Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 8. juni 2018

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2018

Vår tjeneste Sikkerhetsovervåking avdekket 106 alvorlige hendelser i mai, ned fra 138 i april. Mai var altså en rolig måned for tjenesten sikkerhetsovervåking. Det var ingen større kampanjer med malware som rammet våre kunder.

Det var 175 bekreftede DDoS-angrep i mars, noe som er en stor nedgang fra 297 i april. 58 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.94 Gbps og varte typisk 26 minutter. Det største angrepet observert i denne perioden var på 11.6 Gbps og varte i 29 minutter. Seks av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Talos offentliggjorde detaljer om en ny malware kalt "VPNFilter". Firmaet anslår at minst 500.000 enheter er infisert. Dette gjelder nettverksenheter (typisk hjemmeroutere) fra Linksys, MikroTik, NETGear og TP-Link. Skadevaren skal være i stand til både uthenting av informasjon, manipulering av datatrafikk og destruktive handlinger i form av DDoS-angrep. Det er først og fremst routere i Ukraina som er rammet, men totalt er det infiserte routere i 54 land. Den russiske grupperingen Fancy Bear er mistenkt å stå bak operasjonen.

De to mest brukte metodene for kryptering av e-poster, PGP og S/MIME, inneholder svakheter som kan eksponere innholdet i krypterte e-poster. Svakhetene fikk navnet EFail og ligger i måten e-postklienter viser og dekrypterer meldingene på, ikke i selve protokollene. Utover i mai slapp leverandørene etter hvert patcher for problemene.

Sikkerhetsforskere oppdaget en alvorlig svakhet i den populære ende-til-ende krypteringsapplikasjonen Signal for Windows og Linux. Svakheten kan gjøre det mulig for en angriper å kjøre ondsinnet kode på mottakerens system ved kun å sende en melding. En fikset utgave er sluppet og applikasjonen skal oppdatere seg selv ved omstart.

Intel og US-CERT kom med informasjon rundt to nye måter å utnytte svakhetene Spectre og Meltdown. Disse blir kalt Variant 3a og Variant 4 og er såkalte Side-Channel svakheter. Leverandører jobber nå med å få fikset de siste problemene, noe som vil kreve oppdatering av BIOS/firmware. Det meldes om et ytelsestap på 2-8% på generelle ytelsestester. Disse variantene skal være vanskeligere å utnytte enn de tidligere.

Nederlandske myndigheter forteller at de vil fase ut bruken av produkter fra Kaspersky Labs. Myndighetene opplyser at dette er en preventiv handling. Kort tid etter uttalelsen offentliggjorde Kaspersky Labs planer om å flytte deler av selskapets infrastruktur til Sveits. Operasjonen er en del av selskapets "Global Transparency Initiative".

Russland har satt i gang flere tiltak mot meldingstjenesten Telegram. Torsdag 3. mai blokkerte Russlands media- og kommunikasjonsregulerende myndighet Roskomnadzor over 50 VPN-tjenester, web-proxyer og anonymiseringsverktøy. Det russiske nyhetsbyrå TASS har bekreftet tiltaket og rapporterer at dette rammer de tjenestene som har gitt adgang til Telegram-tjenesten. Telegram ble blokkert i april, etter at de nektet å gi fra seg krypteringsnøkler slik at meldinger i tjenesten kunne dekrypteres av russiske myndigheter.

The Associated Press meldt i mai at en russiske hackergruppe i 2015 sto bak en "falsk flagg" kampanje der utvalgte amerikanske militær-fruer mottok drapstrusler fra den fiktive IS gruppen "Cyber Caliphate". Den samme grupperingen skal også ha stått bak sabotasje-angrepet mot Franske TV5 Monde 9. april 2015. Også i dette angrepet skal gruppen ha lagt igjen falske spor som pekte mot IS.

Forskere har funnet en overvåkings-programvare på Android-telefoner som antageligvis blir brukt av det Pakistanske militæret til å samle inn data fra offiserer og andre høytstående personer i Midtøsten. Verktøyet har fått navnet Stealth Mango og det anslåes å ha samlet inn 30 GB med data, deriblant lydopptak, tekstmeldinger, bilder og posisjonsdata. Rundt 100 personer er rammet og malwaren var aldri å finne i Googles offisielle app-butikk.

mandag 7. mai 2018

Oppsummering av nyhetsbildet innen datasikkerhet for april 2018

Vår tjeneste Sikkerhetsovervåking oppdaget 138 alvorlige hendelser i april. Dette var en liten oppgang fra 121 i mars. Fortsatt er det mange PCer som blir infisert for å utvinne kryptovaluta, da særlig av typen Monero, siden Bitcoin krever spesialisert hardware for å utvinne i betydelig grad.

