Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 6. mai 2016

Oppsummering av nyhetsbildet innen datasikkerhet for april 2016

Antall håndterte hendelser i forbindelse med vår tjeneste Sikkerhetsovervåkning gikk opp fra 142 i mars til 206 i april. Oppgangen skyldes i hovedsak stor utbredelse av malwaren Win32/Adposhel. Dette er en type adware/malware som viser annonser til brukeren både i nettleseren og utenfor. Den endrer også DNS-innstillingene på systemet og sender ut informasjon om besøkte nettsteder. Adware som Adposhel blir gjerne installert sammen med gratis nedlastet programvare, uten at brukeren er klar over det.

Det ble håndtert 211 DDoS-angrep i april, mot 125 i mars. Den mest vanlige angrepstypen var DNS-reflection, med chargen og NTP som nummer 2 og 3. Det ble registrert totalt 392 angrep over 1Gbps i april. Det største angrepet peaket på hele 163Gbps eller 40Mpps (pakker per sekund) og varte i ca 2,5 time. Angriper utførte flere ulike angrepstyper parallelt under angrepet.

Eldre Android-mobiler og nettbrett kan nå bli rammet av ransomware, kun ved å besøke en nettside. Dette rammer Android-versjoner eldre enn versjon 5.x. Malwaren installeres gjennom diverse annonsenettverk og oppnår root-tilgang til mobilen. Mobiler som rammes blir ubrukelige inntil løsepenger betales eller fabrikkinnstillinger gjenopprettes. Det anbefales å oppdatere eldre Android-mobiler!

Detaljene rundt Badlock-svakheten ble sluppet den 12. april. Denne svakheten ble forhåndsmeldt allerede 23. mars. Det dreier seg heldigivs ikke om en "remote execution"-svakhet, som manget fryktet på forhånd. Svakheten gjør det imidlertid mulig for en angriper å få tilgang til filer som han ikke skal ha, dersom han har tilgang til trafikkstrømmen i et nettverk. Svakheten åpner også for DoS-angrep mot servere som eksponerer SMB-tjenester. Microsoft patchet denne svavkheten i april og ga den viktigheten “important”, ikke den høyeste som er "critical". Samba har også patchet svakheten for Linux-maskiner. Det er ikke meldt om at svakheten enda blir utnyttet i reelle angrep. Svakheten var ikke så alvorlig som den var hauset opp til å være, men kan bli brukt i typiske APT-angrep for å oppnå utvidet tilgang internt i nettverk.

WhatsApp implementerte i april ende-til-ende kryptering på alle versjoner av applikasjonen. Alle meldinger, tekst eller video sendt med applikasjonen blir nå kryptert med Signal Protocol, som blir laget av Open Whisper Systems. Appen Signal bruker den samme teknologien, men har ikke like stor utbredelse som WhatsApp. Denne krypteringsprotokollen implementerer også "perfect forward secrecy". Dette gjør at selv om krypteringsnøkkelene skulle bli kompromittert via fysisk tilgang til enheten, kan disse ikke bli brukt til å dekryptere tidligere sendte meldinger.

Femte april ble en ny kritisk svakhet rapportert i Adobe Flash Player. Svakheten muliggjør kjøring av tilfeldig kode dersom en spiller av en spesiell Flash-fil. Svakheten ble allerede aktivt utnyttet til målrettede angrep da den ble annonsert av Adobe. Åttende april lanserte Adobe en ny versjon som utbedret svakheten.

Petya er en ny type ransomware som krypterer alle dataene på harddisken og gjør PCen helt ubrukelig inntil løsepengene blir betalt. I april satte noen opp en tjeneste for å dekryptere harddisker som har blitt kryptert av Petya. Alt som trengs er noe data fra den krypterte harddisken. Tjenesten bruker så noen få sekunder på å finne nøkkelen. Utviklerne bak malwaren hadde heldigvis gjort en feil i implementeringen av kryptografien slik at denne var forholdsvis lett å knekke.

