Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 12. oktober 2018

Oppsummering av nyhetsbildet innen datasikkerhet for september 2018

I september ble det registrert 239 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, opp fra 170 i august. Fortsatt er det mange maskiner som blir infisert av programvare som utvinner kryptovaluta, selv om prisene har gått kraftig ned i løpet av året. Vi har også sett noen maskiner infisert av bank-trojaneren Retefe, etter at denne ble spredt via e-poster i Norge denne måneden.

Det var 261 bekreftede DDoS-angrep i august, opp fra 213 i august. 58 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.61 Gbps og varte typisk i én time. Det største angrepet observert i denne perioden var et SYN-angrep på 25.2 Gbps og varte i én dag. Seks av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Myndighetspersoner fra de Forente Arabiske Emirater skal i over et år ha brukt et spionasjeverktøy utviklet av selskapet NSO-group basert i Israel. Da selskapet tilbød dem en kostbar oppdatering av verktøyene, ble det forespurt om selskapet kunne levere dokumentasjon av vellykket spionasje mot en rekke viktige personer. En Saudi-Arabisk prins og en redaktør i en kjent arabisk avis skal ha vært blant de ønskede målene. Fire dager senere skal en representant for NSO-group ha sendt en e-post med opptak av telefonsamtaler utført av redaktøren, Abdulaziz Alkhamis. Senere skal redaktøren ha bekreftet at samtalene ble utført av han, og at han ikke visste at han ble overvåket. Informasjonen har kommet frem i en rettssak der NSO-group er beskyldt for deltakelse i ulovlig spionasje.

Representanter fra USA, Storbritannia, Canada, Australia og New Zealand, som går under navnet The Five Eyes, har igjen gitt indikasjoner om at de vil ha muligheten til å dekryptere kryptert kommunikasjon som de mener kan hjelpe deres etterforskninger. De vil oppnå dette ved å få store teknologiselskaper til å samarbeide med dem om få dekryptert kommunikasjonen. Om teknologiselskapene nekter, vil landene prøve å legge til rette nye lover for å kreve dette av dem.

Det amerikanske justisdepartementet har siktet én person, Park Jin Hyok, for å ha medvirket til Nord-Koreas ondsinnede nettaktiviteter i forbindelse med WannaCry-angrepet. Han skal sammen med andre ha utført handlingene for den nordkoreanske staten. Den siktede beskyldes også for å ha vært delaktige i angrepet på Sony Pictures i 2014. Dette angrepet var en hevnaksjon etter at selskapet laget en komedie som gjorde narr av den nordkoreanske diktatoren.

I følge den Nederlandske avisen Swiss Daily har nederlandsk sikkerhetspoliti pågrepet og utvist to russere som påstås å høre til etterretningstjenesten GRU. De to er mistenkt for å ha planlagt et hacker-angrep mot Speiz-labratoriet i Bern, som i september jobbet med å undersøke giften
som ble brukt i drapsforsøket på den tidligere russiske agenten Sergei Skripal og hans datter i Salisbury.

I forbindelse med Nato-øvelsen Trident Juncture sier Erna Solberg at vi må regne med kyberangrep fra Russland og andre aktører. Under øvelsen vil det være mange som har interesse av å drive etterretningsvirksomhet mot Norge og Cyberforsvaret har derfor økt deres beredskap. E-tjenesten, PST, NSM, Forsvarets sikkerhetsavdeling, Cyberforsvaret og NATO vil ha et tett samarbeid og løpende utveksle informasjon med hverandre under øvelsen.


