Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 5. desember 2014

Oppsummering av nyhetsbildet november 2014

TSOC håndterte 303 hendelser i november, opp fra 203 oktober. Oppsvinget i hendelser skyldes i stor grad mange infeksjoner av bank-trojaneren Dridex i perioden. Det har også ellers vært et oppsving i maskiner infisert av forskjellige trojanere.


I november håndterte vi 173 DDoS-angrep, noe som var en oppgang fra 132 i oktober. De største angrepene i november var et par DNS-reflection-angrep på henholdsvis 27.4Gbps og 24.65 Gbps i fragmenterte pakker.


I starten av måneden avdekket svenske sikkerhetseksperter at mange svenske styringssystemer lå åpne på Internett. Dette dreie seg blant annet om varme-, ventilasjon-, tilgang- og alarmsystemer i mange offentlig bygg. I Danmark ble det lagt fram en intern rapport om sikkerheten i energinettet. Rapporten konkluderte med at datamaskinene som styrer nettet er vidåpne for angrep fra terrorister, hackere og fremmede stater.


En ny phishing-teknikk ble avdekket i november. Den benytter seg av en ondsinnet nettside som fungerer som proxy for målets hjemmeside, hvor målene er nettbutikker. Dette er en teknikk som vil gjøre det vanskeligere for offeret å oppdage at en blir phishet. Siden trafikken går gjennom en proxy, vil nettstedet brukeren besøker se helt vanlige ut og ha full funksjonalitet. Det er bare i sider for innleggelse av betalingsinformasjon osv. at angriperne endrer på utseendet til nettstedet.


FireEye rapporterte om en ny type angrep mot iOS kalt “Masque Attack”. Svakheten som angrepet utnytter går på at applikasjoner installert ved en distribusjonsløsning for større bedrifter kan utnyttes til å erstatte eksisterende applikasjoner så lenge begge applikasjonene deler samme "Bundle ID". Applikasjoner som er installert via denne distribusjonsløsningen går utenfor Apple Store og kan installeres på en enhet via trådløst nettverk. Brukeren vil få opp en advarsel før eventuell installasjon skjer og det regnes som vanskelig å utnytte svakheten i praksis.


Microsoft hadde denne måneden tre svært kritiske oppdateringer. Den ene svakheten lot en angriper kompromittere en maskin som hadde en TLS-kryptert tjeneste tilgengelig, f.eks. en epost- eller web-server. Svakhet nummer to lot en vanlig domene-bruker oppgradere seg selv til domene-admin. Svakhet nummer tre gjorde det mulig å kompromittere brukere av alle versjoner av Internet Explorer ved besøk på en spesielt utformet side. Sørg for at alle oppdateringer er på plass. Adobe ga også ut en kritisk oppdatering for Flash 11. november som ble utnyttet i exploit-kits etter få dager.


iPhone 5S, Samsung Galaxy S5, LG Nexus 5 og Amazon Fire Phone fikk alle gjennomgå under årets PacSec konferanse i Tokyo. Det ble oppdaget en såkalt "two bug attack" i iPhone 5S som resulterte i en fullstendig sandbox-escape i nettleseren Safari. Galaxy S5 og Nexus 5 hadde svakheter i NFC og Amazon Fire Phone hadde tre bugs i browseren sin.


Symantec og andre leverandører ga ut mye informasjon rundt den avanserte malwaren Regin. Verktøyet skal ha vært benyttet til digital spionasje mot statlige organisasjoner, eiere av infrastruktur og enkeltindivider i flere år. Trojaneren består av sofistikert kode og har moduler for langtidsovervåking av blant annet nettverkstrafikk og telefonsamtaler, samt fjerntilgang til maskiner. Trojanerens kompleksitet og modulære oppbygning sammenlignes med The Mask og Stuxnet, og indikerer at statlig aktør kan være ansvarlig. Mange mistenker at NSA og GCHQ står bak denne malwaren.