Den andre helgen i april presenterte minst 288 nederlandske nettsteder annonser som sendte brukeren videre til exploit-kits. De fleste store nettavisene i landet var berørt. Disse prøvde igjen å utnytte svakheter for å installere ransomware på besøkende PCer. Det er dessverre ganske enkelt å bestille en annonse som kan infisere besøkende PCer.

Flere er siktet etter Norges største narkoaksjon på det mørke nettet. Det mørke nettet er en hemmelig del av Internett hvor blant annet kriminelle selger narkotika, gjerne gjennom markedsplasser. Det benytter seg av teknologien Tor (The Onion Router). Den mest kjente markedsplassen for salg av narkotika het Silk Road, og da denne til slutt ble tatt ned av FBI tilbake i 2014, fikk FBI tilgang til databasen hvor de oppdaget hundrevis av nordmenn. Kripos satte i gang en etterforskning som ledet til siktelse av 15 nordmenn. Disse skal siden 2012 ha solgt narkotika for millioner til flere hundre nordmenn. TOR brukes også til å omgå myndighetssensur og overvåking.

Hackerne som står bak utviklingen av trojaneren og botnet-rammeverket SpyEye, ble dømt til henholdsvis 9.5 år og 15 år i fengsel. Hackerne kommer opprinnelig fra Russland og Algerie, men ble dømt i USA etter å ha blitt utlevert.

Utvikleren bak Blackhole Exploit Kit, Dmitry Fedotov ble i en russisk domstol dømt til 7 års fengsel. Fedotov ble arrestert sammen med flere andre Blackhole utviklere i 2013. Blackhole er anslått til å ha gjort skader for flere millioner kroner.

mandag 4. april 2016

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2016

I mars håndterte vi 142 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåkning. Dette var en nedgang fra 226 hendelser i februar. Også denne måneden er det mange brukere som blir lurt til å besøke sider for nedlasting av ransomware. Dette skjer gjerne etter at de har trykket på en lenke i e-post.

Telenor SOC håndterte 125 DDoS-angrep i mars, litt ned fra 138 i februar. Det største angrepet i perioden var på 21.7Gbps. Angrep av typen DNS-reflection dominerer fortsatt.

I mars ble det oppdaget en ny svakhet i SSL som fikk navnet “DROWN”. Svakheten gjør at trafikk mot servere som støtter den utdaterte protkollen SSLv2 kan bli dekryptert av angriper. Har serveren delt sertifikat mellom SSLv2 og TLS, kan også trafikk kryptert med TLS-kryptering dekrypteres, da sertifikatet blir kjent. Angriperen trenger, i følge forskere hos drownattack.com, å analysere rundt 1000 SSL-handshakes for å lykkes. Svakheten kan unngås ved å skru av støtte for den gamle SSL v2-protokollen.

LA Times meldte at Pentagon har begynt med cyberangrep mot IS. Dette er første gangen Pentagon offisielt sier at de angriper via cyber-domenet. Angrepene skal ha hjulpet til med å drive IS ut av byen Shaddada i februar. Av beskrivelsen virker det som om DDoS-angrep var en av teknikken som ble brukt.

En uavhengig sårbarhetstest slo ut Telenors mobilnett i flere timer i starten av mars. En signaleringsmelding beregnet på å avdekke sårbarhet for informasjonslekkasje medførte en driftsforstyrrelse. Systemet som skulle tolke meldingen klarte ikke å håndtere den og krasjet.

Midt i mars spredde flere store nettsteder ransomware over flere dager gjennom infiserte annonser. Dersom besøkende til nettsidene benyttet en gammel versjon av Flash eller Java, risikerte de å få maskinen sin infisert. Blant de nettstedene som ble berørt av dette var MSN, BBC og New York Times.

I et forsøk på å sende sikkerhetsanalytikere på villspor, begynner flere og flere APT-grupper å legge inn falske indikasjoner på hvem de er og hvor de måtte befinne seg. De endrer f.eks. tidssone på maskinen, legger inn tekst på irrelevante språk, bruker andres kode osv. Denne utviklingen gjør det stadig vanskeligere å finne ut hvem som står bak målrettede angrep.

