Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 4. juli 2014

Oppsummering av nyhetsbildet juni 2014

Antall alvorlige håndterte hendelser hos TSOC gikk opp fra mai til juni. Oppgangen skyldes mye at det denne måneden har det vært flere omganger med store utsendelser av spam. Mange har blitt lurt til å gi fra seg personopplysninger og bankopplysninger i forbindelse med spam som ga seg ut for å komme fra Skatteetaten. Mange har også infisert PCen sin etter å ha åpnet et vedlegg pakket inn i en Zip-fil etter å ha mottatt en e-post som ga seg ut for å være fra Amazon.com.

Mengden DDoS-angrep gikk noe ned. Det største angrepet var et NTP-reflection angrep på hele 37.5Gbps. Gjennom måneden har angrepstypene fordelt seg ganske jevnt mellom NTP, Chargen, SNMP og DNS-reflection.

Nasjonal Sikkerhetsmyndighet blogget om e-post som angrepsvektor i begynnelsen av juni. Dette er relevant lesning i forbindelse med spam-angrepene denne måneden: http://blogg.nsm.stat.no/archives/4942

I juni ble det gjennomført en koordinert aksjon mot malware-nettverkene GameOver Zeus og Cryptolocker. Aksjonen ble organisert av justisdepartementet i USA i samarbeid med politi i flere land samt private firmaer. Game Over Zeus har i flere år vært en av de største såkalte "bank-trojanerne" som har muliggjort tyverier for millioner av kroner. CryptoLocker er en av de mest kjente utpressingsprogrammene. Programmet krypterer alle filene på offerets maskin og krever penger for å gi tilgang til filene igjen. I aksjonen har kontroll-servere til både Zeus og Cryptolocker-nettverket enten blitt tatt kontroll over eller stengt ned.

Denne måneden har det vært skrevet om teknologifirmaer som blir utsatt for utpressing. Firmaene mottar gjerne trusler om store DDoS-angrep dersom de ikke betaler bakmenene. Truslene rammer gjerne mindre og nyoppstartede firmaer uten ressurser til å stoppe angrepene. Denne måneden ble Feedly og Evernote utsatt for slike angrep etter å ha nektet å betale. Det har også kommet fram at Nokia i 2007 betalte flere millioner dollar til ukjente personer. Disse truet Nokia med å utlevere en privat nøkkel som ble brukt til å signere Symbian-apps.

F-Secure har oppdaget spredning av Havex-trojaneren med SCADA-systemer (industrielle styringssystemer) som mål. Trojaneren har blitt spredt via e-poster og exploit-kits på vanlige nettsider. En tredje spredningsvektor var å infisere SCADA-softwaren til leverandørene, som kundene så har lastet ned. Leverandørene ble kompromittert ved hjelp av sårbarheter i web-serverne. Trojaneren ble så pakket inn i programvaren til SCADA-leverandører i Tyskland, Sveits og Belgia. Etter installasjon sendte Havex-trojaneren informasjon om tilkoblet SCADA-utstyr til angriperne. Det virker som om energisektoren var det primære målet.

Den tyske regjeringen har kansellert en avtale med det amerikanske telekom-firmaet Verizon etter at det i fjor ble avdekket at USA drev omfattende avlytting i Tyskland.

Syrian Electronic Army kompromitterte denne måneden nyhetsbyrået Reuters for andre gang. SEA har lykkes i å videresende lesere av Returs nyhetssaker til en side med propaganda. Dette ble gjort ved å kompromittere en leverandør av innhold til Retuers sine sider kalt Taboola. Angrepet ble gjennomført ved hjelp av en Phishing-epost. Den ansatte i Taboola hadde også gjennbrukt e-post-passordet sitt i interne produksjonssystemer.

