Oppsummering av nyhetsbildet april 2013

I Finanstilsynets årlige risiko- og sårbarhetsanalyse knyttet til IT i finanssektoren, kom det fram at bankenes tap som følge av nettbanksvindel økte fra 664.000 kroner i 2011 til litt over 5 millioner i 2012. Mobile enheter blir foreløpig ikke angrepet, men tilsynet ser for seg en økning på dette området i framtiden.

Nettsteder basert på Wordpress og Joomla ble i april systematisk scannet og utsatt for angrepsforsøk ved å gjette tusenvis av brukernavn og passord for innlogging. Angrepet utføres av et botnett bygget opp av infiserte PCer. Hensikten ser ut til å være å bygge et serverbasert botnett, med stor båndbredde for bruk i større DDoS-angrep.

U.S. Air Force utpekte i april seks programvareprosjekter som cyber-våpen for å styrke satsingen på dette domenet i kampen om finansielle midler. Det jobbes også med å integrere disse kapabilitetene med andre våpen. Videre er det planer for å ruste opp med 1200 nye ansatte.

Medio april slapp Oracle en ny versjon av Java som utbedret 42 svakheter, hvorav hele 39 kunne utnyttes til å ta kontroll over en sårbar maskin. En av svakhetene som ble utbedret av oppdateringen, ble utnyttet allerede åtte dager senere. Den nye versjonen av Java har utvidede sikkerhetsadvarsler for å prøve å hindre brukere i å bli infisert, men det har allerede blitt publisert eksempler på hvordan disse kan omgås under et angrep. Sårbarheter i Java er fortsatt de vi ser bli utnyttet mest blant våre kunder.

Twitterkontoen til The Associated Press ble hacket mot slutten av måneden. Kontoen la ut en melding om eksplosjoner i det hvite hus og at presidenten hadde blitt skadet. Dette førte til at aksjeindeksen Dow Jones raskt falt med 130 poeng. Aksjekursene stabiliserte seg raskt igjen etter at det ble klart at meldingen var falsk. Twitter har opplyst at de jobber med å implementere to-faktor-autentisering, slik f.eks. Facebook har muligheten for.

BankID-prosjektet presenterte planene for BankID 2.0 uten bruk av Java. Den nye løsningen skal benytte HTML5 og CSS3, som er innebygget i alle moderne nettlesere. Det er uklart når den nye løsningen blir ferdig.

En bakdør kalt Linux/Cdorked.A har dukket opp på tusenvis av Apache web-servere. Bakdøren sørger for å videresende besøkende til exploit-kittet Blackhole, som så forsøker å kompromittere maskinene. Bakdøren er vanskelig å oppdage i filsystemet og kan fjernstyres ved hjelp av krypterte kommandoer, som ikke blir logget av web-serveren. Det er sannsynlig at angriperne får tilgang til web-serverne gjennom brute-force gjetting av admin-passord via SSH, men også andre angrepsvektorer benyttes. På TSOC ser vi stadig mindre og mellomstore norske nettsteder bli kompromittert. I flere tilfeller har det vært vanskelig å overbevise de ansvarlige for nettsidene om at besøkende til deres nettsider blir infisert.

Både DNB og danske NemID ble utsatt for DDoS-angrep i løpet av måneden. Angrepet mot NemID ble angivelig kjøpt for $10 for å vise hvor billig og lett det er å utføre denne typen angrep. Vi oppdager og bekjemper ukentlig flere DDoS-angrep for våre kunder og størrelsen er økende.

Lederen for Carberp-botnettet, som stjal millioner fra bankkontoer over hele verden, ble arrestert sammen med 20 medhjelpere av rusissk og ukrainsk politi. Skaperen av Phoenix-exploitkittet ble også arrestert i Russland, tiltalt for å ha spredt skadelig programvare og besittelse av ulovelige skytevåpen. Den britiske hackeren Ryan Ackroyd innrømmet i retten at han er var del av hackergruppen Lulzsec, som sto bak tjenestenektangrep mot en rekke organisasjoner. Spansk politi arresterte nederlenderen Sven Kamphuis, mistenkt for å stå bak det store DDoS-angrepet mot Spamhaus sist måned.

Oppsummering av nyhetsbildet mars 2013

Måneden startet dårlig for Oracle. 1. mars ble det meldt at Java nok en gang ble utnyttet i 0-day angrep. Siste versjon av både versjon 6 og 7 av Java var sårbare. Oracle patchet disse svakhetene allerede 5. januar.

