Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 8. mars 2024

Situasjonsrapport fra Telenor SOC - februar 2024

Alvorlige hendelser
I februar håndterte TSOC 24 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 45 i januar. Denne måneden oppdaget vi at en av våre kunder tillot trafikk over SMB-protokollen ut fra sitt nettverk mot Internet. SMB står for “Server Message Block”, og er en Windows-protokoll, opprinnelig fra 1983, for utveksling av filer, printer-utskrifter osv. Protokollen brukes normalt kun internt i bedrifters nettverk, men noen glemmer å sperre for denne i brannmuren mot Internett. Ved flere tilfeller har svakheter ført til at protokollen kan misbrukes, nå sist denne måneden. Microsoft patchet en svakhet (CVE-2024-21413) i Outlook, som kunne føre til lekkasje av brukernavn og kryptert passord over SMB-protokollen og ut mot angripere på Internett. Svakheten blir utnyttet ved å lure offeret til å trykke på en lenke, f.eks. i en e-post. Denne typen svakheter har dukket opp ved flere tilfeller de siste årene. Vi anbefaler derfor å blokkere all SMB-trafikk mellom det interne nettverket og Internett i brannmuren.

DDoS-angrep
Det var 127 bekreftede DDoS-angrep denne måneden, ned fra 166 i januar. 79 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 4.6 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 86 Gbps og varte i én time. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
Det amerikanske justisdepartementet meldte at de hadde tatt ned et botnett som i stor grad er bygget opp av kompromitterte hjemmeroutere fra Cisco og Netgear. Det skal være den kineiske trusselaktøren Volt Typhoon som stod bak operasjonen. Botnettet har blitt brukt til å kartlegge og kompromittere kritisk infrastruktur i USA. Ved å bruke botnettet som et proxy-nettverk, har angriperne kunnet sende angrepstrafikken ut fra routere i nærheten av angrepsmålet. Dette gjør at trafikken er lettere å gjemme i lokal legitim nettverkstrafikk. Senere i måneden meldte også FBI at de hadde tatt ned et lignende botnett brukt av APT 28/Fancy Bear, bestående av Ubiquiti Edge OS-routere. Routerne var før kompromittering eksponert mot Internet med standard-passord satt av produsenten. Norske PST var også med i denne aksjonen ved å ta kontakt med eierne av rundft ti kompromitterte routere i Norge for å få tettet svakheten.

Ofre for ransomware betalte over 1 milliard USD til ransomware-bandene i 2023. Dette er nesten en dobling i forhold til 2022, som virker å være et unntaksår. Tallene er hentet fra analyse-selskapet Chainalysis, som sporer blokkjede-betalinger for både myndigheter og private. 2023 var preget av mange høye utbetalinger, spesielt etter de omfattende angrepene mot organisasjoner som benyttet seg av MOVEit-programvaren for filoverføringer.

Internasjonale politistyrker hacket seg inn i infrastrukturen til ransomware-gjengen Lockbit. Europol arresterte siden tre mistenkte i Polen og Ukraina. Flere russiske bakmenn ble også etterlyst. Amerikanske myndigheter har utlovet en dusør på $15 millioner USD for opplysninger som kan føre til arrestasjon av lederne av banden. Dekrypteringsnøkler for flere hundre ofre er også tllgjengelig. Den siste utviklingen i saken er at fildelings-tjenesten Mega og epost-tjenestene Tutanota og Protonmail har stengt ned 14.000 kontoer i forbindelse med aksjonen. Kontoene ble identifisert brukt av Lockbit eller deres underleverandører, eller i forbindelse med andre ransomware-operasjoner. Etter aksjonen har Lockbit etter hvert bygget opp igjen infrastrukturen sin og også meldt om nye ofre på nettsider på nye adresser kompromittert ved hjelp av en ny versjon av sin ransomware.

Microsoft og OpenAI har avdekket at flere trusselaktører fra Kina, Russland, Iran og Nord-Korea har benyttet seg av AI-verktøyet ChatGPT i varierende grad. Bruken har blitt analysert og kontoene har blitt sperret. Foreløpig ser det ikke ut til at aktørene benytter de nye verktøyene i vesentlig grad eller på en automatisert måte. Eksempler på bruk som har blitt avdekket så langt er: Finne informasjon om firmaer og sikkerhetsverktøy, fjerne bugs i og generere kode, generering av scripts, produksjon av innhold til phishing-eposter, oversette tekniske dokumenter osv. OpenAI opplyser at de har slettet flere kontoer etter sine undersøkelser.

