Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

onsdag 5. desember 2018

Oppsummering av nyhetsbildet innen datasikkerhet for november 2018

I november håndterte vårt operasjonssenter 127 alvorlige saker i forbindelse med tjenesten Sikkerhetsovervåking, opp fra 118 saker i oktober. Selv om prisene på forskjellige typer kryptovaluta har gått kraftig ned i 2018, er dette fortsatt den mest populære måte å utnytte infiserte PCer på.

Det var 400 bekreftede DDoS-angrep i november, opp fra 330 i oktober. 119 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.87 Gbps og varte typisk i 23 minutter. Det største angrepet observert i denne perioden var på 60 Gbps og varte i 11 minutter. Syv av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Mange SSD harddisker kommer med maskinvarekryptering, noe som gjør at SSDen selv kan brukes til å kryptere dataene i stedet for at dette blir gjort av programvare. Blant annet benytter Windows seg av dette og stoler på at SSDen står for krypteringen selv når Bitlocker blir brukt. Forskere ved Radbound Universitet har nå funnet ut at mange SSDer bruker en svært dårlig krypteringsimplementasjon. Crucial MX300 har for eksempel satt et tomt hovedpassord, noe som gjør det trivielt å få tak i det krypterte innholdet. Bitlocker kan heldigvis bli fortalt at den ikke skal stole på maskinvarekryptering i SSDer og i stedet bruke programvarekryptering, men mange er ikke klar over denne problemstillingen.

Den russland-baserte hackergruppen APT-29 (Cozy Bear) er kjent for innbruddet hos den amerikanske Democratic National Committee før presidentvalget i 2016. Gruppen har også angrepet norske mål i 2017. CrowdStrike oppdaget 14. november en stor spear-phishing kampanje mot flere sektorer utført av APT-29. Meldingen utga seg for å være fra "U.S Department of State" og linket til en legitim kompromittert side.

US Cyber Command opplyser at de skal begynne å laste opp malware de oppdager i forbindelse med etterforskning av utenlandske APT-grupperinger til VirusTotal. Malwaren vil bli lastet opp etter hvert som den blir avgradert. Ved at malwaren legges opp på VirusTotal, vil sikkerhetsleverandører lett kunne få tilgang til dem og legge inn deteksjon i sine sikkerhetsprodukter.

Under hackerkonkurransen Pwn2Own Tokyo 2018, ble tre populære mobiltelefoner hacket. Dette var Samsung Galaxy S9, IphoneX og Xiaomi Mi6. I alt ble 18 svakheter funnet. I et av tilfellene ble opp til fem svakheter misbrukt etter hverandre for å knekke sikkerheten. Det ble utbetalt totalt $325.000 i prispenger under konkurransen.

Versjon 3 av HTTP-protokollen vil basere seg på HTTP over QUIC og altså ikke bruke TCP-proktollen i bunnen. QUIC står for Quick UDP Internet Connections og kombinerer HTTP/2, TCP, UDP og TLS. Protokollen er alltid kryptert og er også kjappere enn TCP. Google håper at protokollen skal ta over både for UDP og TCP.

Ifølge undersøkelsen 2018 Market Pulse Survey, har ansattes datasikkerhetsvaner forverret seg i det siste. Undersøkelsen inneholder svar fra 1600 ansatte fra selskaper som har flere enn 1000 ansatte fra et utvalg vestlige land. Blant annet innrømmer 75% at de gjenbruker passord mellom kontoer, opp fra 56% i 2014. I følge undersøkelsen er det aldersgruppen 18-25 som er verstingene, der hele 87% gjenbruker passord. Det nevnes også at 50% av aldersgruppen bruker samme passord på både personlige kontoer og kontoer relatert til jobb.

Mellom 2009 og 2013 opplevde CIA at et system de hadde for kommunikasjon med agenter ble avslørt av Iran. Dette førte til at dusinvis av amerikanske agenter ble drept i Kina og Iran. Innen 2011 hadde Iran infiltrert nettverket og annonserte i mai at de hadde avslørt over 30 amerikanske spioner. Kina fikk også tak i informasjon på lignende måte og 30 amerikanske agenter ble henrettet.