En tidligere NSA-ansatt tok med seg gradert materiale til sin hjemme-PC mellom 2010 og 2015. Han er nå dømt til 66 måneders fengsel etter lovbruddet, som førte til at russiske myndigheter fikk tak i det graderte materialet, antakeligvis gjennom anti-virus-programvare fra Kaspersky Labs. Programvare fra Kaspersky har siden blitt forbudt på statlige datamaskiner. Kaspersky benekter at de har gitt videre gradert materiale til russiske myndigheter.

tirsdag 4. september 2018

Oppsummering av nyhetsbildet innen datasikkerhet for august 2018

I august ble det registrert 170 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, ned fra 184 i juli. Det er ingen spesielle angrepskampanjer som skiller seg ut denne måneden. Av sikkerhetshendelser er det for eksempel skanning etter diverse svakheter, malware som utvinner kryptovaluta, forsøk på innlogging ved å prøve mange forskjellige brukernavn/passord og nettleserutvidelser som spionerer på brukerne.

Det var 213 bekreftede DDoS-angrep i august, opp fra 171 i juli. 81 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.67 Gbps og varte typisk i 23 minutter. Det største angrepet observert i denne perioden var et SYN-angrep på 85.0 Gbps og varte i én time. Fem av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Den indiske banken Cosmos Bank ble utsatt for dataangrep hvor 13,5 millioner dollar ble stjålet. Angriperne klarte å bryte seg inn hos banken, og deretter ble 2 millioner dollar stjålet via bankoverføringer og 11,5 millioner dollar via uautoriserte minibank-uttak i mer enn 24 land. Dette skjedde etter at FBI gikk ut med advarsel om kommende global minibank-svindel.

Facebook annonserte i begynnelsen av august at de hadde oppdaget en pågående kampanje der en rekke ikke-autentiske sider og brukere ble brukt til politisk påvirkning. I følge Facebook er det snakk om 17 brukerprofiler, åtte Facebook-sider, og syv Instagram-kontoer. Mellom April 2017 og Juni 2018 skal kontoene ha betalt 11.000 dollar for 150 reklame-kampanjer på de to plattformene.

Microsoft hevdet å ha funnet seks falske nettsider som hadde som mål å hacke maskinene til de som besøkt sidene. Noen av nettsidene skal ha vært relatert til offentlig politikk og Senatet, og alle sidene skal ha blitt opprettet av en gruppe som blir knyttet til den russiske regjeringen, APT-28. Microsoft fikk kontroll over DNS-pekerne til sidene ved hjelp av en amerikansk domstol for å gjøre videre undersøkelser.

Datasikkerhet hos Bergen Kommune har vært mye omtalt i august. Mandag 13. august ble det sendt ut en melding fra administrator-brukeren fra systemet eFeide. Årsaken til "hackingen" var at brukernavn og passord til administrator-brukeren lå i en fil som elever hadde tilgang til var. En elev varslet skolen om om glippen i vår, men ble ikke hørt. Kommunen risikerer nå millionbot fra Datatilsynet etter sikkerhetstabben.

En rapport publisert av Netscout Arbor forteller at det var syv ganger flere DDoS-Angrep over 300 Gbps i første halvdel av 2018, sammenlignet med første halvdel av 2017. Gjennomsnittsstørrelsen på DDoS-angrep steg med 174% i perioden, men frekvens på antall angrep gikk ned 13%. Økningen skyldes i stor grad oppdagelsen av nye metoder for distribuerte angrep, og det store antallet ubeskyttede IoT-enheter.

Flere produsenter av routere har svakheter i nøkkelhåndteringen i forbindelse med VPN-forbindelser. Svakhetene ligger i IKE v1. Nøkler kan utsettes for offline brute-force angrep. Cisco, Huawei og Zyxel har allerede sluppet oppdateringer.

Forskere har oppdaget enda flere svakheter i Intel-CPUer som kan brukes til å lese ut sensitive data, spesielt i virtuelle miljøer. De nye svakhetene er kalt Foreshadow, og lar angripere lese ut info fra Level 1-cache og SMM (System Management Mode)), operativsystem-kjernen og informasjon tilhørende andre virtuelle maskiner som kjører på samme CPU. Mange eksperter anbefaler nå å slå av “multithreading”/SMT i BIOS for å unngå mange av svakhetene som har vært offentliggjort for Intel-CPUer i det siste.

