Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 4. april 2014

Oppsummering av nyhetsbildet mars 2014

Antallet alvorlige hendelser registrert av våre IDS-sensorer gikk noe opp i mars sammenlignet med februar. Det er for det meste social engineering og gamle exploits mot utdatert programvare som benyttes.

Denne måneden gikk antallet håndterte DDoS-hendelser den sammenlignet med februar. Noe av nedgangen kan skyldes automatiserte tiltak i Telenors nettverk. Det største angrepet gjennom perioden var på 27Gbps og 25 av angrepene var på over 10Gbps.

Telenors SOC har i slutten av februar observert at angripere ved flere tilfeller har logget seg inn på FTP-tjenere tilhørende kunder. Her klarer de å logge seg inn på tjeneren med gyldige brukernavn og passord. Disse er antakeligvis stjålet fra kompromitterte klientmaskiner. Angriperne sjekker så om de har skrivetilgang til til tjeneren ved å forsøke å laste opp en fil kalt “ftpchk3.php”. Dersom de får tilgang, forsøker de å laste opp skadelig kode og få lagt denne ut på eventuelle web-servere som befinner seg på samme tjener. Det anbefales ikke å ha FTP-tjenere eksponert mot Internett.

I februar ble det oppdaget en ny type DDoS-angrep. En angriper fikk 162.000 WordPress-sider til å angripe andre web-servere. Angrepet gjøres ved å bruke en ping-back-kommando i WordPress og be om at svaret sendes til offeret. Denne kommandoen sendes så til tusenvis av WordPress-sider. Sidene til KrebsOnSecurity.com ble blant annet tatt ned av dette angrepet. Flere norske bloggsider var også ufrivillig med i angrepet.

En svakhet i krypteringsbiblioteket GnuTLS gjorde det trivielt for en angriper å omgå SSL- og TLS-kryptering hos applikasjoner som benytter seg av biblioteket. Svakheten omfatter bl.a. populære Linux-distribusjoner som Red Hat, Ubuntu og Debian, men det er antatt at mer enn 200 forskjellige operativsystemer og applikasjoner benytter seg av biblioteket. Svakheten kan ha eksistert helt siden 2005. Apple patchet en lignende krypteringssvakhet sist måned.

Denne måneden ble konkurransen Pwn2Own avholdt i Canada. I denne konkurransen gis det ut store pengepremier for å hacke kjent programvare. Den store vinneren ble det franske sikkerhetsselskapet Vupen. Blant programvare som ble funnet sårbar var Chrome, Internet Explorer, FireFox, Java og Flash. Alle disse programmene ble utnyttet til å få kontroll over maskinen som ble angrepet. Dette viser at det stadig er mulig å finne svært alvorlige svakheter i mye brukt programvare.

Microsoft ga ut en FixIt-patch for en nyoppdaget sårbarhet i Microsoft Word. Sårbarheten ble observert i målrettede angrep og tillater en angriper å eksekvere kode på et sårbart system. Koden kan eksekveres dersom brukeren åpner en fil av typen RTF (Rich Text Format) som kommer fra angriperen eller dersomom brukeren bruker Outlooks forhåndsviser til å se på denne filen i en e-post.

I forbindelse med konflikten i Ukraina ble nettsidene til NATO, Kremlin og den russiske sentralbanken tatt ned ved hjelp av DDoS-angrep. Det ble også gjennomført mindre angrep mot medienettsteder i Ukraina samt målrettede DoS-angrep mot telefoner tilhørende Ukrainske politikere.

I denne månedens NSA-avsløringer kom det fram at NSA skal ha et system som kan ta opp alle telefonsamtaler i minst ett land og lagre disse i 30 dager. Det ble også avslørt at NSA har hacket seg inn i interne nettverk hos Huawei. Hensikten skal ha vært å tilegne seg kunnskap om selskapet og eventuelle knytninger motl myndighetene. De skal også ha ønsket å finne ut hvordan man kan utnytte svakheter i Huawei-produkter, for således å kunne tilegne seg tilgang til Huawei-baserte nettverk.

lørdag 1. mars 2014

Oppsummering av nyhetsbildet februar 2014

Denne måneden var det noe nedgang i antall håndterte hendelser fra våre IDS-sensorer. Det er ikke meldt at nye svakheter i klienter har blitt utnyttet i betydelig grad. Det er for det meste social engineering og gamle exploits mot utdatert programvare som benyttes. Denne måneden registrerte vi en viss oppgang i installasjon av falske sikkerhetsprodukter. Dette er en type infeksjon som går under kategorien social engineering.