Ironisk nok ble det i oktober oppdaget en alvorlig svakhet i WordPress GDPR Compliance Plugin. Svakheten gjør det mulig å opprette brukere og gi disse administrator-rettigheter. Videre gir svakheten også muligheten til å utføre en bakdør-installasjon ved å injisere kommandoer i cron.

torsdag 8. november 2018

Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2018

I oktober håndterte vårt operasjonssenter 118 alvorlige saker i forbindelse med tjenesten Sikkerhetsovervåking. Denne måneden har vi innført en ny måte å definere alvorlige hendelser på for denne oppsummeringen, der en del automatisk håndtere saker blir tatt vekk. Antallet hendelser vil derfor trolig være noe lavere enn før i tiden framover.

Det var 330 bekreftede DDoS-angrep i oktober, opp fra 261 i september. 95 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.98 Gbps og varte typisk i 14 minutter. Det største angrepet observert i denne perioden var på 48.8 Gbps og varte i 26 minutter. To av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Hackere utnyttet flere svakheter i plattformen til Facebook, noe som lot dem få tak i tilgangs-tokener til rundt 30 millioner Facebook kontoer. 14 millioner av disse mistet personlig informasjon som navn, kontaktinformasjon samt flere andre personlige detaljer. Hackerne hadde full kontroll over alle kontoene, men rakk ikke å foreta seg noe aktivt med dem før Facebook nullstilte alle tilgangene. Utover måneden ble det rapportert at det mest sannsynlig var spammere som sto bak angrepet, og ikke statlige aktører, som mange først mistenkte.

Nyhetstjenesten Bloomberg hadde i oktober to reportasjer om hvordan hardware fra SuperMicro ble manipulert for å kunne fjernstyres og avlyttes. Den første artikkelen omhandlet mikrobrikker som ble lagt til hovedkort etter produksjonen, den andre tok for seg manipulerte ethernet-kontakter. Utstyret skal ha endt opp hos 30 store amerikanske selskaper, blant annet Amazon og Apple. Ingen bevis ble framlagt, og etter hvert avviste både Apple, Amazon og sikkerhetsmyndighetene i både USA og UK at dette hadde skjedd. Det finnes også alternativer som både er vanskeligere å oppdage og lettere å gjennomføre enn å manipulere hardware direkte, som for eksempel å manipulere BIOS på hovedkortet.

I desember 2017 omtalte vi en større lekkasje av 1.4 milliarder brukernavn og passord. Denne måneden fant Aftenposten fram denne nyheten igjen, siden de oppdaget en nettside som enkelt lot dem søke opp epostadresser fra lekkasjen og få fram passordene i klartekst. Saken fikk enda større oppmerksomhet i media denne gangen. Vi anbefaler tjenesten haveibeenpwned.com for å bli varslet dersom noen hacker en tjeneste og ditt brukernavn og passord blir lekket.

Forskere har funnet ut at China Telecom har brukt BGP-spoofing til å route Internett-trafikk fra Canada og USA gjennom Kina. Ukryptert trafikk antas å ha blitt analysert og lest. Forskningen er publisert i en paper i Military Cyber Affairs og er et samarbeid mellom US Naval War College og Tel Aviv University. Dette skal ha foregått i flere år og er også bekreftet av andre kilder.

Politiforum hadde en artikkel om oppstykket ansvar og mange aktører i cyberspace. Lista over aktører som skal gripe inn mot cyberkriminalitet begynner å bli lang, og siste skudd på stammen er et nytt nasjonalt cybersikkerhetssenter i Nasjonal sikkerhetsmyndighet. Det kan være vanskelig å forstå hvem som skal gjøre hva og hvor man skal henvende seg. Politiforum hadde en gjennomgang av hvordan situasjonen er i dag og fremtidige planer.

fredag 12. oktober 2018

Oppsummering av nyhetsbildet innen datasikkerhet for september 2018

I september ble det registrert 239 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, opp fra 170 i august. Fortsatt er det mange maskiner som blir infisert av programvare som utvinner kryptovaluta, selv om prisene har gått kraftig ned i løpet av året. Vi har også sett noen maskiner infisert av bank-trojaneren Retefe, etter at denne ble spredt via e-poster i Norge denne måneden.

