Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

torsdag 9. juni 2016

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2016

Vi håndterte noe færre alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking i mai sammenlignet med forrige måned; ned til 146 mot 206 i april. Nedgangen kan skyldes alle fridagene i mai og dermed lavere aktivitet hos våre bedriftskunder.

Det ble varslet 195 DDoS-angrep i mai. 183 av disse ble håndtert av TSOC. Den vanligste angrepstypen er av typen DNS-reflection, deretter NTP og Chargen. Vi har også sett veldig kraftige angrep med store mengder veldig små UDP-pakker. Vi har registrert 411 angrep over 1Gbps i løpet av måneden.

I mai la plutselig utviklerne bak den kjente ransomware-varianten TeslaCrypt ned virksomheten. De beklaget og la også ut hovedkrypteringsnøkkelen. Denne kan brukes til å dekryptere alle rammede PCer. Programvaren TeslaDecoder er nå oppdatert slik at alle som er rammet kan få tilbake filene sine.

En hackeregruppe kalt OurMine tok kontroll over flere profilerte kontoer på sosiale medier. Det spekuleres i at de har brukt passordene som ble stjålet i det store LinkedIn-hacket tilbake i 2012. Disse passordene ble i mai gjort tilgjengelige på det mørke nettet på en markedsplass som heter The Real Deal.

Google fjernet i mai to bølger med malware fra Google Play. Den ene kalles Viking Horde og fantes i fem apper. Denne muliggjorde annonseklikk-svindel, SMS-svindel og utsending av spam-meldinger. Den andre varianten kalles Click-95 og ble funnet i 190 applikasjoner. Sistnevnte prøver å skremme brukeren til å laste ned sikkerhets-apper som egentlig ikke har noen annen funksjon enn å servere annonser og lure penger fra brukerne.

Amerikanske myndigheter er bekymret for manglende eller sen utgivelse av sikkerhetsoppdateringer til mobile enheter, og da særlig på Android-plattformen. Derfor har det amerikanske teletilsynet, Federal Communications Commission (FCC), i samarbeid med Federal Trade Commission (FTC) sendt brev til amerikanske mobiloperatører og utvalgte mobilleverandører. Her ber de om svar på spørsmål rundt prosesser og rutiner de måtte ha for vurdering og utgivelse av sikkerhetsoppdateringer. Samtidig truer Google med å offentliggjøre en liste over leverandører som er trege til å oppdatere mobilene sine.

I en pågående narkosak i Norge er tiltaltes mobiltelefon låst med fingravtrykk. Politiet mener at det kan ligge bevis for narkotikaomsetning på telefonen og at det å tvinge noen til å åpne en telefon ikke er veldig forskjellig fra å tvinge noen til å avlegge blodprøve. Den tiltalte har så langt fått medhold og kan dermed ikke tvinges til å åpne telefonen. I to andre nylige rettssaker har imidlertid politiet fått medhold i at tvang kan brukes til å låse opp telefonen. Sakene vil antakelig gå til høyesterett for å få en rettspraksis på dette nye omrdået.

Google vil fra Q4 begynne å fase ut Flash Player fra Chrome-nettleseren. Kun utvalgte sider vil være hvitelistet for å kunne kjøre Flash som standard: Facebook, Youtube, Yahoo, Twitch og Amazon. Flash skal kunne kjøre på andre nettsider, men først etter at brukeren har godkjent oppstart av Flash.

En svakhet i SAP Business Applications har blitt utnyttet under radaren i flere år. Flere titalls enterprise-bedrifter har blitt kompromittert de siste årene som følge av den kritiske svakheten. Angrepene pågår fortsatt. En trenger ikke å være innlogget i systemet for å utnytte svakhetene. SAP har patchet svakheten i nyere versjoner, men mange oppgraderer ikke systemene sine.

I mai kom det fram at Symantec sin programvare for virus-scanning inneholdt en kritisk svakhet. Dersom en .exe-fil inneholdt en spesielt utformet PE-header, kunne AV-programvaren lures til å kjøre tilfeldig kode. Denne koden ville ha kjørt med samme rettigheter som kjernen på systemet. Problemet ble oppdaget av en ansatt hos Google. Symantec har patchet problemet.