Sony Pictures ble mot slutten av måneden utsatt for et større angrep. Store mengder intern informasjon ble lekket ut og mange maskiner ble også slettet i angrepet. Det ble rapportert at ansatte måtte benytte seg av papir og blyant for å få gjort arbeidet sitt.

Oppsummering av nyhetsbildet oktober 2014

Antall håndterte hendelser sank til 203 i oktober, mot 254 i september. Når det gjelder typen hendelser er det ikke noe spesielt som skiller seg ut i oktober. Hovedsaklig er det forskjellige malware-familier som blir spredd via e-post, exploit-kits og ved å lure brukeren til å installere malware.

I oktober håndterte vi 132 DDoS-angrep, mot 96 i september. Flere av kundene som har TSOCs anti-DDoS-tjeneste ble angrepet denne måneden. SSDP-reflection angrep er fortsatt mye brukt.

Etter sårbarheten som ble oppdaget i Bash i september (Shellshock), fortsatte leverandører som VMware, OpenVPN og Oracle å patche denne svakheten i utstyr og programvare utover i oktober.

Detaljer rundt BadUSB ble sluppet i oktober. Sikkerhetsforskere har klart å omprogrammere firmware i et utvalg USB-minnepinner. Dette kan f.eks. gjøre det mulig å få en USB-enhet til først å presentere seg som en lagringsenhet, for deretter å skifte til et tastatur etter f.eks. én time. Enheten kan deretter installere malware ved hjelp av tastatur-trykk. Ekstra farlig er det at det er utviklet malware som igjen kan smitte nye minnepenner som blir satt inn i PCen, og dermed spre infeksjonen videre til nye PCer.

Google avslørte en svakhet i SSL v3.0 kalt “Poodle”. Svakheten gjorde det mulig for angripere med tilgang til trafikkstrømmen mellom klient og server å lese ut mindre mengder data, som f.eks. sesjon-cookies. Svakheten lar seg ikke enkelt utbedre og det anbefales å oppgradere til TLS v1.3. Både Microsoft, Firefox og Google har sagt at de er i ferd med å fase ut SSL.

Sikkerhetsleverandøren Invincea har oppdaget flere tilfeller av at personer innen forsvar- og romfartselskaper har blitt servert ondsinnede annonser som kun blir vist til dem, med bakgrunn i informasjon annonseselskapene har registrert om brukere på Internett. Disse ondsinnede annonsene sender personer til sider som har blitt hacket, hvor de så prøver å installere malware på maskinen. Dette er en ny måte å utføre målrettede angrep på.

Russiske angripere har vært i fokus denne måneden. US CERT har skrevet om Energetic Bear og deres kartlegging av olje og kraftbransjen. Denne grupperingen har vært aktive i Norge tidligere i år. Russiske hackere skal dessuten ha kompromittert det usikre nettverket i Det hvite hus. FireEye har også utgitt en ny rapport som avdekker en stor spionasjekampanje som skal være finansiert av Russland. Gruppen bak kampanjen, som FireEye kaller APT28, skal ikke ha vært interessert i finansiell informasjon, men har heller drevet etterretning mot forsvars- og geopolitiske forhold som gagner Russland. Det norske forsvaret blir antatt å ha vært et av målene på grunn av domenet “forsvaret[․]co” som er brukt av gruppen.

Forskere har funnet en ny metode for å sende ut data fra isolerte nettverk. Ved hjelp av skjermkort og skjerm greier de å generere radiosignaler på FM-båndet, som de fanger opp med FM-mottakeren til en mobiltelefon. Rekkevidden er rundt 7 meter med en effektiv bitrate på 13-60 bytes per sekund.

Kryptering av mobile håndsett medfører vanskeligheter for FBI. Både Apple og Google krypterer nå mobiltelefoner som standard. FBI kan dermed ikke få tilgang til innholdet i beslaglagte mobiler. Etter at møter med Apple og Google ikke har ført frem, går FBI nå til kongressen for å endre regelverket slik at de fortsatt lett skal få tilgang til innholdet.

