Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 2. juli 2013

Oppsummering av nyhetsbildet juni 2013

Denne måneden var nyhetsbildet preget av avsløringer fra Edward Snowden, som er på rømmen fra amerikanske myndigheter. Han slapp informasjon i flere omganger gjennom avisen The Guardian og andre nyhetsorganisasjoner. Det ble blant annet sluppet informasjon om systemet PRISM, som er laget for å hente inn personopplysninger direkte fra større Internett-tilbydere som Facebook, Google, Microsoft og Apple. Han ga også informasjon om spionasje fra NSA mot EU og andre land ved hjelp av mikrofoner, hacking og tapping av kommunikasjonslinjer.


Måneden har også vært preget av spam vinklet mot norske brukere. E-postene opplyste blant annet om at du har tegnet et abonnement hos TV2 Sumo, ga seg ut for å være en MMS fra Telenor eller bekreftelse på flyreise fra SAS. Felles for e-postene er at de har et vedlegg med malware som brukeren blir forsøkt lurt til å åpne. Malwaren kommer i form av en kjørbar fil (.exe-fil) som igjen er pakket inn i et zip-arkiv. Det er tydelig at kriminelle er ute etter å infisere spesifikt nordmenn med disse e-postene, siden de har norsk språk og omhandler norske firmaer. Kanskje er det noen som bygger opp en base med norske maskiner for å få tilgang til finansielle opplysninger, utføre DDoS-angrep, utpressing eller lignende mot norske mål.


Telenor SOC observerer at antall DDoS-angrep og størrelsen på disse fortsetter å stige. Denne måneden har det vært to angrep på over 10Gbit/s som har blitt oppdaget og uskadeliggjort.


Den 19. juni ble et angrep mot Opera Software oppdaget. Angriperne skal ha fått tak i et sertifikat som de brukte til å signere filer. Dette ga dem muligheten til å distribuere malware som så ut til å enten komme fra Opera eller å være Opera nettlesereren. Antakeligvis ble noen tusen brukere av Opera infisert av malware via denne falske oppdateringen.


NBC rapporterte at General James Cartwright er under etterforskning for å ha lekket detaljer rundt Stuxnet-programmet, som han selv hadde ansvaret for. Programmet utviklet avansert malware for å sabotere sentrifuger for anrikning av uran i Iran.


Millioner av personopplysninger ble stjålet fra et dansk offentlig register. En dansk 20-åring skal være arrestert i forbindelse med saken. Svenske Gottfrid “anakata” Svartholm Warg, som var med å starte The Pirate Bay, er mistenkt i saken. Senere i måneden kom det fram at også opplysninger fra schengenregisteret ble hentet ut. I dette registeret kan det ha vært opplysninger om nordmenn.


Telenor samarbeider med Cyberforsvaret, PST og Nasjonal Sikkerhetsmyndighet om et nytt forskningssenter på Gjøvik. Ettersom Norges infrastruktur blir mer digital, trengs det nye sikkerhetstiltak for å forhindre angrep. Center for Security Economics and Technology (CSET) vil bygge på den kompetansen som eksisterer tverrsektorielt og vil styrke både undervisning og forskning ved Høyskolen i Gjøvik.


Denne måneden ble det innført nye regler for varsling av datainnbrudd i EU. Reglene krever nå at ISPer og telekommunikasjonsselskaper må opplyse til myndighetene om databrudd/-tyveri/-lekkasje innen 24 timer etter hendelsen.


