Norjan vuoria

TOMRA: päivitys kyberhyökkäyksestä, 27. heinäkuuta

TOMRA havaitsi kyberhyökkäyksen yritystä vastaan 16. heinäkuuta. Tutkinnassa on huomattu, että hyökkäys on vaikuttanut joihinkin järjestelmiin ja muita järjestelmiä on kytketty ennakoivasti irti hyökkäyksen rajoittamiseksi. Yrityksen sisäisten ja ulkopuolisten asiantuntijoiden tiimi työskentelee vuorokauden ympäri löytääkseen vaihtoehtoisia ratkaisuja ja palauttaakseen järjestelmien normaalin toiminnan.

Julkaisemme tänään lisätietoja kyberhyökkäyksestä. Ulkoisten palveluidemme tila on edelleen samanlainen kuin edellisessä päivityksessä 25. heinäkuuta, ja olemme jatkaneet palautusautomaattien uudelleenyhdistämistä. TOMRA jatkaa palveluiden tarjoamista asiakkailleen ja pyrkii minimoimaan hyökkäyksen vaikutukset heihin.

Tutkimme edelleen kyberhyökkäystä ja jatkamme tiedottamista tutkinnan ja järjestelmien palautuksen edetessä. Tähän mennessä Microsoft on analysoinut Azure-alustaa, ja meillä on TOMRAn tiimejä paikan päällä Norjassa, Yhdysvalloissa, Kanadassa, Saksassa ja Uudessa-Seelannissa sekä Deloitten keskitettyjä tutkijaryhmiä. Tässä päivityksessä kerromme, mitä tiedämme tällä hetkellä. Haluamme korostaa, että tämä ei vielä anna täydellistä ja lopullista kuvaa siitä, mitä on tapahtunut.

Hyökkäyksen kohde

Tähän mennessä tekemämme tutkinnan perusteella on huomattu, että hyökkäys kohdistettiin TOMRAn verkkoalueelle ja TOMRAn sisäisiin järjestelmiin. Emme ole havainneet, että hyökkäys olisi kohdistunut TOMRAn asiakkaisiin tai vaarantanut heidän toimintaansa. Luottamuksellisia tietoja ei ole vuotanut, emmekä ole löytäneet todisteita tietojen salauksesta tai saaneet lunnasvaatimuksia.

Hyökkäyksen ajoitus

Tutkintamme osoittaa tällä hetkellä, että hyökkääjä suoritti tiedustelua 10. heinäkuuta ja aloitti hyökkäysvaiheen 15. heinäkuuta. Sunnuntaina 16. heinäkuuta kello 05:51 CET TOMRA Security Operations havaitsi Montrealin toimipisteeseemme liittyvää epätavallista toimintaa. Kun toiminta havaittiin, TOMRA Security Operations alkoi ennakoivasti sulkea palveluja ja katkaista sivustojen yhteyksiä hyökkäyksen rajoittamiseksi.

Hyökkäyksen eteneminen

Olemme havainneet, että hyökkääjä laajensi käyttöoikeuksia ja käytti Windowsin sisäisiä työkaluja liikkuakseen järjestelmän sisällä ja suorittaakseen haitallisia toimintoja kohdejärjestelmissä. Hyökkääjä muun muassa loi takaportteja ja vaihtoi salasanoja. Tutkinnan aikana olemme tunnistaneet hyökkääjän käyttämien työkalujen teknisiä indikaattoreita ja tarkastelleet tekniikoita, joilla järjestelmiämme on väärinkäytetty.

Tutkinta

Hyökkääjien alkuperää ja identiteettiä ei ole selvitetty, mutta asiaa tutkitaan parhaillaan. Teemme yhteistyötä viranomaisten ja valvonnasta vastaavien tahojen kanssa asiaankuuluvilla markkinoilla.

Teknisiä tietoja hyökkäyksestä

  • Hyökkääjä on käyttänyt Windowsin sisäisiä toimintoja, haitallisia Powershell-hyötykuormia ja haitallisia binääritiedostoja järjestelmien väärinkäyttöön sekä komento- ja ohjauskanavien luomiseen.
  • Haitallista toimintaa on havaittu seuraavilla alueilla: Windows- ja VMware-ympäristöissä yrityksen tiloissa sekä Azuressa. Tällä hetkellä tapahtuma vaikuttaa yrityksen paikallisiin järjestelmiin Kanadassa, Yhdysvalloissa ja Norjassa.
  • Esimerkkejä hyökkääjän käyttämistä välineistä ovat lailliset salasanat, kylmäkäynnistyshyökkäykset ja takaporttisovellukset.

TOMRAn tiimi tekee väsymättä töitä tilanteen hallitsemiseksi. Lisäksi yritystä tukee Deloitten maailmanlaajuinen tiimi, joka tarjoaa osaamista ja resursseja käyttöömme maailmanlaajuisesti. Tiimi jatkaa työskentelyä, kunnes tilanne on ratkaistu.