Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 5. februar 2019

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2019

Vi håndterte 173 alvorlige saker relatert til Sikkerhetsovervåking i januar, opp fra 131 i desember i fjor. Denne måneden så vi et oppsving i klienter som ble infisert av diverse programvare for å utvinne kryptovaluta.

Det var 487 bekreftede DDoS-angrep denne måneden, opp fra 464 i desember i fjor. 169 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3 Gbps og varte typisk i 18 minutter. Det største angrepet observert i denne perioden var på 257 Gbps og varte i 13 minutter. Dette angrepet var rettet mot en av våre avdelinger i Asia og bestod av fragmenterte UDP-pakker, DNS- og LDAP-trafikk. Syv av TSOC sine bedriftskunder ble utsatt for angrep denne måneden.

Zerodium har økt sine priser for 0-day svakheter som kan brukes til å kompromittere iPhones og andre meldingstjenester. En zero-click jailbreak-svakhet for iPhone er nå verdt 2 millioner dollar. Det gis 1 million dollar i belønning for svakheter som kan ta over iMessage og WhatsApp. Økningen i utbetalinger kan tyde på at sikkerheten i disse systemene blir stadig bedre.

Norske myndigheter vurder tiltak for å nekte kinesiske Huawei å bygge infrastruktur for 5G-nettet i Norge. Dette på grunn av frykt for spionasje. Norge vil dermed kunne innføre samme restriksjoner som f.eks USA og andre vestlige land.

En ny lov i USA fører til at det blir forbudt for amerikanske selskaper å eksportere til selskaper som bryter amerikanske sanksjoner. Dette har tidligere skjedd med ZTE, men ble trukket tilbake av president Trump. I januar kom det også fram at Huawei, to datterselskaper og finansdirektøren er tiltalt for å ha stjålet forretningshemmeligheter fra T-Mobile og andre amerikanske firmaer.

PST er fortsatt forsiktige med hva de sier om cyberangrepene mot fylkesmenn som ble kjent i romjulen, men sier at det trolig er en statlig aktør som står bak. Flere fylkesmenn ble utsatt for disse angrepene. Det har også kommet fram at ingen av fylkesmennene hadde fått installert en sensor fra NSM for å avdekke angrep mot samfunnskritisk digital infrastruktur. Penger til å installere dette hos samtlige fylkesmenn er nå bevilget.

FireEye slapp en rapport om en bølge med DNS-kapring som har påvirket domener tilhørende myndigheter, telekommunikasjon og internett infrastruktur. FireEye mener at angrepene kan ha iransk opphav. Angriperne fikk først tilgang til login-detaljer hos ofrenes DNS-tilbydere. Formålet med aksjonen var å redirigere nett-trafikk for å stjele enda flere påloggingsdetaljer til forskjellige systemer. Senere i måneden slapp også DHS US-CERT en sikkerhetsbulletin der amerikanske myndigheter ble pålagt å gjennomgå en firepunkts sikkerhetssjekk med bakgrunn i denne hendelsen, innen 10 arbeidsdager.

I desember ble ti ansatte ved Universitetet i Oslo utsatt for et målrettet data­angrep. Fra og med 2019 har regjeringen tildelt Direktoratet for IKT og fellestjenester i høyere utdanning, som også eier Uninett, 70 millioner kroner over fire år for å styrke arbeidet med informasjonssikkerhet ved UH-sektoren.

Et nytt verktøy utviklet av en polsk sikkerhetsforsker, kan ved hjelp av realtime-phishing enkelt forbigå tofaktor-innlogging. Verktøyet fungerer som en proxy mellom offeret og den virkelige siden. I en publisert video blir det vist et eksempel der dette kan bli brukt mot en Google-konto. Verktøyet tar også vare på passord som brukeren skriver inn. For å motvirke denne teknikken er en avhengig av fysiske sikkerhetsnøkler, som beviser overfor tjenesten at brukeren er på den samme PCen som den fysiske sikkerhetsnøkkelen er tilkoblet.

Google fikk nylig en bot på 50 millioner euro, rundt 490 millioner kroner, for brudd på GDPR. Boten ble gitt av det franske byrået CNIL, som tilsvarer Datatilsynet i landet. CNIL begrunner boten med at Google gjør det for vanskelig for brukere å få tak i essensiell informasjon, som for eksempel hensikten med datainnsamlingen, hvor lenge data lagres og hvordan de brukes, samt hvilke personlige data som brukes til målrettet annonsering. Facebook undersøkes også for lignende brudd på GDPR.

