Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

torsdag 4. februar 2016

Oppsummering av nyhetsbildet for januar 2016

Antall håndterte hendelser i forbindelse med vår tjeneste Sikkerhetsovervåkning gikk, i januar, ned til 122, mot 201 i desember. Det er fortsatt mange trojanere som stjeler personlig informasjon fra brukerne. De fleste blir, som tidligere, smittet gjennom vedlegg i e-poster. Dette er nå den foretrukne måten å spre malware på, både for masse-angrep og målrettede angrep mot bedrifter. Vår anbefaling er å verifisere med avsender først, dersom du skal åpne uventede vedlegg i e-poster!

Antall håndterte DDoS-angrep var omtrent på samme nivå som sist måned. Det ble håndtert 171 angrep, mot 164 i desember. DNS er fortsatt den foretrukne protokollen for angrep, og det største angrepet i perioden var på 32Gbps. Flere av TSOCs kunder som har tjenesten DDoS-beskyttelse ble angrepet i løpet av måneden.

Lille julaften mistet hundretusener strømmen i Ukraina. I ettertid har det vist seg at et godt koordinert cyber-angrep var årsaken til strømbruddet. En gruppering kalt Sandworm, som trolig har russisk tilknytning, stod bak angrepet. Datamaskiner og servere ble først infisert ved hjelp av malwaren BlackEnergy. Dette gjorde at angriperne fikk kontroll over tilkoblede SCADA-systemer. Strømsystemet ble forstyrret, og de infiserte maskiner ble deretter slettet ved hjelp av BlackEnergy-malwaren for å gjøre feilretting vanskelig. Samtidig ble også sentralbordene nedringt av flere tusen falske telefonsamtaler, slik at kundene ikke klarte å varsle om hva som skjedde. Det tok flere timer før strømmen var tilbake. Mange mener at dette angrepet er et veiskille når det gjelder angrep mot kritisk infrastruktur over Internett.

Perception Point Research Team fant i januar en svakhet i Linux-kjernen som gjør det mulig for angripere å få lokale administrator-rettigheter. Denne svakheten finnes i versjon 3.8 og senere av kjernen, samt i flere nyere Android-versjoner. Flere distribusjoner av Linux, som Ubuntu, Debian og Red Hat, var raskt ute med oppdateringer. Nyere versjoner av Android er også sårbare, men innebygde sikkerhetsmekanismer som SELinux (Security Enhanced Linux) skal gjøre det vanskeligere å utnytte svakheten. En Android-bruker må også lures til å installere en app som utnytter svakheten for å bli kompromittert. Det er hittil ikke meldt om stor utnyttelse av svakheten mot noen av de sårbare plattformene.

I desember ble det avslørt at nettverksutstyr fra Juniper hadde to svakheter. Den ene var en hardkodet bakdør, mens den andre var en svakhet i krypteringssystemet som gjorde det mulig å avlytte VPN-trafikk. Den sistnevnte svakheten var avhengig av NSA-utviklede algoritmer for å kunne utnyttes. Juniper har nå bestemt seg for å fjerne den aktuelle algoritmen (Dual_EC_DRBG) fra fremtidige versjoner av programvaren.

Sikkerhetsforsker og "Google Project Zero"-medlem Tavis Ormandy avslørte i januar en kritisk sårbarhet i Trend Micros Antivirus-løsning. Sårbarheten lå i passord-manageren som følger med antivirus-produktet. Den åpnet for at maskiner med programmet installert kunne kapres, infiseres med malware eller tappes for data, kun ved å besøke en nettside som utnyttet sårbarheten. Trend Micro ga raskt ut en oppdatering som tettet sårbarheten. Tavis rapporterte at det også finnes andre tvilsomme sikkerhetsløsninger i produktet. Det kommer blant annet med en "Secure Browser" basert på en gammel utgave av Chromium, med viktige sikkerhetsmekanismer deaktivert.