mandag 30. juni 2014

Oppsummering av nyhetsbildet mai 2014

Antallet alvorlige hendelser i forbindelse med nettverksovervåking (IDS) gikk noe ned forrige måned. Fortsatt er det relativt få som blir infisert ved hjelp av exploits. De fleste innfiseringer skjer ved å lure brukeren til å kjøre malware selv. Dette skjer gjerne via vedlegg i e-poster eller ved å lure brukeren til å installere forskjellige typer falsk programvare. Vi ser fortsatt at angripere logger seg inn med riktig brukernavn og passord på FTP-tjenere hos flere kunder. Login-detaljer er antakeligvis stjålet fra kompromitterte klientmaskiner. Angriperne prøver gjerne å laste opp innhold til eventuelle web-servere som måtte befinner seg på den samme serveren.

Antallet håndterte DDoS-angrep gikk nok en gang opp. Denne måneden har det hovedsaklig vært DNS-reflection-angrep. Angrep som benyttet seg av protokollen NTP har gått ned. Det største angrepet resulterte i 7.8Gbps med fragmenterte pakker, noe som betyr at den totale angrepstrafikken var på minst 11Gbps.

Andre mai ga Microsoft ut en patch til en 0-dags svakhet i Internet Explorer som ble brukt til målrettede angrep. Overraskende nok ble også Windows XP patchet, til tross for at operativsystemet er utenfor support. Dette er trolig den aller siste patchen som blir gitt ut til Windows XP. Mot slutten av måneden ble det meldt om enda en 0-dags svakhet i Internet Explorer versjon 8.

På SOC så vi denne måneden malware som spredde seg via Facebook. Brukere mottok en melding på Facebook med noe som så ut som et bilde i vedlegg. Dersom mottakeren åpnet filen, ble PCen infisert og malwaren spredde seg videre ved hjelp av private meldinger til kontakter. Det virker som om malwaren først og fremst tjener penger for bakmennene ved å utføre regneoperasjoner på PCer, såkalt "cryptocurrency mining". Dette har etter hvert blitt en vanlig måte å tjene penger på infiserte maskiner.

Det ble sluppet nye dokumenter som viser skal vise en "oppgraderings"-fabrikk tilhørende NSA. Bildene viser at NSA setter inn ekstra hardware for overvåking i en ruter fra Cisco. Ruterne blir stoppet mellom Cisco og kunden som egentlig skal motta dem.

Amerikanske påtalemyndigheter tok ut tiltale mot fem kinesiske offiserer. De fem tiltalte skal ha bedrevet spionasje mot flere amerikanske industribedrifter, blant annet innen stål- og kraftbransjen. Dette skal, i følge tiltalen, ha skjedd i perioden mellom 2006 og 2014. De tiltale tilhører, i følge amerikanske myndigheter, den 3. avdeling i Folkets Frigjøringshær, som har som hovedoppgave å bedrive etterretning mot mål utenfor Kina. Dette er første gang amerikanske myndigheter tar ut tiltale mot personer i det kinesiske militæret.

Ebay ble utsatt for et datainnbrudd som førte til at en database med personlige opplysninger og krypterte passord ble kopiert. Angriperne skal ikke ha fått tilgang til kredittkortinformasjon. Ebay ba brukerne om å skifte passord i etterkant av hendelsen. I dagene etter hendelsen ble det rapportert om flere andre svakheter i tjenesten.

Fra Australia ble det meldt at Apple-enheter plutselig ble låst. På skjermen kom det opp en melding om hvor brukeren skulle sende penger for å få den låst opp igjen. Låsingen ble gjort ved hjelp av Apples innebygde administrasjonsverktøy. Trolig har angriperne fått tilgang til brukernavn og passord til mange brukere ved hjelp av phishing-angrep.

I månedens siste dag ble det mye oppstyr rundt at diskkrypteringsverktøyet TrueCrypt plutselig ble lagt ned. Det er ukjent hvem som står bak verktøyet og det er også fortsatt ukjent hva som er motivet for nedleggelsen.


mandag 12. mai 2014

Oppsummering av nyhetsbildet april 2014

Antallet alvorlige hendelser i forbindelse med nettverksovervåking (IDS) på TSOC gikk noe opp forrige måned. Det var ingen store nyheter når det gjelder type malware eller infeksjonsvektor.