Firmaet Evernote, som står bak en populær notat-applikasjon, ble hacket. Angriperne hadde fått tak i brukernavn, epost-adresse og hashede passord til rundt 50 millioner brukere. Alle brukere måtte velge seg nye passord etter hendelsen.

Krypterings-guruen Adi Shamir, en av oppfinnerne av RSA-krypteringen, gikk denne måneden ut og meldte at kryptering nå er mindre verdt enn før. Ved hjelp av avanserte angrep og sosial manipulering kan angripere i dag få direkte tilgang til mange datasystemer. De kan deretter lese dataene ukryptert på systemet de ligger på. Å kryptere dem på disken eller mens de overføres, blir dermed mindre verdt.

Telenor gikk ut i pressen og informerte om at de hadde blitt utsatt for et sofistikert og målrettet data-angrep. Angrepet ble utført ved hjelp av malware sendt via e-post og store mengder intern informasjon ble kopiert ut av PCer tilhørende toppledelse. Telenor anmeldte saken til Kripos. NSM utga også sin kvartalsrapport der de opplyser om en dobling i antall tilfeller av dataspionasje i Norge fra 2011 til 2012. Angrepene er hovedsakelig rettet mot forsvaret, olje og gass, energi, styresmaktene og høyteknologisk industri.

På sikkerhetskonferansen CanSecWest ble konkurransen Pwn2Own avholdt. Her betaler produsentene for at hackere skal finne svakheter i produktene deres. Resultatene var som følger: Java ble hacket av tre deltagere. Web-browserne Chrome, Firefox og Internet Explorer 10 ble det også funnet alvorlige hull i. Flash og Reader fra Adobe måtte også gi tapt for angrepene. Dette viser at det fortsatt er mange huller i mye brukt programvare.

Både Nord- og Sør-Korea ble utsatt for cyber-angrep denne måneden. Dette skjer mens det er økende spenning mellom de to landene. Det ble brukt både DDoS-angrep og sletting av store mengder maskiner ved hjelp av malware.

Mange amerikanske kjendiser fikk publisert personlige opplysninger om seg selv på nettet, som kredittrapporter, personnummer, førerkortdata osv. Det viste seg at flere firmaer som driver med kredittvurdering har blitt hacket og at kriminelle i Russland selger disse opplysningene videre til interesserte.

DDoS-angrepene øker fortsatt i hyppighet og antall. Spesielt DNS-reflection-angrep er det mange av nå. Denne typen angrep bruker DNS-tjenere som er åpne mot verden (feilkonfigurert) for å forsterke DDoS-angrep og også å skjule angriperen. I påsken var det et rekordstort DDoS-angrep på 300Gbit/s mot Spamhaus som preget overskriftene. Spamhaus er en organisasjon som kjemper mot spam på Internett og dermed har mange fiender. Det spekuleres i at det var det Nederlandske selskapet Cyberbunker som stod bak angrepet, etter at de ble svartelistet av Spamhaus. På TSOC har vi denne måneden sett flere angrep av denne typen som vi har håndtert for våre kunder. Det største angrepet var på over 6Gbit/s. Vi ser også at flere av angrepene sammenfaller i tid med at offeret har en lansering e.l. for å ramme ekstra effektivt.

NATO publiserte denne måneden en håndbok med regler for cyberkrig. Der blir det blant annet slått fast at statlige cyberangrep ikke skal rettes mot mål som atomkraftverk og sykehus, siden dette i stor grad kan ramme sivile.

Oppsummering av nyhetsbildet februar 2013

I starten av måneden slapp Oracle sin kvartalsvise oppdatering av Java. Lanseringen ble fremskyndet grunnet aktiv utnyttelse av minst én av svakhetene. På grunn av fremskyndingen, rakk ikke Oracle å utbedre alle svakhetene de hadde planlagt. Det ble derfor sluppet enda en oppdatering 19. februar.  Før måneden var over ble det meldt om to nye kritiske svakheter i Java.

Adobe har denne måneden oppdatert Flash hele tre ganger etter at kritiske svakheter har blitt brukt i målrettede angrep. Dette skjedd 7., 12. og 27. februar. 12. februar ble det også oppdaget at en svakhet i Reader ble brukt i målrette angrep. Svakheten i Reader ble patchet 20. februar.

Flere kjente firmaer ble i løpet av måneden utsatt for datainnbrudd. Dette ble utført ved hjelp av et såkalt vannhullsangrep som utnyttet en sårbarhet i Java og var rettet mot Mac OS X-maskiner. Siden som ble brukt for å infisere brukerne var en populær side for iOS-utviklere. Gjennom dette angrepet kom angripere seg unna med brukernavn og passord til over 250.000 Twitter-brukere. Facebook, Microsoft og Apple innrømmet også at de hadde hatt inntrengere i sine nettverk på grunn av denne svakheten.