Europol har sammen med nederlandsk og engelsk politi tatt ned en stor markedsplass for kjøp av DDoS-angrep. Markedsplassen skal ha hatt omlag 150.000 registrerte brukere, og blant kjøperne av slike angrep skal det også befinne seg flere nordmenn, derav flere mindreårige. Informasjon om disse er oversendt Kripos for videre oppfølging.

fredag 4. januar 2019

Oppsummering av nyhetsbildet innen datasikkerhet for desember 2018

Vi håndterte 131 alvorlige saker relatert til Sikkerhetsovervåking i desember, litt opp fra 127 i november. Det er ingen spesielle hendelser som peker seg ut denne måneden.

Det var 464 bekreftede DDoS-angrep denne måneden, opp fra 400 i november. 178 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.11 Gbps og varte typisk i 21 minutter. Det største angrepet observert i denne perioden var på 41 Gbps og varte i 25 minutter. Tre av TSOC sine bedriftskunder ble utsatt for angrep denne måneden.

PST (Politiets sikkerhetstjeneste) opplyste 5. desember at de henlegger saken rundt datainnbruddet hos Helse Sør-Øst. Dette skjer etter at de har gjennomført en omfattende etterforskning som har vært koordinert med Nasjonal sikkerhetsmyndighet, Etterretningstjenesten og Kripos. Saken blir henlagt på grunn av manglende opplysninger om gjerningsperson. “Vår etterforskning har ikke kunnet avdekke om det er tappet ut informasjon. Vi kan ikke utelukke dette, men vi har ikke sett det”, opplyste PST-sjef Benedicte Bjørnland til TV 2.

PST meldte i 27. desember at de i november hadde startet etterforskning av nettverksangrep mot enkelte fylkesmannsembeter. PST opplyste til NRK at etterforskningen har blitt gjennomført i samarbeid med Nasjonal sikkerhetsmyndighet (NSM), og at de på nåværende tidspunkt ikke ønsker å kommentere saken ytterligere av hensyn til etterforskningen.

Hotellkjeden Mariott International meldte tidlig i desember at de hadde blitt utsatt for et datainnbrudd hvor informasjon om 500 millioner gjester hadde blitt stjålet. Selskapet melder om at for de fleste av kundene gjelder dette informasjon som navn, adresse, telefonnummer, epost-addresse, passnummer, fødselsdato, kjønn samt ankomst- og avreise-informasjon. Fra noen av gjestene er det også stjålet kredittkortinformasjon.

Iranske hackere har omgått 2-faktor-autentisering over SMS for flere tjenester som Yahoo Mail og Gmail ved hjelp av såkalt realtime-phishing. Metoden har de brukt til å kompromittere e-postkontoer tilhørende amerikanske offentlig ansatte, journalister osv. Denne typen angrep utnytter at brukeren selv må skrive inn den andre faktoren (engangskoden), og da gir koden fra seg til angriperne, som videre bruker den til å logge seg inn. Autentisering med vanlig kodebrikke via BankID er også sårbar på samme måten. Bruk av fysisk sikkerhetsnøkler fra f.eks. Yubikey er ikke sårbare for dette angrepet, siden det blir verifisert at den fysiske sikkerhetsnøkkelen er på den samme enheten som innloggingen blir gjort fra.

1. januar 2019 trådte en ny sikkerhetslov i kraft. Den nye loven skal gjøre Norge bedre i stand til å håndtere cyberangrep og digitale trusler. Nåværende sikkerhetslov legger stor vekt på beskyttelse av gradert informasjon. Den nye loven endrer ikke på det, men den vil også kunne omfatte informasjonssystemer, infrastruktur og objekter av sentral betydning for nasjonal sikkerhet.

I 2015 kom Kina og USA til enighet om at Kina skulle slutte med økonomisk cyber-spionasje. Nå hevder USA og allierte at Kina har brutt denne avtalen gjentatte ganger. FBI anklager Kina for å stå bak en bølge av hacking-aktivitet rettet mot mer enn 245 organisasjoner, inkludert NASA og US Navy Networks, og har i den forbindelse siktet to kinesere tilknyttet trusselaktøren APT10 for dette.