Microsoft tok i samarbeid med FBI og andre partnere ned over 1400 Citadel botnet i en operasjon kalt "Operation B54". Citadel har utspring fra den kjente banktrojaneren Zeus og har vært brukt ii nettbankangrep estimert til mer enn 500 millioner USD.

onsdag 5. juni 2013

Oppsummering av nyhetsbildet mai 2013

Microsoft meldte 6. mai om en ny 0-dags sårbarhet i Internet Explorer. Svakheten ble først utnyttet i et vannhullsangrep rettet mot forskere som jobbet med atomvåpen i det amerikanske energidepartementet. Angrepskode ble samme dag også lagt til i Metasploit-rammeverket. Kundene ble anbefalt å oppgradere til IE 9 eller 10. Svakheten ble siden brukt i flere vannhullsangrep. 10. mai utga Microsoft en foreløpig fiks for problemet. Fem dager senere ble hullet lukket helt i forbindelse med Microsofts månedlige oppdatering.

Panda Security meldte at i snitt var hver tredje PC i verden infisert av eller annen form for malware. Kina er hardest rammet. Der er over halvparten av landets PCer infisert. Andre forskere har også undersøkt titusenvis av websider og funnet ut at over 80 prosent av disse inneholdet minst én alvorlig svakhet som kunne utnyttes av angripere for å ta kontroll over serveren.

En internasjonal bande bestående av åtte personer har stjålet over 45 millioner dollar fra minibanker. De klarte dette ved å hacke seg inn hos selskaper som prosesserer forhåndsbetalte kredittkort og deretter ta ut penger parallelt i flere byer. Personene er nå siktet av FBI.

I løpet av måneden har det blitt avdekket at flere nettsider åpent annonserer salg av DDoS-tjenester. Fellesnevneren er at de fraskriver seg ansvar, og kun godtar PayPal som betaling.

Stadig flere av de større nettjenestene tilbyr to-faktor-autentisering for å øke sikkerheten i tjenesten, særlig ved å motvirke phishing-angrep. Både Twitter og LinkedIn tilbyr nå denne typen autentisering. En engangskode blir sendt via SMS ved innlogging fra en ukjent nettleser.

Google ble i 2010 utsatt for et datainnbrudd fra kinesiske hackere. Washington Post meldte i mai at inntrengerne fikk tilgang til en database hos Google som inneholdt opplysninger om hvem Google overvåket på vegne av amerikanske myndigheter. Operasjonen ble muligens gjennomført for å finne ut hvilke kinesiske spioner som ble overvåket av myndighetene.

Tidligere i år ble det rapportert om et målrettet cyber-angrep mot Telenor. Norman brukte opplysningene Telenor slapp i forbindelse med saken til å å finne ut mer om angrepet og gruppen bak. 21. mai publiserte de en rapport kalt “The Hangover Report” på over 100 sider med detaljer kalt “. Angrepene har sitt utspring i India, og Telenor var bare ett av mange mål. Samtidig med lanseringen ble det også oppdaget at grupperingen stod bak spionprogramvare rettet mot en deltager ved Oslo Freedom Forum. Norman har funnet forbindelser til det indiske firmaet Appin i forbindelse med angrepene.

Pentagon har også denne måneden kommet med anklager mot Kina når det gjelder cyber-spionasje. Det har også kommet fram at Kina har fått tilgang til konfidensiell informasjon om flere av USAs nye våpensystemer. Fra Australia ble det meldt at tegningene til Australias nye spionhovedkvarter har blitt stjålet av kineserne. The New York Times publiserte en artikkel om at hacking er utbredt i Kina. Det er ikke bare militæret som driver med hacking; det blir ofte brukt i privat sektor for å vinne kontrakter eller stjele hemmeligheter fra konkurrenter. Tjenestene blir åpent annonsert.

I følge siste kvartalsrapport fra NSM har det vært en markant oppgang i antall norske nettsteder som sprer malware til besøkende i første kvartal 2013. Mens det i følge NSM ble registrert ca. 300 saker med norske nettsteder som sprer virus i fjerde kvartal 2012, har antallet gått opp til 1700 i første kvartal 2013. Dette er noe vi også observerer ved Telenor SOC. Det beste rådet for å unngå infeksjon er å holde PCen oppdatert. Spesielt viktig er selve nettleseren sammen med Java, Adobe Flash og Reader.