Norske hackere fikk hentet ut privat informasjon av personlig karakter fra Apples nettskytjeneste iCloud. Dette ble gjort ved å nullstille passord ved å skrive inn fødselsdatoen til brukeren og gjette seg fram til svarene på sikkerhetsspørsmål valgt av brukeren selv. Det er viktig å være klar over at sikkerheten i store nettskytjenester ofte er relativ lav for å unngå for mange henvendelser til kundeservice.

Sikkhertsfirmaet Bit9 ble utsatt for innbrudd i februar. Firmaet leverer et sikkerhetsprodukt der alt av programvare som installeres på en PC må godkjennes før kjøring, eller "whitelisting". Angriperne fikk tilgang til de sentrale systemene hos Bit9 og fikk deretter whitelistet sin malware. Denne malwaren ble så blitt brukt til å angripe minst tre andre firmaer som brukte programvare fra Bit9. Saken kan minne mye om angrepet mot RSA i 2011. Der ble også en sikkerhetsleverandør angrepet, for igjen å kunne omgå sikkerheten hos kunder av leverandøren.

PST, NSM og E-tjenesten kom for første gang med en felles rapport med vurdering av trusselbildet mot Norge. Antall alvorlige hendelser i cyber-domenet har økt fra under 10 i 2007 til nesten 50 i 2012. NSM ser med bekymring på spionasje mot norsk industri og andre norske interesser.

Mandiant utga en rapport om cyber-spionasje fra Kina. De har kartlagt aktivitetene til en gruppe de kaller APT1, som over flere år har drevet med utstrakt spionasje mot vestlige mål. I rapporten var det også med mer enn tre tusen indikatorer som kunne brukes som indikator på angrep fra denne grupperingen.

Spansk politi arresterte flere personer bak utpressingsprogramvaren Reveton. Trojaneren har skremt mange personer, også i Norge, til å betale penger til den kriminelle gjengen for å få låst opp PCen sin. Det estimeres at de klarte å lure til seg 1 millioner euro i løpet av det siste året.

Microsoft og Symantec tok i løpet av månenden sammen ned botnettet Bamital, som stammer fra Russland. Botnettet hadde rundt en halv million maskiner og genererte inntekter for rundt én million dollar i året gjennom klikk-svindel.

Oppsummering av nyhetsbildet januar 2013

På den siste dagen av 2012 ble det meldt om en ny svakhet som rammet Internet Explorer versjon 6, 7 og 8. Det viste seg at svakheten hadde vært brukt til målrettede angrep (vannhullsangrep) mot poltiske mål siden tidlig i desember. Dette er en type målrettet angrep der zero-day exploit-kode plasseres på kompromitterte web-servere som man vet målet for angrepet har interesse av, og dermed trolig vil besøke i løpet en viss tid. Grupperingen bak angrepene, kalt The Elderwood Project av Symantec, har stått bak en rekke lignende avanserte politisk ladede angrep tidligere. 14. januar ble svakheten patchet av Microsoft.

Etter flere saker med uatoriserte SSL-sertifikater i fjor, tok det bare fire dager før årets første sak av denne typen var et faktum. En underleverandør av den tyrkiske sertifikatutstederen Turktrust hadde signert et falsk sertifikat for google.com. Google oppdaget at dette var i bruk, og alle de store nettleserleverandørene var raskt ute med oppdateringer for å stoppe sertifikatet.

Store amerikanske banker ble i slutten av 2012 og i januar 2013 utsatt for store DDoS-angrep. Flere av bankenes nettsteder var i perioder ikke tilgjengelige. En gruppe som kaller seg “Izz ad-Din al-Qassam” tok seg ansvaret for angrepene og sa de ville fortsette inntil en video på YouTube som spotter Islam ble slettet. Gruppen sa 29. januar at angrepene var innstilt, etter at den mest populære versjonen av filmen ble slettet.

11. januar ble det meldt om nok en ny svakhet i Java. Svakheten ble fra første stund brukt i flere exploit-kits som “Blackhole”. Etter at svakheten ble kjent, gikk flere lands myndigheter ut og rådet befolkningen til å skru av eller avinstallere Java og Apple blokkerte bruk av Java i OS X. På Telenor SOC ble det observert flere tilfeller av infeksjoner grunnet denne svakheten. Oracle patchet denne svakheten allerede 14. januar. Oracle har også fått mye negativ oppmerksomhet denne måneden for å installere reklameprogramvare sammen med Java-patchene de gir ut.

