Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

torsdag 4. februar 2016

Oppsummering av nyhetsbildet for januar 2016

Antall håndterte hendelser i forbindelse med vår tjeneste Sikkerhetsovervåkning gikk, i januar, ned til 122, mot 201 i desember. Det er fortsatt mange trojanere som stjeler personlig informasjon fra brukerne. De fleste blir, som tidligere, smittet gjennom vedlegg i e-poster. Dette er nå den foretrukne måten å spre malware på, både for masse-angrep og målrettede angrep mot bedrifter. Vår anbefaling er å verifisere med avsender først, dersom du skal åpne uventede vedlegg i e-poster!

Antall håndterte DDoS-angrep var omtrent på samme nivå som sist måned. Det ble håndtert 171 angrep, mot 164 i desember. DNS er fortsatt den foretrukne protokollen for angrep, og det største angrepet i perioden var på 32Gbps. Flere av TSOCs kunder som har tjenesten DDoS-beskyttelse ble angrepet i løpet av måneden.

Lille julaften mistet hundretusener strømmen i Ukraina. I ettertid har det vist seg at et godt koordinert cyber-angrep var årsaken til strømbruddet. En gruppering kalt Sandworm, som trolig har russisk tilknytning, stod bak angrepet. Datamaskiner og servere ble først infisert ved hjelp av malwaren BlackEnergy. Dette gjorde at angriperne fikk kontroll over tilkoblede SCADA-systemer. Strømsystemet ble forstyrret, og de infiserte maskiner ble deretter slettet ved hjelp av BlackEnergy-malwaren for å gjøre feilretting vanskelig. Samtidig ble også sentralbordene nedringt av flere tusen falske telefonsamtaler, slik at kundene ikke klarte å varsle om hva som skjedde. Det tok flere timer før strømmen var tilbake. Mange mener at dette angrepet er et veiskille når det gjelder angrep mot kritisk infrastruktur over Internett.

Perception Point Research Team fant i januar en svakhet i Linux-kjernen som gjør det mulig for angripere å få lokale administrator-rettigheter. Denne svakheten finnes i versjon 3.8 og senere av kjernen, samt i flere nyere Android-versjoner. Flere distribusjoner av Linux, som Ubuntu, Debian og Red Hat, var raskt ute med oppdateringer. Nyere versjoner av Android er også sårbare, men innebygde sikkerhetsmekanismer som SELinux (Security Enhanced Linux) skal gjøre det vanskeligere å utnytte svakheten. En Android-bruker må også lures til å installere en app som utnytter svakheten for å bli kompromittert. Det er hittil ikke meldt om stor utnyttelse av svakheten mot noen av de sårbare plattformene.

I desember ble det avslørt at nettverksutstyr fra Juniper hadde to svakheter. Den ene var en hardkodet bakdør, mens den andre var en svakhet i krypteringssystemet som gjorde det mulig å avlytte VPN-trafikk. Den sistnevnte svakheten var avhengig av NSA-utviklede algoritmer for å kunne utnyttes. Juniper har nå bestemt seg for å fjerne den aktuelle algoritmen (Dual_EC_DRBG) fra fremtidige versjoner av programvaren.

Sikkerhetsforsker og "Google Project Zero"-medlem Tavis Ormandy avslørte i januar en kritisk sårbarhet i Trend Micros Antivirus-løsning. Sårbarheten lå i passord-manageren som følger med antivirus-produktet. Den åpnet for at maskiner med programmet installert kunne kapres, infiseres med malware eller tappes for data, kun ved å besøke en nettside som utnyttet sårbarheten. Trend Micro ga raskt ut en oppdatering som tettet sårbarheten. Tavis rapporterte at det også finnes andre tvilsomme sikkerhetsløsninger i produktet. Det kommer blant annet med en "Secure Browser" basert på en gammel utgave av Chromium, med viktige sikkerhetsmekanismer deaktivert.

Sjefen for NSAs TAO-gruppe (Tailored Access Operations) kom med gode råd for hvordan en kan unngå å få APT-hackere i nettet sitt. Blant annet anbefaler han å kjenne nettet sitt godt, bruke white-listing av applikasjoner og å dele nettet inn i ulike soner. Han tilbakeviser også myten om at NSA og andre lignende organisasjoner ofte benytter seg av zero-day svakheter, da dette i de fleste tilfeller ikke er nødvendig.

I januar ble det oppdaget en hardkodet bakdør i eldre versjon av FortiOS fra versjon 4.x opp til 5.0.7. Svakheten ble patchet i juli 2014 etter at den ble oppdaget internt hos Fortigate. Firmaet opplyser også at bakdøren ikke har blitt lagt inn med onde hensikter. Antakeligvis har den blitt brukt til innlogging mellom forskjellig utstyr fra Fortigate.

Europol opplyste i en pressemelding at de har arrestert to medlemmer av hackergruppen DD4BC i Bosnia-Hercegovina. DD4BC står bak mange DDoS-angrep med tilhørende pengeutpressing fra bedrifter. Gruppen har også drevet utpressing mot flere firmaer i Norge.


 
>