Cloudflare opplyser at de har vært utsatt for et datainnbrudd, mest sannsynlig fra en statlig aktør, i perioden mellom 14. og 24. november. Aktøren benyttet seg av innloggingsdetaljer de først hadde stjålet i et tidligere innbrudd mot Okta, én tilgangsnøkkel og tre brukernavn/passord til Cloudflares AWS-konto, Atlassian Bitbucket, Moveworks og Smartsheet. Angriperne fikk tilgang til intern dokumentasjon og kildekode. Etter innbruddet har Cloudflare nullstilt over 5000 tilganger, gjennomført bedre fysisk segmentering mellom test- og produksjonsnettverket, gjennomsøkt 4893 systemer etter tegn på innbrudd og kjørt omstart på alle servere.

Google har gitt ut en detaljert rapport om den kommersielle overvåkingsindustrien og hvilke konsekvenser den har for ytringsfriheten og pressefriheten. Denne industrien benytter seg av store mengder ferske svakheter for å bryte seg inn i mobiltelefoner og PCer og overvåke brukerne. Egentlig er meningen at produktene skal brukes av myndighetene for å overvåke kriminelle og hindre terrorisme, men mange stater benytter også verktøyet for å overvåke regimemotstandere, journalister og opposisjonen. 80% av de nye svakhetene Google oppdaget i bruk i 2023 ble først brukt av aktører i denne industrien, som NSO Group, Cy4Gate, Intellexa og Negg Group. Google følger rundt 40 produsenter av overvåkingsprogramvare.

Internasjonale politimyndigheter annonserte 1. februar at de hadde arrestert 31 cyberkriminelle og har identifisert 1300 servere som har vært brukt til å utføre phishing-angrep og distribuere skadevare. Operasjonen pågikk fra september til november 2023 og har fått navnet "Synergia". Over 60 politi-organisasjoner fra forskjellige land deltok. Operasjonen ble utført som et svar på globaliseringen og profesjonaliseringen innenfor cyberkriminalitet.

onsdag 7. februar 2024

Situasjonsrapport fra Telenor SOC - januar 2024

Alvorlige hendelser
I januar håndterte TSOC 45 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 32 i desember. Denne måneden var det mye oppmerksomhet rundt ransomware-gruppen Akira på SOC, etter flere angrep mot nordiske mål i det siste. Denne gruppen bruker ofte bedrifters VPN-forbindelser som inngangsvektor. Dette er tjenester som gjerne eksponeres ut offentlig og kan utnyttes både gjennom passord-spraying (vanlige passord brukt mot store mengder kontoer) og svakheter. Det er viktig å holde VPN-utstyr oppdatert med patcher, MFA-autentisering bør være slått på og det kan være fornuftig å vurdere å kun tillate innlogging fra forhåndsgodkjente IP-adresser eller nettverk.

DDoS-angrep
Det var 166 bekreftede DDoS-angrep denne måneden, opp fra 144 i desember. 97 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 8 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 149 Gbps og varte i 7 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
Sikkerhetsselskapet Volexity meldte 10. januar at de hadde oppdaget at to ferske svakheter i Ivanti Connect Secure VPN (tidligere Pulse Secure) ble utnyttet aktivt i angrep, trolig siden starten av desember. Svakhetene ble utnyttet etter hverandre for å kunne kjøre vilkårlig kode på en sårbar server, uten å måtte autentisere seg. Etter å ha tatt seg inn på enheten, endret trusselaktøren konfigurasjonen for å slå på tastatur-logging, lagre passord og åpne for fjernadministrasjon. Tilgangen ble også typisk benyttet for å få videre tilgang inn i interne nettverk. Volexity meldte at det i starten var en trusselaktør med kinesisk tilknytning som utnyttet svakhetene. Etter hvert begynte også andre aktører å benytte seg av svakhetene, og det ble rapportert at minst 1700 VPN-enheter ble kompromittert. Ivanti ga først ut instruksjoner for hvordan kundene kunne konfigurere VPN-enhetene for å unngå at de ble utnyttet. Patcher for svakhetene ble først levert 31. januar.