Antallet håndterte DDoS-hendelser gikk opp i februar. Halvveis i måneden var det spesielt mange NTP-baserte angrep. Det største angrepet var på rundt 90Gbps. 23 av angrepene var på over 10Gbps.


14. februar publiserte firmaet FireEye en bloggpost om en malwarekampanje de har døpt Operation Snowman. En angriper spredde malware ved å kompromittere et nettsted for amerikanske soldater som har tjenestegjort utenfor USA. Malwaren utnyttet en til nå ukjent svakhet i Internet Explorer 9 og 10 sammen med Adobe Flash og Javascript. 20. februar slapp Microsoft en foreløpig fix-it patch for svakheten. Den endelige patchen kommer i den månedlige oppdateringene fra Microsoft i mars.


Adobe slapp en oppdatering til Adobe Flash Player som ble klassifisert som kritisk. Den fikset en svakhet som kan brukes til å ta kontroll over sårbare datamaskiner. Oppdateringen ble sluppet utenom den vanlige patche-datoen til Adobe. Kaspersky rapporterte om at svakheten ble utnyttet aktivt i målrettede angrep. Vi har ikke sett større utnyttelse av svakheten i Norge.


Interne dokumenter om 27.000 av den britiske storbanken Barclays kunder er på avveie. Flere kunder har allerede blitt svindlet og utsatt for utpressing som følge av kompromitteringen. Kundedokumentene som har havnet på avveie inkluderte informasjon som kontonummer, passnummer, forsikringsnummer og informasjon om vedkommendes helse og økonomi. Hver dokument skal være på ca 20 sider.


I februar ble det utført et tjenestenektangrep mot en av kundene til CloudFlare. Angrepet hadde en størrelse på 400Gbps og ble utført ved bruk av 4529 sårbare NTP (Network Time Protocol) servere. CloudFlare har senere sluppet detaljer om angrepet og hvilke nettverk som stod for angrepstrafikken.


Denne måneden ble det oppdaget en alvorlig svakhet i Apples implementering av SSL. Svakheten lar angripere med tilgang til nettverkstrafikken overvåke og endre krypterte forbindelser med letthet. Svakheten ble introdusert i iOS og Mac OS X for rundt ett og et halvt år siden. En oppdatering for iOS ble sluppet 21. februar og en oppdatering til OS X fulgte et par dager senere. Det har vært spekulert om noen har introdusert svakheten med overlegg for å gjøre avlytting av trafikk enklere.


NBC News hadde denne måneden en sak om GCHQs kamp mot Anonymous og andre hacktivist-grupperinger. Der kom det blant annet fram at GCHQ utsatte Anonymous sine IRC-servere for tjenestenektangrep. I reportasjon er det også eksempler på infiltrasjon og hvordan medlemmer ble identifisert. I februar ble det videre avslørt at GCHQ har tappet Yahoos tjeneste for video-chat. Det ble lagret stillbilder av de ukrypterte chat-sesjonene hvert femte minutt.

Hackere fra Syrian Electronic Army (SEA) hacket seg inn hos publikasjonen Forbes. Her fikk de kontroll over publiseringssystemet og la inn en falsk nyhetssak. De tok også kontroll over tre Twitter-kontoer tilhørende ansatte. Syrian Electronic Army publiserte etter angrepet Forbes sin bruker-database med tilhørende krypterte passord. Kredittkortinfo skal ikke ha blitt stjålet. SEA vandaliserte også nettsidene til PayPal UK og eBay.

lørdag 1. februar 2014

Oppsummering av nyhetsbildet januar 2014

Adobe slapp viktige oppdateringer for Flash Player, Reader og Acrobat. Oracle patchet 144 svakheter i Database Server, MySQL og Java. Microsoft slapp denne måneden fire oppdateringer, hvorav ingen var klassifisert som kritiske.


Aftenposten hadde et oppslag om hvordan krypteringsalgoritmer til bruk i GSM ble utformet svakere enn nødvendig da mobiltelefonistandarden ble utformet tidlig på 80-tallet, angivelig på grunn av politisk press. I følge fire av personene som deltok i arbeidet skal muligheten for overvåking ha vært en av årsakene til at enkelte stater ønsket svakere sikkerhet.


Luksuskjeden Neiman Marcus sier de har blitt utsatt for en serie med datainnbrudd hvor en ukjent mengde kreditkortdetaljer har blitt lekket. Innbruddet skjedde på omtrent samme tidspunkt som Target også ble angrepet og frastjålet kredittkortinfo fra millioner av kunder.