31. mai slo NRK på HTTPS-kryptering for hele nrk.no, tv.nrk.no, radio.nrk.no, nrkbeta.no og yr.no. Dette gjør at det blir lettere for deg som leser å se at du faktisk er på NRKs nettsider og ikke på en forfalskning, i tillegg til at det blir umulig å overvåke innholdet som utveksles mellom nettleser og nettsted.

fredag 6. mai 2016

Oppsummering av nyhetsbildet innen datasikkerhet for april 2016

Antall håndterte hendelser i forbindelse med vår tjeneste Sikkerhetsovervåkning gikk opp fra 142 i mars til 206 i april. Oppgangen skyldes i hovedsak stor utbredelse av malwaren Win32/Adposhel. Dette er en type adware/malware som viser annonser til brukeren både i nettleseren og utenfor. Den endrer også DNS-innstillingene på systemet og sender ut informasjon om besøkte nettsteder. Adware som Adposhel blir gjerne installert sammen med gratis nedlastet programvare, uten at brukeren er klar over det.

Det ble håndtert 211 DDoS-angrep i april, mot 125 i mars. Den mest vanlige angrepstypen var DNS-reflection, med chargen og NTP som nummer 2 og 3. Det ble registrert totalt 392 angrep over 1Gbps i april. Det største angrepet peaket på hele 163Gbps eller 40Mpps (pakker per sekund) og varte i ca 2,5 time. Angriper utførte flere ulike angrepstyper parallelt under angrepet.

Eldre Android-mobiler og nettbrett kan nå bli rammet av ransomware, kun ved å besøke en nettside. Dette rammer Android-versjoner eldre enn versjon 5.x. Malwaren installeres gjennom diverse annonsenettverk og oppnår root-tilgang til mobilen. Mobiler som rammes blir ubrukelige inntil løsepenger betales eller fabrikkinnstillinger gjenopprettes. Det anbefales å oppdatere eldre Android-mobiler!

Detaljene rundt Badlock-svakheten ble sluppet den 12. april. Denne svakheten ble forhåndsmeldt allerede 23. mars. Det dreier seg heldigivs ikke om en "remote execution"-svakhet, som manget fryktet på forhånd. Svakheten gjør det imidlertid mulig for en angriper å få tilgang til filer som han ikke skal ha, dersom han har tilgang til trafikkstrømmen i et nettverk. Svakheten åpner også for DoS-angrep mot servere som eksponerer SMB-tjenester. Microsoft patchet denne svavkheten i april og ga den viktigheten “important”, ikke den høyeste som er "critical". Samba har også patchet svakheten for Linux-maskiner. Det er ikke meldt om at svakheten enda blir utnyttet i reelle angrep. Svakheten var ikke så alvorlig som den var hauset opp til å være, men kan bli brukt i typiske APT-angrep for å oppnå utvidet tilgang internt i nettverk.

WhatsApp implementerte i april ende-til-ende kryptering på alle versjoner av applikasjonen. Alle meldinger, tekst eller video sendt med applikasjonen blir nå kryptert med Signal Protocol, som blir laget av Open Whisper Systems. Appen Signal bruker den samme teknologien, men har ikke like stor utbredelse som WhatsApp. Denne krypteringsprotokollen implementerer også "perfect forward secrecy". Dette gjør at selv om krypteringsnøkkelene skulle bli kompromittert via fysisk tilgang til enheten, kan disse ikke bli brukt til å dekryptere tidligere sendte meldinger.

Femte april ble en ny kritisk svakhet rapportert i Adobe Flash Player. Svakheten muliggjør kjøring av tilfeldig kode dersom en spiller av en spesiell Flash-fil. Svakheten ble allerede aktivt utnyttet til målrettede angrep da den ble annonsert av Adobe. Åttende april lanserte Adobe en ny versjon som utbedret svakheten.

Petya er en ny type ransomware som krypterer alle dataene på harddisken og gjør PCen helt ubrukelig inntil løsepengene blir betalt. I april satte noen opp en tjeneste for å dekryptere harddisker som har blitt kryptert av Petya. Alt som trengs er noe data fra den krypterte harddisken. Tjenesten bruker så noen få sekunder på å finne nøkkelen. Utviklerne bak malwaren hadde heldigvis gjort en feil i implementeringen av kryptografien slik at denne var forholdsvis lett å knekke.