Microsoft oppdaget den 12. januar at en aktør med tilknytning til den russiske stat hadde tilgang til deres interne systemer. Microsoft kaller aktøren for Midnight Blizzard, men den er også kjent som Nobelium, APT29 og Cozy Bear. Aktøren knyttes til den russiske Utenriksetterretningstjenesten SVR. Microsoft avdekket at aktøren først fikk tilgang til deres systemer i november 2023, ved hjelp av et passord-spray angrep, der mye brukte passord blir prøvd mot en rekke kontoer. Aktøren fikk på denne måten tilgang til en konto i en test-tenant, hvor de senere fikk utvidet sine tilganger. Disse ble brukt til å lese interne epost-kontoer i Microsoft, blant annet kontoene til ledelsen. Microsoft mener at aktøren blant annet hadde som mål å finne ut hva slags informasjon Microsoft hadde om aktøren selv. Etter hendelsen har Microsoft lovet å innføre nye tiltak for å øke sikkerheten.

Senere i måneden meldte også Hewlett Packard Enterprise (HPE) at de hadde vært utsatt for datainnbrudd fra den samme trusselaktøren, som hadde hatt tilgang til deres skybaserte epost-systemer siden mai 2023. HPE undersøker fortsatt innbruddet og tror at det kan skyldes at trusselaktøren tidlig i 2023 fikk tilgang til filer i deres Sharepoint-server.

Natten mellom 19. og 20. januar ble et av Tietoevrys datasentre i Sverige rammet av ransomware-angrep og noen av deres systemer gikk ned. Hendelsen var isolert til kun den svenske delen av Tietoevry og deres kunder. Selskapet meldte etter hvert at det var rasomware-gruppen Akira som stod bak angrepet. Den 29. januar meldte selskapet at flere kundesystemer var gjenopprettet, men at gjenoppretting for noen kunder med avanserte oppsett fortsatt pågikk.

Orange Spain opplevde internett-avbrudd etter at en angriper brøt seg inn i selskapets RIPE-konto. Angriperen feilkonfigurerte med overlegg BGP-ruting og RPKI-konfigurasjonen, noe som resulterte i ytelsesproblemer i Orange Spain sitt nettverk og påvirket surfingen for noen kunder. Ifølge Cloudflare førte angrepet til omdirigering av trafikk til ondsinnede nettsteder. Angrepet ble utført av en trusselaktør kjent som 'Snow'. Orange Spain forsikret etter hendelsen at kundedata ikke ble kompromittert, og tjenesten kom raskt tilbake igjen. Årsaken til bruddet ble knyttet til fravær av tofaktorautentisering på RIPE-kontoen til selskapet.

En person ble arrestert i Ukraina i januar for å ha opprettet og brukt 1 million virtuelle servere for å utvinne kryptovaluta, noe som resulterte i en gevinst på over 2 millioner USD. Tilgangen til serverne blir skaffet gjennom å hacke seg inn i bedrifters kontoer og så opprette serverne gjennom deres kontoer. For å forsvare seg mot denne typen angrep er det viktig med god kontroll på tilganger og overvåking av egen ressursbruk i skytjenester.

To sykehus i USA har i det siste blitt rammet av ransomware-angrep og angriperne har stjålet store mengder sensitive pasientdata. Noen av pasientene mottar nå trusler direkte fra ransomware-banden der de truer med å offentliggjøre personlige detaljer eller å utføre "swatting"-angrep mot dem. Pasientene blir oppfordret av angriperne til å prøve å overbevise sykehuset om å betale løsepengene. "Swatting" er relativt utbredt i USA og går ut på å ringe politiets nødtelefon og si at det foregår en gissel-situasjon eller lignende, og videre oppgi adressen til offeret til politiet. Politiet vil da ofte møte opp tungt bevæpnet hos offeret og farlige situasjoner kan oppstå.

tirsdag 9. januar 2024

Situasjonsrapport fra Telenor SOC - desember 2023

Alvorlige hendelser
I desember håndterte TSOC 32 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 79 i november.

