Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 1. juli 2016

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2016

I juni håndterte vi 162 alvorlige hendelser i forbindelse med tjenesten sikkerhetsovervåking. Dette var en oppgang fra 146 i mai.

TSOC håndterte 91 DDoS-angrep i juni. Antallet detekterte angrep var 678, men mange angrep er små og kortvarige og blir dermed ikke mitigert. Et gjennomsnittlig angrep var på 2.20 Gbps og varte i 24 minutter. Det største angrepet var på hele 277 Gbps og varte i litt over en time.

14. juni meldte The Washington Post at russiske hackere, støttet av den russiske regjeringen, hadde hacket seg inn hos Demokratene i USA. Sikkerhetsselskapet CrowdStrike stod bak undersøkelsene etter angrepet. Under innbruddet ble det stjålet store mengder data og dokumenter. En hacker som kaller seg Guccifer 2.0 tok kort tid etter på seg skylden for angrepet, og hevdet at han handlet alene og ikke hadde noe med Russland å gjøre. Han publiserte også dokumenter fra angrepet, blant annet en detaljert analyse av Donald Trump ment til intern bruk i det demokratiske partiet. Eksperter analyserte siden tekst og metadata fra Guccifer 2.0 sin kunngjøring, samt tidslinjen rundt hendelsene. De konkluderte med at Guccifer 2.0-personen mest sannsynlig er laget av Russerne som stod bak det opprinnelige innbruddet. Dette gjorde de for å diskreditere sikkerhetsselskapet CrowdStrike, samt for å få offentliggjort dokumentene de stjal under innbruddet, uten at lekkasjen kan spores tilbake til Russland.

Angrepet som rammet Demokratene i USA, rammet også mange andre i politikken. Nesten 4000 Google-kontoer ble utsatt for målrettede phishing-angrep. Advokatkontorer, lobbyister, konsulenter, tenketanker osv. ble også rammet av innbruddsbølgen.

Sikkerhetseksperten John R. Schindler mener at Russland står bak hacker-angrep utført av det såkalte Cyber Caliphate. Dette underbygges med etterforskningen etter angrepet mot den franske TV-stasjonen TV5Monde i april 2015. En annen ekspert mener at Schindler har rett når det gjelder TV5Monde-saken, men at russerne ikke står bak alle operasjoner der Cyber Caliphate har tatt på seg skylden.

NorCERT meldte i juni at en ny bølge av CxO-svindel (direktørsvindel) e-post nå rettes mot Norske selskaper. Denne typen svindel går ut på å lure medarbeidere til å overføre store pengesummer til utlandet ved å gi seg ut for å være overordnede i selskapet. I slutten av juni var det mange tilfeller av dette.

Mange av kundene til Teamviewer opplevde at hackere tok kontroll over PCene deres i juni. Uvedkommende logget inn via fjernstyringsprogramvaren og overførte penger og stjal sensitiv informasjon. Lenge var det mistanke om et innbrudd hos Teamviewer selv. En talsperson for Teamviewer bekreftet også at et betydelig antall kontoer hadde blitt kompromittert. Selskapet fastholder at disse hendelsene skyldes gjenbruk av passord fra en rekke nylige lekkasjer av brukernavn og passord fra andre kilder som LinkedIn.

Sikkerhetsselskapet Fox-IT meldte at det nå blir sendt ut phishing-eposter i Nederland som henter informasjon fra LinkedIn. Sammen med navn, brukes rolle og firma vedkommende er ansatt i for å gjøre e-postene mer troverdige. Innholdet i e-postene er et obfuskert word-dokument som prøver å lure brukeren til å skru på kjøring av makroer. Dersom dette er vellykket, lastes det ned en bank-trojaner.

Twitter- og Pinterest-kontoene til Mark Zuckerberg, CEO hos Facebook, ble kompromittert denne måneden. Passordet til begge kontoene var i følge flere nettsteder "dadada". Det ble antakelig funnet i den nylige lekkasjen av passord fra LinkedIn.

De fleste store leverandører av PCer leverer disse med pre-installert programvare. Her følger det vanligvis også med et oppdateringsverktøy som skal ta jobben med å oppdatere denne programvaren for deg. DUO labs har sett på sikkerheten i oppdateringsverktøyene til flere forskjellige leverandører, og det viser seg at de inneholder flere alvorlige feil. Eksempler er alvorlige svakheter som gir mulighet for kodeeksekvering og manglende sikkerhet i kommunikasjonskanalen som opprettes mellom verktøyet og leverandørens servere. Leverandørene som var med i testen er Acer, Asus, Dell, HP og Lenovo. Alle leverandørene hadde svakheter.

Adobe meldte nok en gang om en kritisk svakhet i Adobe Flash. Svakheten ble allerede utnyttet til målrettede angrep ved offentliggjøringen. Dagen etter offentliggjøringen ble det utgitt en patch. Kaspersky meldte at svakheten ble utnyttet av en trusselaktør de har kalt ScarCruft. Dette er en gruppe som har angrepet mål i land som Russland, Nepal, Sør-Korea, Kina, India, Kuwait og Romania gjennom avanserte angrep.

FSB i Russland arresterte 50 medlemmer av en hacker-gruppe i starten av måneden. Gruppen skal ha drevet med svindel og angrep mot banker i Russland og skal ha kommet seg unna med over 1.7 milliarder rubler. De benyttet den avanserte trojaneren Lurk. Siden 7. juni har ikke det populære exploit-kittet Angler EK vært aktivt. Det spekuleres i at arrestasjonene kan være årsaken til nedetiden.

29. juni meldte sikkerhetsforskeren Tavis Omandy hos Google om flere kritiske svakheter i mange av Symantec sine produkter. Flere av svakhetene åpnet for kjøring av ondsinnet kode, og noen kunne til og med utnyttes av selvspredende malware. De fleste produktene, inkludert Norton-serien, ble automatisk oppdatert. Noen av produktene krevde også manuell oppdatering.

 
>