Like før påske ble en rekke svenske nyhetsmedier, deriblant DN, Expressen, Svenska Dagbladet og Aftonbladet, utsatt for DDoS-angrep. Det er ikke avklart hvem som står bak, men svenske medier viste til statistikk fra netnod.se som viste økende trafikk fra Russland i samme tidsperiode som angrepene skjedde.

Microsoft utga denne måneden et verktøy for administratorer som vil gjøre det mulig å blokkere eksekvering av makroer i MS Office 2016 via Group Policy. Dette har vært en etterlengtet funksjon, da man blandt annet har sett mye  ransomware bli eksekvert og installert via makroer i Microsoft Word-dokumenter.

USA har tiltalt syv iranere og to syrere for data-angrep mot USA. Iranerne jobbet angivelig på vegne av den iranske regjeringen. Syrerne skal tilhøre Syrian Electronic Army, en gruppering som har forbindelser til regjeringen i Syria. Iranske myndigheter nekter for angrepene og mener tvert imot at USA satte liv i fare i forbindelse med deres Stuxnet-program som angrep iranske anrikningsanlegg for uran.

Gjennom hele mars prøvde FBI å få Apple til å låse opp en iPhone brukt av en terrorist. FBI ville ha Apple til å lage en spesiell versjon av iOS som kunne omgå sikkerheten i mobilen. Apple nektet å etterkomme kravet. Mot slutten av måneden frafalt FBI kravet, da de hadde funnet en ukjent tredjepart som kunne låse opp mobilen for dem.

Ransomware har angrepet flere sykehus i USA den siste måneden. Den største saken gjelder et angrep mot sykehuskjeden MedStar, som driver 10 sykehus og 250 mindre klinikker. Etter angrepet gikk det meste av datasystemer ned og mange behandlinger ble utsatt. Sykehus blir ofte rammet av ransomware, da de gjerne har gamle og usikrede datasystemer.  Angrepene mot sykehus skiller seg også fra vanlige angrep mot tilfeldige privatpersoner. Sykehusene blir ofte angrepet gjennom svakheter i eksponerte tjenester, og det interne nettverket blir kartlagt før krypteringen av flere systemer starter samtidig. Løsepengesummene er også mye høyere enn i angrep mot privatpersoner.


onsdag 2. mars 2016

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2016

Alvorlige hendelser håndtert i vår tjeneste Sikkerhetsovervåkning var i februar hele 226, en økning på nesten 100% fra januar. Den viktigste grunnen til oppgangen var at mange brukere ble lurt til å klikke seg inn på en nedlastingsside for malware, kamuflert som en hentelapp fra Posten. Se egen sak om dette under.

I februar håndterte vi 138 DDoS-angrep, noe ned fra 171 i januar. Som tidligere er det fortsatt DNS som er den foretrukne protokollen for angrep. NTP og CHARGEN kommer som nummer to og tre. Totalt så vi 427 angrep over 1 Gbps og 30 angrep over 10 Gbps. Det største registrerte angrepet i måneden var på hele 40 Gbps. Mange angrep er såpass kortvarige eller små at de ikke blir håndtert.

Gjennom februar måned ble det spredt store mengder e-poster som ga seg ut for å komme fra Posten. Mottakeren ble forsøkt lurt til å laste ned ransomware forkledd som en hentelapp. Blant bedrifter som ble rammet var blant annet Schibsted og Teknisk Ukeblad. Heldigvis hadde bedriftene god backup av sine data.

I februar ble Telenors merkenavn utnyttet i forbindelse med svindel på nettet. Også her ble store mengder falske e-poster sendt ut. Innholdet gikk ut på at abonnenten hadde betalt sin siste regning to ganger. Lenken i e-posten førte til et refusjonsskjema. Her prøvde svindlerne å lure til seg kredittkort-informasjonen til offeret.

PSTs trusselvurdering for 2016 ble lagt fram i februar. Den slår fast at etterretningsvirksomheten fra utenlandske stater i Norge stadig øker. Russland trekkes spesielt fram. Justisminister Anders Anundsen mener at nordmenn, norske bedrifter og offentlige organer er ekstremt dårlige til å beskytte informasjonen sin mot denne typen trusler.