Antall håndterte DDoS-angrep gikk også noe opp. Det største angrepet var på rundt 14Gbps.

Den store nyheten i april var Heartbleed-svakheten som rammet hundretusener av servere på Internet. Svakheten ble funnet i krypterings-biblioteket OpenSSL og lot angripere hente ut 64KB-biter av minnet ved å sende en spesielt utformet datapakke. For hver ny pakke fikk en tilgang til et nytt område av minnet. Svakheten hadde forskjellige konsekvenser alt etter hvilket system det dreide seg om. For mange web-servere var det mulig å hente ut den private krypteringsnøkkelen til serveren, noe som førte til at et stort antall firmaer har måttet bestille nye nøkler til serverne sine. Det ble etter hvert sluppet automatiserte verktøy for å hente ut disse nøklene fra sårbare servere. Telenor hadde også denne svakheten i noen tjenester og patchet disse i løpet av kort tid.

I etterkant av Heartbleed-svakheten gikk en sammenslutning av store teknologiselskaper sammen om finansiering av OpenSSL-prosjektet, i regi av The Linux Foundation. Prosjektet, som har blitt omtalt som kritisk for to tredjedeler av internett, har hittil blitt finansiert ved hjelp av rundt $2000 per år i donasjoner. Blant selskapene som skal bidra med finansielle midler er IBM, Intel, Microsoft, Facebook og Google.

Denne måneden slapp Microsoft den siste runden med månedlige oppdateringer til Windows XP, Office 2003 og Exchange 2003. Disse produktene får ikke lengre support fra Microsoft. Brukere av disse gamle systemene bør oppgradere så fort som mulig.

Security Research Labs og GSMMaps.org ga ut en rapport om mobilsikkerhet i forskjellige land. Norge er det landet i verden som har best sikkerhet på nettverk for mobil tale. Rapporten kartla tiltak mot sporing av abonnenter, oppfanging av samtaler og mulighet til å utgi seg for å være andre. Telenor kom aller best ut blant de norske operatørene.

New York Times' IT-blogg hadde en sak om DDoS-utpressing av internettbaserte selskaper. Representanter fra tjenesten Meetup fortalte om hvordan de får e-post med trusler om nedetid, dersom de ikke betaler noen hundre dollar i Bitcoins innen en viss tid. Sannsynligvis er den lave prisen en metode for å få selskaper "på kroken". Dersom man betaler risikerer man å havne på en liste over betalingsvillige selskaper, og påfølgende henvendelser vil gjerne inneholde et høyere beløp.

Mot slutten av måneden ble det oppdaget nok en svakhet i alle versjoner av Internet Explorer. Sikkerhetsverktøyet EMET fra Microsoft beskyttet mot angrepene. Microsoft har nå sluppet en patch for sårbarheten, også for Windows XP. To dager senere ble det også sluppet en oppdatering til Flash Player fra Adobe som også ble brukt til målrettede angrep.

I april ble fem personer dømt til betinget fengsel etter et tjenestenektangrep mot Arbeiderpartiets nettside i april 2011. Denne dommen viser at DDoS blir sett på som en ulovlig handling av det norske rettsvesenet. En tidligere høyrepolitiker ble i en annen sak dømt til 60 dagers fengsel for datainnbrudd som ble avdekket i juli 2013. Personen ble dømt for å ha brutt seg inn på e-post- og iCloud-kontoene til en rekke kvinner, i den hensikt å hente ut nakenbilder og annet sensitivt materiale.

fredag 4. april 2014

Oppsummering av nyhetsbildet mars 2014

Antallet alvorlige hendelser registrert av våre IDS-sensorer gikk noe opp i mars sammenlignet med februar. Det er for det meste social engineering og gamle exploits mot utdatert programvare som benyttes.