Sjefen for NSAs TAO-gruppe (Tailored Access Operations) kom med gode råd for hvordan en kan unngå å få APT-hackere i nettet sitt. Blant annet anbefaler han å kjenne nettet sitt godt, bruke white-listing av applikasjoner og å dele nettet inn i ulike soner. Han tilbakeviser også myten om at NSA og andre lignende organisasjoner ofte benytter seg av zero-day svakheter, da dette i de fleste tilfeller ikke er nødvendig.

I januar ble det oppdaget en hardkodet bakdør i eldre versjon av FortiOS fra versjon 4.x opp til 5.0.7. Svakheten ble patchet i juli 2014 etter at den ble oppdaget internt hos Fortigate. Firmaet opplyser også at bakdøren ikke har blitt lagt inn med onde hensikter. Antakeligvis har den blitt brukt til innlogging mellom forskjellig utstyr fra Fortigate.

Europol opplyste i en pressemelding at de har arrestert to medlemmer av hackergruppen DD4BC i Bosnia-Hercegovina. DD4BC står bak mange DDoS-angrep med tilhørende pengeutpressing fra bedrifter. Gruppen har også drevet utpressing mot flere firmaer i Norge.


torsdag 7. januar 2016

Oppsummering av nyhetsbildet for desember 2015

Antallet håndterte hendelser i forbindelse med tjenesten Sikkerhetsovervåking gikk kraftig opp fra 124 i november til 201 i desember. Denne måneden er det to typer malware som dominerer: Dridex og Alphacrypt. Trojaneren Dridex stjeler personlig informasjon fra brukeren som bankdetaljer, mens Alphacrypt er utpressingsprogramvare. Spredningsvektor for begge er hovedsaklig e-post. Husk å være forsiktig med å åpne vedlegg du er usikker på!

I desember håndterte TSOC 164 DDoS-angrep, opp fra 146 i november. Det største angrepet var av typen DNS-reflection og var på 59Gbps. DNS-reflection var også den vanligste angrepstypen, fulgt av NTP, chargen og SSDP.

Juniper oppdaget en bakdør i brannmurene sine som kan gi en angriper administratortilgang til brannmuren ved hjelp av et statisk passord, kamuflert for å se ut som programmerings-kode. Det ble også oppdaget at noen har endret på koden for å kryptere VPN-trafikk slik at denne var enkel å dekryptere med den riktige kunnskapen. Juniper ga ut en nød-fiks som fjerner den "uautoriserte koden" som var årsaken til de to bakdørene. Den manipulerte koden skal ha vært i systemene siden 2012. Noen dager etter offentliggjøringen fra Juniper ble passordet til bakdøren offentlig kjent. Det mistenkes at en avansert aktør, som en nasjonalstat, står bak bakdørene.

Fra mandag 14 desember og utover i julen var tyrkiske DNS-servere under vedvarende DDoS angrep på rundt 40Gbps, med topper opp mot 200Gbps. Angrepet resulterte i at over 400 000 websider var nede i Tyrkia og DNS-serverene ikke fikk svart på forespørsler. All trafikk til/fra Tyrkia ble kuttet, for å forsøke å stoppe angrepet, men dette måtte gis opp etter et døgn. Den 25. desember rapporterte også flere tyrkiske banker at de opplevde sporadiske avbrudd ved kreditt-kort transaksjoner og nettsider som var nede. Flere tyrkiske banker bekreftet at de var under DDoS-angrep. Dette var antakeligvis en utvidelse av angrepene mot DNS-serverne. Angrepene skal nå være over. Anonymous har tatt på seg ansvaret, men mange mistenker at Russland er ansvarlig.

EU-landene har blitt enige om felles retningslinjer for cyber-sikkerhet. Firmaer som er involvert i kritisk infrastruktur (energi, transport, bank, finans, helse og vann) må ha forsvarbare nett og raskt melde fra om sikkerhetshendelser. Hvert land må også etablere et eget CSIRT, Computer Security Incidents Response Team.