Danske CSIS meldte om en bølge med Android malware som ble forsøkt spredd via SMS i Danmark. SMSen inneholder en lenke til en ondsinnet Android-applikasjon, som vil bli installert på telefonen dersom bruker aksepterer dette, og tillater installasjon av applikasjoner fra ukjente kilder. En må regne med at tilsvarende angrep snart kan spre seg til Norge.

USA hadde planer om å ta i bruk cyberangrep dersom deres forsøk på å begrense Irans utvikling av atomvåpen ikke hadde nådd frem. Planen inkluderte å uskadeliggjøre antiluftskyts, kommunikasjonssystemer, samt å skru av deler av strømnettet i landet. Dette kom fram i en ny dokumentarfilm der flere personer fra det amerikanske militæret ble intervjuet.

Etter terroraksjonen i San Bernardino fikk FBI tak i en mobiltelefon av typen iPhone 5s som ble brukt av en av terroristene. Telefonen er låst med PIN-kode. FBI har derfor, via retten, bedt Apple om å lage programvare som de kan laste inn i minnet på telefonen. Denne skal gi mulighet til å bruteforce PIN-koden fra en ekstern PC så fort hardwaren tillater det. Apple har via en pressemelding uttalt at dette er noe de absolutt ikke ønsker å gjøre, da dette vil være det samme som å bygge inn en bakdør  i iOS-operativsystemet. De frykter at dette kan få store konsekvenser hvis det skulle havne i feil hender. Den rettslige kampen har fortsatt gjennom februar.

Bloggeren Troy Hunt avslørte at dersom du kjenner rammenummeret til en Nissan Leaf, kan du skru av/på klima-anlegget, starte/stoppe lading, samt få en detaljert oversikt over kjøreturer og energiforbruk. Normalt skal dette bare kunne gjøres via en app tilknyttet din egen konto, men det viste seg at man kun trenger en PC med internett-tilgang og bilens rammenummer. Rammenummeret kan med enkelthet få tak i, om en har registreringsnummeret. Heldigvis er det ingen sikkerhetskritiske funksjoner som kan fjernstyres. Batteriet kan imidlertid tappes gjennom å skru på "forvarming" gjentatte ganger. Saken viser nok en gang at "tingenes Internett" ofte er dårlig sikret. Nissan slo av muligheten til å bruke appen etter få timer.

I februar ble det avslørt en alvorlige svakhet i getaddrinfo()-funksjonen i Glibc-biblioteket som kan gjøre det mulig for en angriper å få eksekvert kode på sårbare maskiner. Dette biblioteket brukes blant annet av samtlige Linux-varianter. Getaddrinfo()-funksjonen brukes under DNS-oppslag. En DNS-tjener kan utnytte svakheten ved å returnere spesielt store pakker med fiendtlig kode. Utnyttelse av svakheten er derimot ikke helt rett frem, da dette krever at man omgår flere sikkerhetsmekanismer på systemet.

torsdag 4. februar 2016

Oppsummering av nyhetsbildet for januar 2016

Antall håndterte hendelser i forbindelse med vår tjeneste Sikkerhetsovervåkning gikk, i januar, ned til 122, mot 201 i desember. Det er fortsatt mange trojanere som stjeler personlig informasjon fra brukerne. De fleste blir, som tidligere, smittet gjennom vedlegg i e-poster. Dette er nå den foretrukne måten å spre malware på, både for masse-angrep og målrettede angrep mot bedrifter. Vår anbefaling er å verifisere med avsender først, dersom du skal åpne uventede vedlegg i e-poster!

Antall håndterte DDoS-angrep var omtrent på samme nivå som sist måned. Det ble håndtert 171 angrep, mot 164 i desember. DNS er fortsatt den foretrukne protokollen for angrep, og det største angrepet i perioden var på 32Gbps. Flere av TSOCs kunder som har tjenesten DDoS-beskyttelse ble angrepet i løpet av måneden.