Den andre helgen i april presenterte minst 288 nederlandske nettsteder annonser som sendte brukeren videre til exploit-kits. De fleste store nettavisene i landet var berørt. Disse prøvde igjen å utnytte svakheter for å installere ransomware på besøkende PCer. Det er dessverre ganske enkelt å bestille en annonse som kan infisere besøkende PCer.

Flere er siktet etter Norges største narkoaksjon på det mørke nettet. Det mørke nettet er en hemmelig del av Internett hvor blant annet kriminelle selger narkotika, gjerne gjennom markedsplasser. Det benytter seg av teknologien Tor (The Onion Router). Den mest kjente markedsplassen for salg av narkotika het Silk Road, og da denne til slutt ble tatt ned av FBI tilbake i 2014, fikk FBI tilgang til databasen hvor de oppdaget hundrevis av nordmenn. Kripos satte i gang en etterforskning som ledet til siktelse av 15 nordmenn. Disse skal siden 2012 ha solgt narkotika for millioner til flere hundre nordmenn. TOR brukes også til å omgå myndighetssensur og overvåking.

Hackerne som står bak utviklingen av trojaneren og botnet-rammeverket SpyEye, ble dømt til henholdsvis 9.5 år og 15 år i fengsel. Hackerne kommer opprinnelig fra Russland og Algerie, men ble dømt i USA etter å ha blitt utlevert.

Utvikleren bak Blackhole Exploit Kit, Dmitry Fedotov ble i en russisk domstol dømt til 7 års fengsel. Fedotov ble arrestert sammen med flere andre Blackhole utviklere i 2013. Blackhole er anslått til å ha gjort skader for flere millioner kroner.

mandag 4. april 2016

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2016

I mars håndterte vi 142 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåkning. Dette var en nedgang fra 226 hendelser i februar. Også denne måneden er det mange brukere som blir lurt til å besøke sider for nedlasting av ransomware. Dette skjer gjerne etter at de har trykket på en lenke i e-post.

Telenor SOC håndterte 125 DDoS-angrep i mars, litt ned fra 138 i februar. Det største angrepet i perioden var på 21.7Gbps. Angrep av typen DNS-reflection dominerer fortsatt.

I mars ble det oppdaget en ny svakhet i SSL som fikk navnet “DROWN”. Svakheten gjør at trafikk mot servere som støtter den utdaterte protkollen SSLv2 kan bli dekryptert av angriper. Har serveren delt sertifikat mellom SSLv2 og TLS, kan også trafikk kryptert med TLS-kryptering dekrypteres, da sertifikatet blir kjent. Angriperen trenger, i følge forskere hos drownattack.com, å analysere rundt 1000 SSL-handshakes for å lykkes. Svakheten kan unngås ved å skru av støtte for den gamle SSL v2-protokollen.

LA Times meldte at Pentagon har begynt med cyberangrep mot IS. Dette er første gangen Pentagon offisielt sier at de angriper via cyber-domenet. Angrepene skal ha hjulpet til med å drive IS ut av byen Shaddada i februar. Av beskrivelsen virker det som om DDoS-angrep var en av teknikken som ble brukt.

En uavhengig sårbarhetstest slo ut Telenors mobilnett i flere timer i starten av mars. En signaleringsmelding beregnet på å avdekke sårbarhet for informasjonslekkasje medførte en driftsforstyrrelse. Systemet som skulle tolke meldingen klarte ikke å håndtere den og krasjet.

Midt i mars spredde flere store nettsteder ransomware over flere dager gjennom infiserte annonser. Dersom besøkende til nettsidene benyttet en gammel versjon av Flash eller Java, risikerte de å få maskinen sin infisert. Blant de nettstedene som ble berørt av dette var MSN, BBC og New York Times.