Det var 297 bekreftede DDoS-angrep i mars. 108 av disse ble mitigert. Et gjennomsnittlig angrep var på 2,55 Gbps og varte typisk 22 minutter. Det største angrepet observert i denne perioden var på hele 101 Gbps og varte i én time. Dette angrepet gikk mot en bredbåndskunde i Norge og var av typen LDAP-reflection. Åtte av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Analyser utført av DHS, FBI og NCSC viser at russisk-sponsede aktører utnytter nettverksenheter til å utføre man-in-the-middle-angrep, overvåke trafikk og generelt legge et grunnlag for senere angrep hos statlige og private organisasjoner, samt ISPer og tilbydere av kritisk infrastruktur. Det er generiske svakheter (særlig i Cisco Smart Install), gammel programvare og konfigurasjonsfeil som utnyttes. I varselet er det mange nyttige tips for sikkert oppsett av nettverksutstyr. Det har ikke vært rapportert om at nettverksutstyr i Norge har vært rammet av denne aksjonen.

6. april ble det utført et målrettet hackerangrep mot russisk og iransk IT-infrastruktur. Angrepet påvirket hovedsaklig internett-tjenesteleverandører, datasentre og noen nettsider. I tillegg til å deaktivere utstyret, la hackerne igjen følgende melding: “Do not mess with our elections”, sammen med et bilde av det amerikanske flagget. I et blogginnlegg skrevet av IT-sikkerhetsselskapet Kaspersky, kommer det frem at angrepet utnyttet en kjent sårbarhet i Cisco Smart Install Client. Talos (som er en del av Cisco) skrev i sitt eget blogginnlegg at de ved hjelp av søkemotoren Shodan hadde funnet 168 000 systemer som potensielt var utsatt for svakheten. Personene som påstod at de stod bak angrepet, uttalte til Motherboard at de ville hevne seg etter manipulering av det amerikanske valget i 2016.

Facebook slettet 135 Facebook- og Instagram-kontoer, samt fjernet 138 Facebook-sider som skal ha vært opprettet av russiske "Internet Research Agency" (IRA). Begrunnelsen oppgis å være IRAs utstrakte bruk av falske kontoer, som bl.a. ble brukt til å påvirke det amerikanske presidentvalget i 2016.

Etter Cambridge Analytica-skandalen har nå Facebook begynt å stramme inn på hvilke data apper får lov til å innhente fra brukerne på plattformen. Blant annet er det nå ikke lov for apper å hente inn data om religiøst/politisk ståsted, om du er i et forhold eller ikke, utdannelse osv. Facebook har også sperret datatilgangen for apper som ikke har vært i bruk de siste 3 månedene av hver enkelt bruker.

BGP-hijacking ble i april benyttet til å kapre/re-route DNS-trafikk til Amazons servere via en DNS-server i Chicago. Vha. denne DNS-serveren ble besøkende til krytovaluta-siden "MyEtherWallet.com" sendt til en falsk side i Russland. Googles DNS-tjeneste plukket også opp den falske adressen. I løpet av angrepet, som pågikk i omlag to timer, skal bakmennene ha klart å stjele Ethereum (kryptovaluta) for rundt 1.2 millioner kroner. Brukerne ble gitt en advarsel om ugyldig sertifikat fra nettleseren, men mange ignorerte denne.

Mobilsikkerhetsfirmaet Lookout har funnet tre apper med avansert skadevare i Google sin app-butikk, Google Play. Det ser ut til at appene kommer fra to forskjellige grupper mAPTs, eller mobile advanced persistent threats, og var myntet på personer fra Midtøsten. Da appene ble fjernet, hadde de totalt mellom 650 og 1250 nedlastinger. Hovedsakelig ser det ut til at appene har blitt spredd ved hjelp av lenker sendt fra profiler på Facebook/Messenger.

Myndighetene i Russland har forlangt å få utlevert de private nøklene som brukes av meldingstjenesten Telegram. Telegram har nektet å utlevere disse og mener at pålegget er brudd på grunnloven. Firmaet har base i Dubai. En domstol i Moskva ferdigstilte i april saken mot Telegram og godkjente bannlysing av meldingstjenesten, grunnet manglende utlevering av nøkler. Senere i april opplevde mange russere problemer med tilgang til flere skytjenester levert gjennom Amazon og Google. Dette skyldes blokkeringer for å sperre bruken av tjenesten i Russland. Det var også demonstrasjoner i gatene til støtte for Telegram.