Mange fryktet at det skulle bli et oppsving i angrep med løsepengevirus i løpet av jule- og nyttårshelgen, noe som ofte skjer i høytider. Trusselaktørene benytter seg noen ganger av disse rolige periodene, i håp om at det er færre på jobb til å oppdage sikkerhetshendelser. Det viste seg heldigvis at det heller ble færre hendelser enn vanlig over nyttårshelgen. Starten av desember var også relativt rolig på vårt sikkerhetssenter.

DDoS-angrep
Det var 144 bekreftede DDoS-angrep denne måneden, ned fra 188 i november. 103 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 6.8 Gbps og varte i 30 minutter. Det største angrepet observert i denne perioden var på 86 Gbps og varte i 20 minutter. To av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
Tirsdag 12. desember ble den ukrainske teleoperatøren Kyivstar rammet av et større cyber-angrep. Både tale- og data-trafikk gikk ned og det tok flere dager før tjenestene var operative igjen. Store mengder interne systemer og kjernenettet ble slettet av angriperne ved hjelp av såkalt “wiper”-malware. Selskapet tok også selv ned flere interne systemer etter å ha oppdaget angrepet, for å unngå videre ødeleggelser mens omfanget av ødeleggelsene ble kartlagt. Angriperne hadde antagelig vært inne i nettverket siden mai 2023. Det er så langt uvisst hva som var angrepsvektoren, men det er gruppen “Sandworm” fra den russiske militære etterretningen GRU som mistenkes å stå bak. Angrepet førte blant annet til at varsling av flyangrep gikk ned i deler av Kyiv. Noen minibanker sluttet også å virke. Ukrainske myndigheter har opplyst at nedetiden ikke skal ha gått ut over militære operasjoner.

Volt Typhoon er en trusselaktør som har kartlagt blant annet amerikansk kritisk infrastruktur. Aktøren benytter seg av et eget botnet bestående av utdaterte hjemmeroutere fra blant annet Cisco, Netgear og Fortinet. Enhetene har typisk flere sårbarheter eller svake passord, og det leveres ikke lengre oppdatert programvare for dem. Trusselaktøren benytter disse enhetene for å skjule sin kommunikasjon og få det til å virke som om datatrafikken går til enheter som er geografisk i nærheten av målet som angripes. Dette gjør at innbruddsdeteksjon som tar hensyn til hvor i verden brukeren logger inn fra kan feile, noe som spesielt kan gå ut over deteksjon av vellykkede phishing-angrep.

En ny samling sårbarheter i UEFI-firmware (Unified Extensible Firmware Interface) kalt “LogoFail”, tillater angripere å levere skadelig kode som omgår sikker oppstart på PCer fra mange leverandører. UEFI er en standard for å starte opp PCen, før selve operativsystemet lastes. LogoFail utnytter forskjellige sårbarheter i biblioteker for å dekode bilder i Firmware, og påvirker enheter fra Intel, Acer, og Lenovo. Svakhetene kan brukes til å plante skadelig kode som lastes inn før operativsystemet, og dermed er vanskelig å oppdage.

Kjente trusselaktører med forbindelser til Nord-Korea har nylig brukt den to år gamle Log4Shell-sårbarheten til å angripe organisasjoner med tre nye trojanere for fjernstyring (RAT). Fortsatt bruker rundt 1/3 av applikasjoner som benytter seg av Log4j-biblioteket en gammel og sårbar versjon. Trusselaktørene har nylig skiftet taktikk ved å bruke sårbarheten til å installere skadelig programvare og utfører kommandoer for å samle blant annet systeminformasjon og passord. Det er primært eksponerte VMware Horizon-servere som har blitt kompromittert.

Den amerikanske senatoren Ron Wyden har avslørt at Apple og Google gir regjeringer i flere land tilgang til push-varslene som kommer opp på telefoner. Disse varslene behandles ofte av Apple og Google før de dukker opp på mobilene. Varslene kan inneholde tekst som kan avsløre bruk av spesifikke apper og noen ganger også utdrag med tekst fra ellers krypterte apper. Google gir allerede detaljert informasjon rundt pålegg om å utlevere denne typen informasjon i jevnlige innsynsrapporter, mens Apple skal begynne å ta med dette i sine rapporter fra nå av.