En utvikler bak banktrojaneren SpyEye ble arrestert og utlevert til USA. Grunnleggeren av Liberty Reserve, en nettside for digital valutaveksling, ble arrestert og siktet for hvitvasking av penger. Retssaken mot de fire norske ungdommene anklaget for å ha brutt seg inn hos blant annet nettstedet “hemmelig.com” er i gang.

onsdag 8. mai 2013

Oppsummering av nyhetsbildet april 2013

I Finanstilsynets årlige risiko- og sårbarhetsanalyse knyttet til IT i finanssektoren, kom det fram at bankenes tap som følge av nettbanksvindel økte fra 664.000 kroner i 2011 til litt over 5 millioner i 2012. Mobile enheter blir foreløpig ikke angrepet, men tilsynet ser for seg en økning på dette området i framtiden.

Nettsteder basert på Wordpress og Joomla ble i april systematisk scannet og utsatt for angrepsforsøk ved å gjette tusenvis av brukernavn og passord for innlogging. Angrepet utføres av et botnett bygget opp av infiserte PCer. Hensikten ser ut til å være å bygge et serverbasert botnett, med stor båndbredde for bruk i større DDoS-angrep.

U.S. Air Force utpekte i april seks programvareprosjekter som cyber-våpen for å styrke satsingen på dette domenet i kampen om finansielle midler. Det jobbes også med å integrere disse kapabilitetene med andre våpen. Videre er det planer for å ruste opp med 1200 nye ansatte.

Medio april slapp Oracle en ny versjon av Java som utbedret 42 svakheter, hvorav hele 39 kunne utnyttes til å ta kontroll over en sårbar maskin. En av svakhetene som ble utbedret av oppdateringen, ble utnyttet allerede åtte dager senere. Den nye versjonen av Java har utvidede sikkerhetsadvarsler for å prøve å hindre brukere i å bli infisert, men det har allerede blitt publisert eksempler på hvordan disse kan omgås under et angrep. Sårbarheter i Java er fortsatt de vi ser bli utnyttet mest blant våre kunder.

Twitterkontoen til The Associated Press ble hacket mot slutten av måneden. Kontoen la ut en melding om eksplosjoner i det hvite hus og at presidenten hadde blitt skadet. Dette førte til at aksjeindeksen Dow Jones raskt falt med 130 poeng. Aksjekursene stabiliserte seg raskt igjen etter at det ble klart at meldingen var falsk. Twitter har opplyst at de jobber med å implementere to-faktor-autentisering, slik f.eks. Facebook har muligheten for.

BankID-prosjektet presenterte planene for BankID 2.0 uten bruk av Java. Den nye løsningen skal benytte HTML5 og CSS3, som er innebygget i alle moderne nettlesere. Det er uklart når den nye løsningen blir ferdig.

En bakdør kalt Linux/Cdorked.A har dukket opp på tusenvis av Apache web-servere. Bakdøren sørger for å videresende besøkende til exploit-kittet Blackhole, som så forsøker å kompromittere maskinene. Bakdøren er vanskelig å oppdage i filsystemet og kan fjernstyres ved hjelp av krypterte kommandoer, som ikke blir logget av web-serveren. Det er sannsynlig at angriperne får tilgang til web-serverne gjennom brute-force gjetting av admin-passord via SSH, men også andre angrepsvektorer benyttes. På TSOC ser vi stadig mindre og mellomstore norske nettsteder bli kompromittert. I flere tilfeller har det vært vanskelig å overbevise de ansvarlige for nettsidene om at besøkende til deres nettsider blir infisert.

Både DNB og danske NemID ble utsatt for DDoS-angrep i løpet av måneden. Angrepet mot NemID ble angivelig kjøpt for $10 for å vise hvor billig og lett det er å utføre denne typen angrep. Vi oppdager og bekjemper ukentlig flere DDoS-angrep for våre kunder og størrelsen er økende.