I oktober publiserte Bloomberg Businessweek en artikkel der de anklaget firmaet Supermicro for å ha satt inn avlyttingsbrikker på sine hovedkort. Kortene ble solgt til blant annet Apple og Amazon. Selskapet Nardello & Co ble senere rekruttert av Supermicro for å sjekke påstandene til Bloomberg. Etter å ha gått igjennom et utvalg av kort fra både produksjon og eldre versjoner, konkluderer nå Nardello & Co med at påstandene ikke stemmer. De fant ingen form for spionvare i programvare, designfiler eller at signaler ble sendt ut av kortene. Bloomberg står imidlertid på sitt og hevder at de har 17 hemmelige kilder som sier spionvaren eksisterer.

Amerikanske myndigheter har tiltalt to Iranere for data-angrep utført med utpressingsprogrammet (ransomware) SamSam. Gruppen som har brukt dette verktøyet har ikke benyttet seg av phishing-angrep, som de fleste andre. De har derimot utnyttet eksternt eksponerte og dårlig sikrede systemer hos kommuner, sykehus, universiteter osv. De har kryptert mange viktige systemer samtidig, og deretter forlangt løsepenger for å dekryptere systemene igjen. Det er tvilsomt om de to noen gang vil bli stilt for retten, siden de befinner seg i Iran.

onsdag 5. desember 2018

Oppsummering av nyhetsbildet innen datasikkerhet for november 2018

I november håndterte vårt operasjonssenter 127 alvorlige saker i forbindelse med tjenesten Sikkerhetsovervåking, opp fra 118 saker i oktober. Selv om prisene på forskjellige typer kryptovaluta har gått kraftig ned i 2018, er dette fortsatt den mest populære måte å utnytte infiserte PCer på.

Det var 400 bekreftede DDoS-angrep i november, opp fra 330 i oktober. 119 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.87 Gbps og varte typisk i 23 minutter. Det største angrepet observert i denne perioden var på 60 Gbps og varte i 11 minutter. Syv av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Mange SSD harddisker kommer med maskinvarekryptering, noe som gjør at SSDen selv kan brukes til å kryptere dataene i stedet for at dette blir gjort av programvare. Blant annet benytter Windows seg av dette og stoler på at SSDen står for krypteringen selv når Bitlocker blir brukt. Forskere ved Radbound Universitet har nå funnet ut at mange SSDer bruker en svært dårlig krypteringsimplementasjon. Crucial MX300 har for eksempel satt et tomt hovedpassord, noe som gjør det trivielt å få tak i det krypterte innholdet. Bitlocker kan heldigvis bli fortalt at den ikke skal stole på maskinvarekryptering i SSDer og i stedet bruke programvarekryptering, men mange er ikke klar over denne problemstillingen.

Den russland-baserte hackergruppen APT-29 (Cozy Bear) er kjent for innbruddet hos den amerikanske Democratic National Committee før presidentvalget i 2016. Gruppen har også angrepet norske mål i 2017. CrowdStrike oppdaget 14. november en stor spear-phishing kampanje mot flere sektorer utført av APT-29. Meldingen utga seg for å være fra "U.S Department of State" og linket til en legitim kompromittert side.

US Cyber Command opplyser at de skal begynne å laste opp malware de oppdager i forbindelse med etterforskning av utenlandske APT-grupperinger til VirusTotal. Malwaren vil bli lastet opp etter hvert som den blir avgradert. Ved at malwaren legges opp på VirusTotal, vil sikkerhetsleverandører lett kunne få tilgang til dem og legge inn deteksjon i sine sikkerhetsprodukter.

Under hackerkonkurransen Pwn2Own Tokyo 2018, ble tre populære mobiltelefoner hacket. Dette var Samsung Galaxy S9, IphoneX og Xiaomi Mi6. I alt ble 18 svakheter funnet. I et av tilfellene ble opp til fem svakheter misbrukt etter hverandre for å knekke sikkerheten. Det ble utbetalt totalt $325.000 i prispenger under konkurransen.

Versjon 3 av HTTP-protokollen vil basere seg på HTTP over QUIC og altså ikke bruke TCP-proktollen i bunnen. QUIC står for Quick UDP Internet Connections og kombinerer HTTP/2, TCP, UDP og TLS. Protokollen er alltid kryptert og er også kjappere enn TCP. Google håper at protokollen skal ta over både for UDP og TCP.