Webstresser.org har solgt og gjennomført millioner av DDoS-angrep. Nå har nettstedet blitt tatt ned gjennom en felles politiaksjon i flere europeiske land og Canada. Britisk og tysk politi ledet aksjonen via Interpol. Nettstedet hadde over 136.000 registrerte brukere og har stått bak over 4 millioner angrep. Seks administratorer ble arrestert i England, Kroatia, Canada og i Serbia.

tirsdag 10. april 2018

Svært overbevisende automatisert phishing-svindel

Like før påske ble e-posten under sendt ut til noen hundre mottakere i Norge, blant annet mange i Telenor. E-posten ble sendt fra en administrerende direktør i et norsk firma til alle hans kontakter.



Angriperne har mest sannsynlig fått tak i brukernavn og passord fra offeret ved hjelp av phishing. Så snart de får tilgang, brukes kontoen til å spre angrepet videre ved å sende e-poster til alle kontaktene til offeret. Dette er som oftest automatisert og gjør det umulig å skille svindel-e-postene fra vanlige e-poster fra offeret.

E-posten har også et bilde av en forminsket kopi av en faktura som typisk vil gjøre mottakeren nysgjerrig på hva fakturaen gjelder, siden skriften er for liten til å lese.

Dersom en trykker på bildet av fakturaen, blir en sendt videre til en falsk innloggingsside for tjenesten Office 365. Dette er en tjeneste for e-post fra Microsoft som brukes av mange bedrifter.


Det er flere ting som gjør at denne siden kan overbevise mottakeren av svindel-eposten om at dette er ekte vare:

  • Siden er en tro kopi av Office 365 sin ekte innloggings-side. Veldig mange brukere er vant med å logge inn på denne tjenesten.
  • Siden er kryptert med HTTPS og har grønn hengelås. Mange ser på en slik grønn hengelås som et slags “godkjent-stempel”, men det betyr i realiteten bare at siden er kryptert mellom din PC og serveren som sender den. Hengelåsen antyder ikke at siden er ekte eller at avsender er den den gir seg ut for å være.
  • E-post-adressen til mottakeren er allerede fyllt inn slik at bare passordet mangler. Dette kan få det til å virke som om siden allerede er “kjent” med mottakeren og at den har vært brukt før. Svindlerne fyller imidlertid inn adressen automatisk, siden de allerede har den.

Det aller viktigste før en skal skrive inn brukernavn og passord på en nettside er følgende: Sjekk adressefeltet til siden! Er du på den adressen du skal være? I dette tilfellet er adressen til siden følgende:



Selve domenet er markert i blått. Adressen “abcd08ge. download” er ikke en adresse som rimer med at dette er en tjeneste fra Microsoft eller har noe med Office å gjøre.

Ikke følg linker i e-poster for å logge på tjenester. Skriv heller inn adressen eller følg bokmerket ditt i nettleseren som vanlig. Da unngår du at svindlere får tak i din personlige informasjon ved å lure deg inn på falske nettsider.

Dersom du blir lurt til å gi fra deg innloggings-info til denne typen svindel-sider, er det i neste omgang dine kontakter som får phishing-epost “fra deg”. Bakmennene vil også sitte på en enda større liste med brukernavn og passord som kan brukes til forskjellige typer lovbrudd.

Dersom du skulle bli lurt, skifte passord så fort som mulig!

fredag 6. april 2018

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2018

Vår tjeneste Sikkerhetsovervåking oppdaget 121 alvorlige hendelser i mars. Dette var en svak oppgang fra 115 i februar. Typen hendelser gjelder særlig browser-hijackere, forsøk på å logge inn ved å prøve mange brukernavn/passord og crypto-mining.

Det var 441 bekreftede DDoS-angrep i mars. 142 av disse ble mitigert. Et gjennomsnittlig angrep var på 2,22 Gbps og varte typisk 21 minutter. Det største angrepet observert i denne perioden var på 23,2 Gbps og varte i 44 minutter. Ni av TSOCs kunder ble utsatt for angrep denne måneden, noe som er et uvanlig høyt tall.