Samferdselsdepartementet sier de vil vurdere mulige tiltak overfor utstyrsleverandører fra land Norge ikke har sikkerhetspolitisk samarbeid med. USA har bannlyst Huawei og ZTE fra sine mobilnett, og nå har også Australia truffet en tilsvarende avgjørelse; de to kinesiske selskapene får ikke være med på utbygging av mobilnett i Australia.

Tre Ukrainske hackere er arrestert i henholdsvis Polen, Tyskland og Spania. Arrestasjonene skjedde i løpet av våren, men har først nå blitt offentliggjort. De tre skal ha vært medlemmer av gruppen FIN7/Carbanak Group og har blitt etterforsket av amerikanske myndigheter.

fredag 3. august 2018

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2018

I juli ble det registrert 184 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, opp fra 165 i juni Denne måneden var det flere brukere som ble lurt til å gi fra seg brukernavn og passord i forskjellige phishing-angrep. Vi hadde også tilfeller av maskiner som ble infisert av bank-trojaneren Retefe etter at denne ble spredt i Norge i flere runder med spam-eposter.

Det var 171 bekreftede DDoS-angrep i juli, litt ned fra 182 i juni. 64 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.84 Gbps og varte typisk i 23 minutter. Det største angrepet observert i denne perioden var på 33.6 Gbps og varte i 6 minutter. To av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Typeform, en tredjepartsløsning brukt av blant annet Schibsted og Aller Media, har blitt rammet av et hackerangrep. Dette medfører at informasjon om brukere av Aftenposten, Dagbladet og Bergens Tidende har kommet på avveie. I alt skal det var rundt 30.000 nordmenn som er rammet og disse har blitt informert om dette. Typeform blir brukt til brukerundersøkelser. Informasjonen som er stjålet er: navn, alder, kjønn, epost-adresse, mobilnummer og besvarelser fra undersøkelsene. Passord og betalingsinformasjon skal ikke ha blitt stjålet.

Justisdepartementet i USA har anklaget 12 russiske statsborgere for å ha deltatt i hackerangrepet under presidentvalget i 2016. Alle de 12 tiltalte skal være medlemmer av GRU, som er en militær etterretningsorganisasjon. Avsløringen gir mer detaljert informasjon om det sofistikerte angrepet på det amerikanske presidentvalget, inkludert utgivelsen av e-postmeldinger designet for å sverte den demokratiske presidentkandidaten Hillary Clinton.

I juli dukket det opp en ny form for utpressings-eposter som viste seg å være svært effektive. Svindlere sender e-poster som inneholder mottakers tidligere passord, hentet fra en tidligere offentlig tilgjengelig lekkasje av brukernavn/passord. Eposten informerer så om at de har infisert en nettside som har pornografisk innhold, og at mottakeren har blitt filmet under besøk av siden. Svindlerne truer deretter med å sende videoen til venner og familie om mottaker ikke betaler, dette til tross for at videoen ikke eksisterer.

SIM-hijacking har i løpet av de siste årene blitt en mer vanlig angrepsvektor. Fremgangsmåten er at en angriper først kontakter mobiloperatøren til offeret og utgir seg for å være eieren av mobilnummeret. Der forteller de at de har mistet SIM-kortet sitt, og ber om å flytte nummeret over til et nytt SIM-kort som angriperen allerede innehar. Angriperen må så oppgi tilstrekkelig med personlig informasjon om offeret, ved å for eksempel bruke data fra tidligere datalekkasjer, til å overbevise den ansatte som jobber hos mobiloperatøren om at angriper faktisk er offeret. Derfra kan angriperen resette offerets brukerkontoer på diverse online-tjenester ved å bruke mobilnummeret som metode for tilbakestilling av passord. Ved bruk av denne angrepsmetoden hjelper det heller ikke at brukeren benytter SMS-basert to-faktor autentisering på tjenestene sine, ettersom angriperen allerede har full kontroll over offerets mobilnummer. For å motvirke denne formen for angrep er det nødvendig å bruke fysiske enheter som den andre faktoren ved autentisering, f.eks. Yubikeys.

