Oppsummering av nyhetsbildet innen datasikkerhet for september 2017

Vi håndterte 97 alvorlige hendelser i september, mot 83 i august. Dette er i forbindelse med vår tjeneste Sikkerhetsovervåking. Det var ingen spesielle angrepsbølger eller angrep som skilte seg spesielt ut fra det vanlige.

Det var 365 bekreftede DDoS-angrep i september. 123 av disse ble mitigert. Et gjennomsnittlig angrep var på 2,38 Gbps og varte typisk i 24 minutter. Det største angrepet observert i denne perioden var på 13,6 Gbps og varte i 8 minutter. Tre av TSOCs kunder ble utsatt for angrep denne måneden.

Revisjons- og rådgivningsfirmaet Deloitte har vært utsatt for datainnbrudd. Hackerne bak angrepet hadde tilgang til konfidensiell e-post fra noen av selskapets kunder. Dette skjedde ved at Deloittes globale epostserver ble kompromittert ved at angriperne fikk tilgang til en administratorkonto med tilgang til alle områder. Administratorkontoen hadde ikke to-faktor autentisering aktivert. Mange av firmaets kunder er ledende innenfor sektorer som bank, finans, farmasi og media. Offentlige etater er også på Deloittes kundeliste. Hackerne hadde tilgang til systemene i flere måneder før det ble oppdaget i mars tidligere i år. Hvorfor det ikke har vært kjent før nå er uklart.

Sikkerhetsfirmaet Armis avdekket åtte svakheter i Bluetooth, som blant annet gjør det mulig å eksekvere kode på enheten uten at brukeren må foreta seg noe. Bare at enheten er på og har aktivert Bluetooth er nok. Selv om enheten allerede er tilkoblet en annen enhet, er den fortsatt sårbar. En annen av svakhetene gjør det mulig å avlytte nettverkstrafikk til og fra sårbare enheter. Microsoft patchet Windows i juli, uten at de oppga detaljer rundt svakheten. Google leverte patcher til leverandører av Android-telefoner i juli. Versjoner av iOS før versjon 10 er også sårbare. Flere Linux-distribusjoner trenger også patching. Mange Android-telefoner vil ikke bli patchet på lang tid.

Et innbrudd hos kredittovervåkingsselskapet Equifax har eksponert personlig informasjon fra over 145 millioner amerikanere. Informasjon som er på avveie inkluderer navn, personnummer, fødselsdatoer og adresser. Innbruddet ble gjort gjennom en svakhet i Apache Struts. Svakheten ble patchet 8. mars, men Equifax oppdaterte ikke sine servere. Angriperne kom seg inn i nettverket den 15. mai, men angrepet ble oppdaget 29. juli. Equifaxs CEO gikk av etter innbruddet.

Versjon 5.33 av det populære verktøyet CCleaner har vært infisert av malware. Dette gjaldt den offisielle versjonen som ble distribuert av utgiveren Piriform/Avast. Den infiserte versjonen ble lagt ut 15. august og hadde godkjent/korrekt signatur. En ny versjonen uten malware ble utgitt 12. september. Kun 32-bits utgaven av programmet var infisert. Dette er et såkalt “Supply Chain Attack” og er svært vanskelig å oppdage eller forhindre. I løpet av måneden kom det fram at angrepet var svært målrettet mot spesifikke teknologifirmaer. Dersom den infiserte utgaven av CCleaner ble installert på en PC i firmaer som Microsoft, Sony, Intel, VMWare, Samsung, osv. ble sekundær malware lastet ned. Sikkerhetsfirmaet Talos mener at gruppen bak operasjonen var ute etter industrihemmeligheter. De mistenker også Kina for å stå bak.

The Department of Homeland Security har gitt amerikanske myndigheter 90 dager på å avinstallere og erstatte programvare fra Kaspersky. Dette på grunn av sterk mistanke til knytning mot russiske myndigheter. Kaspersky benekter enhver tilknytning.

Washington Post avslørte at et russisk firma, som er knyttet til propaganda fra Kremlin, skal ha kjøpt politisk reklame for over $100.000 fra Facebook i forbindelse med det amerikanske valget. Millioner av amerikanere skal ha sett annonsene. Politisk reklame på Facebook blir mer og mer populært siden den kan leveres målrettet til bestemte velgergrupper basert på etnisitet, alder, kjønn, bosted, interesser, osv.

Symantec ga ut informasjon om en ny gruppe angrep utført av en gruppe de kaller "Dragonfly 2.0". Angrepene har vært rettet mot kraftforsyningen i flere land i Europa og USA. Den siste bølgen av angrep begynte i 2015 og har økt i intensitet i 2017. Kampanjen har mange likheter med tidligere lignende kampanjer, og Russland mistenkes å stå bak. Angriperne bruker både phishing, vannhullsangrep og dokumenter med malware for å komme seg på innsiden av nettverk. I flere tilfeller i USA skal angriperne ha hatt tilgang til styringssystemer for kraftforsyningen.