Lille julaften mistet hundretusener strømmen i Ukraina. I ettertid har det vist seg at et godt koordinert cyber-angrep var årsaken til strømbruddet. En gruppering kalt Sandworm, som trolig har russisk tilknytning, stod bak angrepet. Datamaskiner og servere ble først infisert ved hjelp av malwaren BlackEnergy. Dette gjorde at angriperne fikk kontroll over tilkoblede SCADA-systemer. Strømsystemet ble forstyrret, og de infiserte maskiner ble deretter slettet ved hjelp av BlackEnergy-malwaren for å gjøre feilretting vanskelig. Samtidig ble også sentralbordene nedringt av flere tusen falske telefonsamtaler, slik at kundene ikke klarte å varsle om hva som skjedde. Det tok flere timer før strømmen var tilbake. Mange mener at dette angrepet er et veiskille når det gjelder angrep mot kritisk infrastruktur over Internett.

Perception Point Research Team fant i januar en svakhet i Linux-kjernen som gjør det mulig for angripere å få lokale administrator-rettigheter. Denne svakheten finnes i versjon 3.8 og senere av kjernen, samt i flere nyere Android-versjoner. Flere distribusjoner av Linux, som Ubuntu, Debian og Red Hat, var raskt ute med oppdateringer. Nyere versjoner av Android er også sårbare, men innebygde sikkerhetsmekanismer som SELinux (Security Enhanced Linux) skal gjøre det vanskeligere å utnytte svakheten. En Android-bruker må også lures til å installere en app som utnytter svakheten for å bli kompromittert. Det er hittil ikke meldt om stor utnyttelse av svakheten mot noen av de sårbare plattformene.

I desember ble det avslørt at nettverksutstyr fra Juniper hadde to svakheter. Den ene var en hardkodet bakdør, mens den andre var en svakhet i krypteringssystemet som gjorde det mulig å avlytte VPN-trafikk. Den sistnevnte svakheten var avhengig av NSA-utviklede algoritmer for å kunne utnyttes. Juniper har nå bestemt seg for å fjerne den aktuelle algoritmen (Dual_EC_DRBG) fra fremtidige versjoner av programvaren.

Sikkerhetsforsker og "Google Project Zero"-medlem Tavis Ormandy avslørte i januar en kritisk sårbarhet i Trend Micros Antivirus-løsning. Sårbarheten lå i passord-manageren som følger med antivirus-produktet. Den åpnet for at maskiner med programmet installert kunne kapres, infiseres med malware eller tappes for data, kun ved å besøke en nettside som utnyttet sårbarheten. Trend Micro ga raskt ut en oppdatering som tettet sårbarheten. Tavis rapporterte at det også finnes andre tvilsomme sikkerhetsløsninger i produktet. Det kommer blant annet med en "Secure Browser" basert på en gammel utgave av Chromium, med viktige sikkerhetsmekanismer deaktivert.

Sjefen for NSAs TAO-gruppe (Tailored Access Operations) kom med gode råd for hvordan en kan unngå å få APT-hackere i nettet sitt. Blant annet anbefaler han å kjenne nettet sitt godt, bruke white-listing av applikasjoner og å dele nettet inn i ulike soner. Han tilbakeviser også myten om at NSA og andre lignende organisasjoner ofte benytter seg av zero-day svakheter, da dette i de fleste tilfeller ikke er nødvendig.

I januar ble det oppdaget en hardkodet bakdør i eldre versjon av FortiOS fra versjon 4.x opp til 5.0.7. Svakheten ble patchet i juli 2014 etter at den ble oppdaget internt hos Fortigate. Firmaet opplyser også at bakdøren ikke har blitt lagt inn med onde hensikter. Antakeligvis har den blitt brukt til innlogging mellom forskjellig utstyr fra Fortigate.