New York Times hadde denne måneden en artikkel om at NSA kontrollerer over 100.000 datamaskiner utenfor USA. De fleste av disse blir kontrollert via fjernstyringsprogramvare. Noen maskiner har angivelig også fått satt inn egne hardware-moduler/brikker som gjør at NSA kan styre og avlytte maskinene, selv om de ikke er koblet til noe nettverk. Dette kan gjøres innenfor en avstand på noen kilometer via radiokommunikasjon.


Der Spiegel hadde en artikkel som omhandlet hardware og software som NSA bruker for spionasje. Artikkelen viser at NSA i 2008 hadde bakdører klare for utstyr fra blant annet Cisco, Huawei, Dell og Apple’s iPhone.


SEA (Syrian Electronic Army) hacket Microsoft-eide Skype sin Twitter-konto, Facebook-konto og blogg. Senere i måneden fikk de tilgang til to andre Twitter-kontoer tilhørende Microsoft, samt Technet-bloggen. Microsoft meldte også mot slutten av måneden at Microsoft-ansatte hadde falt for et phishing-angrep. Angriperne var tilsynelatende ute etter dokumenter i forbindelse med henvendelser fra politiet. SEA stod trolig også bak dette angrepet.

Russeren Aleksandr Andreevich Panin tilstod mot slutten av måneden å ha vært primær utvikler og distributør av malware-toolkitet SpyEye i en føderal domstol i Atlanta. I følge en pressemelding fra FBI opererte Panin fra Russland i perioden 2009-2011, med å utvikle, markedsføre og selge varianter av SpyEye på lukkede undergrunnsforum. SpyEye har også rammet mange norske bankkunder.

onsdag 15. januar 2014

Oppsummering av nyhetsbildet desember 2013

DDoS-angrepene som TSOC observerte i desember bestod fortsatt for det meste av DNS-reflection-angrep og var ofte rettet mot privat-brukere. Denne måneden observerte vi et angrep på over 110Gbps, noe som er ny rekord i Telenors nett. Fra 23. desember og utover så vi også flere angrep som benyttet seg av NTP-reflection. Dette er en ny form for DDoS-angrep som misbruker tjenesten Network Time Protocol. Det er bare gamle installasjoner av NTP som lar seg utnytte til denne typen angrep.

Tre unge menn ble i desember dømt for grovt skadeverk etter å ha utført DDoS-angrep mot nettsteder som DnB, PST, It-avisen, digi.no, Norsk Tipping m.fl. våren 2012. Angrepene gjorde flere av sidene utilgjengelig i timesvis. Angrepene ble utført ved å kjøpe DDoS-tjenester på nettet og krevde ingen teknisk innsikt. Dommen er viktig da den avklarer at DDoS-angrep er et alvorlig lovbrudd i Norge.

TSOC observerte medio desember en formidabel økning i scanninger etter Linux-maskiner med sårbar installasjon av Apache / PHP 5.x. Dersom en maskin er sårbar, lastes det ned en IRC-basert DDoS-bot.

Microsoft slapp denne måneden 11 oppdateringer som rettet 22 svakheter. Blant disse var en oppdatering for GDI+ som rettet en svakhet som rammet Office 2007 og Lync. Denne svakheten ble brukt i målrettede angrep for å kompromittere maskiner.

Forskere i Tyskland har klart å bruke den innebygde mikrofonen og høyttaleren i bærbare PCer for å sende informasjon til andre PCer opptil 20 meter unna. Denne informasjonen kan være passord, kommandoer og andre typer data av mindre størrelse. Kommunikasjonen skjer over 20KHz og er dermed ikke mulig å høre for mennesker. Denne utviklingen utgjør en trussel mot spesielt sikrede nettverk uten vanlig nettforbindelse (air-gapped).

Flere teleoperatører i Sverige har opplevd press fra myndighetene for å gi automatisk tilgang til brukerdata. De har samtidig blitt lovet at kundene ikke skal få vite om tilgangen. Bahnhof og Tele2 bekrefter dette. Lederen for Bahnhof har også gjort flere timer med hemmelige lydopptak av samtelene. Säpo argumenterer med at det kan være tidskritisk å få tak i informasjonen fort i tilfelle et forestående terrorangrep.

I følge Reuters skal NSA ha betalt sikkerhetsselskapet RSA rundt 60 millioner kroner for å bruke en spesiell krypteringsalgoritme (Dual_EC_DRBG) som har en bakdør som NSA kunne bruke. Saken har ført til at flere foredragsholdere har meldt avbud til årets RSA-konferanse.

