norsk Hydro.
"Wenn Hacker reinkommen wollen, werden sie es tun", sagte De Wliger. "Wir haben jetzt ein verbessertes System zur Reaktion auf Zwischenfälle. Wenn dies erneut geschieht, sind wir viel besser vorbereitet, um den Schaden im Laufe der Zeit und auf dem Territorium zu begrenzen."
Norsk Hydro hat den Vorfall dem norwegischen Kriminalpolizeiamt (Kripos) gemeldet. "Die Untersuchung ist noch nicht abgeschlossen", sagt Molland.