Norske fjell

TOMRA: 27. juli-oppdatering om dataangrep

TOMRA oppdaget et dataangrep mot selskapet den 16. juli. Undersøkelser har vist at noen systemer ble påvirket av angrepet, og at andre systemer ble koblet fra for å begrense angrepet. Et internt og eksternt ressursteam jobber døgnet rundt for å etablere alternative løsninger og gjenopprette normal drift.

I dag publiserer vi mer informasjon om karakteren av dataangrepet. Statusen for våre eksterne tjenester er den samme som ved siste oppdatering den 25. juli, og arbeidet med å koble panteautomatene til nettet går fremover. TOMRA fortsetter å levere tjenester til kundene våre og minimere følgene dette angrepet får for dem.

Vi undersøker fortsatt dataangrepet og vil fortsette å dele informasjon etter hvert som vi gjør fremskritt i undersøkelsene og gjenopprettingsarbeidet. Så langt har Microsoft analysert Azure-plattformen, og vi har lokale og sentrale etterforskningsteam fra Deloitte og TOMRA i Norge, USA, Canada, Tyskland og New Zealand. I denne oppdateringen deler vi det vi vet i dag, men vi understreker at det ikke gir et fullstendig bilde på hva som har skjedd.

Målet for angrepet

Basert på undersøkelsene vi har gjort så langt, ser vi at trusselaktøren siktet seg inn på TOMRA-domenet og TOMRAs interne systemer. Vi har ikke funnet at noen av TOMRAs kunder har vært mål for angrepet eller blitt kompromittert. Det er ikke påvist lekkasje av konfidensiell informasjon, og vi ser ingen bevis på datakryptering. Vi har heller ikke mottatt noen krav om løsepenger.

Tidslinjen for angrepet

Undersøkelsene viser for øyeblikket at trusselaktøren var i rekognoseringsfasen 10. juli og startet den operasjonelle fasen 15. juli. Søndag 16. juli kl. 05.51 CET oppdaget TOMRA Security Operations mistenkelig aktivitet knyttet til avdelingen vår i Montreal. Da dette ble oppdaget, begynte TOMRA Security Operations å stenge ned tjenester og koble fra nettsteder for å begrense angrepet.

Utviklingen av angrepet

Vi har funnet ut at trusselaktøren eskalerte privilegier og brukte innebygde Windows-verktøy til å bevege seg sideveis og utføre skadelige operasjoner på målsystemene. Dette omfattet oppretting av bakdører og endring av passord. I løpet av undersøkelsene har vi funnet tekniske indikatorer for verktøy som ble brukt av trusselaktøren, og vi har skaffet oss en forståelse av metodene som ble brukt til å utnytte systemene våre.

Undersøkelser

Opprinnelsen og identiteten til angriperne er ikke fastslått, men vi følger noen ledetråder. Vi samarbeider med myndigheter og tilsyn i de aktuelle markedene.

Noen tekniske opplysninger om angrepet

  • Trusselaktøren har brukt innebygd Windows-funksjonalitet, skadelige powershell-nyttelaster og skadelige binærfiler til å utnytte systemer og opprette kommando- og kontrollkanaler.
  • Det er påvist at skadelig aktivitet er utført på følgende områder: lokale Windows- og VMware-miljøer, og i Azure. Vi har påvist at lokale systemer i Canada, USA og Norge er berørt.
  • Noen eksempler på verktøy som er brukt av trusselaktøren er legitime passord, cold boot-angrep og bakdørsprogrammer.

TOMRAs team jobber utrettelig for å håndtere situasjonen. I tillegg får selskapet hjelp av et globalt team fra Deloitte som sikrer toppkompetanse og ressurstilgjengelighet globalt. Teamet vil fortsette arbeidet til situasjonen er løst.