Så inträffade cyberattacken som sänkte Addtech

2020-04-29 06:00  

1 700 anställda utan it-system. 150 miljoner kronor upp i rök. Cyberattacken mot teknikhandelskoncernen Addtech är ett av de största kända exemplen på hackerangrepp i Sverige.

Det är onsdag morgon den 30 oktober 2019, och Addtechs it-chef Jesper Särnholm har precis gått ur sängen när mobilen surrar till.

– Jag fick ett sms från vd:n på ett av de norska dotterbolagen som påpekade att vi hade en driftstörning, och sa att det vore bra om jag tog tag i det. Jag svarade japp, det gör jag, säger Jesper Särnholm.

En lösning som kommer att dröja mycket längre än han tror i det ögonblicket.

Addtech-koncern består av 130 dotterbolag i flera länder. De säljer komponenter och tekniklösningar och är underleverantörer till stora delar av tekniksektorn. När ett sådant bolag får en störning kan det påverka hundratals andra företag i Sverige.

Samtidigt som den irriterade norska chefen hör av sig strömmar frågorna in till Addtechs it-support. Systemen fungerar inte som det ska, vad har hänt?

– Snabbt blev det klart för oss att det inte var en vanlig driftstörning, utan något mycket större. Det är så klart en läskig känsla. Vi har rutiner för hur vi hanterar störningar, men det här var på en helt annan nivå, säger Jesper Särnholm.

Han tar kontakt med driftchefen och med Addtechs koncernchef. Samtalen är kärnfulla, korta och de konstaterar tydligt en sak: koncernen är under attack. 80 av de 130 bolagen är drabbade.

Som de flesta andra företag i Sverige har Addtech stött på ransomware förut. Men då drabbades bara enskilda arbetsstationer. Det här var ett angrepp av en helt annan magnitud.

Jesper Särnholm skyndade sig mot huvudkontoret på Birger Jarlsgatan i Stockholm där han skulle möta ledningsgruppen.

Inom en timme insåg Addtech att det bara fanns en lösning: dra ut sladden.

Läs mer: Svenska storbolag håller tyst om cyberattacker: ”Stort mörkertal”

Ovanligt att berätta öppet om hackerangrepp

Bolaget släckte hela sin it-miljö. 1 700 anställda förlorade åtkomsten till mejl, säljstöd och orderlistor. Samtidigt rullas nyheten om cyberattacken ut i media, när Addtech gör det ovanliga valet att berätta öppet om vad som skett. Även om allt tyder på att många svenska storbolag drabbas av omfattande cyberattacker, är det extremt få som gått ut med det.

– Jag får ofta frågan varför vi valde att gå ut offentligt, och inte flyga under radarn. Det handlar både om att ta ett samhällsansvar, det här var en jobbig situation och kan vi bidra med vår upplevelse kanske andra slipper. Det handlar också om att vara transparenta mot marknaden, det vore mycket värre om det kommer ut i efterhand, säger Jesper Särnholm.

Ett av få nordiska bolag som varit likna öppna är den norska aluminiumjätten Hydro som utsattes för ett liknande angrepp för ett drygt år sedan.

Men det var inte enkelt att informera omvärlden medan attacken pågick. Mejlen fungerade inte så de fick hitta andra lösningar för att sprida informationen både inom och utanför bolaget.

Läs mer: Hackarna som tar industrin som gisslan – kan kosta hundratals miljoner

Via en extern statussida kunde de börja meddela omvärlden. Sedan upprättades ringkedjor. Från affärsområdeschefer till affärsenheter till enskilda bolag. Samtidigt fick de anställda gå över till penna och papper för att sköta logistik och beställningar.

Men attacken som blev allmänt känd i oktober förra året började i själva verket mycket tidigare.

En dag i maj förra året landade ett bluffmejl ute hos ett av dotterbolagen. Sådana mejl skickas ofta i stora, breda kampanjer. Bedragarna kastar ett enormt nät, och sedan nöjda om de landar några få fiskar. Vilket de ofta gör.

Någon på Addtech öppnade mejlet, som innehöll en Word-fil. I dokumentet fanns ett så kallat makro, en liten kodsnutt som automatiskt kör några kommandon på datorn som i det här fallet syftade till att ge hackarna en bakväg in i bolagets it-system.

– Väldigt länge stannade de lokalt på den sajten och flög under vår radar. På slutet, strax innan attacken, tog de sig sedan ut i stora delar av it-miljön och agerade, berättar Jesper Särnholm.

Hackarna fick så småningom stor kontroll över den centrala it-miljön som 80 av koncernens 130 dotterbolag använder. Den där oktobermorgonen då allt brakade loss aktiverade de en skadlig kod som började kryptera alla filer på systemen i miljön.

”Hela miljön krypterad”

It-driften låg hos ett externt företag som inte hade kapacitet att hantera en sådan incident, så snabbt kallades ett säkerhetsföretag in för att försöka reda ut situationen.

Efter ett dygn kom nästa insikt. Det funkade inte.

Mats Hultgren jobbar som insatsledare vid stora it-incidenter på säkerhetsföretaget Truesec. De uppger själva att de är det bolag i Sverige som hanterar flest storskaliga angrepp. Under förra året utredde bolaget ett tiotal angrepp i samma storlek som det som skakade Addtech, och ett 100-tal mindre. Men ytterst få av deras kunder vill berätta öppet om vad de råkat ut för, och mörkertalet för hur många attacker som äger rum i Sverige anses vara stort.