I et forsøk på å sende sikkerhetsanalytikere på villspor, begynner flere og flere APT-grupper å legge inn falske indikasjoner på hvem de er og hvor de måtte befinne seg. De endrer f.eks. tidssone på maskinen, legger inn tekst på irrelevante språk, bruker andres kode osv. Denne utviklingen gjør det stadig vanskeligere å finne ut hvem som står bak målrettede angrep.

Like før påske ble en rekke svenske nyhetsmedier, deriblant DN, Expressen, Svenska Dagbladet og Aftonbladet, utsatt for DDoS-angrep. Det er ikke avklart hvem som står bak, men svenske medier viste til statistikk fra netnod.se som viste økende trafikk fra Russland i samme tidsperiode som angrepene skjedde.

Microsoft utga denne måneden et verktøy for administratorer som vil gjøre det mulig å blokkere eksekvering av makroer i MS Office 2016 via Group Policy. Dette har vært en etterlengtet funksjon, da man blandt annet har sett mye  ransomware bli eksekvert og installert via makroer i Microsoft Word-dokumenter.

USA har tiltalt syv iranere og to syrere for data-angrep mot USA. Iranerne jobbet angivelig på vegne av den iranske regjeringen. Syrerne skal tilhøre Syrian Electronic Army, en gruppering som har forbindelser til regjeringen i Syria. Iranske myndigheter nekter for angrepene og mener tvert imot at USA satte liv i fare i forbindelse med deres Stuxnet-program som angrep iranske anrikningsanlegg for uran.

Gjennom hele mars prøvde FBI å få Apple til å låse opp en iPhone brukt av en terrorist. FBI ville ha Apple til å lage en spesiell versjon av iOS som kunne omgå sikkerheten i mobilen. Apple nektet å etterkomme kravet. Mot slutten av måneden frafalt FBI kravet, da de hadde funnet en ukjent tredjepart som kunne låse opp mobilen for dem.

Ransomware har angrepet flere sykehus i USA den siste måneden. Den største saken gjelder et angrep mot sykehuskjeden MedStar, som driver 10 sykehus og 250 mindre klinikker. Etter angrepet gikk det meste av datasystemer ned og mange behandlinger ble utsatt. Sykehus blir ofte rammet av ransomware, da de gjerne har gamle og usikrede datasystemer.  Angrepene mot sykehus skiller seg også fra vanlige angrep mot tilfeldige privatpersoner. Sykehusene blir ofte angrepet gjennom svakheter i eksponerte tjenester, og det interne nettverket blir kartlagt før krypteringen av flere systemer starter samtidig. Løsepengesummene er også mye høyere enn i angrep mot privatpersoner.


onsdag 2. mars 2016

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2016

Alvorlige hendelser håndtert i vår tjeneste Sikkerhetsovervåkning var i februar hele 226, en økning på nesten 100% fra januar. Den viktigste grunnen til oppgangen var at mange brukere ble lurt til å klikke seg inn på en nedlastingsside for malware, kamuflert som en hentelapp fra Posten. Se egen sak om dette under.

I februar håndterte vi 138 DDoS-angrep, noe ned fra 171 i januar. Som tidligere er det fortsatt DNS som er den foretrukne protokollen for angrep. NTP og CHARGEN kommer som nummer to og tre. Totalt så vi 427 angrep over 1 Gbps og 30 angrep over 10 Gbps. Det største registrerte angrepet i måneden var på hele 40 Gbps. Mange angrep er såpass kortvarige eller små at de ikke blir håndtert.

Gjennom februar måned ble det spredt store mengder e-poster som ga seg ut for å komme fra Posten. Mottakeren ble forsøkt lurt til å laste ned ransomware forkledd som en hentelapp. Blant bedrifter som ble rammet var blant annet Schibsted og Teknisk Ukeblad. Heldigvis hadde bedriftene god backup av sine data.

I februar ble Telenors merkenavn utnyttet i forbindelse med svindel på nettet. Også her ble store mengder falske e-poster sendt ut. Innholdet gikk ut på at abonnenten hadde betalt sin siste regning to ganger. Lenken i e-posten førte til et refusjonsskjema. Her prøvde svindlerne å lure til seg kredittkort-informasjonen til offeret.