Lederen for Carberp-botnettet, som stjal millioner fra bankkontoer over hele verden, ble arrestert sammen med 20 medhjelpere av rusissk og ukrainsk politi. Skaperen av Phoenix-exploitkittet ble også arrestert i Russland, tiltalt for å ha spredt skadelig programvare og besittelse av ulovelige skytevåpen. Den britiske hackeren Ryan Ackroyd innrømmet i retten at han er var del av hackergruppen Lulzsec, som sto bak tjenestenektangrep mot en rekke organisasjoner. Spansk politi arresterte nederlenderen Sven Kamphuis, mistenkt for å stå bak det store DDoS-angrepet mot Spamhaus sist måned.

mandag 8. april 2013

Oppsummering av nyhetsbildet mars 2013

Måneden startet dårlig for Oracle. 1. mars ble det meldt at Java nok en gang ble utnyttet i 0-day angrep. Siste versjon av både versjon 6 og 7 av Java var sårbare. Oracle patchet disse svakhetene allerede 5. januar.


Firmaet Evernote, som står bak en populær notat-applikasjon, ble hacket. Angriperne hadde fått tak i brukernavn, epost-adresse og hashede passord til rundt 50 millioner brukere. Alle brukere måtte velge seg nye passord etter hendelsen.


Krypterings-guruen Adi Shamir, en av oppfinnerne av RSA-krypteringen, gikk denne måneden ut og meldte at kryptering nå er mindre verdt enn før. Ved hjelp av avanserte angrep og sosial manipulering kan angripere i dag få direkte tilgang til mange datasystemer. De kan deretter lese dataene ukryptert på systemet de ligger på. Å kryptere dem på disken eller mens de overføres, blir dermed mindre verdt.


Telenor gikk ut i pressen og informerte om at de hadde blitt utsatt for et sofistikert og målrettet data-angrep. Angrepet ble utført ved hjelp av malware sendt via e-post og store mengder intern informasjon ble kopiert ut av PCer tilhørende toppledelse. Telenor anmeldte saken til Kripos. NSM utga også sin kvartalsrapport der de opplyser om en dobling i antall tilfeller av dataspionasje i Norge fra 2011 til 2012. Angrepene er hovedsakelig rettet mot forsvaret, olje og gass, energi, styresmaktene og høyteknologisk industri.


På sikkerhetskonferansen CanSecWest ble konkurransen Pwn2Own avholdt. Her betaler produsentene for at hackere skal finne svakheter i produktene deres. Resultatene var som følger: Java ble hacket av tre deltagere. Web-browserne Chrome, Firefox og Internet Explorer 10 ble det også funnet alvorlige hull i. Flash og Reader fra Adobe måtte også gi tapt for angrepene. Dette viser at det fortsatt er mange huller i mye brukt programvare.


Både Nord- og Sør-Korea ble utsatt for cyber-angrep denne måneden. Dette skjer mens det er økende spenning mellom de to landene. Det ble brukt både DDoS-angrep og sletting av store mengder maskiner ved hjelp av malware.


Mange amerikanske kjendiser fikk publisert personlige opplysninger om seg selv på nettet, som kredittrapporter, personnummer, førerkortdata osv. Det viste seg at flere firmaer som driver med kredittvurdering har blitt hacket og at kriminelle i Russland selger disse opplysningene videre til interesserte.


DDoS-angrepene øker fortsatt i hyppighet og antall. Spesielt DNS-reflection-angrep er det mange av nå. Denne typen angrep bruker DNS-tjenere som er åpne mot verden (feilkonfigurert) for å forsterke DDoS-angrep og også å skjule angriperen. I påsken var det et rekordstort DDoS-angrep på 300Gbit/s mot Spamhaus som preget overskriftene. Spamhaus er en organisasjon som kjemper mot spam på Internett og dermed har mange fiender. Det spekuleres i at det var det Nederlandske selskapet Cyberbunker som stod bak angrepet, etter at de ble svartelistet av Spamhaus. På TSOC har vi denne måneden sett flere angrep av denne typen som vi har håndtert for våre kunder. Det største angrepet var på over 6Gbit/s. Vi ser også at flere av angrepene sammenfaller i tid med at offeret har en lansering e.l. for å ramme ekstra effektivt.

NATO publiserte denne måneden en håndbok med regler for cyberkrig. Der blir det blant annet slått fast at statlige cyberangrep ikke skal rettes mot mål som atomkraftverk og sykehus, siden dette i stor grad kan ramme sivile.

onsdag 6. mars 2013

Oppsummering av nyhetsbildet februar 2013

I starten av måneden slapp Oracle sin kvartalsvise oppdatering av Java. Lanseringen ble fremskyndet grunnet aktiv utnyttelse av minst én av svakhetene. På grunn av fremskyndingen, rakk ikke Oracle å utbedre alle svakhetene de hadde planlagt. Det ble derfor sluppet enda en oppdatering 19. februar.  Før måneden var over ble det meldt om to nye kritiske svakheter i Java.

Adobe har denne måneden oppdatert Flash hele tre ganger etter at kritiske svakheter har blitt brukt i målrettede angrep. Dette skjedd 7., 12. og 27. februar. 12. februar ble det også oppdaget at en svakhet i Reader ble brukt i målrette angrep. Svakheten i Reader ble patchet 20. februar.

Flere kjente firmaer ble i løpet av måneden utsatt for datainnbrudd. Dette ble utført ved hjelp av et såkalt vannhullsangrep som utnyttet en sårbarhet i Java og var rettet mot Mac OS X-maskiner. Siden som ble brukt for å infisere brukerne var en populær side for iOS-utviklere. Gjennom dette angrepet kom angripere seg unna med brukernavn og passord til over 250.000 Twitter-brukere. Facebook, Microsoft og Apple innrømmet også at de hadde hatt inntrengere i sine nettverk på grunn av denne svakheten.

Norske hackere fikk hentet ut privat informasjon av personlig karakter fra Apples nettskytjeneste iCloud. Dette ble gjort ved å nullstille passord ved å skrive inn fødselsdatoen til brukeren og gjette seg fram til svarene på sikkerhetsspørsmål valgt av brukeren selv. Det er viktig å være klar over at sikkerheten i store nettskytjenester ofte er relativ lav for å unngå for mange henvendelser til kundeservice.

Sikkhertsfirmaet Bit9 ble utsatt for innbrudd i februar. Firmaet leverer et sikkerhetsprodukt der alt av programvare som installeres på en PC må godkjennes før kjøring, eller "whitelisting". Angriperne fikk tilgang til de sentrale systemene hos Bit9 og fikk deretter whitelistet sin malware. Denne malwaren ble så blitt brukt til å angripe minst tre andre firmaer som brukte programvare fra Bit9. Saken kan minne mye om angrepet mot RSA i 2011. Der ble også en sikkerhetsleverandør angrepet, for igjen å kunne omgå sikkerheten hos kunder av leverandøren.

PST, NSM og E-tjenesten kom for første gang med en felles rapport med vurdering av trusselbildet mot Norge. Antall alvorlige hendelser i cyber-domenet har økt fra under 10 i 2007 til nesten 50 i 2012. NSM ser med bekymring på spionasje mot norsk industri og andre norske interesser.

Mandiant utga en rapport om cyber-spionasje fra Kina. De har kartlagt aktivitetene til en gruppe de kaller APT1, som over flere år har drevet med utstrakt spionasje mot vestlige mål. I rapporten var det også med mer enn tre tusen indikatorer som kunne brukes som indikator på angrep fra denne grupperingen.