Radware publiserte en rapport om DDoS-angrep der de melder om en sterk økning i denne typen angrep mot firmaer i fjor. De påpeker at mange firmaer ikke har planer på plass for hva de skal gjøre i tilfelle et angrep.

Mot slutten av måneden meldte The New York Times at de hadde fått sitt interne nettverk invadert av hackere. Disse hadde kommet seg inn ved hjelp av eposter med malware som vedlegg. Deretter hadde de tatt kontroll over domenekontrolleren på nettverket og hentet ut passord til de fleste brukerne. Flere journalister hadde også fått sine private maskiner infisert. The Times mener at angrepene skyldes deres kritiske dekning rundt Wen Jiabao, statsminister i Kina. Dagen etter angrepene meldte også The Wall Street Journal at de hadde vært utsatt for lignende angrep.

I løpet av måneden ble en Zeus-botmaster anklaget for tyveri av over 100 millioner dollar arrestert i Bangkok og venter på utlevering til USA. FBI har også arrestert mannen bak Gozi-malwaren som ble brukt til å tappe bankkontoer for penger over hele verden.

Java 0-day brukt mot Teknisk Ukeblad sine lesere

Tirsdag morgen observerte vi at flere av våre kunder ble videresendt til en mistenkelig tredjeparts-side fra Teknisk Ukeblad sine nettsider. Siden ble hentet inn med følgende HTTP get-forespørsel:

  Denne siden forsøkte så å laste en .jar-fil. Jar står for Java Archive og er altså et filformat som brukes av Java.


Etter dekompilering og analyse av denne .jar-filen, ser vi at den importerer de samme bibliotekene og funksjonskallene som metasploit modulen for den mye omtalte Java 0-dags svakheten gjør. Dette tyder altså på at dette er en exploit-kode som utnytter den nye 0-dag svakheten i Java. Utdrag fra den dekompilerte koden fra den fiendtlige websiden:

 
Klienter med sårbar Java vil etter kjøring av .jar-filen hente ned en PE Exe-fil som blir kjørt på det sårbare systemet. SHA1-sjekksum for denne er: 8ca8e0c7dd7b37c1bed5a9c41cf8df1b05487f6b

 
Filen er en variant av Citadel/Zeus-trojaneren og oppdages for øyeblikket av 10 av 41 antivirus-leverandører hos virustotal.com.

Teknisk Ukeblad ble raskt varslet av Telenor SOC og den fiendtlige koden ble fjernet innen 2 timer etter at vi første gang oppdaget den. Den fiendtlige koden snek seg inn på nettsiden via annonsesystemet, noe vi har sett også flere ganger tidligere på infiserte norske websider. Teknisk Ukeblad opplyser at de vil vurdere å skifte annonseløsning i løpet av kommende døgn.

Telenor SOC anbefaler at Java skrus av eller avinstalleres på maskiner der det ikke er nødvendig. Oracle har enda ikke sluppet en patch for denne svakheten. Dersom Java må være installert, bør en besøke eksterne nettsider fra en web-browser der Java-plugin har blitt skrudd av. Dette kan forholdsvis enkelt gjøres i f.eks. Firefox, Opera eller Google Chrome. Hardware.no har en artikkel om hvordan dette gjøres.

Oppdatering 2012.09.03:

Oracle har nå sluppet en oppdatering for å utbedre svakheten som ble brukt i angrepet over. Etter installasjon av oppdateringen skal du ha Java versjon 7 update 7 installert. Du kan sjekke hvilken versjon av Java som er installert på en PC ved å besøke denne siden. Brukere av både Windows, Mac OS X og Linux bør oppdatere så fort som mulig!

Kort tid etter at Oracle slapp denne oppdateringen kom det imidlertid ny informasjon fra firmaet Security Explorations. Firmaet hadde i løpet av timer klart å finne en feil som fortsatt lot seg utnytte i denne siste versjonen av Java. Detaljer rundt feilen er oversendt Oracle, som enda ikke har gitt noe svar.

Java er med andre ord fortsatt sårbar, men detaljene rundt denne sårbarheten er det foreløpig bare en liten gruppe mennesker som har.

Selv etter oppdateringen fra Oracle står vi fast på vår anbefaling om å skru av eller avinstallere Java på maskiner der det ikke er nødvendig å ha det installert.