Ifølge undersøkelsen 2018 Market Pulse Survey, har ansattes datasikkerhetsvaner forverret seg i det siste. Undersøkelsen inneholder svar fra 1600 ansatte fra selskaper som har flere enn 1000 ansatte fra et utvalg vestlige land. Blant annet innrømmer 75% at de gjenbruker passord mellom kontoer, opp fra 56% i 2014. I følge undersøkelsen er det aldersgruppen 18-25 som er verstingene, der hele 87% gjenbruker passord. Det nevnes også at 50% av aldersgruppen bruker samme passord på både personlige kontoer og kontoer relatert til jobb.

Mellom 2009 og 2013 opplevde CIA at et system de hadde for kommunikasjon med agenter ble avslørt av Iran. Dette førte til at dusinvis av amerikanske agenter ble drept i Kina og Iran. Innen 2011 hadde Iran infiltrert nettverket og annonserte i mai at de hadde avslørt over 30 amerikanske spioner. Kina fikk også tak i informasjon på lignende måte og 30 amerikanske agenter ble henrettet.

Ironisk nok ble det i oktober oppdaget en alvorlig svakhet i WordPress GDPR Compliance Plugin. Svakheten gjør det mulig å opprette brukere og gi disse administrator-rettigheter. Videre gir svakheten også muligheten til å utføre en bakdør-installasjon ved å injisere kommandoer i cron.

torsdag 8. november 2018

Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2018

I oktober håndterte vårt operasjonssenter 118 alvorlige saker i forbindelse med tjenesten Sikkerhetsovervåking. Denne måneden har vi innført en ny måte å definere alvorlige hendelser på for denne oppsummeringen, der en del automatisk håndtere saker blir tatt vekk. Antallet hendelser vil derfor trolig være noe lavere enn før i tiden framover.

Det var 330 bekreftede DDoS-angrep i oktober, opp fra 261 i september. 95 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.98 Gbps og varte typisk i 14 minutter. Det største angrepet observert i denne perioden var på 48.8 Gbps og varte i 26 minutter. To av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Hackere utnyttet flere svakheter i plattformen til Facebook, noe som lot dem få tak i tilgangs-tokener til rundt 30 millioner Facebook kontoer. 14 millioner av disse mistet personlig informasjon som navn, kontaktinformasjon samt flere andre personlige detaljer. Hackerne hadde full kontroll over alle kontoene, men rakk ikke å foreta seg noe aktivt med dem før Facebook nullstilte alle tilgangene. Utover måneden ble det rapportert at det mest sannsynlig var spammere som sto bak angrepet, og ikke statlige aktører, som mange først mistenkte.

Nyhetstjenesten Bloomberg hadde i oktober to reportasjer om hvordan hardware fra SuperMicro ble manipulert for å kunne fjernstyres og avlyttes. Den første artikkelen omhandlet mikrobrikker som ble lagt til hovedkort etter produksjonen, den andre tok for seg manipulerte ethernet-kontakter. Utstyret skal ha endt opp hos 30 store amerikanske selskaper, blant annet Amazon og Apple. Ingen bevis ble framlagt, og etter hvert avviste både Apple, Amazon og sikkerhetsmyndighetene i både USA og UK at dette hadde skjedd. Det finnes også alternativer som både er vanskeligere å oppdage og lettere å gjennomføre enn å manipulere hardware direkte, som for eksempel å manipulere BIOS på hovedkortet.

I desember 2017 omtalte vi en større lekkasje av 1.4 milliarder brukernavn og passord. Denne måneden fant Aftenposten fram denne nyheten igjen, siden de oppdaget en nettside som enkelt lot dem søke opp epostadresser fra lekkasjen og få fram passordene i klartekst. Saken fikk enda større oppmerksomhet i media denne gangen. Vi anbefaler tjenesten haveibeenpwned.com for å bli varslet dersom noen hacker en tjeneste og ditt brukernavn og passord blir lekket.

Forskere har funnet ut at China Telecom har brukt BGP-spoofing til å route Internett-trafikk fra Canada og USA gjennom Kina. Ukryptert trafikk antas å ha blitt analysert og lest. Forskningen er publisert i en paper i Military Cyber Affairs og er et samarbeid mellom US Naval War College og Tel Aviv University. Dette skal ha foregått i flere år og er også bekreftet av andre kilder.