Det kom fram at en av de største bankene i USA, JP Morgan Chase, ble angrepet i juli. 83 millioner personer og småbedrifter fikk deres persondata stjålet. Navn, adresser, telefonnumre og e-postadresser er på avveie, men det ser ikke ut til at kontonummer, passord eller penger er stjålet.

torsdag 2. oktober 2014

Oppsummering av nyhetsbildet september 2014

I september gikk antall håndterte hendelser opp til 254, fra 92 i august. Det er tydelig at aktiviteten har tatt seg kraftig opp etter sommeren. Vi ser også at flere brukere blir tatt av exploit-kits, gjerne ved hjelp av svakheter i Java eller Flash. Denne måneden så vi også en oppblomstring av maskiner infisert av trojaneren Pushdo. Vi ser også at en del maskiner igjen blir rammet av utpressingsprogramvare/ransomware.

I september håndterte vi 96 DDoS-angrep, mot 45 i august. Det største angrepet i perioden var på 33Gbps. Nesten halvparten av angrepene inneholdt trafikk av typen SSDP (Simple Service Discovery Protocol). I det siste har vi på TSOC sett en økning i bruk av protokollen SSDP i angrep. Dette er en protokoll som ofte er tilgjengelig på hjemmeroutere og andre nettverksenheter. Ellers er NTP- og DNS-reflection mye brukt som tidligere.

Den store saken i september var ShellShock, altså sårbarheten i systemet Bash på Unix, Linux og OS X-systemer. Svakheten lå i måten Bash tolket miljøvariabler som blir sendt inn til shellet. Det ble også oppdaget flere andre svakheter i Bash i kjølevannet av saken. Det var først og fremst eldre web-servere som var sårbare, men svakheten rammet også andre systemer som e-post- og VPN-servere. Klient-maskiner, som OS X, var sårbare, men det var ingen enkel måte å utnytte dem på. Det ble etter hvert oppdaget mange scanninger etter sårbare systemer på nettet og en del servere ble nok også kompromittert. Det har imidlertid ikke blitt meldt om spesielt alvorlige hendelser etter ShellShock. Det tok flere runder med patcher fra leverandørene før svakheten ble skikkelig lukket.

I september ble det også sluppet en liste med fem millioner Gmail-adresser og passord. Informasjonen kom fra en rekke ulike kilder; noe fra phishing og noe fra andre kompromitterte nettsider der Gmail-adresser var brukt til registrering. Mesteparten av informasjonen var gammel, men rundt 2% av brukernavn/passord-kombinasjonene virkert mot Googles egne tjenester på grunn av gjenbruk av passord. Ingen av Googles systemer var kompromittert i forbindelse med saken.

Det ble meldt om en svakhet i standard-nettleseren som fulgte med i Android-versjoner eldre enn versjon 4.4. Denne nettleseren oppdateres ikke lengre av Google. Svakheten gjør at en web-server som brukeren surfer til kan lese ut informasjon fra alle andre webforms og nettlesere på systemet. Det anbefales å bruke en nyere nettleser som Chrome, FireFox eller Opera som oppdateres jevnlig.

Apple kunngjorde denne måneden at de med innføringen av iOS 8 ikke lenger vil være i stand til å låse opp passord-beskyttede/krypterte iPhoner og iPader, selv om en rettkjennelse som tillater dette skulle foreligge. Google kom like etter med en tilsvarende kunngjøring om sin neste versjon av Android. I etterkant av nyhetene har justismyndigheter i USA protestert kraftig mot den oppgraderte sikkerheten.

Google's DoubleClick reklame-system eksponerte, sammen med reklamefirmaet Zedo, millioner av maskiner for den nylig oppdagede malwaren Zemot. Reklamen ble servert gjennom mange populære nettsteder. Tusenvis av maskiner ble infisert gjennom å se på reklamen. Det tok flere dager før det lyktes å fjerne den skadelige reklamen fullstendig.

I et forsøk på å stoppe ISPer, statlige etater og angripere fra å overvåke og sensurere internett, åpnet CloudFlare i slutten av september SSL uten kostnadstillegg for sine mer enn 2 milioner kunder. Dette doblet i løpet av få timer antallet SSL-krypterte nettsteder.