Det var 261 bekreftede DDoS-angrep i august, opp fra 213 i august. 58 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.61 Gbps og varte typisk i én time. Det største angrepet observert i denne perioden var et SYN-angrep på 25.2 Gbps og varte i én dag. Seks av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Myndighetspersoner fra de Forente Arabiske Emirater skal i over et år ha brukt et spionasjeverktøy utviklet av selskapet NSO-group basert i Israel. Da selskapet tilbød dem en kostbar oppdatering av verktøyene, ble det forespurt om selskapet kunne levere dokumentasjon av vellykket spionasje mot en rekke viktige personer. En Saudi-Arabisk prins og en redaktør i en kjent arabisk avis skal ha vært blant de ønskede målene. Fire dager senere skal en representant for NSO-group ha sendt en e-post med opptak av telefonsamtaler utført av redaktøren, Abdulaziz Alkhamis. Senere skal redaktøren ha bekreftet at samtalene ble utført av han, og at han ikke visste at han ble overvåket. Informasjonen har kommet frem i en rettssak der NSO-group er beskyldt for deltakelse i ulovlig spionasje.

Representanter fra USA, Storbritannia, Canada, Australia og New Zealand, som går under navnet The Five Eyes, har igjen gitt indikasjoner om at de vil ha muligheten til å dekryptere kryptert kommunikasjon som de mener kan hjelpe deres etterforskninger. De vil oppnå dette ved å få store teknologiselskaper til å samarbeide med dem om få dekryptert kommunikasjonen. Om teknologiselskapene nekter, vil landene prøve å legge til rette nye lover for å kreve dette av dem.

Det amerikanske justisdepartementet har siktet én person, Park Jin Hyok, for å ha medvirket til Nord-Koreas ondsinnede nettaktiviteter i forbindelse med WannaCry-angrepet. Han skal sammen med andre ha utført handlingene for den nordkoreanske staten. Den siktede beskyldes også for å ha vært delaktige i angrepet på Sony Pictures i 2014. Dette angrepet var en hevnaksjon etter at selskapet laget en komedie som gjorde narr av den nordkoreanske diktatoren.

I følge den Nederlandske avisen Swiss Daily har nederlandsk sikkerhetspoliti pågrepet og utvist to russere som påstås å høre til etterretningstjenesten GRU. De to er mistenkt for å ha planlagt et hacker-angrep mot Speiz-labratoriet i Bern, som i september jobbet med å undersøke giften
som ble brukt i drapsforsøket på den tidligere russiske agenten Sergei Skripal og hans datter i Salisbury.

I forbindelse med Nato-øvelsen Trident Juncture sier Erna Solberg at vi må regne med kyberangrep fra Russland og andre aktører. Under øvelsen vil det være mange som har interesse av å drive etterretningsvirksomhet mot Norge og Cyberforsvaret har derfor økt deres beredskap. E-tjenesten, PST, NSM, Forsvarets sikkerhetsavdeling, Cyberforsvaret og NATO vil ha et tett samarbeid og løpende utveksle informasjon med hverandre under øvelsen.


En tidligere NSA-ansatt tok med seg gradert materiale til sin hjemme-PC mellom 2010 og 2015. Han er nå dømt til 66 måneders fengsel etter lovbruddet, som førte til at russiske myndigheter fikk tak i det graderte materialet, antakeligvis gjennom anti-virus-programvare fra Kaspersky Labs. Programvare fra Kaspersky har siden blitt forbudt på statlige datamaskiner. Kaspersky benekter at de har gitt videre gradert materiale til russiske myndigheter.

tirsdag 4. september 2018

Oppsummering av nyhetsbildet innen datasikkerhet for august 2018

I august ble det registrert 170 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, ned fra 184 i juli. Det er ingen spesielle angrepskampanjer som skiller seg ut denne måneden. Av sikkerhetshendelser er det for eksempel skanning etter diverse svakheter, malware som utvinner kryptovaluta, forsøk på innlogging ved å prøve mange forskjellige brukernavn/passord og nettleserutvidelser som spionerer på brukerne.

Det var 213 bekreftede DDoS-angrep i august, opp fra 171 i juli. 81 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.67 Gbps og varte typisk i 23 minutter. Det største angrepet observert i denne perioden var et SYN-angrep på 85.0 Gbps og varte i én time. Fem av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Den indiske banken Cosmos Bank ble utsatt for dataangrep hvor 13,5 millioner dollar ble stjålet. Angriperne klarte å bryte seg inn hos banken, og deretter ble 2 millioner dollar stjålet via bankoverføringer og 11,5 millioner dollar via uautoriserte minibank-uttak i mer enn 24 land. Dette skjedde etter at FBI gikk ut med advarsel om kommende global minibank-svindel.