Politiforum hadde en artikkel om oppstykket ansvar og mange aktører i cyberspace. Lista over aktører som skal gripe inn mot cyberkriminalitet begynner å bli lang, og siste skudd på stammen er et nytt nasjonalt cybersikkerhetssenter i Nasjonal sikkerhetsmyndighet. Det kan være vanskelig å forstå hvem som skal gjøre hva og hvor man skal henvende seg. Politiforum hadde en gjennomgang av hvordan situasjonen er i dag og fremtidige planer.

fredag 12. oktober 2018

Oppsummering av nyhetsbildet innen datasikkerhet for september 2018

I september ble det registrert 239 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, opp fra 170 i august. Fortsatt er det mange maskiner som blir infisert av programvare som utvinner kryptovaluta, selv om prisene har gått kraftig ned i løpet av året. Vi har også sett noen maskiner infisert av bank-trojaneren Retefe, etter at denne ble spredt via e-poster i Norge denne måneden.

Det var 261 bekreftede DDoS-angrep i august, opp fra 213 i august. 58 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.61 Gbps og varte typisk i én time. Det største angrepet observert i denne perioden var et SYN-angrep på 25.2 Gbps og varte i én dag. Seks av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Myndighetspersoner fra de Forente Arabiske Emirater skal i over et år ha brukt et spionasjeverktøy utviklet av selskapet NSO-group basert i Israel. Da selskapet tilbød dem en kostbar oppdatering av verktøyene, ble det forespurt om selskapet kunne levere dokumentasjon av vellykket spionasje mot en rekke viktige personer. En Saudi-Arabisk prins og en redaktør i en kjent arabisk avis skal ha vært blant de ønskede målene. Fire dager senere skal en representant for NSO-group ha sendt en e-post med opptak av telefonsamtaler utført av redaktøren, Abdulaziz Alkhamis. Senere skal redaktøren ha bekreftet at samtalene ble utført av han, og at han ikke visste at han ble overvåket. Informasjonen har kommet frem i en rettssak der NSO-group er beskyldt for deltakelse i ulovlig spionasje.

Representanter fra USA, Storbritannia, Canada, Australia og New Zealand, som går under navnet The Five Eyes, har igjen gitt indikasjoner om at de vil ha muligheten til å dekryptere kryptert kommunikasjon som de mener kan hjelpe deres etterforskninger. De vil oppnå dette ved å få store teknologiselskaper til å samarbeide med dem om få dekryptert kommunikasjonen. Om teknologiselskapene nekter, vil landene prøve å legge til rette nye lover for å kreve dette av dem.

Det amerikanske justisdepartementet har siktet én person, Park Jin Hyok, for å ha medvirket til Nord-Koreas ondsinnede nettaktiviteter i forbindelse med WannaCry-angrepet. Han skal sammen med andre ha utført handlingene for den nordkoreanske staten. Den siktede beskyldes også for å ha vært delaktige i angrepet på Sony Pictures i 2014. Dette angrepet var en hevnaksjon etter at selskapet laget en komedie som gjorde narr av den nordkoreanske diktatoren.

I følge den Nederlandske avisen Swiss Daily har nederlandsk sikkerhetspoliti pågrepet og utvist to russere som påstås å høre til etterretningstjenesten GRU. De to er mistenkt for å ha planlagt et hacker-angrep mot Speiz-labratoriet i Bern, som i september jobbet med å undersøke giften
som ble brukt i drapsforsøket på den tidligere russiske agenten Sergei Skripal og hans datter i Salisbury.

I forbindelse med Nato-øvelsen Trident Juncture sier Erna Solberg at vi må regne med kyberangrep fra Russland og andre aktører. Under øvelsen vil det være mange som har interesse av å drive etterretningsvirksomhet mot Norge og Cyberforsvaret har derfor økt deres beredskap. E-tjenesten, PST, NSM, Forsvarets sikkerhetsavdeling, Cyberforsvaret og NATO vil ha et tett samarbeid og løpende utveksle informasjon med hverandre under øvelsen.


En tidligere NSA-ansatt tok med seg gradert materiale til sin hjemme-PC mellom 2010 og 2015. Han er nå dømt til 66 måneders fengsel etter lovbruddet, som førte til at russiske myndigheter fikk tak i det graderte materialet, antakeligvis gjennom anti-virus-programvare fra Kaspersky Labs. Programvare fra Kaspersky har siden blitt forbudt på statlige datamaskiner. Kaspersky benekter at de har gitt videre gradert materiale til russiske myndigheter.

 
>