En komité nedsatt av Obama for å se på NSAs overvåking er kritisk på flere punkter. Blant annet foreslår de at metadata om telefonsamtaler ikke samles inn sentralt, men blir liggende hos hvert enkelt teleselskap. Gruppen er også kritisk til at NSA jobber for å legge inn bakdører i krypteringsalgoritmer. Rapporten kommer også med forslag til over 40 andre endringer.

Før jul ble det rapportert om at kredittkortdata fra millioner av kunder av den amerikanske butikkjeden Target var på avveie. Det er nå klart at 70 millioner kunder har blitt frastjålet ikke bare kredittkortdata, men også personlig informasjon som navn, adresse og telefonnummer. Target bekrefter at lekkasjen skyldtes malware på betalingsautomater i forretningene.

tirsdag 2. juli 2013

Oppsummering av nyhetsbildet juni 2013

Denne måneden var nyhetsbildet preget av avsløringer fra Edward Snowden, som er på rømmen fra amerikanske myndigheter. Han slapp informasjon i flere omganger gjennom avisen The Guardian og andre nyhetsorganisasjoner. Det ble blant annet sluppet informasjon om systemet PRISM, som er laget for å hente inn personopplysninger direkte fra større Internett-tilbydere som Facebook, Google, Microsoft og Apple. Han ga også informasjon om spionasje fra NSA mot EU og andre land ved hjelp av mikrofoner, hacking og tapping av kommunikasjonslinjer.


Måneden har også vært preget av spam vinklet mot norske brukere. E-postene opplyste blant annet om at du har tegnet et abonnement hos TV2 Sumo, ga seg ut for å være en MMS fra Telenor eller bekreftelse på flyreise fra SAS. Felles for e-postene er at de har et vedlegg med malware som brukeren blir forsøkt lurt til å åpne. Malwaren kommer i form av en kjørbar fil (.exe-fil) som igjen er pakket inn i et zip-arkiv. Det er tydelig at kriminelle er ute etter å infisere spesifikt nordmenn med disse e-postene, siden de har norsk språk og omhandler norske firmaer. Kanskje er det noen som bygger opp en base med norske maskiner for å få tilgang til finansielle opplysninger, utføre DDoS-angrep, utpressing eller lignende mot norske mål.


Telenor SOC observerer at antall DDoS-angrep og størrelsen på disse fortsetter å stige. Denne måneden har det vært to angrep på over 10Gbit/s som har blitt oppdaget og uskadeliggjort.


Den 19. juni ble et angrep mot Opera Software oppdaget. Angriperne skal ha fått tak i et sertifikat som de brukte til å signere filer. Dette ga dem muligheten til å distribuere malware som så ut til å enten komme fra Opera eller å være Opera nettlesereren. Antakeligvis ble noen tusen brukere av Opera infisert av malware via denne falske oppdateringen.


NBC rapporterte at General James Cartwright er under etterforskning for å ha lekket detaljer rundt Stuxnet-programmet, som han selv hadde ansvaret for. Programmet utviklet avansert malware for å sabotere sentrifuger for anrikning av uran i Iran.


Millioner av personopplysninger ble stjålet fra et dansk offentlig register. En dansk 20-åring skal være arrestert i forbindelse med saken. Svenske Gottfrid “anakata” Svartholm Warg, som var med å starte The Pirate Bay, er mistenkt i saken. Senere i måneden kom det fram at også opplysninger fra schengenregisteret ble hentet ut. I dette registeret kan det ha vært opplysninger om nordmenn.


Telenor samarbeider med Cyberforsvaret, PST og Nasjonal Sikkerhetsmyndighet om et nytt forskningssenter på Gjøvik. Ettersom Norges infrastruktur blir mer digital, trengs det nye sikkerhetstiltak for å forhindre angrep. Center for Security Economics and Technology (CSET) vil bygge på den kompetansen som eksisterer tverrsektorielt og vil styrke både undervisning og forskning ved Høyskolen i Gjøvik.


Denne måneden ble det innført nye regler for varsling av datainnbrudd i EU. Reglene krever nå at ISPer og telekommunikasjonsselskaper må opplyse til myndighetene om databrudd/-tyveri/-lekkasje innen 24 timer etter hendelsen.


Microsoft tok i samarbeid med FBI og andre partnere ned over 1400 Citadel botnet i en operasjon kalt "Operation B54". Citadel har utspring fra den kjente banktrojaneren Zeus og har vært brukt ii nettbankangrep estimert til mer enn 500 millioner USD.

 
>