Facebook annonserte i begynnelsen av august at de hadde oppdaget en pågående kampanje der en rekke ikke-autentiske sider og brukere ble brukt til politisk påvirkning. I følge Facebook er det snakk om 17 brukerprofiler, åtte Facebook-sider, og syv Instagram-kontoer. Mellom April 2017 og Juni 2018 skal kontoene ha betalt 11.000 dollar for 150 reklame-kampanjer på de to plattformene.

Microsoft hevdet å ha funnet seks falske nettsider som hadde som mål å hacke maskinene til de som besøkt sidene. Noen av nettsidene skal ha vært relatert til offentlig politikk og Senatet, og alle sidene skal ha blitt opprettet av en gruppe som blir knyttet til den russiske regjeringen, APT-28. Microsoft fikk kontroll over DNS-pekerne til sidene ved hjelp av en amerikansk domstol for å gjøre videre undersøkelser.

Datasikkerhet hos Bergen Kommune har vært mye omtalt i august. Mandag 13. august ble det sendt ut en melding fra administrator-brukeren fra systemet eFeide. Årsaken til "hackingen" var at brukernavn og passord til administrator-brukeren lå i en fil som elever hadde tilgang til var. En elev varslet skolen om om glippen i vår, men ble ikke hørt. Kommunen risikerer nå millionbot fra Datatilsynet etter sikkerhetstabben.

En rapport publisert av Netscout Arbor forteller at det var syv ganger flere DDoS-Angrep over 300 Gbps i første halvdel av 2018, sammenlignet med første halvdel av 2017. Gjennomsnittsstørrelsen på DDoS-angrep steg med 174% i perioden, men frekvens på antall angrep gikk ned 13%. Økningen skyldes i stor grad oppdagelsen av nye metoder for distribuerte angrep, og det store antallet ubeskyttede IoT-enheter.

Flere produsenter av routere har svakheter i nøkkelhåndteringen i forbindelse med VPN-forbindelser. Svakhetene ligger i IKE v1. Nøkler kan utsettes for offline brute-force angrep. Cisco, Huawei og Zyxel har allerede sluppet oppdateringer.

Forskere har oppdaget enda flere svakheter i Intel-CPUer som kan brukes til å lese ut sensitive data, spesielt i virtuelle miljøer. De nye svakhetene er kalt Foreshadow, og lar angripere lese ut info fra Level 1-cache og SMM (System Management Mode)), operativsystem-kjernen og informasjon tilhørende andre virtuelle maskiner som kjører på samme CPU. Mange eksperter anbefaler nå å slå av “multithreading”/SMT i BIOS for å unngå mange av svakhetene som har vært offentliggjort for Intel-CPUer i det siste.

Samferdselsdepartementet sier de vil vurdere mulige tiltak overfor utstyrsleverandører fra land Norge ikke har sikkerhetspolitisk samarbeid med. USA har bannlyst Huawei og ZTE fra sine mobilnett, og nå har også Australia truffet en tilsvarende avgjørelse; de to kinesiske selskapene får ikke være med på utbygging av mobilnett i Australia.

Tre Ukrainske hackere er arrestert i henholdsvis Polen, Tyskland og Spania. Arrestasjonene skjedde i løpet av våren, men har først nå blitt offentliggjort. De tre skal ha vært medlemmer av gruppen FIN7/Carbanak Group og har blitt etterforsket av amerikanske myndigheter.

fredag 3. august 2018

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2018

I juli ble det registrert 184 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, opp fra 165 i juni Denne måneden var det flere brukere som ble lurt til å gi fra seg brukernavn og passord i forskjellige phishing-angrep. Vi hadde også tilfeller av maskiner som ble infisert av bank-trojaneren Retefe etter at denne ble spredt i Norge i flere runder med spam-eposter.

Det var 171 bekreftede DDoS-angrep i juli, litt ned fra 182 i juni. 64 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.84 Gbps og varte typisk i 23 minutter. Det største angrepet observert i denne perioden var på 33.6 Gbps og varte i 6 minutter. To av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Typeform, en tredjepartsløsning brukt av blant annet Schibsted og Aller Media, har blitt rammet av et hackerangrep. Dette medfører at informasjon om brukere av Aftenposten, Dagbladet og Bergens Tidende har kommet på avveie. I alt skal det var rundt 30.000 nordmenn som er rammet og disse har blitt informert om dette. Typeform blir brukt til brukerundersøkelser. Informasjonen som er stjålet er: navn, alder, kjønn, epost-adresse, mobilnummer og besvarelser fra undersøkelsene. Passord og betalingsinformasjon skal ikke ha blitt stjålet.