Denne måneden gikk antallet håndterte DDoS-hendelser den sammenlignet med februar. Noe av nedgangen kan skyldes automatiserte tiltak i Telenors nettverk. Det største angrepet gjennom perioden var på 27Gbps og 25 av angrepene var på over 10Gbps.

Telenors SOC har i slutten av februar observert at angripere ved flere tilfeller har logget seg inn på FTP-tjenere tilhørende kunder. Her klarer de å logge seg inn på tjeneren med gyldige brukernavn og passord. Disse er antakeligvis stjålet fra kompromitterte klientmaskiner. Angriperne sjekker så om de har skrivetilgang til til tjeneren ved å forsøke å laste opp en fil kalt “ftpchk3.php”. Dersom de får tilgang, forsøker de å laste opp skadelig kode og få lagt denne ut på eventuelle web-servere som befinner seg på samme tjener. Det anbefales ikke å ha FTP-tjenere eksponert mot Internett.

I februar ble det oppdaget en ny type DDoS-angrep. En angriper fikk 162.000 WordPress-sider til å angripe andre web-servere. Angrepet gjøres ved å bruke en ping-back-kommando i WordPress og be om at svaret sendes til offeret. Denne kommandoen sendes så til tusenvis av WordPress-sider. Sidene til KrebsOnSecurity.com ble blant annet tatt ned av dette angrepet. Flere norske bloggsider var også ufrivillig med i angrepet.

En svakhet i krypteringsbiblioteket GnuTLS gjorde det trivielt for en angriper å omgå SSL- og TLS-kryptering hos applikasjoner som benytter seg av biblioteket. Svakheten omfatter bl.a. populære Linux-distribusjoner som Red Hat, Ubuntu og Debian, men det er antatt at mer enn 200 forskjellige operativsystemer og applikasjoner benytter seg av biblioteket. Svakheten kan ha eksistert helt siden 2005. Apple patchet en lignende krypteringssvakhet sist måned.

Denne måneden ble konkurransen Pwn2Own avholdt i Canada. I denne konkurransen gis det ut store pengepremier for å hacke kjent programvare. Den store vinneren ble det franske sikkerhetsselskapet Vupen. Blant programvare som ble funnet sårbar var Chrome, Internet Explorer, FireFox, Java og Flash. Alle disse programmene ble utnyttet til å få kontroll over maskinen som ble angrepet. Dette viser at det stadig er mulig å finne svært alvorlige svakheter i mye brukt programvare.

Microsoft ga ut en FixIt-patch for en nyoppdaget sårbarhet i Microsoft Word. Sårbarheten ble observert i målrettede angrep og tillater en angriper å eksekvere kode på et sårbart system. Koden kan eksekveres dersom brukeren åpner en fil av typen RTF (Rich Text Format) som kommer fra angriperen eller dersomom brukeren bruker Outlooks forhåndsviser til å se på denne filen i en e-post.

I forbindelse med konflikten i Ukraina ble nettsidene til NATO, Kremlin og den russiske sentralbanken tatt ned ved hjelp av DDoS-angrep. Det ble også gjennomført mindre angrep mot medienettsteder i Ukraina samt målrettede DoS-angrep mot telefoner tilhørende Ukrainske politikere.

I denne månedens NSA-avsløringer kom det fram at NSA skal ha et system som kan ta opp alle telefonsamtaler i minst ett land og lagre disse i 30 dager. Det ble også avslørt at NSA har hacket seg inn i interne nettverk hos Huawei. Hensikten skal ha vært å tilegne seg kunnskap om selskapet og eventuelle knytninger motl myndighetene. De skal også ha ønsket å finne ut hvordan man kan utnytte svakheter i Huawei-produkter, for således å kunne tilegne seg tilgang til Huawei-baserte nettverk.

lørdag 1. mars 2014

Oppsummering av nyhetsbildet februar 2014

Denne måneden var det noe nedgang i antall håndterte hendelser fra våre IDS-sensorer. Det er ikke meldt at nye svakheter i klienter har blitt utnyttet i betydelig grad. Det er for det meste social engineering og gamle exploits mot utdatert programvare som benyttes. Denne måneden registrerte vi en viss oppgang i installasjon av falske sikkerhetsprodukter. Dette er en type infeksjon som går under kategorien social engineering.