Interpol melder at de har beslaglagt over 300 millioner USD og arrestert 3500 mistenkte i en global operasjon kalt "HAECHI IV". Aksjonen har pågått i seks måneder i 34 land og har rettet seg mot syv typer svindel-operasjoner: voice phishing, dating-svindel, sex-utpressing, investerings-svindel, hvitvasking i forbindelse med pengespill, BEC (business email compromise)-svindel og falske nettbutikker.

Sikkerhetsforskere ved EURECOM har avdekket et nytt angrep mot Bluetooth-chipset som åpner for å ta over sesjoner mellom allerede sammenkoblede enheter. Angrepet fungerer ved at en spoofer de to enhetene, setter seg i midten av kommunikasjonen og får til en nedgradering av krypteringen som er brukt mellom enhetene. Flere leverandører jobber med en fiks for svakheten. Foreløpig anbefales det at produsenter av utstyr får utstyret til å avvise forbindelser med svak kryptering.

fredag 8. desember 2023

Situasjonsrapport fra Telenor SOC - november 2023

Alvorlige hendelser
I november håndterte TSOC 79 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 53 i oktober.

Denne måneden så vi maskiner som var infisert av tre typer informasjons-stjelere: “SocGolish”, “Redline” og “Vidar”. Alle disse er designet for å raskest mulig samle sammen viktig informasjon fra en PC og sende dette ut til trusselaktøren, noen ganger fungerer de også som en bakdør til systemet som gjør at det kan fjernstyres. Informasjonen blir solgt i undergrunnsmarkeder som ferdige "informasjonspakker" til høystbydende. Kjøperen av informasjonen kan så surfe rundt på nettet og ha de samme tilgangene som offeret i form av sesjons-nøkler (cookies), brukernavn og passord. Offeret mister personlig informasjon, kan bli frastjålet penger og dersom PCen er koblet mot et bedriftsnettverk, kan dette i siste instans føre til ransomware og kryptering av data i hele nettverket. For å unngå denne typen trusler er den mest effektive forsvarsmekanismen å bare tillate kjøring og installasjon av applikasjoner fra forhåndsgodkjente lister eller leverandører.

DDoS-angrep
Det var 188 bekreftede DDoS-angrep denne måneden, opp fra 169 i november. 131 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 7.2 Gbps og varte i 31 minutter. Det største angrepet observert i denne perioden var på 155 Gbps og varte i 15 minutter. To av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
Atlassian advarte i starten av november om en kritisk sikkerhetssvakhet i Confluence Data Center og Server som kan føre til store datatap dersom den blir utnyttet av en angriper. Svakheten fikk CVVS (standard for å beregne en svakhets alvorlighetsgrad) på 9.1 av 10 og kan utnyttes uten å autentisere seg mot serveren først. Videre utover i november ble svakheten utnyttet av flere trusselaktører, blant annet til å installere Cerber ransomware. Tjenester som Confluence bør ikke eksponeres direkte mot Internett, men kun være tilgjengelig for autoriserte brukere, gjerne bak en VPN-tilkobling.

Et ransomware-angrep rammet den amerikanske avdelingen av Kinas største bank, Industrial and Commercial Bank of China. Angrepet førte til at banken måtte stenge ned noen tjenester, noe som også førte til mindre forstyrrelser i omsetningen av amerikanske statsobligasjoner. Wall Street Journal meldte senere at en Citrix Netscaler-server som ikke var patchet for sårbarheten "CitrixBleed" (meldt 10. oktober) var inngangsvektoren for ransomware-gruppen Lockbit. Reuters opplyste også at banken antageligvis har betalt løsepenger for å få låst opp systemene sine igjen.

Recorded Future har nettopp gitt ut en rapport om angreps-aktivitet fra Kina. I det siste har kinesiske aktører økt sine angrep mot såkalt "edge-devices", altså enheter som står i ytterkant av bedrifters nettverk og er eksponert mot Internet. Flere ransomware-aktører har også utnyttet denne typen utstyr i det siste. Disse enhetene er ekstra sårbare mot ferske angrep, før de blir patchet, siden de ofte kan kontaktes fra hele Internett. De bør derfor patches kjapt ved nye svakheter, overvåkes ekstra nøye og tilgang til interne systemer i nettet bør begrenses så mye som mulig.