Etter at Google i tidlig 2017 innførte fysiske sikkerhetsnøkler i stedet for passord og engangskoder for alle sine 85 000 ansatte, har ikke selskapet opplevd noen vellykkede phishing-angrep mot jobbrelaterte kontoer. Fysiske sikkerhetsnøkler er rimelige USB-baserte enheter som tilbyr tofaktorautentisering. I motsetning til engangskoder på sms eller gjennom en app, implementerer fysiske sikkerhetsnøkler en form for multifaktorautentisering kjent som Universal 2nd Factor (U2F), som gjør det mulig for brukere å fullføre innloggingsprosessen ved å sette inn en USB-enhet og trykke på en knapp på enheten. Angripere kan på denne måten ikke fange opp engangskoden mellom brukeren og enheten den skrives inn på. U2F er en open source autentiseringsstandard, som blant annet kan brukes på tjenester som Dropbox, Github og Facebook og Google.

En velkjent hackergruppe kjent under navnet MoneyTaker har stjålet omtrent en million dollar fra den russisk banken PIR Bank etter å ha infiltrert nettverket via en utdatert ruter. Group-IB, et russisk sikkerhetsfirma som ble kalt inn for å undersøke hendelsen, melder at de har "sikre digitale bevis som impliserer MoneyTaker i tyveriet" etter å ha undersøkt infiserte arbeidsmaskiner og servere hos PIR Bank.

SingHealth i Singapore har blitt rammet av det som omtales som landets verste cyberangrep, ifølge lokale medier. 1.5 millioner pasient-profiler og 160.000 resept-detaljer ble stjålet. Blant annet ble resept-detaljer til statsministeren, Lee Hsien Loong, stjålet. Ifølge regjeringen var angrepet ikke gjort av vanlige hackere eller kriminelle gjenger, siden det var målrettet og godt planlagt. Det er fremdeles ukjent hvem som står bak, men ifølge lokale medier antas det å være statsstøttet. Regjeringen har forsikret innbyggerne om at ingen av profilene har blitt tuklet med og at det eneste som ble stjålet var deres personlige profiler.

mandag 30. juli 2018

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2018

I juni ble det registrert 165 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, opp fra 106 i mai. Denne måneden var det mange forsøk på å logge på diverse tjenester ved å bruke forskjellige kombinasjoner av brukernavn og passord. Flere maskiner ble også infisert av malware som utvinner kryptovaluta.

Det var 182 bekreftede DDoS-angrep i juni, noe opp fra 175 i april. 66 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.3 Gbps og varte typisk i 18 minutter. Det største angrepet observert i denne perioden var på 30.8 Gbps og varte i 10 minutter. Fire av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Telenor har lansert DNS-filteret Nettvern for alle sine privatkunder. Filteret oppdateres av Telenors Sikkerhetssenter og andre samarbeidspartnere og skal forhindre spredning av skadevare og phishing. Brukerne re-dirigeres til et sinkhole (sperreside) om de besøker en svartelistet side. Det er mulig å slå av tjenesten i appen Mitt Telenor for kunder som ikke vil ha den ekstra sikkerheten.

Lørdag 23. juni oppdaget Ticketmaster UK en feil på en kundeservicetjeneste som er levert av Inbenta Technologies, en ekstern leverandør. Som følge av feilen kan en ukjent tredjepart ha fått tilgang til personlig informasjon og betalingsinformasjon. Inbenta opplyste at programkoden aldri burde ha vært inkludert på siden som Ticketmaster brukte for betaling. Tickemaster har kontaktet kunder som de mener kan ha blitt påvirket av hendelsen, også mange norske kunder. Kundene blir bedt om å skifte passord ved første pålogging.