28. februar ble Github offer for et DDOS-angrep på 1.35 terabits per sekund. Dette er det største angrepet registrert noen sinne. Mitigeringstjenesten til Github, Akamai Prolexic, ble automatisk kontaktet i løpet av 10 minutter og gikk inn som mellommann og rutet all trafikk inn og ut fra Github. Trafikken ble sendt gjennom trafikk-filtere for å blokkere ute angrepstrafikken. Etter rundt 20 minutter ga angriperne opp og angrepet avtok. Angrepet var av typen Memcached DDOS, som er en ny type forsterkningsangrep. Angrepet utføres ved at angriper spoofer ip adressen til offeret og sender spesielle pakker til memcached-servere som står åpent ut på nett, eid av bedrifter og institusjoner. Disse sender så pakker som er mangedoblet i størrelse tilbake til offeret. Memcached er egentlig en tjeneste som er ment å ikke være eksponert mot offentlige nettverk.

Noen dager senere meldte Netscout Arbor at en kunde av en amerikansk ISP hadde blitt utsatt for et DDoS-angrep på 1.7 Tbps. I likhet med DDoS-angrepet mot Github var også dette angrepet av typen memcached reflection/amplification.

Firmaet Cambridge Analytica laget detaljerte velgerprofiler på 50 millioner velgere i USA. Dette ble gjort ved å betale 270.000 mennesker for å gjøre en "personlighestest" gjennom en app på Facebook. Appen fikk tilgang til informasjon både fra de som lastet den ned, samt alle kontaktene deres. Informasjonen ble senere brukt til målrettet politisk reklame for Trump-kampanjen. Facebook har nå suspendert firmaet fra å bruke deres plattform. Facebook har i etterkant mottatt kraftig kritikk for slepphendt behandling av brukernes data og datasikkerhetssjefen trakk seg også etter avsløringen.

Forskere har funnet en skadevare som har vært gjemt i 6 år - til tross for at den har infisert mer enn 100 maskiner verden over. Skadevaren har fått navnet Slingshot og er antatt å være utviklet av en nasjonalstat grunnet dens høye kompleksitet og elegans. Den har blant annet en modul for å infisere routere fra Mikrotik. Kaspersky Labs opplyser at skadevaren først og fremst har rammet Asia og Afrika. Senere i måneden viste det seg at det var USAs “Joint Special Operations Command” som skal ha stått bak kampanjen. Den var en del av en anti-terror operasjon, og ment for å infisere maskiner brukt av medlemmer av ISIS.

Den Israelske organisasjonen CTS oppdaget 13 kritiske svakheter i flere moderne AMD prosessor-familier. Svakhetene kan utnyttes til å få tilgang til CPUen sin "Secure Processor", som bl.a. utfører en rekke sikkerhetsrelaterte operasjoner. CTS får kritikk for å ha gitt AMD kun 24-timers frist før offentliggjøring. Flere er også skeptiske til alvorligheten av funnene, samt motivasjonen til CTS for publisering. AMD bekreftet senere i måneden flere av svakhetene og opplyste at de ville komme med fastvareoppdateringer.

Selskapet Recorded Future oppdaget at Kina bevisst manipulerer publiseringsdato for enkelte sårbarheter i landets offentlige sårbarhetsdatabase (CNNVD). Årsaken skal ifølge Recorded Future være at landets "Ministry of State Security" (MSS) vurderer/benytter sårbarhetene i forbindelse med målrettede angrep før de offentliggjøres.

22. mars ble Atlanta offer for et angrep med den kjente ransomwaren SamSam, som tok ned flere av byens systemer og websider. Systemene som ble rammet håndterer blant annet prosessering av innbetalinger og videreformidling av informasjon fra pågående rettssaker. Byens myndigheter jobbet med FBI, Microsoft, og Cisco i forsøk på å rette opp etter angrepet. I følge CBS mottok myndighetene krav om betaling av 6 Bitcoins i bytte mot nøkler som kunne dekryptere de rammede systemene. Det tok over én uke før alle systemene var oppe igjen.

torsdag 8. mars 2018

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2018

Vår tjeneste Sikkerhetsovervåking oppdaget 115 alvorlige hendelser i februar. Dette var en oppgang fra 91 i januar. I februar måned har vi sett et oppsving i maskiner som har fått installert malware som driver med graving etter digital valuta (mining). Mange bedriftsbrukere blir også lurt til å gjøre dette gjennom sin nettleser ved besøk på forskjellige nettsider.

Det var 352 bekreftede DDoS-angrep i februar. 139 av disse ble mitigert. Et gjennomsnittlig angrep var på 3,26 Gbps og varte typisk 40 minutter. Det største angrepet observert i denne perioden var på 26,1 Gbps og varte i 25 minutter. Fire av TSOCs kunder ble utsatt for angrep denne måneden. Generelt var det et oppsving både i antall og kraft når det gjelder DDoS-angrep i februar.

