Det var en ukendt sårbarhed i IBM’s mainframe, der blev brugt til at lave den første bagdør i CSC’s systemer. Der forklarer politiets it-efterforsker Flemming Grønnemose, der vidner på sjettedagen i Danmarkshistoriens største hackersag.
Grønnemose, der startede sit vidneudsagn sidste retsdag, er en af flere it-efterforskere i sagen mod svenske Gottfrid Svartholm Warg og danske JT. Han har forklaret, hvordan hackere fik adgang til CSC’s mainframe.
Ifølge efterforskerens forklaring anvendte gerningsmanden et såkaldt ’zero day’ exploit, der er en ukendt sårbarhed på webserveren. IBM, som har leveret CSC’s mainframe, er ikke kommet med en fuld beskrivelse af, hvad sårbarheden gik ud på, siger efterforskeren. Sårbarheden blev udnyttet i alt 807 gange i april 2012.
Ifølge CSC’s log har gerningsmanden gennem sårbarheden i første omgang fået adgang til tjenestemandspension.dk. Det har i sig selv givet begrænset med rettigheder. Men herfra har gerningsmanden samlet informationer og forsøgt at kopiere forskellig information, og det er gennem sårbarheden lykkedes personen, at redigere i et script på CSC’s webserver.
Angrebet domæne optræder i chat-log
Scriptet mybrow.sh blev ændret til mybrow2.sh og de to scripts er ens på nær en ændring af ordet Echo til ordet Eval. Ændringen har angiveligt gjort det muligt for hackeren at udføre kommandoer på mainframen og på den måde kopiere de personfølsomme data. Politiet betragter mybrow2.sh som den første bagdør til CSC’s systemer.
Bagdøren har åbnet for at filer kan flyttes fra det lukkede miljø på mainframen til en offentlig mappe på CSC’s webserver. Derfra kan filerne downloades af alle, der kender det specifikke filnavn.
CSC’s log viser, at mybrow2.sh blev aktiveret første gang i april 2012, og at scriptet i alt er blevet aktiveret 1.818 gange. Den er sket fra en cambodjansk IP-adresse, som er blevet forbundet med Warg.
Anklager har i formiddagens afhøring lagt vægt på, at processen med at hente CSC’s data stoppede samtidig med anholdelsen af Warg. På Wargs computer har svensk politi fundet en række filer, som er identiske med filer, der er blevet kopieret fra CSC’s mainframe. På computeren blev desuden fundet et script, der kan aktivere det redigerede CSC-script mybrow2.sh og dermed skulle kunne automatisere processen med at kopiere data.
Gerningsmanden oprettede yderligere to bagdøre til CSC’s systemer, men it-efterforsker Grønnemose kan ikke sige, om disse bagdøre også giver adgang til mainframen, fordi det ikke er blevet logget. Gerningsmanden gør også sig selv til superbruger i CSC’s system, hvilket er en normal hacker-strategi, ifølge Flemming Grønnemose, der har en master i Computer Science.
Også sagens danske tiltalte har været i anklagerens søgelys idag. Allerede i februar 2012 optræder domænet tjenestemandspension.dk nemlig i chatten, hvori JT diskutterer CSC med en person, der kalder sig My Evil Twin. JT har tidligere forklaret at hans interesse for CSC’s mainframe bunder i nysgerrighed for, om det kan lade sig gøre at hacke en mainframe.
Både Warg og JT nægter sig skyldige. De risikerer op til seks års fængsel, hvis de bliver dømt for hackerangrebet.
Version2 er tilstede i Retten på Frederiksberg.
Leave a Reply