Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

torsdag 8. oktober 2015

Oppsummering av nyhetsbildet for september 2015

Etter sommeren har vi sett en oppgang i alvorlige hendelser håndtert gjennom tjenesten Sikkerhetsovervåking. Vi håndterte i september 68 saker, opp fra 50 i august. Denne måneden så vi fortsatt mange trojaner-infeksjoner forårsaket av bank-trojaneren Dyre. Det er dessverre også fortsatt en del som blir utsatt for utpressingsprogramvare og får hele harddisken kryptert.

I september håndterte vi 191 alvorlige DDoS-angrep, mot 233 i august. Gjennomsnittlig størrelse på disse angrepene var 6.73Gbps. De to største angrepene var på henholdsvis 25 og 30Gbps, kraftig opp sammenlignet med forrige måned. De fleste angrepene er reflection-angrep utført ved brukt av protokollene chargen og DNS.

September var en dårlig måned sikkerhetsmessig for Apple. Denne måneden ble det oppdaget hundrevis av applikasjoner i App Store som inneholdt uønsket kode (adware) som viste annonser og kartla brukere. Appene ble infisert ved at utviklere av Iphone-apps har blitt lurt til å installere en uoffisiell versjon av Apples programvare for utvikling, Xcode. Denne versjonen inneholdt skadevare som igjen infiserte utviklernes apper. Disse appene ble ikke avvist av Apples sikkerhetsmekanismer. For det meste ble apper brukt spesielt i Kina rammet, men også kjente apper som WeChat og WinZip var infisert. Dette er første gangen noen har klart å få malware inn i App Store på dette nivået.

OS X ble også rammet av adware kalt Genieo. Denne adwaren blir installert sammen med ellers uskyldige programmer. Etter at adwaren har blitt installert, gir den seg selv tilgang til OS X Keychain. Dette gjør den for å kunne installere en ny extention til Safari, kalt Leperdvil. Normalt kreves det at brukeren gir sitt samtykke for at apper skal få tilgang til Keychain. Genieo gir imidlertid seg selv tilgang ved å emulere et museklikk der "godta" knappen på dialogboksen er når den dukker opp. Keychain kan også inneholde passord til andre tjenester som adwaren kan hente ut.

Google har også hatt problemer med malware i Google Play. Dette har rammet opp mot en halv million brukere av spillet “Brain Test”. Checkpoint har avdekket at spillet, etter installasjon, laster ned et exploit-kit, i den hensikt å installere et rootkit på enheten og gi angriper full kontroll. I likhet med malwaren i Apples App Store var også denne rettet hovedsaklig mot brukere i Kina. Malwaren ble brukt til å installere flere apps på rammede mobiler. Bakmennene har benyttet seg av flere triks for å omgå Googles sikkerhetssjekker av apper som blir lastet opp til Google Play.

Googles Project Zero team oppdaget i september at sårbarheter i Kaspersky Antivirus kan benyttes til å ta kontroll over en maskin. Sårbarhetene skyldes blant annet feil i håndtering av pakkede filer og arkiver. Google anbefaler at prosessen som utfører sjekken blir kjørt i en sandkasse og uten SYSTEM-privilegier. Kaspersky fikset svakhetene i løpet av 24 timer. Google har funnet en mengde kritiske sårbarheter i antivirus-programvare fra flere leverandører.

En sikkerhetsforsker oppdaget også flere svakheter i en sikkerhets-appliance fra FireEye. Én av svakhetene gir tilgang til å laste ned filer fra boksen uten å autentisere seg. Det opplyses også at web-serveren kjører med root-tilgang, noe som ikke er regnet som et sikkert oppsett. FireEye slapp kort tid etter en oppdatering for svakhetene.

Cisco meldte at at det var funnet spesialtilpasset firmware i routere ute hos kunder. Selskapet Mandiant fant 14 routere av typen 1841, 2811 og 3825 med kompromittert programvare. Disse routerne ble funnet i Mexico, Filippinene, India og Ukraina. Senere scannet forskere hele Internett etter infiserte routere og fant totalt 79 enheter, de fleste i USA og Libanon. Angriperne får tilgang til routerne ved hjelp av fysisk tilgang eller gyldige administrator-kontoer. Når programvaren er installert, kan den laste inn moduler med forskjellig funksjonalitet. Når en router er kompromittert, kan i teorien all trafikk som går gjennom den avlyttes eller endres.

Mozilla meldte om at deres Bugzilla-installasjon, et system for å håndtere feil og svakheter i deres programvare, ble kompromittert. Informasjon stjålet om svakheter i FireFox, skal ha blitt brukt til å kompromittere klienter gjennom målrettede angrep. En oppdatering for FireFox, sluppet 27. august, skal ha fikset alle svakheter som ble avslørt gjennom angrepet.

F-Secure meldte om at sikkerhetsmiljøet blir forsøkt kartlagt ved hjelp av falske LinkedIn-kontoer som gir seg ut for å drive med rekruttering. Personene bak kontoene, samt selskapet de representerer finnes ikke.

 
>