De omvangrijke datadiefstal bij de voornaamste universiteit van Australië die in mei werd ontdekt begon met spearphishing, zo heeft de organisatie in een uitgebreid forensisch rapport bekendgemaakt. Volgens de Australian National University (ANU) is het voor het eerst dat een Australische organisatie een dergelijk rapport openbaar maakt. Op deze manier hoopt de ANU andere organisaties te helpen om zich te beschermen.

De aanval begon vorig jaar november en gaf de aanvaller toegang tot data die 19 jaar terugging., waaronder persoonsgegevens van medewerkers en studenten. Ondanks het uitgebreide onderzoek dat naar het incident werd ingesteld is het onduidelijk welke gegevens er precies zijn gestolen, maar volgens de ANU is het minder dan de 19 jaar aan data die eerst werd gevreesd en gecommuniceerd.

De eerste actie van de aanvaller was het versturen van een "geraffineerde spearphishingmail" die geen interactie van de ontvanger vereiste, zoals het openen van een link of bijlage, aldus het rapport. Deze e-mail is niet bewaard gebleven, maar zorgde ervoor dat de inloggegevens naar verschillende servers werden gestuurd. Later stuurde de aanvaller nog verschillende andere spearphishingmails. Deze mails waren voorzien van een Word-document dat de inloggegevens naar een remote server stuurde.

Het rapport biedt geen verdere informatie over de werking van deze aanvallen. In 2017 waarschuwde de FBI echter voor gerichte aanvallen waarbij Word-documenten werden ingezet. Deze documenten probeerden wanneer geopend verbinding met een SMB-server te maken om daar een template te downloaden. Hierbij werd de wachtwoordhash van de gebruiker naar de remote server gestuurd. Volgens de FBI probeerden de aanvallers waarschijnlijk deze hash te kraken om zo het wachtwoord van de gebruiker te achterhalen.

Met de inloggegevens die via de eerste spearphishingmails werden buitgemaakt wist de aanvaller op verschillende systemen in te loggen. Ook kreeg hij toegang tot de kalender van de universiteitsmedewerker en gebruikte de informatie hierin voor de latere spearphishingmails. Met de gestolen gegevens wist de aanvaller ook toegang tot een webserver te krijgen en installeerde hier een webshell.

Via de webserver wist de aanvaller weer toegang tot een legacy server met trial software te krijgen. Deze server zou oorspronkelijk eind 2019 worden uitgefaseerd. De server was "onfortuinlijk" met een virtueel LAN verbonden dat uitgebreide toegang tot het ANU-netwerk gaf. Uiteindelijk wist de aanvaller het Enterprise Systems Domain (ESD) van de ANU te compromitteren, dat systemen voor human resources, financieel management, studentadministratie en zakelijke formulieren bevat.

Het rapport bevat een uitgebreide tijdlijn met de activiteiten van de aanvaller. Die blijkt geregeld zijn sporen te wissen door bestanden en andere data te verwijderen. Daardoor is onduidelijk welke data precies is gestolen. Verder maakte de aanvaller gebruik van allerlei tools om netwerkverkeer op te slaan en het netwerk in kaart te brengen, JavaScript- en PowerShell-scripts, proxytools en virtualisatiesoftware.

De universiteit heeft verschillende lessen uit het incident getrokken, waaronder dat er meer moet worden gedaan om bewustzijn en veilig gedrag onder universiteitsmedewerkers te bevorderen. Daarnaast zal er worden geïnvesteerd in de mailgateway en worden legacy mailsystemen eerder uitgefaseerd.