Kina og USA har i desember hatt sitt første møte om cybersikkerhet etter å ha inngått en samarbeidsavtale. Under møtet har Kina sagt at de har arrestert flere kriminelle som sto bak innbruddet mot OPM, Office of Personnel Management, tidligere i år. Angriperne klarte å stjele sikkerhetsklareringer og privat informasjon, inkludert fingeravtrykk, tilhørende millioner av sikkerhetsklarerte amerikanere.

Sikkerhetsforskere ved FOX IT publiserte en detaljert rapport om botnettet Ponmocup. De anslår at rundt 15 millioner maskiner har blitt infisert siden 2006. Botnettet er fremdels aktivt. Det blir anslått at det finnes 25 unike plug-ins og 4000 forskjellige varianter av Ponmocup, som først og fremst brukes til finansiell svindel.

ESET, Microsoft, CERT.PL og myndigheter over hele verden har samarbeidet om å ta ned kjente botnets basert på Dorkbot. Dette har de gjort ved sinkholing av kontrollservere, altså omdirigering av trafikken. Det har nå blitt delt tekniske data, analyser og annen informasjon om Dorkbot.

Pirater har bygget en falsk Apple Store kalt vShare som lar brukere laste ned apper til iPhone gratis. Apple har en mulighet for store bedrifter til selv å signere apper for signering. Piratene har fått tak i flere slike nøkler og bruker disse til å signere appene i butikken.

onsdag 2. desember 2015

Oppsummering av nyhetsbildet for november 2015

I november håndterte vi 124 hendelser i forbindelse med tjenesten Sikkerhetsovervåking. Dette var omtrent på samme nivå som oktober. Fortsatt er det mange maskiner som er infisert av informasjons-stjelende trojanere som Dyre, Zeus og Upatre. Vi har også sett et ytterligere oppsving i maskiner infisert av utpressingsprogramvare i november. Det har vært stor spredning av denne typen malware via e-post. Husk å være forsiktig med å åpne vedlegg du er usikker på!

I november håndterte TSOC 146 DDoS-angrep, mot 202 i oktober. Denne måneden er det DNS-reflection-angrep som har dominert, med 4 angrep på 60-70Gbps. Dette er uvanlig mange store angrep. Gjennomsnittlig størrelse på et angrep gikk opp fra 4.7Gbps i oktober til 6.3 i november.

Den første helgen i november ble både Swedbank og Nordea rammet av DDoS-angrep. Begge nettstedene var nede i flere timer. Ifølge Aftonbladet krevde angriperen et beløp tilsvarende 10.000 USD i Bitcoins for å slutte med angrepene. Mot slutten av måneden ble en tenåring arrestert i Sverige. Han ble siktet for å ha gjennomført angrepene og utpressing mot bankene. Tenåringen benyttet seg av et botnett på rundt 20.000 maskiner for å gjennomføre angrepet.

I november ble det avslørt at mange PCer fra Dell har et stort sikkerhetshull. De er utstyrt med et såkalt "root-sertifikat" som gjør det lett å overvåke trafikk til og fra PCen. En angriper kan også lett lage nettsteder som bruker sertifikatet til å tro at du besøker Google eller banken din, mens du egentlig er på en svindel-side. Denne saken minner mye om den såkalte "Superfish"-saken som tidligere rammet Lenovo. På Dell PCer brukes imidlertid sertifikatet til kundestøtte, mens hos Lenovo ble sertifikatet brukt til å servere reklame. Dell kom etter et par dager med oppdateringer som slettet sertifikatet.

Hackere har klart å ta full kontroll over en iPhone kun ved å få brukeren til å besøke en spesiell nettside. For å få tilgang til programkoden som muliggjør dette, betaler firmaet Zerodium en million dollar. Firmaet driver med handel av ferske sikkerhetssvakheter. Apple vil ikke bli informert om hvordan hacket ble utført og fremgangsmåten vil bli solgt til interesserte land.