Justisdepartementet i USA har anklaget 12 russiske statsborgere for å ha deltatt i hackerangrepet under presidentvalget i 2016. Alle de 12 tiltalte skal være medlemmer av GRU, som er en militær etterretningsorganisasjon. Avsløringen gir mer detaljert informasjon om det sofistikerte angrepet på det amerikanske presidentvalget, inkludert utgivelsen av e-postmeldinger designet for å sverte den demokratiske presidentkandidaten Hillary Clinton.

I juli dukket det opp en ny form for utpressings-eposter som viste seg å være svært effektive. Svindlere sender e-poster som inneholder mottakers tidligere passord, hentet fra en tidligere offentlig tilgjengelig lekkasje av brukernavn/passord. Eposten informerer så om at de har infisert en nettside som har pornografisk innhold, og at mottakeren har blitt filmet under besøk av siden. Svindlerne truer deretter med å sende videoen til venner og familie om mottaker ikke betaler, dette til tross for at videoen ikke eksisterer.

SIM-hijacking har i løpet av de siste årene blitt en mer vanlig angrepsvektor. Fremgangsmåten er at en angriper først kontakter mobiloperatøren til offeret og utgir seg for å være eieren av mobilnummeret. Der forteller de at de har mistet SIM-kortet sitt, og ber om å flytte nummeret over til et nytt SIM-kort som angriperen allerede innehar. Angriperen må så oppgi tilstrekkelig med personlig informasjon om offeret, ved å for eksempel bruke data fra tidligere datalekkasjer, til å overbevise den ansatte som jobber hos mobiloperatøren om at angriper faktisk er offeret. Derfra kan angriperen resette offerets brukerkontoer på diverse online-tjenester ved å bruke mobilnummeret som metode for tilbakestilling av passord. Ved bruk av denne angrepsmetoden hjelper det heller ikke at brukeren benytter SMS-basert to-faktor autentisering på tjenestene sine, ettersom angriperen allerede har full kontroll over offerets mobilnummer. For å motvirke denne formen for angrep er det nødvendig å bruke fysiske enheter som den andre faktoren ved autentisering, f.eks. Yubikeys.

Etter at Google i tidlig 2017 innførte fysiske sikkerhetsnøkler i stedet for passord og engangskoder for alle sine 85 000 ansatte, har ikke selskapet opplevd noen vellykkede phishing-angrep mot jobbrelaterte kontoer. Fysiske sikkerhetsnøkler er rimelige USB-baserte enheter som tilbyr tofaktorautentisering. I motsetning til engangskoder på sms eller gjennom en app, implementerer fysiske sikkerhetsnøkler en form for multifaktorautentisering kjent som Universal 2nd Factor (U2F), som gjør det mulig for brukere å fullføre innloggingsprosessen ved å sette inn en USB-enhet og trykke på en knapp på enheten. Angripere kan på denne måten ikke fange opp engangskoden mellom brukeren og enheten den skrives inn på. U2F er en open source autentiseringsstandard, som blant annet kan brukes på tjenester som Dropbox, Github og Facebook og Google.

En velkjent hackergruppe kjent under navnet MoneyTaker har stjålet omtrent en million dollar fra den russisk banken PIR Bank etter å ha infiltrert nettverket via en utdatert ruter. Group-IB, et russisk sikkerhetsfirma som ble kalt inn for å undersøke hendelsen, melder at de har "sikre digitale bevis som impliserer MoneyTaker i tyveriet" etter å ha undersøkt infiserte arbeidsmaskiner og servere hos PIR Bank.

SingHealth i Singapore har blitt rammet av det som omtales som landets verste cyberangrep, ifølge lokale medier. 1.5 millioner pasient-profiler og 160.000 resept-detaljer ble stjålet. Blant annet ble resept-detaljer til statsministeren, Lee Hsien Loong, stjålet. Ifølge regjeringen var angrepet ikke gjort av vanlige hackere eller kriminelle gjenger, siden det var målrettet og godt planlagt. Det er fremdeles ukjent hvem som står bak, men ifølge lokale medier antas det å være statsstøttet. Regjeringen har forsikret innbyggerne om at ingen av profilene har blitt tuklet med og at det eneste som ble stjålet var deres personlige profiler.

 
>