Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 5. desember 2014

Oppsummering av nyhetsbildet november 2014

TSOC håndterte 303 hendelser i november, opp fra 203 oktober. Oppsvinget i hendelser skyldes i stor grad mange infeksjoner av bank-trojaneren Dridex i perioden. Det har også ellers vært et oppsving i maskiner infisert av forskjellige trojanere.


I november håndterte vi 173 DDoS-angrep, noe som var en oppgang fra 132 i oktober. De største angrepene i november var et par DNS-reflection-angrep på henholdsvis 27.4Gbps og 24.65 Gbps i fragmenterte pakker.


I starten av måneden avdekket svenske sikkerhetseksperter at mange svenske styringssystemer lå åpne på Internett. Dette dreie seg blant annet om varme-, ventilasjon-, tilgang- og alarmsystemer i mange offentlig bygg. I Danmark ble det lagt fram en intern rapport om sikkerheten i energinettet. Rapporten konkluderte med at datamaskinene som styrer nettet er vidåpne for angrep fra terrorister, hackere og fremmede stater.


En ny phishing-teknikk ble avdekket i november. Den benytter seg av en ondsinnet nettside som fungerer som proxy for målets hjemmeside, hvor målene er nettbutikker. Dette er en teknikk som vil gjøre det vanskeligere for offeret å oppdage at en blir phishet. Siden trafikken går gjennom en proxy, vil nettstedet brukeren besøker se helt vanlige ut og ha full funksjonalitet. Det er bare i sider for innleggelse av betalingsinformasjon osv. at angriperne endrer på utseendet til nettstedet.


FireEye rapporterte om en ny type angrep mot iOS kalt “Masque Attack”. Svakheten som angrepet utnytter går på at applikasjoner installert ved en distribusjonsløsning for større bedrifter kan utnyttes til å erstatte eksisterende applikasjoner så lenge begge applikasjonene deler samme "Bundle ID". Applikasjoner som er installert via denne distribusjonsløsningen går utenfor Apple Store og kan installeres på en enhet via trådløst nettverk. Brukeren vil få opp en advarsel før eventuell installasjon skjer og det regnes som vanskelig å utnytte svakheten i praksis.


Microsoft hadde denne måneden tre svært kritiske oppdateringer. Den ene svakheten lot en angriper kompromittere en maskin som hadde en TLS-kryptert tjeneste tilgengelig, f.eks. en epost- eller web-server. Svakhet nummer to lot en vanlig domene-bruker oppgradere seg selv til domene-admin. Svakhet nummer tre gjorde det mulig å kompromittere brukere av alle versjoner av Internet Explorer ved besøk på en spesielt utformet side. Sørg for at alle oppdateringer er på plass. Adobe ga også ut en kritisk oppdatering for Flash 11. november som ble utnyttet i exploit-kits etter få dager.


iPhone 5S, Samsung Galaxy S5, LG Nexus 5 og Amazon Fire Phone fikk alle gjennomgå under årets PacSec konferanse i Tokyo. Det ble oppdaget en såkalt "two bug attack" i iPhone 5S som resulterte i en fullstendig sandbox-escape i nettleseren Safari. Galaxy S5 og Nexus 5 hadde svakheter i NFC og Amazon Fire Phone hadde tre bugs i browseren sin.


Symantec og andre leverandører ga ut mye informasjon rundt den avanserte malwaren Regin. Verktøyet skal ha vært benyttet til digital spionasje mot statlige organisasjoner, eiere av infrastruktur og enkeltindivider i flere år. Trojaneren består av sofistikert kode og har moduler for langtidsovervåking av blant annet nettverkstrafikk og telefonsamtaler, samt fjerntilgang til maskiner. Trojanerens kompleksitet og modulære oppbygning sammenlignes med The Mask og Stuxnet, og indikerer at statlig aktør kan være ansvarlig. Mange mistenker at NSA og GCHQ står bak denne malwaren.

Sony Pictures ble mot slutten av måneden utsatt for et større angrep. Store mengder intern informasjon ble lekket ut og mange maskiner ble også slettet i angrepet. Det ble rapportert at ansatte måtte benytte seg av papir og blyant for å få gjort arbeidet sitt.

Oppsummering av nyhetsbildet oktober 2014

Antall håndterte hendelser sank til 203 i oktober, mot 254 i september. Når det gjelder typen hendelser er det ikke noe spesielt som skiller seg ut i oktober. Hovedsaklig er det forskjellige malware-familier som blir spredd via e-post, exploit-kits og ved å lure brukeren til å installere malware.

I oktober håndterte vi 132 DDoS-angrep, mot 96 i september. Flere av kundene som har TSOCs anti-DDoS-tjeneste ble angrepet denne måneden. SSDP-reflection angrep er fortsatt mye brukt.

Etter sårbarheten som ble oppdaget i Bash i september (Shellshock), fortsatte leverandører som VMware, OpenVPN og Oracle å patche denne svakheten i utstyr og programvare utover i oktober.

Detaljer rundt BadUSB ble sluppet i oktober. Sikkerhetsforskere har klart å omprogrammere firmware i et utvalg USB-minnepinner. Dette kan f.eks. gjøre det mulig å få en USB-enhet til først å presentere seg som en lagringsenhet, for deretter å skifte til et tastatur etter f.eks. én time. Enheten kan deretter installere malware ved hjelp av tastatur-trykk. Ekstra farlig er det at det er utviklet malware som igjen kan smitte nye minnepenner som blir satt inn i PCen, og dermed spre infeksjonen videre til nye PCer.

Google avslørte en svakhet i SSL v3.0 kalt “Poodle”. Svakheten gjorde det mulig for angripere med tilgang til trafikkstrømmen mellom klient og server å lese ut mindre mengder data, som f.eks. sesjon-cookies. Svakheten lar seg ikke enkelt utbedre og det anbefales å oppgradere til TLS v1.3. Både Microsoft, Firefox og Google har sagt at de er i ferd med å fase ut SSL.

Sikkerhetsleverandøren Invincea har oppdaget flere tilfeller av at personer innen forsvar- og romfartselskaper har blitt servert ondsinnede annonser som kun blir vist til dem, med bakgrunn i informasjon annonseselskapene har registrert om brukere på Internett. Disse ondsinnede annonsene sender personer til sider som har blitt hacket, hvor de så prøver å installere malware på maskinen. Dette er en ny måte å utføre målrettede angrep på.

Russiske angripere har vært i fokus denne måneden. US CERT har skrevet om Energetic Bear og deres kartlegging av olje og kraftbransjen. Denne grupperingen har vært aktive i Norge tidligere i år. Russiske hackere skal dessuten ha kompromittert det usikre nettverket i Det hvite hus. FireEye har også utgitt en ny rapport som avdekker en stor spionasjekampanje som skal være finansiert av Russland. Gruppen bak kampanjen, som FireEye kaller APT28, skal ikke ha vært interessert i finansiell informasjon, men har heller drevet etterretning mot forsvars- og geopolitiske forhold som gagner Russland. Det norske forsvaret blir antatt å ha vært et av målene på grunn av domenet “forsvaret[․]co” som er brukt av gruppen.

Forskere har funnet en ny metode for å sende ut data fra isolerte nettverk. Ved hjelp av skjermkort og skjerm greier de å generere radiosignaler på FM-båndet, som de fanger opp med FM-mottakeren til en mobiltelefon. Rekkevidden er rundt 7 meter med en effektiv bitrate på 13-60 bytes per sekund.

Kryptering av mobile håndsett medfører vanskeligheter for FBI. Både Apple og Google krypterer nå mobiltelefoner som standard. FBI kan dermed ikke få tilgang til innholdet i beslaglagte mobiler. Etter at møter med Apple og Google ikke har ført frem, går FBI nå til kongressen for å endre regelverket slik at de fortsatt lett skal få tilgang til innholdet.

Det kom fram at en av de største bankene i USA, JP Morgan Chase, ble angrepet i juli. 83 millioner personer og småbedrifter fikk deres persondata stjålet. Navn, adresser, telefonnumre og e-postadresser er på avveie, men det ser ikke ut til at kontonummer, passord eller penger er stjålet.

torsdag 2. oktober 2014

Oppsummering av nyhetsbildet september 2014

I september gikk antall håndterte hendelser opp til 254, fra 92 i august. Det er tydelig at aktiviteten har tatt seg kraftig opp etter sommeren. Vi ser også at flere brukere blir tatt av exploit-kits, gjerne ved hjelp av svakheter i Java eller Flash. Denne måneden så vi også en oppblomstring av maskiner infisert av trojaneren Pushdo. Vi ser også at en del maskiner igjen blir rammet av utpressingsprogramvare/ransomware.

I september håndterte vi 96 DDoS-angrep, mot 45 i august. Det største angrepet i perioden var på 33Gbps. Nesten halvparten av angrepene inneholdt trafikk av typen SSDP (Simple Service Discovery Protocol). I det siste har vi på TSOC sett en økning i bruk av protokollen SSDP i angrep. Dette er en protokoll som ofte er tilgjengelig på hjemmeroutere og andre nettverksenheter. Ellers er NTP- og DNS-reflection mye brukt som tidligere.

Den store saken i september var ShellShock, altså sårbarheten i systemet Bash på Unix, Linux og OS X-systemer. Svakheten lå i måten Bash tolket miljøvariabler som blir sendt inn til shellet. Det ble også oppdaget flere andre svakheter i Bash i kjølevannet av saken. Det var først og fremst eldre web-servere som var sårbare, men svakheten rammet også andre systemer som e-post- og VPN-servere. Klient-maskiner, som OS X, var sårbare, men det var ingen enkel måte å utnytte dem på. Det ble etter hvert oppdaget mange scanninger etter sårbare systemer på nettet og en del servere ble nok også kompromittert. Det har imidlertid ikke blitt meldt om spesielt alvorlige hendelser etter ShellShock. Det tok flere runder med patcher fra leverandørene før svakheten ble skikkelig lukket.

I september ble det også sluppet en liste med fem millioner Gmail-adresser og passord. Informasjonen kom fra en rekke ulike kilder; noe fra phishing og noe fra andre kompromitterte nettsider der Gmail-adresser var brukt til registrering. Mesteparten av informasjonen var gammel, men rundt 2% av brukernavn/passord-kombinasjonene virkert mot Googles egne tjenester på grunn av gjenbruk av passord. Ingen av Googles systemer var kompromittert i forbindelse med saken.

Det ble meldt om en svakhet i standard-nettleseren som fulgte med i Android-versjoner eldre enn versjon 4.4. Denne nettleseren oppdateres ikke lengre av Google. Svakheten gjør at en web-server som brukeren surfer til kan lese ut informasjon fra alle andre webforms og nettlesere på systemet. Det anbefales å bruke en nyere nettleser som Chrome, FireFox eller Opera som oppdateres jevnlig.

Apple kunngjorde denne måneden at de med innføringen av iOS 8 ikke lenger vil være i stand til å låse opp passord-beskyttede/krypterte iPhoner og iPader, selv om en rettkjennelse som tillater dette skulle foreligge. Google kom like etter med en tilsvarende kunngjøring om sin neste versjon av Android. I etterkant av nyhetene har justismyndigheter i USA protestert kraftig mot den oppgraderte sikkerheten.

Google's DoubleClick reklame-system eksponerte, sammen med reklamefirmaet Zedo, millioner av maskiner for den nylig oppdagede malwaren Zemot. Reklamen ble servert gjennom mange populære nettsteder. Tusenvis av maskiner ble infisert gjennom å se på reklamen. Det tok flere dager før det lyktes å fjerne den skadelige reklamen fullstendig.

I et forsøk på å stoppe ISPer, statlige etater og angripere fra å overvåke og sensurere internett, åpnet CloudFlare i slutten av september SSL uten kostnadstillegg for sine mer enn 2 milioner kunder. Dette doblet i løpet av få timer antallet SSL-krypterte nettsteder.

I september ble det annonsert at kraftbransjen stifter sitt eget sikkerhetsselskap, Kraftcert, som skal hjelpe med å beskytte bransjen mot dataangrep. Hafslund, Statkraft og Statnett går sammen om å opprette selskapet som skal ha 3-4 ansatte.

onsdag 10. september 2014

Oppsummering av nyhetsbildet august 2014

Antall håndterte alvorlige hendelser fortsatte å gå ned i august til 92. August var fortsatt en stille måned uten hendelser med større spredning hos noen av kundene.

I august håndterte vi 45 DDoS-angrep, mot 59 i juli. I perioden var de to største angrepene et NTP-reflection angrep på 56Gbps og et DNS-reflection angrep på rundt 20Gbps.

Denne månenden lanserte Microsoft EMET (Enhanced Mitigation Experience Toolkit) versjon 5.0. EMET er et gratis verktøy som beskytter typisk sårbare applikasjoner mot nye og ukjente data-angrep. Med standard innstillinger vil f.eks. Internet Explorer, Adobe Reader og Flash bli beskyttet mot angrep. TSOC anbefaler å installere EMET på sluttbrukermaskiner, etter å ha testet at alt fungerer som det skal.

PCer har i flere måneder blitt angrepet av såkalt ransomware eller utpressingsprogramvare. Filene på datamaskinen blir kryptert, og bakmennene krever løsepenger for å gi tilbake tilgang til filene. Denne måneden ble også en NAS-produsent (Network Attached Storage) rammet. Lagringsløsninger fra Synology ble angrepet av malwaren Synolocker som krypterte filer og forlangte 0,6 bitcoins i løsepenger.  Denne måneden ble det også lansert en gratis tjeneste for å dekryptere filer som utpressingsprogrammet Cryptolocker har kryptert. Flere tusen har siden benyttet seg av tjenesten.

Forskere ved Dell SecureWorks sin sikkerhetsdivisjon oppdaget at 19 internettleverandører har blitt utsatt for BGP-kapring. Kapringen ble brukt til å stenge ned forbindelsen mellom maskiner som driver med Bitcoin-mining og deres servere (en såkalt "mining-pool"). Maskinene ble deretter lurt til å koble seg opp mot en falsk server/mining-pool. Forskerne mener at angriperne har klart dette ved å utnytte en ansatt sin konto for å skaffe seg tilgang. Hver av de 22 kapringene skal bare ha vart i rundt 30 sekunder. Det anslås at angriperne skal ha fått tak i rundt $83.000 i Bitcoins.

Om 18 måneder skal Microsoft endre på hvilke versjoner av Internet Explorer de støtter. Kun den siste tilgjengelige versjonen av Internet Explorer for hver versjon av Windows vil bli støttet. Dette betyr at f.eks. IE versjon 11 vil bli støttet i Windows 7. Eldre versjoner av IE vil ikke lengre bli oppdatert for Windows 7. Ikke støttede versjoner vil ikke lengre bli oppdatert av Microsoft.

15. august åpnet Center for Cyber and Information Security (CCIS) på Gjøvik. Dette skal være et nasjonalt senter for forskning, utdanning og trening på å håndtere kritiske situasjoner knyttet til informasjonssikkerhet. Flere partnere har bidratt til å gjøre dette mulig, blant annet Politiet, Forsvarets Ingeniørhøgskole, Norway Cyber Defence, Nasjonalt ID-senter, NorSIS, PST, NSM, Statoil og Telenor.

Denne måneden sendte Nasjonal Sikkerhetsmyndighet ut et varsel om at minste 50 norske bedrifter innenfor olje og energisektoren hadde blitt utsatt for et målrettet angrep. Angrepene ble foretatt via epost med malwaren Havex som vedlegg. Dette er en type malware som sanker informasjon om PCen og også gir mulighet for fjernstyring. Det spesielle med Havex er at den søker etter industrielle styringssystemer (SCADA) og sender informasjon til bakmennene. Gjengen bak angrepene har blitt kalt Energetic Bear eller Dragonfly. Det spekuleres i media om det er Russland som står bak angrepene.

PST ba i august om fire endringer i loven i kampen mot terror, hvor én av disse er å samle såkalt stordata. Ved å samle enorme mengder data kan det gjøres omfattende analyser for å oppdage trender og sammenhenger, hvor målet blant annet er å avsløre mistenkelig oppførsel og terrorvirksomhet. Datatilsynet på sin side advarer mot slik innsamling og det som kan bli et overvåkningssamfunn.

tirsdag 12. august 2014

Oppsummering av nyhetsbildet juli 2014

I juli gikk antall alvorlige håndterte hendelser hos TSOC kraftig ned. Nedgangen skyldes ferietid og færre ansatte på jobb. De fleste hendelser skjer når en ansatt foretar seg noe på en PC, f.eks. ved å besøke en nettside som forsøker å infisere PCen eller å åpne et vedlegg med malware i en e-post.

Antallet håndterte DDoS-angrep gikk imidlertid opp i juli. Personene som står bak DDoS-angrep har med andre ord ikke tatt ferie. Den var denne måneden vi hadde mange store DDoS-angrep mot firmaer som Norges Bank, DNB, Sparebank 1, Nordea, Danske Bank, Storebrand, Telenor, NetCom, Norwegian og SAS. En 17-åring fra Norge innrømmet noen dager etter angrepene at han stod bak. Det største angrepet denne måneden var på 68Gbps. Fortsatt er det reflection-angrep av typen DNS, NTP, chargen og SNMP som er mest vanlige. Vi ser også fortsatt angrep av typen Wordpress pingback, noe som også ble benyttet i de store angrepene mot norske firmaer denne måneden.

Microsoft tok denne måneden kontroll over 4 millioner subdomener tilhørende no-ip.com, en leverandør av dynamiske domenenavn. Dette ble gjort etter at de fikk innvilget en rettslig kjennelse i USA. Formålet var å ta ned 18.000 domenenavn som ble brukt i forbindelse med malware. Planen til Microsoft var å kun stoppe malwaren og la resten av domenene fungere som normalt. Dette fungerte imidlertid ikke, og mange brukere opplevde at domenet deres ikke lengre fungerte. Microsoft fikk i etterkant mye negativ omtale for måten de håndterte denne saken på.

Myndighetene i USA mener at enhver bedrift som opererer innenfor USAs egne grenser må overgi data de har lagret også utenfor landegrensene, om det det forlanges av myndighetene. Dette fører til at f.eks. Microsoft må overgi e-poster som er lagret i deres datasenter i Irland, noe Microsoft ikke er villig til å gjøre. Det har blitt mye debatt om denne saken og den vil gå videre i amerikansk rettsvesen.

Bromium Labs har analysert svakheter i flere forskjellige programvarer fra de første seks måneden i 2014. I denne analysen har Bromium Labs kommet frem til at antall svakheter i Internet Explorer har økt med mer enn 100% siden 2013. Sikkerhetsforskerene bak rapporten forteller også det at det har vært en nedgang i antall 0-dagssvakheter i Java, men at både Internet Explorer og Flash har sett en økning i disse.

Bloomberg meldte i juli at at hackere, antakeligvis fra Russland, i 2010 hadde full tilgang til nettverket til NASDAQ. Hackerne brukte to 0-dags-sårbarheter for å bryte seg inn i nettet. Her ble det plantet malware for å kunne skape kaos. Amerikanske myndigheter oppdaget etter hvert innbruddet og fikk fjernet malwaren. President Obama ble briefet om saken flere ganger mens den pågikk.

Det finske utenriksdepartementet har to ganger blitt utsatt for avanserte innbrudd. Dette rapporterer Supo, som tilsvarer PST i Norge. Supo sier at en utenlandsk statlig aktør står bak de avanserte angrepene som har vært vanskelige å oppdage. Angriperne kan ha kommet seg unna med viktige opplysninger.

fredag 4. juli 2014

Oppsummering av nyhetsbildet juni 2014

Antall alvorlige håndterte hendelser hos TSOC gikk opp fra mai til juni. Oppgangen skyldes mye at det denne måneden har det vært flere omganger med store utsendelser av spam. Mange har blitt lurt til å gi fra seg personopplysninger og bankopplysninger i forbindelse med spam som ga seg ut for å komme fra Skatteetaten. Mange har også infisert PCen sin etter å ha åpnet et vedlegg pakket inn i en Zip-fil etter å ha mottatt en e-post som ga seg ut for å være fra Amazon.com.

Mengden DDoS-angrep gikk noe ned. Det største angrepet var et NTP-reflection angrep på hele 37.5Gbps. Gjennom måneden har angrepstypene fordelt seg ganske jevnt mellom NTP, Chargen, SNMP og DNS-reflection.

Nasjonal Sikkerhetsmyndighet blogget om e-post som angrepsvektor i begynnelsen av juni. Dette er relevant lesning i forbindelse med spam-angrepene denne måneden: http://blogg.nsm.stat.no/archives/4942

I juni ble det gjennomført en koordinert aksjon mot malware-nettverkene GameOver Zeus og Cryptolocker. Aksjonen ble organisert av justisdepartementet i USA i samarbeid med politi i flere land samt private firmaer. Game Over Zeus har i flere år vært en av de største såkalte "bank-trojanerne" som har muliggjort tyverier for millioner av kroner. CryptoLocker er en av de mest kjente utpressingsprogrammene. Programmet krypterer alle filene på offerets maskin og krever penger for å gi tilgang til filene igjen. I aksjonen har kontroll-servere til både Zeus og Cryptolocker-nettverket enten blitt tatt kontroll over eller stengt ned.

Denne måneden har det vært skrevet om teknologifirmaer som blir utsatt for utpressing. Firmaene mottar gjerne trusler om store DDoS-angrep dersom de ikke betaler bakmenene. Truslene rammer gjerne mindre og nyoppstartede firmaer uten ressurser til å stoppe angrepene. Denne måneden ble Feedly og Evernote utsatt for slike angrep etter å ha nektet å betale. Det har også kommet fram at Nokia i 2007 betalte flere millioner dollar til ukjente personer. Disse truet Nokia med å utlevere en privat nøkkel som ble brukt til å signere Symbian-apps.

F-Secure har oppdaget spredning av Havex-trojaneren med SCADA-systemer (industrielle styringssystemer) som mål. Trojaneren har blitt spredt via e-poster og exploit-kits på vanlige nettsider. En tredje spredningsvektor var å infisere SCADA-softwaren til leverandørene, som kundene så har lastet ned. Leverandørene ble kompromittert ved hjelp av sårbarheter i web-serverne. Trojaneren ble så pakket inn i programvaren til SCADA-leverandører i Tyskland, Sveits og Belgia. Etter installasjon sendte Havex-trojaneren informasjon om tilkoblet SCADA-utstyr til angriperne. Det virker som om energisektoren var det primære målet.

Den tyske regjeringen har kansellert en avtale med det amerikanske telekom-firmaet Verizon etter at det i fjor ble avdekket at USA drev omfattende avlytting i Tyskland.

Syrian Electronic Army kompromitterte denne måneden nyhetsbyrået Reuters for andre gang. SEA har lykkes i å videresende lesere av Returs nyhetssaker til en side med propaganda. Dette ble gjort ved å kompromittere en leverandør av innhold til Retuers sine sider kalt Taboola. Angrepet ble gjennomført ved hjelp av en Phishing-epost. Den ansatte i Taboola hadde også gjennbrukt e-post-passordet sitt i interne produksjonssystemer.

mandag 30. juni 2014

Oppsummering av nyhetsbildet mai 2014

Antallet alvorlige hendelser i forbindelse med nettverksovervåking (IDS) gikk noe ned forrige måned. Fortsatt er det relativt få som blir infisert ved hjelp av exploits. De fleste innfiseringer skjer ved å lure brukeren til å kjøre malware selv. Dette skjer gjerne via vedlegg i e-poster eller ved å lure brukeren til å installere forskjellige typer falsk programvare. Vi ser fortsatt at angripere logger seg inn med riktig brukernavn og passord på FTP-tjenere hos flere kunder. Login-detaljer er antakeligvis stjålet fra kompromitterte klientmaskiner. Angriperne prøver gjerne å laste opp innhold til eventuelle web-servere som måtte befinner seg på den samme serveren.

Antallet håndterte DDoS-angrep gikk nok en gang opp. Denne måneden har det hovedsaklig vært DNS-reflection-angrep. Angrep som benyttet seg av protokollen NTP har gått ned. Det største angrepet resulterte i 7.8Gbps med fragmenterte pakker, noe som betyr at den totale angrepstrafikken var på minst 11Gbps.

Andre mai ga Microsoft ut en patch til en 0-dags svakhet i Internet Explorer som ble brukt til målrettede angrep. Overraskende nok ble også Windows XP patchet, til tross for at operativsystemet er utenfor support. Dette er trolig den aller siste patchen som blir gitt ut til Windows XP. Mot slutten av måneden ble det meldt om enda en 0-dags svakhet i Internet Explorer versjon 8.

På SOC så vi denne måneden malware som spredde seg via Facebook. Brukere mottok en melding på Facebook med noe som så ut som et bilde i vedlegg. Dersom mottakeren åpnet filen, ble PCen infisert og malwaren spredde seg videre ved hjelp av private meldinger til kontakter. Det virker som om malwaren først og fremst tjener penger for bakmennene ved å utføre regneoperasjoner på PCer, såkalt "cryptocurrency mining". Dette har etter hvert blitt en vanlig måte å tjene penger på infiserte maskiner.

Det ble sluppet nye dokumenter som viser skal vise en "oppgraderings"-fabrikk tilhørende NSA. Bildene viser at NSA setter inn ekstra hardware for overvåking i en ruter fra Cisco. Ruterne blir stoppet mellom Cisco og kunden som egentlig skal motta dem.

Amerikanske påtalemyndigheter tok ut tiltale mot fem kinesiske offiserer. De fem tiltalte skal ha bedrevet spionasje mot flere amerikanske industribedrifter, blant annet innen stål- og kraftbransjen. Dette skal, i følge tiltalen, ha skjedd i perioden mellom 2006 og 2014. De tiltale tilhører, i følge amerikanske myndigheter, den 3. avdeling i Folkets Frigjøringshær, som har som hovedoppgave å bedrive etterretning mot mål utenfor Kina. Dette er første gang amerikanske myndigheter tar ut tiltale mot personer i det kinesiske militæret.

Ebay ble utsatt for et datainnbrudd som førte til at en database med personlige opplysninger og krypterte passord ble kopiert. Angriperne skal ikke ha fått tilgang til kredittkortinformasjon. Ebay ba brukerne om å skifte passord i etterkant av hendelsen. I dagene etter hendelsen ble det rapportert om flere andre svakheter i tjenesten.

Fra Australia ble det meldt at Apple-enheter plutselig ble låst. På skjermen kom det opp en melding om hvor brukeren skulle sende penger for å få den låst opp igjen. Låsingen ble gjort ved hjelp av Apples innebygde administrasjonsverktøy. Trolig har angriperne fått tilgang til brukernavn og passord til mange brukere ved hjelp av phishing-angrep.

I månedens siste dag ble det mye oppstyr rundt at diskkrypteringsverktøyet TrueCrypt plutselig ble lagt ned. Det er ukjent hvem som står bak verktøyet og det er også fortsatt ukjent hva som er motivet for nedleggelsen.


mandag 12. mai 2014

Oppsummering av nyhetsbildet april 2014

Antallet alvorlige hendelser i forbindelse med nettverksovervåking (IDS) på TSOC gikk noe opp forrige måned. Det var ingen store nyheter når det gjelder type malware eller infeksjonsvektor.

Antall håndterte DDoS-angrep gikk også noe opp. Det største angrepet var på rundt 14Gbps.

Den store nyheten i april var Heartbleed-svakheten som rammet hundretusener av servere på Internet. Svakheten ble funnet i krypterings-biblioteket OpenSSL og lot angripere hente ut 64KB-biter av minnet ved å sende en spesielt utformet datapakke. For hver ny pakke fikk en tilgang til et nytt område av minnet. Svakheten hadde forskjellige konsekvenser alt etter hvilket system det dreide seg om. For mange web-servere var det mulig å hente ut den private krypteringsnøkkelen til serveren, noe som førte til at et stort antall firmaer har måttet bestille nye nøkler til serverne sine. Det ble etter hvert sluppet automatiserte verktøy for å hente ut disse nøklene fra sårbare servere. Telenor hadde også denne svakheten i noen tjenester og patchet disse i løpet av kort tid.

I etterkant av Heartbleed-svakheten gikk en sammenslutning av store teknologiselskaper sammen om finansiering av OpenSSL-prosjektet, i regi av The Linux Foundation. Prosjektet, som har blitt omtalt som kritisk for to tredjedeler av internett, har hittil blitt finansiert ved hjelp av rundt $2000 per år i donasjoner. Blant selskapene som skal bidra med finansielle midler er IBM, Intel, Microsoft, Facebook og Google.

Denne måneden slapp Microsoft den siste runden med månedlige oppdateringer til Windows XP, Office 2003 og Exchange 2003. Disse produktene får ikke lengre support fra Microsoft. Brukere av disse gamle systemene bør oppgradere så fort som mulig.

Security Research Labs og GSMMaps.org ga ut en rapport om mobilsikkerhet i forskjellige land. Norge er det landet i verden som har best sikkerhet på nettverk for mobil tale. Rapporten kartla tiltak mot sporing av abonnenter, oppfanging av samtaler og mulighet til å utgi seg for å være andre. Telenor kom aller best ut blant de norske operatørene.

New York Times' IT-blogg hadde en sak om DDoS-utpressing av internettbaserte selskaper. Representanter fra tjenesten Meetup fortalte om hvordan de får e-post med trusler om nedetid, dersom de ikke betaler noen hundre dollar i Bitcoins innen en viss tid. Sannsynligvis er den lave prisen en metode for å få selskaper "på kroken". Dersom man betaler risikerer man å havne på en liste over betalingsvillige selskaper, og påfølgende henvendelser vil gjerne inneholde et høyere beløp.

Mot slutten av måneden ble det oppdaget nok en svakhet i alle versjoner av Internet Explorer. Sikkerhetsverktøyet EMET fra Microsoft beskyttet mot angrepene. Microsoft har nå sluppet en patch for sårbarheten, også for Windows XP. To dager senere ble det også sluppet en oppdatering til Flash Player fra Adobe som også ble brukt til målrettede angrep.

I april ble fem personer dømt til betinget fengsel etter et tjenestenektangrep mot Arbeiderpartiets nettside i april 2011. Denne dommen viser at DDoS blir sett på som en ulovlig handling av det norske rettsvesenet. En tidligere høyrepolitiker ble i en annen sak dømt til 60 dagers fengsel for datainnbrudd som ble avdekket i juli 2013. Personen ble dømt for å ha brutt seg inn på e-post- og iCloud-kontoene til en rekke kvinner, i den hensikt å hente ut nakenbilder og annet sensitivt materiale.

fredag 4. april 2014

Oppsummering av nyhetsbildet mars 2014

Antallet alvorlige hendelser registrert av våre IDS-sensorer gikk noe opp i mars sammenlignet med februar. Det er for det meste social engineering og gamle exploits mot utdatert programvare som benyttes.

Denne måneden gikk antallet håndterte DDoS-hendelser den sammenlignet med februar. Noe av nedgangen kan skyldes automatiserte tiltak i Telenors nettverk. Det største angrepet gjennom perioden var på 27Gbps og 25 av angrepene var på over 10Gbps.

Telenors SOC har i slutten av februar observert at angripere ved flere tilfeller har logget seg inn på FTP-tjenere tilhørende kunder. Her klarer de å logge seg inn på tjeneren med gyldige brukernavn og passord. Disse er antakeligvis stjålet fra kompromitterte klientmaskiner. Angriperne sjekker så om de har skrivetilgang til til tjeneren ved å forsøke å laste opp en fil kalt “ftpchk3.php”. Dersom de får tilgang, forsøker de å laste opp skadelig kode og få lagt denne ut på eventuelle web-servere som befinner seg på samme tjener. Det anbefales ikke å ha FTP-tjenere eksponert mot Internett.

I februar ble det oppdaget en ny type DDoS-angrep. En angriper fikk 162.000 WordPress-sider til å angripe andre web-servere. Angrepet gjøres ved å bruke en ping-back-kommando i WordPress og be om at svaret sendes til offeret. Denne kommandoen sendes så til tusenvis av WordPress-sider. Sidene til KrebsOnSecurity.com ble blant annet tatt ned av dette angrepet. Flere norske bloggsider var også ufrivillig med i angrepet.

En svakhet i krypteringsbiblioteket GnuTLS gjorde det trivielt for en angriper å omgå SSL- og TLS-kryptering hos applikasjoner som benytter seg av biblioteket. Svakheten omfatter bl.a. populære Linux-distribusjoner som Red Hat, Ubuntu og Debian, men det er antatt at mer enn 200 forskjellige operativsystemer og applikasjoner benytter seg av biblioteket. Svakheten kan ha eksistert helt siden 2005. Apple patchet en lignende krypteringssvakhet sist måned.

Denne måneden ble konkurransen Pwn2Own avholdt i Canada. I denne konkurransen gis det ut store pengepremier for å hacke kjent programvare. Den store vinneren ble det franske sikkerhetsselskapet Vupen. Blant programvare som ble funnet sårbar var Chrome, Internet Explorer, FireFox, Java og Flash. Alle disse programmene ble utnyttet til å få kontroll over maskinen som ble angrepet. Dette viser at det stadig er mulig å finne svært alvorlige svakheter i mye brukt programvare.

Microsoft ga ut en FixIt-patch for en nyoppdaget sårbarhet i Microsoft Word. Sårbarheten ble observert i målrettede angrep og tillater en angriper å eksekvere kode på et sårbart system. Koden kan eksekveres dersom brukeren åpner en fil av typen RTF (Rich Text Format) som kommer fra angriperen eller dersomom brukeren bruker Outlooks forhåndsviser til å se på denne filen i en e-post.

I forbindelse med konflikten i Ukraina ble nettsidene til NATO, Kremlin og den russiske sentralbanken tatt ned ved hjelp av DDoS-angrep. Det ble også gjennomført mindre angrep mot medienettsteder i Ukraina samt målrettede DoS-angrep mot telefoner tilhørende Ukrainske politikere.

I denne månedens NSA-avsløringer kom det fram at NSA skal ha et system som kan ta opp alle telefonsamtaler i minst ett land og lagre disse i 30 dager. Det ble også avslørt at NSA har hacket seg inn i interne nettverk hos Huawei. Hensikten skal ha vært å tilegne seg kunnskap om selskapet og eventuelle knytninger motl myndighetene. De skal også ha ønsket å finne ut hvordan man kan utnytte svakheter i Huawei-produkter, for således å kunne tilegne seg tilgang til Huawei-baserte nettverk.

lørdag 1. mars 2014

Oppsummering av nyhetsbildet februar 2014

Denne måneden var det noe nedgang i antall håndterte hendelser fra våre IDS-sensorer. Det er ikke meldt at nye svakheter i klienter har blitt utnyttet i betydelig grad. Det er for det meste social engineering og gamle exploits mot utdatert programvare som benyttes. Denne måneden registrerte vi en viss oppgang i installasjon av falske sikkerhetsprodukter. Dette er en type infeksjon som går under kategorien social engineering.


Antallet håndterte DDoS-hendelser gikk opp i februar. Halvveis i måneden var det spesielt mange NTP-baserte angrep. Det største angrepet var på rundt 90Gbps. 23 av angrepene var på over 10Gbps.


14. februar publiserte firmaet FireEye en bloggpost om en malwarekampanje de har døpt Operation Snowman. En angriper spredde malware ved å kompromittere et nettsted for amerikanske soldater som har tjenestegjort utenfor USA. Malwaren utnyttet en til nå ukjent svakhet i Internet Explorer 9 og 10 sammen med Adobe Flash og Javascript. 20. februar slapp Microsoft en foreløpig fix-it patch for svakheten. Den endelige patchen kommer i den månedlige oppdateringene fra Microsoft i mars.


Adobe slapp en oppdatering til Adobe Flash Player som ble klassifisert som kritisk. Den fikset en svakhet som kan brukes til å ta kontroll over sårbare datamaskiner. Oppdateringen ble sluppet utenom den vanlige patche-datoen til Adobe. Kaspersky rapporterte om at svakheten ble utnyttet aktivt i målrettede angrep. Vi har ikke sett større utnyttelse av svakheten i Norge.


Interne dokumenter om 27.000 av den britiske storbanken Barclays kunder er på avveie. Flere kunder har allerede blitt svindlet og utsatt for utpressing som følge av kompromitteringen. Kundedokumentene som har havnet på avveie inkluderte informasjon som kontonummer, passnummer, forsikringsnummer og informasjon om vedkommendes helse og økonomi. Hver dokument skal være på ca 20 sider.


I februar ble det utført et tjenestenektangrep mot en av kundene til CloudFlare. Angrepet hadde en størrelse på 400Gbps og ble utført ved bruk av 4529 sårbare NTP (Network Time Protocol) servere. CloudFlare har senere sluppet detaljer om angrepet og hvilke nettverk som stod for angrepstrafikken.


Denne måneden ble det oppdaget en alvorlig svakhet i Apples implementering av SSL. Svakheten lar angripere med tilgang til nettverkstrafikken overvåke og endre krypterte forbindelser med letthet. Svakheten ble introdusert i iOS og Mac OS X for rundt ett og et halvt år siden. En oppdatering for iOS ble sluppet 21. februar og en oppdatering til OS X fulgte et par dager senere. Det har vært spekulert om noen har introdusert svakheten med overlegg for å gjøre avlytting av trafikk enklere.


NBC News hadde denne måneden en sak om GCHQs kamp mot Anonymous og andre hacktivist-grupperinger. Der kom det blant annet fram at GCHQ utsatte Anonymous sine IRC-servere for tjenestenektangrep. I reportasjon er det også eksempler på infiltrasjon og hvordan medlemmer ble identifisert. I februar ble det videre avslørt at GCHQ har tappet Yahoos tjeneste for video-chat. Det ble lagret stillbilder av de ukrypterte chat-sesjonene hvert femte minutt.

Hackere fra Syrian Electronic Army (SEA) hacket seg inn hos publikasjonen Forbes. Her fikk de kontroll over publiseringssystemet og la inn en falsk nyhetssak. De tok også kontroll over tre Twitter-kontoer tilhørende ansatte. Syrian Electronic Army publiserte etter angrepet Forbes sin bruker-database med tilhørende krypterte passord. Kredittkortinfo skal ikke ha blitt stjålet. SEA vandaliserte også nettsidene til PayPal UK og eBay.

lørdag 1. februar 2014

Oppsummering av nyhetsbildet januar 2014

Adobe slapp viktige oppdateringer for Flash Player, Reader og Acrobat. Oracle patchet 144 svakheter i Database Server, MySQL og Java. Microsoft slapp denne måneden fire oppdateringer, hvorav ingen var klassifisert som kritiske.


Aftenposten hadde et oppslag om hvordan krypteringsalgoritmer til bruk i GSM ble utformet svakere enn nødvendig da mobiltelefonistandarden ble utformet tidlig på 80-tallet, angivelig på grunn av politisk press. I følge fire av personene som deltok i arbeidet skal muligheten for overvåking ha vært en av årsakene til at enkelte stater ønsket svakere sikkerhet.


Luksuskjeden Neiman Marcus sier de har blitt utsatt for en serie med datainnbrudd hvor en ukjent mengde kreditkortdetaljer har blitt lekket. Innbruddet skjedde på omtrent samme tidspunkt som Target også ble angrepet og frastjålet kredittkortinfo fra millioner av kunder.


New York Times hadde denne måneden en artikkel om at NSA kontrollerer over 100.000 datamaskiner utenfor USA. De fleste av disse blir kontrollert via fjernstyringsprogramvare. Noen maskiner har angivelig også fått satt inn egne hardware-moduler/brikker som gjør at NSA kan styre og avlytte maskinene, selv om de ikke er koblet til noe nettverk. Dette kan gjøres innenfor en avstand på noen kilometer via radiokommunikasjon.


Der Spiegel hadde en artikkel som omhandlet hardware og software som NSA bruker for spionasje. Artikkelen viser at NSA i 2008 hadde bakdører klare for utstyr fra blant annet Cisco, Huawei, Dell og Apple’s iPhone.


SEA (Syrian Electronic Army) hacket Microsoft-eide Skype sin Twitter-konto, Facebook-konto og blogg. Senere i måneden fikk de tilgang til to andre Twitter-kontoer tilhørende Microsoft, samt Technet-bloggen. Microsoft meldte også mot slutten av måneden at Microsoft-ansatte hadde falt for et phishing-angrep. Angriperne var tilsynelatende ute etter dokumenter i forbindelse med henvendelser fra politiet. SEA stod trolig også bak dette angrepet.

Russeren Aleksandr Andreevich Panin tilstod mot slutten av måneden å ha vært primær utvikler og distributør av malware-toolkitet SpyEye i en føderal domstol i Atlanta. I følge en pressemelding fra FBI opererte Panin fra Russland i perioden 2009-2011, med å utvikle, markedsføre og selge varianter av SpyEye på lukkede undergrunnsforum. SpyEye har også rammet mange norske bankkunder.

onsdag 15. januar 2014

Oppsummering av nyhetsbildet desember 2013

DDoS-angrepene som TSOC observerte i desember bestod fortsatt for det meste av DNS-reflection-angrep og var ofte rettet mot privat-brukere. Denne måneden observerte vi et angrep på over 110Gbps, noe som er ny rekord i Telenors nett. Fra 23. desember og utover så vi også flere angrep som benyttet seg av NTP-reflection. Dette er en ny form for DDoS-angrep som misbruker tjenesten Network Time Protocol. Det er bare gamle installasjoner av NTP som lar seg utnytte til denne typen angrep.

Tre unge menn ble i desember dømt for grovt skadeverk etter å ha utført DDoS-angrep mot nettsteder som DnB, PST, It-avisen, digi.no, Norsk Tipping m.fl. våren 2012. Angrepene gjorde flere av sidene utilgjengelig i timesvis. Angrepene ble utført ved å kjøpe DDoS-tjenester på nettet og krevde ingen teknisk innsikt. Dommen er viktig da den avklarer at DDoS-angrep er et alvorlig lovbrudd i Norge.

TSOC observerte medio desember en formidabel økning i scanninger etter Linux-maskiner med sårbar installasjon av Apache / PHP 5.x. Dersom en maskin er sårbar, lastes det ned en IRC-basert DDoS-bot.

Microsoft slapp denne måneden 11 oppdateringer som rettet 22 svakheter. Blant disse var en oppdatering for GDI+ som rettet en svakhet som rammet Office 2007 og Lync. Denne svakheten ble brukt i målrettede angrep for å kompromittere maskiner.

Forskere i Tyskland har klart å bruke den innebygde mikrofonen og høyttaleren i bærbare PCer for å sende informasjon til andre PCer opptil 20 meter unna. Denne informasjonen kan være passord, kommandoer og andre typer data av mindre størrelse. Kommunikasjonen skjer over 20KHz og er dermed ikke mulig å høre for mennesker. Denne utviklingen utgjør en trussel mot spesielt sikrede nettverk uten vanlig nettforbindelse (air-gapped).

Flere teleoperatører i Sverige har opplevd press fra myndighetene for å gi automatisk tilgang til brukerdata. De har samtidig blitt lovet at kundene ikke skal få vite om tilgangen. Bahnhof og Tele2 bekrefter dette. Lederen for Bahnhof har også gjort flere timer med hemmelige lydopptak av samtelene. Säpo argumenterer med at det kan være tidskritisk å få tak i informasjonen fort i tilfelle et forestående terrorangrep.

I følge Reuters skal NSA ha betalt sikkerhetsselskapet RSA rundt 60 millioner kroner for å bruke en spesiell krypteringsalgoritme (Dual_EC_DRBG) som har en bakdør som NSA kunne bruke. Saken har ført til at flere foredragsholdere har meldt avbud til årets RSA-konferanse.

En komité nedsatt av Obama for å se på NSAs overvåking er kritisk på flere punkter. Blant annet foreslår de at metadata om telefonsamtaler ikke samles inn sentralt, men blir liggende hos hvert enkelt teleselskap. Gruppen er også kritisk til at NSA jobber for å legge inn bakdører i krypteringsalgoritmer. Rapporten kommer også med forslag til over 40 andre endringer.

Før jul ble det rapportert om at kredittkortdata fra millioner av kunder av den amerikanske butikkjeden Target var på avveie. Det er nå klart at 70 millioner kunder har blitt frastjålet ikke bare kredittkortdata, men også personlig informasjon som navn, adresse og telefonnummer. Target bekrefter at lekkasjen skyldtes malware på betalingsautomater i forretningene.

 
>