Checkpoint offentliggjorde nye detaljer om APT-aktøren Rocket Kitten. Personene bak grupperingen holder til i Iran og det virker som om de jobber med spionasje for staten. På grunn av dårlig sikkerhet i gruppens operasjoner, har Checkpoint klart å ta seg inn i gruppens servere og hentet ut informasjon. De har blant annet identifisert flere av medlemmene og mange av målene.

Microsoft vil snarlig gjøre det mulig for kundene å velge å lagre dataene sine i Tyskland. Med dette tilvalget vil tjenestene antakeligvis bli noe dyrere. Selskapet T-Systems skal ha ansvaret for lagring av dataene, og Microsoft skal ikke selv ha tilgang til dem. Dette gjøres for ikke å komme i konflikt med europeiske personvernlover etter at Safe Harbor-avtalen falt bort.

Ved å analysere mer enn 4000 produkter fra over 70 leverandører har forskere ved SEC Consult funnet utstrakt gjenbruk av HTTPS-sertifikater og SSH-nøkler. De private nøklene som er gjenbrukt, kan i mange tilfeller hentes ut fra enhetenes firmware. Produktene dette gjelder er blant annet rutere, modem og IP-kamera fra så godt som alle kjente leverandører. Problemet ved dette er at alle enhetene som bruker samme firmware, også vil ha samme krypto-nøkler og sertifikat. Dette kan da misbrukes til blant annet man-in-the-middle angrep. Mange millioner enheter er sårbare for angrep.

Regjeringens digitale sårbarhetsutvalg publiserte på månedens siste dag en omfattende rapport, der de peker på digitale svakheter i samfunnet og foreslår tiltak. Blant konklusjonene er at det er for lite sikkerhetskunnskap på en rekke områder. De mener også at politiet bør bruke betydelig mer krefter på digitale lovbrudd. I henhold til utvalget er også Telenors kjernenett involvert i en for stor andel av Norges kritiske infrastruktur og tjenester.


fredag 6. november 2015

Oppsummering av nyhetsbildet for oktober 2015

I oktober hadde vi nesten en dobling i hendelser håndtert gjennom tjenesten Sikkerhetsovervåking sammenlignet med september; 127 hendelser, mot 68 i september. Denne måneden fortsatte med maskiner infisert av trojanere som Dyre, Zeus og Upatre. Noen blir dessverre også fortsatt lurt til å installere utpressingsprogramvaren CryptoWall. Vi så også flere iPhone-enheter som var infisert med spionprogrammet XCodeGhost.

Antall håndterte DDoS-angrep gikk noe opp til 202 i oktober, mot 191 i september. Reflection-angrep basert på DNS var det mest vanlige, med NTP og Chargen på de neste plassene. Vi ser nå også angrep basert på den gamle routing-protokollen RIPv1, noe som er relativt nytt. Gjennomsnittlig angrepsstørrelse var på 4.7Gbps og det største angrepet var på 32.8Gbps! Flere av TSOCs betalende DDoS-kunder ble angrepet i perioden.

Som i september, fikk Apple også denne måneden problemer med stor spredning av malware til iOS-enheter. Skadevaren YiSpecter omtales som den første skadevaren som infiserer ikke-jailbreakede iOS-enheter. Skadevaren installeres via Apples "Enterprise App Provisioning framework" - et rammeverk som lar bedrifter installere apper på ansattes mobiler uten å måtte legge dem åpent ut i App Store. Dette gjør det mulig for skadevaren å omgå screeningen som Apple gjør før publisering. Malwaren bruker også API-kall som normalt bare er tilgjengelig for Apple. Skadevaren var signert med et gyldig utviklersertifikat og lot seg dermed installere som om den var legitim programvare. Skadevaren så ut til å rette seg mot brukere i Kina og Taiwan. I siste versjon av iOS har Apple nå lagt inn en ekstra sperre for å installere apper via denne teknikken. Brukeren må nå først slå på muligheten for slik installasjon i telefonens innstillinger.