PSTs trusselvurdering for 2016 ble lagt fram i februar. Den slår fast at etterretningsvirksomheten fra utenlandske stater i Norge stadig øker. Russland trekkes spesielt fram. Justisminister Anders Anundsen mener at nordmenn, norske bedrifter og offentlige organer er ekstremt dårlige til å beskytte informasjonen sin mot denne typen trusler.

Danske CSIS meldte om en bølge med Android malware som ble forsøkt spredd via SMS i Danmark. SMSen inneholder en lenke til en ondsinnet Android-applikasjon, som vil bli installert på telefonen dersom bruker aksepterer dette, og tillater installasjon av applikasjoner fra ukjente kilder. En må regne med at tilsvarende angrep snart kan spre seg til Norge.

USA hadde planer om å ta i bruk cyberangrep dersom deres forsøk på å begrense Irans utvikling av atomvåpen ikke hadde nådd frem. Planen inkluderte å uskadeliggjøre antiluftskyts, kommunikasjonssystemer, samt å skru av deler av strømnettet i landet. Dette kom fram i en ny dokumentarfilm der flere personer fra det amerikanske militæret ble intervjuet.

Etter terroraksjonen i San Bernardino fikk FBI tak i en mobiltelefon av typen iPhone 5s som ble brukt av en av terroristene. Telefonen er låst med PIN-kode. FBI har derfor, via retten, bedt Apple om å lage programvare som de kan laste inn i minnet på telefonen. Denne skal gi mulighet til å bruteforce PIN-koden fra en ekstern PC så fort hardwaren tillater det. Apple har via en pressemelding uttalt at dette er noe de absolutt ikke ønsker å gjøre, da dette vil være det samme som å bygge inn en bakdør  i iOS-operativsystemet. De frykter at dette kan få store konsekvenser hvis det skulle havne i feil hender. Den rettslige kampen har fortsatt gjennom februar.

Bloggeren Troy Hunt avslørte at dersom du kjenner rammenummeret til en Nissan Leaf, kan du skru av/på klima-anlegget, starte/stoppe lading, samt få en detaljert oversikt over kjøreturer og energiforbruk. Normalt skal dette bare kunne gjøres via en app tilknyttet din egen konto, men det viste seg at man kun trenger en PC med internett-tilgang og bilens rammenummer. Rammenummeret kan med enkelthet få tak i, om en har registreringsnummeret. Heldigvis er det ingen sikkerhetskritiske funksjoner som kan fjernstyres. Batteriet kan imidlertid tappes gjennom å skru på "forvarming" gjentatte ganger. Saken viser nok en gang at "tingenes Internett" ofte er dårlig sikret. Nissan slo av muligheten til å bruke appen etter få timer.

I februar ble det avslørt en alvorlige svakhet i getaddrinfo()-funksjonen i Glibc-biblioteket som kan gjøre det mulig for en angriper å få eksekvert kode på sårbare maskiner. Dette biblioteket brukes blant annet av samtlige Linux-varianter. Getaddrinfo()-funksjonen brukes under DNS-oppslag. En DNS-tjener kan utnytte svakheten ved å returnere spesielt store pakker med fiendtlig kode. Utnyttelse av svakheten er derimot ikke helt rett frem, da dette krever at man omgår flere sikkerhetsmekanismer på systemet.

torsdag 4. februar 2016

Oppsummering av nyhetsbildet for januar 2016

Antall håndterte hendelser i forbindelse med vår tjeneste Sikkerhetsovervåkning gikk, i januar, ned til 122, mot 201 i desember. Det er fortsatt mange trojanere som stjeler personlig informasjon fra brukerne. De fleste blir, som tidligere, smittet gjennom vedlegg i e-poster. Dette er nå den foretrukne måten å spre malware på, både for masse-angrep og målrettede angrep mot bedrifter. Vår anbefaling er å verifisere med avsender først, dersom du skal åpne uventede vedlegg i e-poster!

Antall håndterte DDoS-angrep var omtrent på samme nivå som sist måned. Det ble håndtert 171 angrep, mot 164 i desember. DNS er fortsatt den foretrukne protokollen for angrep, og det største angrepet i perioden var på 32Gbps. Flere av TSOCs kunder som har tjenesten DDoS-beskyttelse ble angrepet i løpet av måneden.