Myndighetene i USA har publisert en ny rapport som omhandler motvirkning av cyberangrep og spionasje. Rapporten mener at andre land trenger å vite at det vil bli konsekvenser ved cyberangrep mot USA. Den foreslår også å lage en liste med forskjellige tiltak som kan være aktuelle ved angrep. Disse må tilpasses forskjellige angripende land. Det er også viktig for USA å ha partnere for å dele informasjon og finne ut hvem som står bak angrepene.

Symantec har avdekket et avansert og omfattende målrettet angrep rettet mot satelitt-operatører, forsvars-kontraktører og telekommunikasjonsselskaper i USA og Sørøst-Asia. Ifølge Symantec virker angrepet å være motivert ut ifra nasjonale interesser, og angrepet knyttes mot en gruppering som Symantec har gitt navnet "Thrip". Angrepet skal være initiert fra kinesiske maskiner.

Operasjonen Prowli, navngitt av Guardicore Labs, er en kryptovalutautvinningsoperasjon som har infisert organisasjoner i forskjellige industrier. Til sammen har operasjonen spredt seg til over 40.000 maskiner over hele verden. Gruppen benytter seg av kjente svakheter og dårlige passord for å få kontroll over de infiserte enhetene.

Sikkerhetsekspert Bjarte Malmedal hos NorSIS, er bekymret for IT-sikkerheten hos norske kommuner. En fersk rapport fra NorSIS om sikkerhet i kommunale digitale systemer viser at kommuner har dårlige forutsetninger for å håndtere egen datasikkerhet. Rapporten konkluderer med at kommunal sektor burde få en egen CERT.

NITO mener at endringene i IKT-risikobildet må få konsekvenser for hvordan myndighetene håndterer IKT-sikkerhet. Fagforereningen har siden 2016 bedt om at IKT-infrastrukturen i helsevesenet underlegges sikkerhetsloven. Det er skuffende at et representantforslag i helsekomitéen for å få til dette ble avvist i Stortinget denne uka, sier Trond Markussen, president i NITO.

Forrige måned ble Chiles største bank utsatt for et angrep med wiper-malware som slettet harddiskene på 9000 PCer og 500 servere. Angrepet viser seg nå å ha vært en avledningsmanøver for å skjule et annet angrep. Etter at situasjonen roet seg, ble det oppdaget at uvedkommende hadde overført 10 millioner dollar til en bank i Hong Kong.

Det amerikanske justisdepartementet har offentliggjort detaljene i en massiv operasjon mot det mørke nettet. I operasjonen, der 35 ble pågrepet, samarbeidet Secret Service, Homeland Security Investigations (HSI), DEA og Postal Inspection Service. De pågrepne var i alderen fra 21 til 34 år og inkluderer personer fra New York og California. Det beslaglagte materialet hadde en verdi på ca. 192 millioner kroner og inkluderer blant annet våpen, gull, kontanter og Bitcoins.

Joshua Schulte, tidligere ansatt i CIA, har blitt siktet for å ha stått bak omfattende lekkasjer til WikiLeaks. Lekkasjene, omtalt som “Vault 7”, består i hovedsak av dokumentasjon rundt hacker-, og angrepsverktøy utviklet av CIA gjennom en årrekke, men ikke selve verktøyene.

fredag 8. juni 2018

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2018

Vår tjeneste Sikkerhetsovervåking avdekket 106 alvorlige hendelser i mai, ned fra 138 i april. Mai var altså en rolig måned for tjenesten sikkerhetsovervåking. Det var ingen større kampanjer med malware som rammet våre kunder.