I september ble det annonsert at kraftbransjen stifter sitt eget sikkerhetsselskap, Kraftcert, som skal hjelpe med å beskytte bransjen mot dataangrep. Hafslund, Statkraft og Statnett går sammen om å opprette selskapet som skal ha 3-4 ansatte.

onsdag 10. september 2014

Oppsummering av nyhetsbildet august 2014

Antall håndterte alvorlige hendelser fortsatte å gå ned i august til 92. August var fortsatt en stille måned uten hendelser med større spredning hos noen av kundene.

I august håndterte vi 45 DDoS-angrep, mot 59 i juli. I perioden var de to største angrepene et NTP-reflection angrep på 56Gbps og et DNS-reflection angrep på rundt 20Gbps.

Denne månenden lanserte Microsoft EMET (Enhanced Mitigation Experience Toolkit) versjon 5.0. EMET er et gratis verktøy som beskytter typisk sårbare applikasjoner mot nye og ukjente data-angrep. Med standard innstillinger vil f.eks. Internet Explorer, Adobe Reader og Flash bli beskyttet mot angrep. TSOC anbefaler å installere EMET på sluttbrukermaskiner, etter å ha testet at alt fungerer som det skal.

PCer har i flere måneder blitt angrepet av såkalt ransomware eller utpressingsprogramvare. Filene på datamaskinen blir kryptert, og bakmennene krever løsepenger for å gi tilbake tilgang til filene. Denne måneden ble også en NAS-produsent (Network Attached Storage) rammet. Lagringsløsninger fra Synology ble angrepet av malwaren Synolocker som krypterte filer og forlangte 0,6 bitcoins i løsepenger.  Denne måneden ble det også lansert en gratis tjeneste for å dekryptere filer som utpressingsprogrammet Cryptolocker har kryptert. Flere tusen har siden benyttet seg av tjenesten.

Forskere ved Dell SecureWorks sin sikkerhetsdivisjon oppdaget at 19 internettleverandører har blitt utsatt for BGP-kapring. Kapringen ble brukt til å stenge ned forbindelsen mellom maskiner som driver med Bitcoin-mining og deres servere (en såkalt "mining-pool"). Maskinene ble deretter lurt til å koble seg opp mot en falsk server/mining-pool. Forskerne mener at angriperne har klart dette ved å utnytte en ansatt sin konto for å skaffe seg tilgang. Hver av de 22 kapringene skal bare ha vart i rundt 30 sekunder. Det anslås at angriperne skal ha fått tak i rundt $83.000 i Bitcoins.

Om 18 måneder skal Microsoft endre på hvilke versjoner av Internet Explorer de støtter. Kun den siste tilgjengelige versjonen av Internet Explorer for hver versjon av Windows vil bli støttet. Dette betyr at f.eks. IE versjon 11 vil bli støttet i Windows 7. Eldre versjoner av IE vil ikke lengre bli oppdatert for Windows 7. Ikke støttede versjoner vil ikke lengre bli oppdatert av Microsoft.

15. august åpnet Center for Cyber and Information Security (CCIS) på Gjøvik. Dette skal være et nasjonalt senter for forskning, utdanning og trening på å håndtere kritiske situasjoner knyttet til informasjonssikkerhet. Flere partnere har bidratt til å gjøre dette mulig, blant annet Politiet, Forsvarets Ingeniørhøgskole, Norway Cyber Defence, Nasjonalt ID-senter, NorSIS, PST, NSM, Statoil og Telenor.

Denne måneden sendte Nasjonal Sikkerhetsmyndighet ut et varsel om at minste 50 norske bedrifter innenfor olje og energisektoren hadde blitt utsatt for et målrettet angrep. Angrepene ble foretatt via epost med malwaren Havex som vedlegg. Dette er en type malware som sanker informasjon om PCen og også gir mulighet for fjernstyring. Det spesielle med Havex er at den søker etter industrielle styringssystemer (SCADA) og sender informasjon til bakmennene. Gjengen bak angrepene har blitt kalt Energetic Bear eller Dragonfly. Det spekuleres i media om det er Russland som står bak angrepene.