Memcached, en cache-tjeneste som blant annet blir brukt for å øke responshastigheten til dynamiske web-applikasjoner, ble tatt i bruk for å utføre DDoS angrep i februar. Tjenesten er ikke ment å være installert på Internett-eksponerte systemer, siden den ikke ikke har noen adgangskontroll.
En forespørsel om statistikk sendt til en slik tjeneste kan resultere i svar som har en størrelse på 1500 bytes til flere hundre kilobytes. Disse svarene kan utnyttes til å utføre DDoS angrep ved å sende forespørselen med en falsk avsender-adresse. Akamai melder om at det er rundt 50.000 maskiner som tilbyr denne tjenesten på nettet.

I starten av februar ble det oppdaget en svakhet i Adobe Flash Player som kan gjør ekstern kodeeksekvering mulig. Svakheten ble utnyttet i angrep allerede fra november 2017 mot blant annet Sør-Korea. Angrepet gjennomføres ved at det sendes ut Office-dokumenter med et spesielt utformet Flash-tillegg. Adobe ga ut en fiks for svakheten fem dager etter at den ble offentlig kjent.

Et stort botnet på rundt en halv million maskiner, hoveddelen Windows-servere, har blitt oppdaget. Botnettet får infiserte maskiner til å utvinne kryptovalutaen Monero. Det er antatt at eierne av botnettet har tjent rundt 8900 Monero (mellom 2,8 og 3,5 millioner USD) siden Mai 2017. Botnettet infiserer nye maskiner ved hjelp av EternalBlue-svakheten som ble stjålet fra NSA i april i fjor. De fleste maskiner i botnettet er funnet i Russland, India og Taiwan.

En internasjonal operasjonsstyrke bestående av South West Regional Organised Crime Unit, Engelske National Crime Agency og Europol samt mange andre politi-avdelinger i Europa, Australia og Nord-Amerika har funnet og stoppet kilden til fjerntilgangs hacker-verktøyet Luminosity Link. Verktøyet ble brukt til å sanke data fra systemets filer, kameraet eller tastaturtrykk.
Operasjonsstyrkens arbeid fant et nettverk av individer som distribuerte og brukte Luminosity i 78 land og solgte det til mer enn 8600 kjøpere via nettsider dedikert til hacking og datakriminalitet. Verktøyet ble brukt til alt fra industrispionasje til overvåking av ektefeller.

En artikkel publisert av FireEye viser hvordan angripere kan utføre phishing-angrep som omgår 2-faktor autentisering. Metoden, kalt real-time phising, bruker en falsk innloggingsside som fanger opp brukernavn, passord og engangspassord. Angriperen har deretter et lite tidsrom hvor han kan bruke innloggingsinformasjonen før engangspassordet fornyes. Denne typen angrep har blitt benyttet mot BankID i Norge i år. Dette ble gjort ved hjelp av forfalskede eposter fra Netflix om oppdatering av betalingsinformasjon.

Nettverket til vinter-OL i Pyeongchang ble utsatt for et data-angrep under åpningsseremonien. Dette bekreftet talspersonen for vinterlekene 2018, Sung Baik-you. Angrepet førte til at mange av de interne serverne for arrangementet gikk ned, og ikke var operative igjen før nærmere 12 timer senere. Det har også blitt rapportert at angrepet skapte problemer for det offentlige Wi-Fi-nettverket. Senere i måneden mente amerikanske myndigheter at Russland stod bak angrepet. Angriperne skal også ha lagt igjen falske spor for å få det til å virke som om angrepet kom fra Nord-Korea.

Toppsjefer i flere amerikanske etterretningstjenester, inkl. CIA, FBI og NSA, advarer amerikanere mot å benytte mobil-produkter og tjenester fra de Kina-baserte produsentene Huawei og ZTE. Skepsisen skal bunne i de nevnte produsenters angivelige tette bånd til kinesiske myndigheter og mulighet for overvåking.

Britiske, amerikanske og australske myndigheter beskyldte denne måneden offentlig Russland for å ha stått bak ransomware-angrepet "NotPetya". Angrepet fra juni 2017 var rettet mot Ukraina, men også andre land ble hardt rammet.

Ny forskning viser at 90% av alle eksterne kodeeksekveringsangrep nå brukes for å legge inn kode for å utnytte den angrepne maskinene til å utvinne krypto-valuta. Dette er en økning fra ca 55% i september 2017. Bruken av ransomware har gått ned.

 
>