Antallet håndterte DDoS-hendelser gikk opp i februar. Halvveis i måneden var det spesielt mange NTP-baserte angrep. Det største angrepet var på rundt 90Gbps. 23 av angrepene var på over 10Gbps.


14. februar publiserte firmaet FireEye en bloggpost om en malwarekampanje de har døpt Operation Snowman. En angriper spredde malware ved å kompromittere et nettsted for amerikanske soldater som har tjenestegjort utenfor USA. Malwaren utnyttet en til nå ukjent svakhet i Internet Explorer 9 og 10 sammen med Adobe Flash og Javascript. 20. februar slapp Microsoft en foreløpig fix-it patch for svakheten. Den endelige patchen kommer i den månedlige oppdateringene fra Microsoft i mars.


Adobe slapp en oppdatering til Adobe Flash Player som ble klassifisert som kritisk. Den fikset en svakhet som kan brukes til å ta kontroll over sårbare datamaskiner. Oppdateringen ble sluppet utenom den vanlige patche-datoen til Adobe. Kaspersky rapporterte om at svakheten ble utnyttet aktivt i målrettede angrep. Vi har ikke sett større utnyttelse av svakheten i Norge.


Interne dokumenter om 27.000 av den britiske storbanken Barclays kunder er på avveie. Flere kunder har allerede blitt svindlet og utsatt for utpressing som følge av kompromitteringen. Kundedokumentene som har havnet på avveie inkluderte informasjon som kontonummer, passnummer, forsikringsnummer og informasjon om vedkommendes helse og økonomi. Hver dokument skal være på ca 20 sider.


I februar ble det utført et tjenestenektangrep mot en av kundene til CloudFlare. Angrepet hadde en størrelse på 400Gbps og ble utført ved bruk av 4529 sårbare NTP (Network Time Protocol) servere. CloudFlare har senere sluppet detaljer om angrepet og hvilke nettverk som stod for angrepstrafikken.


Denne måneden ble det oppdaget en alvorlig svakhet i Apples implementering av SSL. Svakheten lar angripere med tilgang til nettverkstrafikken overvåke og endre krypterte forbindelser med letthet. Svakheten ble introdusert i iOS og Mac OS X for rundt ett og et halvt år siden. En oppdatering for iOS ble sluppet 21. februar og en oppdatering til OS X fulgte et par dager senere. Det har vært spekulert om noen har introdusert svakheten med overlegg for å gjøre avlytting av trafikk enklere.


NBC News hadde denne måneden en sak om GCHQs kamp mot Anonymous og andre hacktivist-grupperinger. Der kom det blant annet fram at GCHQ utsatte Anonymous sine IRC-servere for tjenestenektangrep. I reportasjon er det også eksempler på infiltrasjon og hvordan medlemmer ble identifisert. I februar ble det videre avslørt at GCHQ har tappet Yahoos tjeneste for video-chat. Det ble lagret stillbilder av de ukrypterte chat-sesjonene hvert femte minutt.

Hackere fra Syrian Electronic Army (SEA) hacket seg inn hos publikasjonen Forbes. Her fikk de kontroll over publiseringssystemet og la inn en falsk nyhetssak. De tok også kontroll over tre Twitter-kontoer tilhørende ansatte. Syrian Electronic Army publiserte etter angrepet Forbes sin bruker-database med tilhørende krypterte passord. Kredittkortinfo skal ikke ha blitt stjålet. SEA vandaliserte også nettsidene til PayPal UK og eBay.

 
>