– Så här är min liknelse för att förklara en incidentrespons: tänk dig det svåraste it-projekt du någonsin gjort. Men du vet bara en liten del av vad som hänt, säger Mats Hultgren.

Läs mer: Saab lanserar molntjänsten Egira – utmanar Amazon och Microsoft

Han fick första samtalet från Addtech ungefär ett dygn efter attacken. Kort därefter tog Truesec över uppdraget och Mats Hultgren, som var ute hos en annan kund, lånade ett konferensrum för att genast kunna sätta sig in i läget. Under telekonferensen med Addtech skickade han ut anställda till teknikhandelkoncernens it-driftsleverantör.

– Vi inser då att i princip hela miljön är krypterad, backuper och allt, säger Mats Hultgren.

Förutom det uppenbara problemet att alla filer är oåtkomliga blir situationen i det läget logistiskt knepig.

– Man vill inte gärna börja radera sådant som är krypterat ifall man behöver göra en forensisk undersökning, eller som vi gjorde i det här fallet där vi klarade av att låsa upp mycket utan att Addtech behövde betala någon lösensumma, säger Mats Hultgren.

Det behövs alltså nya servrar där systemen kan snurra temporärt. Där och då startade bygget av en parallell it-miljö. Truesec skickade ut två anställda till ett datacenter och de började bygga upp allt från grunden.

– Det var en riktig hjälteinsats, säger Mats Hulgren. Vi pratar om något som sattes upp på ett enterprisemässigt sätt så att vi kunde börja återskapa och återuppbygga nätverket inom sex timmar.

Lång väg tillbaka

Det är ett långsiktigt projekt. Delar av Addtechs it-miljö kördes i det temporära datacentret ända fram till mars i år, fem månader efter att attacken ägde rum.

Parallellt jobbar andra konsulter med det som brukar kallas forensik. Ett detektivarbete där de går igenom Addtechs loggfiler för att hitta spår efter hackarna.

– Det handlar helt enkelt om att klura ut hur angriparna tog sig in i miljön och vad de gjorde där inne. Det är först när vi vet det som vi kan säkerställa att angriparna inte finns kvar i miljön, säger Mats Hultgren.

– När forensiken är klar har vi ett facit på exakt vad angriparen gjorde när, var och hur. Då kan vi på ett strukturerat sätt börja stänga alla bakdörrar och bli av med angriparen för att sedan kunna påbörja återuppbyggnaden.

Läs mer: Hur blir vi hackade år 2030? Experten reder ut

Att undersöka hackarnas väg genom nätverket tar tid, precis som det tar tid att radera alla spåren. Men den som inte gör det riskerar att hackarna har en fot kvar på en dator eller server någonstans, och då kan offret räkna med att attackeras på nytt, menar Mats Hultgren.

– En sanning vi upprepar om och om igen är att det inte är en sprint utan ett maraton. Varje gång man börjar springa får man se sig för, risken är att man snubblar och allt är förgäves. Det räcker att sätta upp ett system eller en klient där man missat något och så har angriparen en bakdörr in i miljön, säger han.

Personal från både Addtech och Truesec arbetade i princip dygnet runt med att hantera incidenten under de första veckorna. Båda parter menar i dag att bra och tydlig kommunikation är nödvändig för att klara en sådan situation. Både internt på den drabbade organisationen och externt med de konsulter som kommer in för att hjälpa till.

”Mitt tips är att vara neurotisk"

Det kom att ta nästan två månader innan normalläget infann sig igen. Strax före jul skickar Addtech ut ett pressmeddelande där bolaget konstaterar att verksamheten är uppe och snurrar som vanligt.

När kände ni att det skulle ordna sig?

– Det var en känsla som smög sig på successivt, det var många drabbade dotterbolag och många system som skulle upp. Bolagen gjorde verkligen en hjälteinsats under hela krisen, och sakta men säkert betade vi av dem. De första affärssystemen vi kunde leverera till bolaget kändes som milstolpar, men sen var det en lång period som bestod av något slags hantverk när allt skulle byggas upp. Det var det där maratonet. Att fixa systemen, säger Jesper Särnholm.

Attacken uppges ha kostat koncernen runt 150 miljoner kronor i inkomstbortfall och utgifter för att återuppbygga och säkra it-miljön.

Läs mer: Han berättar historien om tidernas värsta cyberattack

I slutänden har Addtech klarat sig förhållandevis bra när det kommer till informationsförlust. Truesec kunde, genom att analysera den skadliga koden som hackarna använde, rädda stora delar av de data som krypterats.

Vilka som utförde attacken vill varken Addtech eller Truesec kommentera, men det rör sig troligtvis om en stor internationell hackerliga. Ärendet har också polisanmälts och utredningen pågår.

Vad har ni för råd till andra företag som är oroliga för att drabbas av den här sortens attack?

– Mitt första tips är att vara lite neurotisk. Förutsätt det värsta, och se till att it-säkerhetsprojekten du behöver genomföra får hög prio. Allt från att införa flerfaktorsinloggning till att se över backuper. Den andra punkten är att ta in extern hjälp för att testa miljön, för hur duktig du än är har du inte samma erfarenhet som någon som jobbar med de här frågorna hela tiden, säger Jesper Särnholm.

– Ofta handlar det inte så mycket om it-säkerhet som helt vanlig it-hygien. Ni måste patcha system, ni måste ha backuper som inte är kopplade mot nätverket, ni måste ha tydliga mandat för vem som är ansvarig för vad. Ni måste ha en livscykel på it så att inga gamla system fortsätter att köras, säger Mats Hultgren.

Simon Campanello

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt