Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 10. april 2018

Svært overbevisende automatisert phishing-svindel

Like før påske ble e-posten under sendt ut til noen hundre mottakere i Norge, blant annet mange i Telenor. E-posten ble sendt fra en administrerende direktør i et norsk firma til alle hans kontakter.



Angriperne har mest sannsynlig fått tak i brukernavn og passord fra offeret ved hjelp av phishing. Så snart de får tilgang, brukes kontoen til å spre angrepet videre ved å sende e-poster til alle kontaktene til offeret. Dette er som oftest automatisert og gjør det umulig å skille svindel-e-postene fra vanlige e-poster fra offeret.

E-posten har også et bilde av en forminsket kopi av en faktura som typisk vil gjøre mottakeren nysgjerrig på hva fakturaen gjelder, siden skriften er for liten til å lese.

Dersom en trykker på bildet av fakturaen, blir en sendt videre til en falsk innloggingsside for tjenesten Office 365. Dette er en tjeneste for e-post fra Microsoft som brukes av mange bedrifter.


Det er flere ting som gjør at denne siden kan overbevise mottakeren av svindel-eposten om at dette er ekte vare:

  • Siden er en tro kopi av Office 365 sin ekte innloggings-side. Veldig mange brukere er vant med å logge inn på denne tjenesten.
  • Siden er kryptert med HTTPS og har grønn hengelås. Mange ser på en slik grønn hengelås som et slags “godkjent-stempel”, men det betyr i realiteten bare at siden er kryptert mellom din PC og serveren som sender den. Hengelåsen antyder ikke at siden er ekte eller at avsender er den den gir seg ut for å være.
  • E-post-adressen til mottakeren er allerede fyllt inn slik at bare passordet mangler. Dette kan få det til å virke som om siden allerede er “kjent” med mottakeren og at den har vært brukt før. Svindlerne fyller imidlertid inn adressen automatisk, siden de allerede har den.

Det aller viktigste før en skal skrive inn brukernavn og passord på en nettside er følgende: Sjekk adressefeltet til siden! Er du på den adressen du skal være? I dette tilfellet er adressen til siden følgende:



Selve domenet er markert i blått. Adressen “abcd08ge. download” er ikke en adresse som rimer med at dette er en tjeneste fra Microsoft eller har noe med Office å gjøre.

Ikke følg linker i e-poster for å logge på tjenester. Skriv heller inn adressen eller følg bokmerket ditt i nettleseren som vanlig. Da unngår du at svindlere får tak i din personlige informasjon ved å lure deg inn på falske nettsider.

Dersom du blir lurt til å gi fra deg innloggings-info til denne typen svindel-sider, er det i neste omgang dine kontakter som får phishing-epost “fra deg”. Bakmennene vil også sitte på en enda større liste med brukernavn og passord som kan brukes til forskjellige typer lovbrudd.

Dersom du skulle bli lurt, skifte passord så fort som mulig!

fredag 6. april 2018

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2018

Vår tjeneste Sikkerhetsovervåking oppdaget 121 alvorlige hendelser i mars. Dette var en svak oppgang fra 115 i februar. Typen hendelser gjelder særlig browser-hijackere, forsøk på å logge inn ved å prøve mange brukernavn/passord og crypto-mining.

Det var 441 bekreftede DDoS-angrep i mars. 142 av disse ble mitigert. Et gjennomsnittlig angrep var på 2,22 Gbps og varte typisk 21 minutter. Det største angrepet observert i denne perioden var på 23,2 Gbps og varte i 44 minutter. Ni av TSOCs kunder ble utsatt for angrep denne måneden, noe som er et uvanlig høyt tall.

28. februar ble Github offer for et DDOS-angrep på 1.35 terabits per sekund. Dette er det største angrepet registrert noen sinne. Mitigeringstjenesten til Github, Akamai Prolexic, ble automatisk kontaktet i løpet av 10 minutter og gikk inn som mellommann og rutet all trafikk inn og ut fra Github. Trafikken ble sendt gjennom trafikk-filtere for å blokkere ute angrepstrafikken. Etter rundt 20 minutter ga angriperne opp og angrepet avtok. Angrepet var av typen Memcached DDOS, som er en ny type forsterkningsangrep. Angrepet utføres ved at angriper spoofer ip adressen til offeret og sender spesielle pakker til memcached-servere som står åpent ut på nett, eid av bedrifter og institusjoner. Disse sender så pakker som er mangedoblet i størrelse tilbake til offeret. Memcached er egentlig en tjeneste som er ment å ikke være eksponert mot offentlige nettverk.

Noen dager senere meldte Netscout Arbor at en kunde av en amerikansk ISP hadde blitt utsatt for et DDoS-angrep på 1.7 Tbps. I likhet med DDoS-angrepet mot Github var også dette angrepet av typen memcached reflection/amplification.

Firmaet Cambridge Analytica laget detaljerte velgerprofiler på 50 millioner velgere i USA. Dette ble gjort ved å betale 270.000 mennesker for å gjøre en "personlighestest" gjennom en app på Facebook. Appen fikk tilgang til informasjon både fra de som lastet den ned, samt alle kontaktene deres. Informasjonen ble senere brukt til målrettet politisk reklame for Trump-kampanjen. Facebook har nå suspendert firmaet fra å bruke deres plattform. Facebook har i etterkant mottatt kraftig kritikk for slepphendt behandling av brukernes data og datasikkerhetssjefen trakk seg også etter avsløringen.

Forskere har funnet en skadevare som har vært gjemt i 6 år - til tross for at den har infisert mer enn 100 maskiner verden over. Skadevaren har fått navnet Slingshot og er antatt å være utviklet av en nasjonalstat grunnet dens høye kompleksitet og elegans. Den har blant annet en modul for å infisere routere fra Mikrotik. Kaspersky Labs opplyser at skadevaren først og fremst har rammet Asia og Afrika. Senere i måneden viste det seg at det var USAs “Joint Special Operations Command” som skal ha stått bak kampanjen. Den var en del av en anti-terror operasjon, og ment for å infisere maskiner brukt av medlemmer av ISIS.

Den Israelske organisasjonen CTS oppdaget 13 kritiske svakheter i flere moderne AMD prosessor-familier. Svakhetene kan utnyttes til å få tilgang til CPUen sin "Secure Processor", som bl.a. utfører en rekke sikkerhetsrelaterte operasjoner. CTS får kritikk for å ha gitt AMD kun 24-timers frist før offentliggjøring. Flere er også skeptiske til alvorligheten av funnene, samt motivasjonen til CTS for publisering. AMD bekreftet senere i måneden flere av svakhetene og opplyste at de ville komme med fastvareoppdateringer.

Selskapet Recorded Future oppdaget at Kina bevisst manipulerer publiseringsdato for enkelte sårbarheter i landets offentlige sårbarhetsdatabase (CNNVD). Årsaken skal ifølge Recorded Future være at landets "Ministry of State Security" (MSS) vurderer/benytter sårbarhetene i forbindelse med målrettede angrep før de offentliggjøres.

22. mars ble Atlanta offer for et angrep med den kjente ransomwaren SamSam, som tok ned flere av byens systemer og websider. Systemene som ble rammet håndterer blant annet prosessering av innbetalinger og videreformidling av informasjon fra pågående rettssaker. Byens myndigheter jobbet med FBI, Microsoft, og Cisco i forsøk på å rette opp etter angrepet. I følge CBS mottok myndighetene krav om betaling av 6 Bitcoins i bytte mot nøkler som kunne dekryptere de rammede systemene. Det tok over én uke før alle systemene var oppe igjen.

torsdag 8. mars 2018

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2018

Vår tjeneste Sikkerhetsovervåking oppdaget 115 alvorlige hendelser i februar. Dette var en oppgang fra 91 i januar. I februar måned har vi sett et oppsving i maskiner som har fått installert malware som driver med graving etter digital valuta (mining). Mange bedriftsbrukere blir også lurt til å gjøre dette gjennom sin nettleser ved besøk på forskjellige nettsider.

Det var 352 bekreftede DDoS-angrep i februar. 139 av disse ble mitigert. Et gjennomsnittlig angrep var på 3,26 Gbps og varte typisk 40 minutter. Det største angrepet observert i denne perioden var på 26,1 Gbps og varte i 25 minutter. Fire av TSOCs kunder ble utsatt for angrep denne måneden. Generelt var det et oppsving både i antall og kraft når det gjelder DDoS-angrep i februar.

Memcached, en cache-tjeneste som blant annet blir brukt for å øke responshastigheten til dynamiske web-applikasjoner, ble tatt i bruk for å utføre DDoS angrep i februar. Tjenesten er ikke ment å være installert på Internett-eksponerte systemer, siden den ikke ikke har noen adgangskontroll.
En forespørsel om statistikk sendt til en slik tjeneste kan resultere i svar som har en størrelse på 1500 bytes til flere hundre kilobytes. Disse svarene kan utnyttes til å utføre DDoS angrep ved å sende forespørselen med en falsk avsender-adresse. Akamai melder om at det er rundt 50.000 maskiner som tilbyr denne tjenesten på nettet.

I starten av februar ble det oppdaget en svakhet i Adobe Flash Player som kan gjør ekstern kodeeksekvering mulig. Svakheten ble utnyttet i angrep allerede fra november 2017 mot blant annet Sør-Korea. Angrepet gjennomføres ved at det sendes ut Office-dokumenter med et spesielt utformet Flash-tillegg. Adobe ga ut en fiks for svakheten fem dager etter at den ble offentlig kjent.

Et stort botnet på rundt en halv million maskiner, hoveddelen Windows-servere, har blitt oppdaget. Botnettet får infiserte maskiner til å utvinne kryptovalutaen Monero. Det er antatt at eierne av botnettet har tjent rundt 8900 Monero (mellom 2,8 og 3,5 millioner USD) siden Mai 2017. Botnettet infiserer nye maskiner ved hjelp av EternalBlue-svakheten som ble stjålet fra NSA i april i fjor. De fleste maskiner i botnettet er funnet i Russland, India og Taiwan.

En internasjonal operasjonsstyrke bestående av South West Regional Organised Crime Unit, Engelske National Crime Agency og Europol samt mange andre politi-avdelinger i Europa, Australia og Nord-Amerika har funnet og stoppet kilden til fjerntilgangs hacker-verktøyet Luminosity Link. Verktøyet ble brukt til å sanke data fra systemets filer, kameraet eller tastaturtrykk.
Operasjonsstyrkens arbeid fant et nettverk av individer som distribuerte og brukte Luminosity i 78 land og solgte det til mer enn 8600 kjøpere via nettsider dedikert til hacking og datakriminalitet. Verktøyet ble brukt til alt fra industrispionasje til overvåking av ektefeller.

En artikkel publisert av FireEye viser hvordan angripere kan utføre phishing-angrep som omgår 2-faktor autentisering. Metoden, kalt real-time phising, bruker en falsk innloggingsside som fanger opp brukernavn, passord og engangspassord. Angriperen har deretter et lite tidsrom hvor han kan bruke innloggingsinformasjonen før engangspassordet fornyes. Denne typen angrep har blitt benyttet mot BankID i Norge i år. Dette ble gjort ved hjelp av forfalskede eposter fra Netflix om oppdatering av betalingsinformasjon.

Nettverket til vinter-OL i Pyeongchang ble utsatt for et data-angrep under åpningsseremonien. Dette bekreftet talspersonen for vinterlekene 2018, Sung Baik-you. Angrepet førte til at mange av de interne serverne for arrangementet gikk ned, og ikke var operative igjen før nærmere 12 timer senere. Det har også blitt rapportert at angrepet skapte problemer for det offentlige Wi-Fi-nettverket. Senere i måneden mente amerikanske myndigheter at Russland stod bak angrepet. Angriperne skal også ha lagt igjen falske spor for å få det til å virke som om angrepet kom fra Nord-Korea.

Toppsjefer i flere amerikanske etterretningstjenester, inkl. CIA, FBI og NSA, advarer amerikanere mot å benytte mobil-produkter og tjenester fra de Kina-baserte produsentene Huawei og ZTE. Skepsisen skal bunne i de nevnte produsenters angivelige tette bånd til kinesiske myndigheter og mulighet for overvåking.

Britiske, amerikanske og australske myndigheter beskyldte denne måneden offentlig Russland for å ha stått bak ransomware-angrepet "NotPetya". Angrepet fra juni 2017 var rettet mot Ukraina, men også andre land ble hardt rammet.

Ny forskning viser at 90% av alle eksterne kodeeksekveringsangrep nå brukes for å legge inn kode for å utnytte den angrepne maskinene til å utvinne krypto-valuta. Dette er en økning fra ca 55% i september 2017. Bruken av ransomware har gått ned.

mandag 5. februar 2018

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2018

Vår tjeneste Sikkerhetsovervåking oppdaget 91 alvorlige hendelser i januar. Dette var en oppgang fra 61 i desember. Hendelsene er en blanding av scanning etter sårbarheter, forsøk på innlogging med store mengder brukernavn og passord, maskiner infisert av adware og en del trojaner-infiseringer.

Det var 403 bekreftede DDoS-angrep i januar. 93 av disse ble mitigert. Et gjennomsnittlig angrep var på 1,49 Gbps og varte typisk 24 minutter. Det største angrepet observert i denne perioden var på 18.1 Gbps og varte i 25 minutter. Fire av TSOCs kunder ble utsatt for angrep denne måneden.

Den 4. januar ble svakhetene kalt Spectre og Meltdown offentliggjort. Dette dreier seg om svakheter i teknikker som CPUer bruker for å øke hastigheten ved kjøring av kode, såkalt spekulativ eksekvering. Feilen gjør at upriviligerte programmer på en datamaskin/mobil kan få tilgang til å lese dataene til andre programmer eller selve operativsystemet. Problemet gjelder CPUer fra Intel, AMD og ARM, Intel er imidlertid hardest rammet. Feilen rammer virtualiserte miljøer med flere brukere hardest, for eksempel skyleverandører. I slike miljøer er det ofte mange forskjellige brukere på delt hardware. Disse kan få tilgang til å lese hverandres data eller også data fra operativsystemet. Gjennom svakheten Spectre kan også én nettleserfane i teorien lese data fra andre nettleserfaner, eller nettleseren selv, ved hjelp av spesielt utformet Javascript.

Utover i januar begynte leverandører av programvare å slippe patcher for Meltdown- og Spectre-svakhetene. Det viste seg at patchene i mange tilfeller kunne føre til ytelsestap, spesielt for litt eldre CPUer. Ytelsestapet varierer avhengig av typen last på CPUen, men kan typisk bli på 5-30 prosent. Nettleserprodusentene fikset Spectre-svakheten ved å sørge for at javascript på nettsider fikk tilgang til mindre nøyaktig tid, samt bedre isolering mellom faner i nettleseren. Sistnevnte fiks fører til at nettlesere kan bruke vesentlig mer minne enn tidligere.

Meltdown-svakheten lot seg patche kun ved å oppdatere programvare i operativsystemet. Spectre-svakheten krever at både mikrokoden i CPUen og operativsystemet patches. Den 22. januar meldte Intel at flere kunder hadde opplevd ustabile PCer og servere etter at patcher for både CPU og OS var installert, uten at noen var sikre på grunnen til dette. Den 29. januar deaktiverte Microsoft patcher for Spectre-svakheten i Windows, etter mange meldinger om ustabilitet. Foreløpig er det usikkert når det kommer en fullt fungerende patch for Intel-CPUer for Spectre. Enda har det ikke blitt rapportert om at svakhetene har blitt utnyttet i relle angrep.

Mandag 8. januar ble det oppdaget at en ukjent aktør hadde brutt seg inn datasystemene til Helse Sør-Øst. Angriperne hadde hatt tilgang til flere servere og hadde allerede hatt tilgang i noe tid. Det er så langt ikke konkludert hvem som står bak, men angrepet var avansert og det kan være en nasjonalstat som står bak. Nasjonal sikkerhetsmyndighet, Etterretningstjenesten, PST og Kripos jobber sammen i denne saken med hendelseshåndtering, teknisk analyse og aktøranalyse. Det er fortsatt uklart hva slags data angriperne kom seg unna med og det kan være at de fikk med seg pasientinformasjon.

En anonym ansatt hos NSA har uttalt seg til Yahoo Finance angående lekkasjene fra grupperingen The Shadow Brokers. Disse slapp blant annet verktøyene som ble brukt til å spre ransomware i to omganger i fjor (WannaCry og NotPetya) ved hjelp av en kritisk svakhet i Windows.
Den NSA-ansatte mener at The Shadow Brokers fikk tilgang til NSAs interne verktøy ved hjelp av antivirus-programvare fra Kaspersky Labs. Programvaren fra Kaspersky Labs ble installert på en PC til en ansatt som hadde tatt med seg verktøyene hjem uten tillatelse.

NSM NorCERT og Kripos jobber med flere saker hvor ansatte i norske bedrifter har blitt utsatt for e-postsvindel. Svindlerne aktiverer automatisk videresending fra kompromitterte e-postkontoer. Slik videresending kan bli stående på i lang tid før det oppdages. Videre blir e-postkontoen brukt til å sende ut falske fakturaer og meldinger om å endre kontonummer på tidligere fakturaer.

onsdag 10. januar 2018

Oppsummering av nyhetsbildet innen datasikkerhet for desember 2017

Desember var en rolig måned når det gjelder tjenesten Sikkerhetsovervåking. Vi håndterte kun 61 alvorlige hendelser, ned fra 157 i desember. Dette er et uvanlig lavt tall og skyldes nok lav aktivitet i fridagene i forbindelse med jul og nyttår.

Det var 496 bekreftede DDoS-angrep i november. 145 av disse ble mitigert. Et gjennomsnittlig angrep var på 1,82 Gbps og varte typisk en halv time. Det største angrepet observert i denne perioden var på 21.5 Gbps og varte i 17 minutter. To av TSOCs kunder ble utsatt for angrep denne måneden.

To menn er dømt til fengsel i 4-5 måneder i Eidsivating lagmannsrett for en serie tjenestenektangrep (DDoS) utført våren 2015. Dette er den strengeste avgjørelsen hittil i saker hvor tjenestenektangrep er benyttet for å sette datasystemer ut av spill. Mennene ble i tillegg dømt til å betale 320.000,- kr i erstatning for tjenestenektangrepene og inndragning av over en halv million kroner.

Etterforskere har avslørt en spionvare-kampanje som siktet seg inn mot etiopiske regimekritikere i USA, Storbritannia og andre land. Operasjonen pågikk i over 14 måneder og ble utført ved hjelp av programvare fra et israelsk firma. Operasjonen ble kjent etter at loggfiler fra den ble funnet åpent på Internett etter en konfigurasjonsfeil.

Hackere kom seg unna med over 60 millioner dollar i Bitcoin etter et angrep mot mining-plattformen NiceHash. NiceHash har uttalt at de "etterforsker hendelsens natur". NiceHash har ikke selv spesifisert hvor mye Bitcoin som har blitt stjålet, men brukere av plattformen har pekt på en lommebok tilhørende plattformen til en verdi av 68 millioner dollar, som plutselig har blitt tømt. Nicehash er nå oppe igjen, og de påstår at brukerne skal få etterbetalt det de har mistet.

I september annonserte Department of Homeland Security at den amerikanske regjeringen ikke lenger skulle bruke Kasperskys produkter, på grunn av deres tilknytning til Russland. Kaspersky Lab stengte i desember ned deres kontor i D.C på grunn av at det ikke lenger er levedyktig. Etter stengningen, har selskapet opprettet et søksmål mot amerikanske myndigheter. Kaspersky har blitt beskyldt for å hjelpe russiske etterretningstjenester med spionasje, men firmaet nekter for dette.

En russisk hacker ved navn Konstantin Kozlovsky har innrømmet overfor en russisk domstol at han hacket demokoratene etter ordre fra FSB. Han skal allerede i august i fjor ha fortalt byretten i Moskva at han ble beordret av FSB-agenter til å hacke Democratic National Comittee (DNC). Informasjonen skal stamme fra Facebook-kontoen til Kozlovsky, hvor det har blitt lagt ut dokumenter og lydopptak fra rettshøringen. Dette har blitt bekreftet av to personer, blant annet en som var tilstede under høringen. Dersom samarbeidet mellom Kozlovsky og FSB blir bekreftet, vil det ifølge Business Insider kunne bidra til å undergrave de russiske myndighetenes påstander om at de ikke hadde noe å gjøre med hacker-angrepet mot Demokratene.

Det har vært flere høyprofilerte sikkerhetsbrudd hos populære nettsider og online-tjenester de siste årene. Sikkerhetsforskere hos 4iQ bruker mye av sin tid på å lete på the dark web og fant nylig en 41 gigabyte stor fil med 1.4 milliarder brukernavn- og passord-kombinasjoner i klartekst. Dataene har ikke kommet fra en enkelt hendelse, men er hentet fra flere forskjellige datainnbrudd. Dataene er hentet fra blant annet nettsider som Netflix, MySpace, LinkedIn og populære spill som Minecraft og Runescape. TSOC fikk tilgang til passordfilen og varslet sine kunder om eventuelle lekkede brukernavn og passord.

 
>