PST ba i august om fire endringer i loven i kampen mot terror, hvor én av disse er å samle såkalt stordata. Ved å samle enorme mengder data kan det gjøres omfattende analyser for å oppdage trender og sammenhenger, hvor målet blant annet er å avsløre mistenkelig oppførsel og terrorvirksomhet. Datatilsynet på sin side advarer mot slik innsamling og det som kan bli et overvåkningssamfunn.

tirsdag 12. august 2014

Oppsummering av nyhetsbildet juli 2014

I juli gikk antall alvorlige håndterte hendelser hos TSOC kraftig ned. Nedgangen skyldes ferietid og færre ansatte på jobb. De fleste hendelser skjer når en ansatt foretar seg noe på en PC, f.eks. ved å besøke en nettside som forsøker å infisere PCen eller å åpne et vedlegg med malware i en e-post.

Antallet håndterte DDoS-angrep gikk imidlertid opp i juli. Personene som står bak DDoS-angrep har med andre ord ikke tatt ferie. Den var denne måneden vi hadde mange store DDoS-angrep mot firmaer som Norges Bank, DNB, Sparebank 1, Nordea, Danske Bank, Storebrand, Telenor, NetCom, Norwegian og SAS. En 17-åring fra Norge innrømmet noen dager etter angrepene at han stod bak. Det største angrepet denne måneden var på 68Gbps. Fortsatt er det reflection-angrep av typen DNS, NTP, chargen og SNMP som er mest vanlige. Vi ser også fortsatt angrep av typen Wordpress pingback, noe som også ble benyttet i de store angrepene mot norske firmaer denne måneden.

Microsoft tok denne måneden kontroll over 4 millioner subdomener tilhørende no-ip.com, en leverandør av dynamiske domenenavn. Dette ble gjort etter at de fikk innvilget en rettslig kjennelse i USA. Formålet var å ta ned 18.000 domenenavn som ble brukt i forbindelse med malware. Planen til Microsoft var å kun stoppe malwaren og la resten av domenene fungere som normalt. Dette fungerte imidlertid ikke, og mange brukere opplevde at domenet deres ikke lengre fungerte. Microsoft fikk i etterkant mye negativ omtale for måten de håndterte denne saken på.

Myndighetene i USA mener at enhver bedrift som opererer innenfor USAs egne grenser må overgi data de har lagret også utenfor landegrensene, om det det forlanges av myndighetene. Dette fører til at f.eks. Microsoft må overgi e-poster som er lagret i deres datasenter i Irland, noe Microsoft ikke er villig til å gjøre. Det har blitt mye debatt om denne saken og den vil gå videre i amerikansk rettsvesen.

Bromium Labs har analysert svakheter i flere forskjellige programvarer fra de første seks måneden i 2014. I denne analysen har Bromium Labs kommet frem til at antall svakheter i Internet Explorer har økt med mer enn 100% siden 2013. Sikkerhetsforskerene bak rapporten forteller også det at det har vært en nedgang i antall 0-dagssvakheter i Java, men at både Internet Explorer og Flash har sett en økning i disse.

Bloomberg meldte i juli at at hackere, antakeligvis fra Russland, i 2010 hadde full tilgang til nettverket til NASDAQ. Hackerne brukte to 0-dags-sårbarheter for å bryte seg inn i nettet. Her ble det plantet malware for å kunne skape kaos. Amerikanske myndigheter oppdaget etter hvert innbruddet og fikk fjernet malwaren. President Obama ble briefet om saken flere ganger mens den pågikk.

Det finske utenriksdepartementet har to ganger blitt utsatt for avanserte innbrudd. Dette rapporterer Supo, som tilsvarer PST i Norge. Supo sier at en utenlandsk statlig aktør står bak de avanserte angrepene som har vært vanskelige å oppdage. Angriperne kan ha kommet seg unna med viktige opplysninger.

 
>