En trusselaktør Microsoft følger som "Diamond Sleet" (Lazarus Group) kompromitterte denne måneden et populært program for videoredigering kalt CyberLink. Produsenten ble utsatt for datainnbrudd, og en versjon av programvaren med malware inkludert ble lagt ut for nedlasting i oktober. Malwaren kontakter en kommando og kontroll-server og laster eventuelt ned mer malware. Denne gruppen er økonomisk motivert og er som oftest ute etter å få tak i kontodetaljer for å overføre verdier ut fra bank-kontoer eller kryptobørser.

Datatilsynet beordret i sommer Meta om å stanse bruken av nordmenns persondata til adferdsbasert reklame. Teknologikjempen, som eier Facebook og Instagram, har siden august fått én million i daglige bøter for å ikke følge vedtaket. Datatilsynet har nå vunnet frem hos Personvernrådet i EU og tilsynets forbud utvides til flere land i EØS. Som mottrekk gjorde Meta det denne måneden mulig å betale 150 kroner i måneden for å få en annonsefri utgave av Facebook og Instagram.

Politi fra syv land, inkludert Norge, var med i arrestasjonen av fem personer i Ukraina mistenkt for å ha drevet med utpressing ved hjelp av ransomware. Personene er mistenkt for å ha vært involvert i angrep utført under navnene LockerGata, MegaCortex, Hive og Darma. De har kryptert over 1000 servere tilhørende større firmaer over hele verden og har krevet inn minst $82 millioner i løsepenger. Etterforskningen startet etter angrepet mot Hydro og har pågått i mer enn fem år. Ti personer fra Kripos har vært i Kyiv i forbindelse med aksjonen. Én mistenkt sitter fra før arrestert i Norge. Fortsatt er det flere mistenkte som ikke er pågrepet.

Telenor registrerte i november en stor økning i svindelanrop som gir seg ut for å være fra politiet. I løpet av bare én uke fanget Telenors svindelfiltre i mobilnettet opp over 1,1 millioner uønskede samtaler. I løpet av en vanlig uke ligger antallet på rundt 400.000. Økningen skyldes i stor grad mange tilfeller av politisvindel, altså at svindlere ringer opp og gir seg ut for å være fra politiet. “Politiet vil aldri, aldri, aldri spørre deg om din BankID. Dette er det utrolig viktig at folk forstår og husker på”, uttalte politiinspektør og næringslivskontakt i Oslo politidistrikt, Christina Rooth, i pressemeldingen.

mandag 6. november 2023

Situasjonsrapport fra Telenor SOC - oktober 2023

Alvorlige hendelser

I oktober håndterte TSOC 53 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 81 i september.

Denne måneden ble flere av kundene våre rammet av en phishing-kampanje som benyttet seg av QR-koder for å lure brukeren. Avsenderadressen til e-posten blir typisk forfalsket til å virke som om den kommer fra brukerens egen organisasjon, eller et domene som ligner. I e-posten blir offeret ironisk nok oppfordret til å scanne en QR-kode med mobilen for å oppdatere innloggings-sikkerheten på kontoen sin. Svindlerne flytter på denne måten brukeren over på mobilen, siden en mobiltelefon ofte er dårligere sikret enn arbeids-PCen. Mobilen er for eksempel gjerne ikke sikret av bedriftens brannmur eller blokkeringslister mot ondsinnede domener.

Ved å følge lenken i QR-koden, blir offeret koblet opp mot en innloggingsside som etterligner bedriftens egen side. Informasjon som offeret gir fra seg til svindel-siden blir videresendt til bedriftens egentlige nettside, samtidig som svindleren også ser og tar vare på informasjonen. Angriperen setter seg altså inn i kommunikasjonen mellom offeret og bedriftens innloggingsside (proxy). Bruk av engangskoder for innlogging via SMS eller app (2-faktor) vil ikke hjelpe mot denne typen angrep, da angriperen snapper opp både brukernavn, passord, engangskode og selve sesjons-nøkkelen som brukeren får etter innlogging. Angriper kan så benytte sesjonsnøkkelen til å gi seg ut for å være offeret mot bedriftens server.

