TOMRA 27. juli – opdatering om cyberangreb
TOMRA opdagede et cyberangreb mod virksomheden den 16. juli. Undersøgelser har vist, at nogle systemer er blevet påvirket af angrebet, og yderligere systemer blev proaktivt afbrudt for at inddæmme angrebet. Et team af interne og eksterne eksperter arbejder døgnet rundt på at etablere alternative løsninger og genoprette normal drift.
I dag offentliggør vi yderligere oplysninger om cyberangrebets karakter. Status for vores eksterne tjenester svarer stadig til den sidste opdatering den 25. juli, og vi har fortsat gjort fremskridt med gentilslutning af returautomater. TOMRA fortsætter med at levere sine tjenester til kunderne og minimerer den indvirkning, dette angreb har på dem.
Vi undersøger stadig cyberangrebet og vil fortsætte med at give oplysninger, efterhånden som arbejdet med undersøgelsen og genoprettelsen skrider frem. Indtil videre har Microsoft analyseret Azure-platformen, og vi har onsite og centrale investigatorteams fra Deloitte og TOMRA i Norge, USA, Canada, Tyskland og New Zealand. I denne opdatering deler vi det, vi ved i dag, og vi understreger, at det ikke giver et fuldstændigt og endeligt billede af, hvad der er sket.
Angrebets mål
Baseret på den undersøgelse, vi har foretaget indtil videre, kan vi se, at trusselsaktørens angreb var rettet mod TOMRA-domænet og TOMRAs interne systemer. Vi har ikke identificeret, at nogen TOMRA-kunder var mål for angrebet eller blev kompromitteret. Der er ikke blevet identificeret nogen lækkede fortrolige oplysninger, vi ser ingen tegn på kryptering af data, og vi har heller ikke modtaget nogen krav om løsepenge.
Tidsramme for angrebet
Vores undersøgelser viser i øjeblikket, at trusselsaktøren var i sin rekognosceringsfase den 10. juli og indledte den operationelle fase den 15. juli. Søndag den 16. juli kl. 05.51 CET opdagede TOMRA Security Operations mistænkelig aktivitet i forbindelse med vores lokation i Montreal. Da dette blev opdaget, begyndte TOMRA Security Operations proaktivt at lukke tjenester og afbryde websteder for at inddæmme angrebet.
Udvikling af angrebet
Vi har konstateret, at trusselsaktøren eskalerede rettigheder og brugte Windows’ indbyggede værktøjer til at bevæge sig lateralt og udføre ondsindede handlinger på de systemer, der var mål for angrebet. Dette omfattede oprettelse af bagdøre og ændring af adgangskoder. Under undersøgelserne har vi identificeret tekniske indikatorer for de værktøjer, som trusselsaktøren anvendte, og vi har udviklet en forståelse for teknikkerne, der er brugt til at udnytte vores systemer.
Undersøgelser
Angribernes oprindelse og identitet er ikke afklaret, men vi har en række spor, som vi følger. Vi samarbejder med myndigheder og tilsynsmyndigheder på de relevante markeder.
Nogle tekniske detaljer om angrebet
- Trusselsaktøren har brugt indbygget Windows-funktionalitet, ondsindede powershell-nyttelaster og ondsindede binærfiler til at udnytte systemer og skabe kommando- og kontrolkanaler.
- Der er identificeret ondsindede aktiviteter inden for følgende områder: lokale Windows- og VMware-miljøer samt i Azure. De aktuelt identificerede berørte lokale systemer er i Canada, USA og Norge.
- Nogle eksempler på værktøjer, som trusselsaktøren bruger, er legitime adgangskoder, koldstartsangreb og bagdørsapplikationer.
TOMRAs team arbejder utrætteligt på at håndtere situationen. Derudover understøttes virksomheden af et globalt team fra Deloitte, der sikrer topkompetence og ressourcetilgængelighed globalt. Teamet vil fortsætte dets arbejde, indtil situationen er løst.