Lille julaften mistet hundretusener strømmen i Ukraina. I ettertid har det vist seg at et godt koordinert cyber-angrep var årsaken til strømbruddet. En gruppering kalt Sandworm, som trolig har russisk tilknytning, stod bak angrepet. Datamaskiner og servere ble først infisert ved hjelp av malwaren BlackEnergy. Dette gjorde at angriperne fikk kontroll over tilkoblede SCADA-systemer. Strømsystemet ble forstyrret, og de infiserte maskiner ble deretter slettet ved hjelp av BlackEnergy-malwaren for å gjøre feilretting vanskelig. Samtidig ble også sentralbordene nedringt av flere tusen falske telefonsamtaler, slik at kundene ikke klarte å varsle om hva som skjedde. Det tok flere timer før strømmen var tilbake. Mange mener at dette angrepet er et veiskille når det gjelder angrep mot kritisk infrastruktur over Internett.

Perception Point Research Team fant i januar en svakhet i Linux-kjernen som gjør det mulig for angripere å få lokale administrator-rettigheter. Denne svakheten finnes i versjon 3.8 og senere av kjernen, samt i flere nyere Android-versjoner. Flere distribusjoner av Linux, som Ubuntu, Debian og Red Hat, var raskt ute med oppdateringer. Nyere versjoner av Android er også sårbare, men innebygde sikkerhetsmekanismer som SELinux (Security Enhanced Linux) skal gjøre det vanskeligere å utnytte svakheten. En Android-bruker må også lures til å installere en app som utnytter svakheten for å bli kompromittert. Det er hittil ikke meldt om stor utnyttelse av svakheten mot noen av de sårbare plattformene.

I desember ble det avslørt at nettverksutstyr fra Juniper hadde to svakheter. Den ene var en hardkodet bakdør, mens den andre var en svakhet i krypteringssystemet som gjorde det mulig å avlytte VPN-trafikk. Den sistnevnte svakheten var avhengig av NSA-utviklede algoritmer for å kunne utnyttes. Juniper har nå bestemt seg for å fjerne den aktuelle algoritmen (Dual_EC_DRBG) fra fremtidige versjoner av programvaren.

Sikkerhetsforsker og "Google Project Zero"-medlem Tavis Ormandy avslørte i januar en kritisk sårbarhet i Trend Micros Antivirus-løsning. Sårbarheten lå i passord-manageren som følger med antivirus-produktet. Den åpnet for at maskiner med programmet installert kunne kapres, infiseres med malware eller tappes for data, kun ved å besøke en nettside som utnyttet sårbarheten. Trend Micro ga raskt ut en oppdatering som tettet sårbarheten. Tavis rapporterte at det også finnes andre tvilsomme sikkerhetsløsninger i produktet. Det kommer blant annet med en "Secure Browser" basert på en gammel utgave av Chromium, med viktige sikkerhetsmekanismer deaktivert.

Sjefen for NSAs TAO-gruppe (Tailored Access Operations) kom med gode råd for hvordan en kan unngå å få APT-hackere i nettet sitt. Blant annet anbefaler han å kjenne nettet sitt godt, bruke white-listing av applikasjoner og å dele nettet inn i ulike soner. Han tilbakeviser også myten om at NSA og andre lignende organisasjoner ofte benytter seg av zero-day svakheter, da dette i de fleste tilfeller ikke er nødvendig.

I januar ble det oppdaget en hardkodet bakdør i eldre versjon av FortiOS fra versjon 4.x opp til 5.0.7. Svakheten ble patchet i juli 2014 etter at den ble oppdaget internt hos Fortigate. Firmaet opplyser også at bakdøren ikke har blitt lagt inn med onde hensikter. Antakeligvis har den blitt brukt til innlogging mellom forskjellig utstyr fra Fortigate.

Europol opplyste i en pressemelding at de har arrestert to medlemmer av hackergruppen DD4BC i Bosnia-Hercegovina. DD4BC står bak mange DDoS-angrep med tilhørende pengeutpressing fra bedrifter. Gruppen har også drevet utpressing mot flere firmaer i Norge.


 
>