Hendelser av denne typen kan heldigvis ofte oppdages ved at brukeren logger på fra en ny enhet eller at brukeren har flyttet seg langt geografisk siden forrige pålogging. For å helt avverge denne typen angrep, må en gå over til påloggingsmetoder som er motstandsdyktige mot phishing, som sertifikat-basert innlogging, FIDO2 eller fysiske sikkerhetsnøkler som Yubikeys. Vi er redd at avansert phishing som omgår 2-faktor autentisering vil bli mer vanlig fremover. Denne typen angrep brukes både for spionasje, svindel og for å få et initielt fotfeste i systemet for videre ransomware-angrep.

DDoS-angrep

Det var 169 bekreftede DDoS-angrep denne måneden, ned fra 264 i september. 82 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.7 Gbps og varte i 28 minutter. Det største angrepet observert i denne perioden var på 78 Gbps og varte i 28 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering

16. oktober meldte Cisco om en kritisk svakhet i deres IOS XE-programvare (CVE-2023-20198) som kunne tillate angripere å ta full kontroll over sårbare routere. Svakheten lå i web-grensesnittet for å administrere enheten, og dette måtte altså være aktivt og eksponert for at svakheten skulle kunne utnyttes. Svakheten hadde allerede vært under aktiv utnyttelse i noen uker da Cisco annonserte den, og eksponerte enheter måtte regnes som allerede kompromitterte. Etter hvert kom det fram at titusenvis av routere over hele verden hadde fått installert bakdører i form av “webshells” og nyopprettede kontoer. Også i Norge ble mange rammet av svakheten, og Telenor varslet flere av sine kunder om at de hadde sårbare eksponerte routere. Cisco slapp etter hvert patcher for svakheten, samt retningslinjer for hvordan en kunne sjekke om enheten hadde blitt kompromittert. Et generelt råd er å ikke eksponere administrasjons-interface til nettverksutstyr ut på det åpne nettet, men å kun tillate innlogging fra sikrede interne nett. Saken fikk stor oppmerksomhet i media etter at NSM uttalte seg til Dagens Næringsliv. 

Okta varslet om at hackere brøt seg inn i deres system for kundestøtte og stjal sensitive data som kan brukes til å gi seg ut for å være gyldige brukere i form av informasjonskapsler (cookies). Ved feilsøking av påloggingsproblemer har flere kunder sendt inn HTTP Archive (HAR)-filer, som har inneholdet sesjonsnøkler som trusselaktøren har stjålet. Selskapet BeyondTrust oppdaget innbrudd i sine systemer med stjålne sesjonsnøkler fra Okta allerede 2. oktober og meldte fra om dette til Okta. Først 19. oktober opplyste Okta at de hadde vært utsatt for en hendelse. CloudFlare og 1Password har også opplevd datainnbrudd etter Okta-hendelsen. Okta satte i verk tiltak for å beskytte kundene, inkludert ugyldiggjøring av lekkede sesjonsnøkler. Okta forsikrer at produksjonssystemene deres ikke ble berørt, og tjenestene fungerer normalt. Også i 2022 ble Okta utsatt for et alvorlig datainnbrudd.

Denne måneden ble det meldt om en ny kritisk svakhet i Citrix Netscaler og ADC (CVE-2023-4966), som kan lekke interne data fra enheten. Denne typen enheter er ofte eksponert direkte mot nettet og svakheten var lett å utnytte. Citrix meldte først at de ikke var kjent med at svakheten ble aktivt utnyttet, men senere i måneden fant sikkerhetsselskapet Mandiant ut at avanserte trusselaktører hadde utnyttet den for tyveri av sesjonsnøkler og konto-hijacking. Mandiant observerte også at angrepene hadde kompromittert infrastruktur tilhørende både offentlige organisasjoner og teknologiselskaper.

Økokrim har siden januar i år etterforsket et stort antall bedragerier begått mot minst 400 nordmenn som er lurt til å oppgi sin egen Bank-ID til svindlere i Romania. Det samlede tapet er sannsynligvis på mange millioner kroner. Tre rumenske menn ble pågrepet i en aksjon i Romania denne måneden. To av dem er begjært utlevert av Økokrim, siktet for grovt bedrageri og ID-tyveri i Norge. Under etterforskningen har Økokrim hatt et godt samarbeid med private aktører, som blant annet BankID og Visma.

 
>