I starten av Oktober ble det avdekket enda flere kritiske svakheter i Android. Svakhetene fikk navnet StageFright 2.0, siden de finnes i det samme biblioteket som de opprinnelige StageFright-svakhetene. Svakheten skal være i forbindelse med tolkning av metadata til lyd og videofiler, slik at man trenger ikke nødvendigvis åpne filene for å bli utnyttet. Google patchet svakhetene 7. oktober, men underleverandører som Samsung og LG bruker nok noe tid på å få dem ut til telefoner.

14. oktober slapp Adobe en oppdatering til Flash som utbedret en rekke svakheter. Samme dag ble det også kjent at trusselaktøren PawnStorm/APT28 brukte en zero-day svakhet i Adobe Flash til å angripe utenriksdepartementer rundt i verden. Oppdateringen til Flash rettet ikke svakheten som hadde blitt benyttet. Angrepsmetoden skal ha vært målrettede phishing-mail som inneholdt linker til exploit-koden. Adobe patchet svakheten allerede 17. oktober. Senere i måneden kom det også fram at PawnStorm forsøkte å få tilgang til nettverket brukt av undersøkelseskommisjonen etter MH17-flyulykken.

Hashing-algoritmen SHA-1 er mye brukt i blant annet SSL-sertifikater på nettet. Den har kjente svakheter og det planlegges å slutte å bruke den i januar 2017. Noen forskere mener nå at dette kan være for lenge til og at algoritmen snart lett kan knekkes. Det anbefales å fornye alle sertifikater som bruker SHA-1.

NetCraft rapporterte at det i løpet av en periode på 30 dager ble utstedet hundrevis av SSL-sertifikater til tvilsomme/falske domener som benyttes til phishing og svindel. Slepphendt håndtering av regelverket for utstedelse av sertifikater pekes på som en medvirkende årsak til at dette skjer, og utstederen CloudFlare/Comodo fremheves som verstingen. Sertifikatene benyttes for å gi phishingsider og lignende høyere troverdighet overfor besøkende. Denne utviklingen kan føre til at signering av nettsteder snart ikke kan tilleges særlig vekt for å identifisere hvem som står bak dem.

I september avdekket Google at Symantec hadde utstedet flere falske sertifikater for Google-domener. Google har nå avdekket at problemet er større enn først antatt. Symantec har også utstedt 164 andre falske sertifikater for reelle domener. Google forlanger nå at Symantec begynner å legge ut en offentlig logg over alle domener de lager sertifikater for. Symantec må også leie inn en tredjepart for å gå igjennom sikkerheten. Symantec gikk med på kravene til Google.

En tenåring hacket seg inn i CIA-sjefens private AOL e-postkonto. Der hentet han ut flere personlige dokumenter, blant annet et skjema som var fyllt ut i forbindelse med sikkerhetsklarering. Hacket skal ha blitt utført ved sosial manipulasjon av mobiloperatøren og AOL. Hackeren ga seg ut for å være en ansatt og lurte til seg informasjon han trengte for å nullstille passordet.


torsdag 8. oktober 2015

Oppsummering av nyhetsbildet for september 2015

Etter sommeren har vi sett en oppgang i alvorlige hendelser håndtert gjennom tjenesten Sikkerhetsovervåking. Vi håndterte i september 68 saker, opp fra 50 i august. Denne måneden så vi fortsatt mange trojaner-infeksjoner forårsaket av bank-trojaneren Dyre. Det er dessverre også fortsatt en del som blir utsatt for utpressingsprogramvare og får hele harddisken kryptert.

I september håndterte vi 191 alvorlige DDoS-angrep, mot 233 i august. Gjennomsnittlig størrelse på disse angrepene var 6.73Gbps. De to største angrepene var på henholdsvis 25 og 30Gbps, kraftig opp sammenlignet med forrige måned. De fleste angrepene er reflection-angrep utført ved brukt av protokollene chargen og DNS.