Europol opplyste i en pressemelding at de har arrestert to medlemmer av hackergruppen DD4BC i Bosnia-Hercegovina. DD4BC står bak mange DDoS-angrep med tilhørende pengeutpressing fra bedrifter. Gruppen har også drevet utpressing mot flere firmaer i Norge.


torsdag 7. januar 2016

Oppsummering av nyhetsbildet for desember 2015

Antallet håndterte hendelser i forbindelse med tjenesten Sikkerhetsovervåking gikk kraftig opp fra 124 i november til 201 i desember. Denne måneden er det to typer malware som dominerer: Dridex og Alphacrypt. Trojaneren Dridex stjeler personlig informasjon fra brukeren som bankdetaljer, mens Alphacrypt er utpressingsprogramvare. Spredningsvektor for begge er hovedsaklig e-post. Husk å være forsiktig med å åpne vedlegg du er usikker på!

I desember håndterte TSOC 164 DDoS-angrep, opp fra 146 i november. Det største angrepet var av typen DNS-reflection og var på 59Gbps. DNS-reflection var også den vanligste angrepstypen, fulgt av NTP, chargen og SSDP.

Juniper oppdaget en bakdør i brannmurene sine som kan gi en angriper administratortilgang til brannmuren ved hjelp av et statisk passord, kamuflert for å se ut som programmerings-kode. Det ble også oppdaget at noen har endret på koden for å kryptere VPN-trafikk slik at denne var enkel å dekryptere med den riktige kunnskapen. Juniper ga ut en nød-fiks som fjerner den "uautoriserte koden" som var årsaken til de to bakdørene. Den manipulerte koden skal ha vært i systemene siden 2012. Noen dager etter offentliggjøringen fra Juniper ble passordet til bakdøren offentlig kjent. Det mistenkes at en avansert aktør, som en nasjonalstat, står bak bakdørene.

Fra mandag 14 desember og utover i julen var tyrkiske DNS-servere under vedvarende DDoS angrep på rundt 40Gbps, med topper opp mot 200Gbps. Angrepet resulterte i at over 400 000 websider var nede i Tyrkia og DNS-serverene ikke fikk svart på forespørsler. All trafikk til/fra Tyrkia ble kuttet, for å forsøke å stoppe angrepet, men dette måtte gis opp etter et døgn. Den 25. desember rapporterte også flere tyrkiske banker at de opplevde sporadiske avbrudd ved kreditt-kort transaksjoner og nettsider som var nede. Flere tyrkiske banker bekreftet at de var under DDoS-angrep. Dette var antakeligvis en utvidelse av angrepene mot DNS-serverne. Angrepene skal nå være over. Anonymous har tatt på seg ansvaret, men mange mistenker at Russland er ansvarlig.

EU-landene har blitt enige om felles retningslinjer for cyber-sikkerhet. Firmaer som er involvert i kritisk infrastruktur (energi, transport, bank, finans, helse og vann) må ha forsvarbare nett og raskt melde fra om sikkerhetshendelser. Hvert land må også etablere et eget CSIRT, Computer Security Incidents Response Team.

Kina og USA har i desember hatt sitt første møte om cybersikkerhet etter å ha inngått en samarbeidsavtale. Under møtet har Kina sagt at de har arrestert flere kriminelle som sto bak innbruddet mot OPM, Office of Personnel Management, tidligere i år. Angriperne klarte å stjele sikkerhetsklareringer og privat informasjon, inkludert fingeravtrykk, tilhørende millioner av sikkerhetsklarerte amerikanere.

Sikkerhetsforskere ved FOX IT publiserte en detaljert rapport om botnettet Ponmocup. De anslår at rundt 15 millioner maskiner har blitt infisert siden 2006. Botnettet er fremdels aktivt. Det blir anslått at det finnes 25 unike plug-ins og 4000 forskjellige varianter av Ponmocup, som først og fremst brukes til finansiell svindel.

ESET, Microsoft, CERT.PL og myndigheter over hele verden har samarbeidet om å ta ned kjente botnets basert på Dorkbot. Dette har de gjort ved sinkholing av kontrollservere, altså omdirigering av trafikken. Det har nå blitt delt tekniske data, analyser og annen informasjon om Dorkbot.

Pirater har bygget en falsk Apple Store kalt vShare som lar brukere laste ned apper til iPhone gratis. Apple har en mulighet for store bedrifter til selv å signere apper for signering. Piratene har fått tak i flere slike nøkler og bruker disse til å signere appene i butikken.

 
>