Det var 175 bekreftede DDoS-angrep i mars, noe som er en stor nedgang fra 297 i april. 58 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.94 Gbps og varte typisk 26 minutter. Det største angrepet observert i denne perioden var på 11.6 Gbps og varte i 29 minutter. Seks av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Talos offentliggjorde detaljer om en ny malware kalt "VPNFilter". Firmaet anslår at minst 500.000 enheter er infisert. Dette gjelder nettverksenheter (typisk hjemmeroutere) fra Linksys, MikroTik, NETGear og TP-Link. Skadevaren skal være i stand til både uthenting av informasjon, manipulering av datatrafikk og destruktive handlinger i form av DDoS-angrep. Det er først og fremst routere i Ukraina som er rammet, men totalt er det infiserte routere i 54 land. Den russiske grupperingen Fancy Bear er mistenkt å stå bak operasjonen.

De to mest brukte metodene for kryptering av e-poster, PGP og S/MIME, inneholder svakheter som kan eksponere innholdet i krypterte e-poster. Svakhetene fikk navnet EFail og ligger i måten e-postklienter viser og dekrypterer meldingene på, ikke i selve protokollene. Utover i mai slapp leverandørene etter hvert patcher for problemene.

Sikkerhetsforskere oppdaget en alvorlig svakhet i den populære ende-til-ende krypteringsapplikasjonen Signal for Windows og Linux. Svakheten kan gjøre det mulig for en angriper å kjøre ondsinnet kode på mottakerens system ved kun å sende en melding. En fikset utgave er sluppet og applikasjonen skal oppdatere seg selv ved omstart.

Intel og US-CERT kom med informasjon rundt to nye måter å utnytte svakhetene Spectre og Meltdown. Disse blir kalt Variant 3a og Variant 4 og er såkalte Side-Channel svakheter. Leverandører jobber nå med å få fikset de siste problemene, noe som vil kreve oppdatering av BIOS/firmware. Det meldes om et ytelsestap på 2-8% på generelle ytelsestester. Disse variantene skal være vanskeligere å utnytte enn de tidligere.

Nederlandske myndigheter forteller at de vil fase ut bruken av produkter fra Kaspersky Labs. Myndighetene opplyser at dette er en preventiv handling. Kort tid etter uttalelsen offentliggjorde Kaspersky Labs planer om å flytte deler av selskapets infrastruktur til Sveits. Operasjonen er en del av selskapets "Global Transparency Initiative".

Russland har satt i gang flere tiltak mot meldingstjenesten Telegram. Torsdag 3. mai blokkerte Russlands media- og kommunikasjonsregulerende myndighet Roskomnadzor over 50 VPN-tjenester, web-proxyer og anonymiseringsverktøy. Det russiske nyhetsbyrå TASS har bekreftet tiltaket og rapporterer at dette rammer de tjenestene som har gitt adgang til Telegram-tjenesten. Telegram ble blokkert i april, etter at de nektet å gi fra seg krypteringsnøkler slik at meldinger i tjenesten kunne dekrypteres av russiske myndigheter.

The Associated Press meldt i mai at en russiske hackergruppe i 2015 sto bak en "falsk flagg" kampanje der utvalgte amerikanske militær-fruer mottok drapstrusler fra den fiktive IS gruppen "Cyber Caliphate". Den samme grupperingen skal også ha stått bak sabotasje-angrepet mot Franske TV5 Monde 9. april 2015. Også i dette angrepet skal gruppen ha lagt igjen falske spor som pekte mot IS.

Forskere har funnet en overvåkings-programvare på Android-telefoner som antageligvis blir brukt av det Pakistanske militæret til å samle inn data fra offiserer og andre høytstående personer i Midtøsten. Verktøyet har fått navnet Stealth Mango og det anslåes å ha samlet inn 30 GB med data, deriblant lydopptak, tekstmeldinger, bilder og posisjonsdata. Rundt 100 personer er rammet og malwaren var aldri å finne i Googles offisielle app-butikk.

 
>