September var en dårlig måned sikkerhetsmessig for Apple. Denne måneden ble det oppdaget hundrevis av applikasjoner i App Store som inneholdt uønsket kode (adware) som viste annonser og kartla brukere. Appene ble infisert ved at utviklere av Iphone-apps har blitt lurt til å installere en uoffisiell versjon av Apples programvare for utvikling, Xcode. Denne versjonen inneholdt skadevare som igjen infiserte utviklernes apper. Disse appene ble ikke avvist av Apples sikkerhetsmekanismer. For det meste ble apper brukt spesielt i Kina rammet, men også kjente apper som WeChat og WinZip var infisert. Dette er første gangen noen har klart å få malware inn i App Store på dette nivået.

OS X ble også rammet av adware kalt Genieo. Denne adwaren blir installert sammen med ellers uskyldige programmer. Etter at adwaren har blitt installert, gir den seg selv tilgang til OS X Keychain. Dette gjør den for å kunne installere en ny extention til Safari, kalt Leperdvil. Normalt kreves det at brukeren gir sitt samtykke for at apper skal få tilgang til Keychain. Genieo gir imidlertid seg selv tilgang ved å emulere et museklikk der "godta" knappen på dialogboksen er når den dukker opp. Keychain kan også inneholde passord til andre tjenester som adwaren kan hente ut.

Google har også hatt problemer med malware i Google Play. Dette har rammet opp mot en halv million brukere av spillet “Brain Test”. Checkpoint har avdekket at spillet, etter installasjon, laster ned et exploit-kit, i den hensikt å installere et rootkit på enheten og gi angriper full kontroll. I likhet med malwaren i Apples App Store var også denne rettet hovedsaklig mot brukere i Kina. Malwaren ble brukt til å installere flere apps på rammede mobiler. Bakmennene har benyttet seg av flere triks for å omgå Googles sikkerhetssjekker av apper som blir lastet opp til Google Play.

Googles Project Zero team oppdaget i september at sårbarheter i Kaspersky Antivirus kan benyttes til å ta kontroll over en maskin. Sårbarhetene skyldes blant annet feil i håndtering av pakkede filer og arkiver. Google anbefaler at prosessen som utfører sjekken blir kjørt i en sandkasse og uten SYSTEM-privilegier. Kaspersky fikset svakhetene i løpet av 24 timer. Google har funnet en mengde kritiske sårbarheter i antivirus-programvare fra flere leverandører.

En sikkerhetsforsker oppdaget også flere svakheter i en sikkerhets-appliance fra FireEye. Én av svakhetene gir tilgang til å laste ned filer fra boksen uten å autentisere seg. Det opplyses også at web-serveren kjører med root-tilgang, noe som ikke er regnet som et sikkert oppsett. FireEye slapp kort tid etter en oppdatering for svakhetene.

Cisco meldte at at det var funnet spesialtilpasset firmware i routere ute hos kunder. Selskapet Mandiant fant 14 routere av typen 1841, 2811 og 3825 med kompromittert programvare. Disse routerne ble funnet i Mexico, Filippinene, India og Ukraina. Senere scannet forskere hele Internett etter infiserte routere og fant totalt 79 enheter, de fleste i USA og Libanon. Angriperne får tilgang til routerne ved hjelp av fysisk tilgang eller gyldige administrator-kontoer. Når programvaren er installert, kan den laste inn moduler med forskjellig funksjonalitet. Når en router er kompromittert, kan i teorien all trafikk som går gjennom den avlyttes eller endres.

Mozilla meldte om at deres Bugzilla-installasjon, et system for å håndtere feil og svakheter i deres programvare, ble kompromittert. Informasjon stjålet om svakheter i FireFox, skal ha blitt brukt til å kompromittere klienter gjennom målrettede angrep. En oppdatering for FireFox, sluppet 27. august, skal ha fikset alle svakheter som ble avslørt gjennom angrepet.

F-Secure meldte om at sikkerhetsmiljøet blir forsøkt kartlagt ved hjelp av falske LinkedIn-kontoer som gir seg ut for å drive med rekruttering. Personene bak kontoene, samt selskapet de representerer finnes ikke.

 
>