Spansk politi arresterte flere personer bak utpressingsprogramvaren Reveton. Trojaneren har skremt mange personer, også i Norge, til å betale penger til den kriminelle gjengen for å få låst opp PCen sin. Det estimeres at de klarte å lure til seg 1 millioner euro i løpet av det siste året.

Microsoft og Symantec tok i løpet av månenden sammen ned botnettet Bamital, som stammer fra Russland. Botnettet hadde rundt en halv million maskiner og genererte inntekter for rundt én million dollar i året gjennom klikk-svindel.

fredag 8. februar 2013

Oppsummering av nyhetsbildet januar 2013

På den siste dagen av 2012 ble det meldt om en ny svakhet som rammet Internet Explorer versjon 6, 7 og 8. Det viste seg at svakheten hadde vært brukt til målrettede angrep (vannhullsangrep) mot poltiske mål siden tidlig i desember. Dette er en type målrettet angrep der zero-day exploit-kode plasseres på kompromitterte web-servere som man vet målet for angrepet har interesse av, og dermed trolig vil besøke i løpet en viss tid. Grupperingen bak angrepene, kalt The Elderwood Project av Symantec, har stått bak en rekke lignende avanserte politisk ladede angrep tidligere. 14. januar ble svakheten patchet av Microsoft.

Etter flere saker med uatoriserte SSL-sertifikater i fjor, tok det bare fire dager før årets første sak av denne typen var et faktum. En underleverandør av den tyrkiske sertifikatutstederen Turktrust hadde signert et falsk sertifikat for google.com. Google oppdaget at dette var i bruk, og alle de store nettleserleverandørene var raskt ute med oppdateringer for å stoppe sertifikatet.

Store amerikanske banker ble i slutten av 2012 og i januar 2013 utsatt for store DDoS-angrep. Flere av bankenes nettsteder var i perioder ikke tilgjengelige. En gruppe som kaller seg “Izz ad-Din al-Qassam” tok seg ansvaret for angrepene og sa de ville fortsette inntil en video på YouTube som spotter Islam ble slettet. Gruppen sa 29. januar at angrepene var innstilt, etter at den mest populære versjonen av filmen ble slettet.

11. januar ble det meldt om nok en ny svakhet i Java. Svakheten ble fra første stund brukt i flere exploit-kits som “Blackhole”. Etter at svakheten ble kjent, gikk flere lands myndigheter ut og rådet befolkningen til å skru av eller avinstallere Java og Apple blokkerte bruk av Java i OS X. På Telenor SOC ble det observert flere tilfeller av infeksjoner grunnet denne svakheten. Oracle patchet denne svakheten allerede 14. januar. Oracle har også fått mye negativ oppmerksomhet denne måneden for å installere reklameprogramvare sammen med Java-patchene de gir ut.

Radware publiserte en rapport om DDoS-angrep der de melder om en sterk økning i denne typen angrep mot firmaer i fjor. De påpeker at mange firmaer ikke har planer på plass for hva de skal gjøre i tilfelle et angrep.

Mot slutten av måneden meldte The New York Times at de hadde fått sitt interne nettverk invadert av hackere. Disse hadde kommet seg inn ved hjelp av eposter med malware som vedlegg. Deretter hadde de tatt kontroll over domenekontrolleren på nettverket og hentet ut passord til de fleste brukerne. Flere journalister hadde også fått sine private maskiner infisert. The Times mener at angrepene skyldes deres kritiske dekning rundt Wen Jiabao, statsminister i Kina. Dagen etter angrepene meldte også The Wall Street Journal at de hadde vært utsatt for lignende angrep.

I løpet av måneden ble en Zeus-botmaster anklaget for tyveri av over 100 millioner dollar arrestert i Bangkok og venter på utlevering til USA. FBI har også arrestert mannen bak Gozi-malwaren som ble brukt til å tappe bankkontoer for penger over hele verden.

 
>