Oppsummering av nyhetsbildet innen datasikkerhet for mars 2018

Vår tjeneste Sikkerhetsovervåking oppdaget 121 alvorlige hendelser i mars. Dette var en svak oppgang fra 115 i februar. Typen hendelser gjelder særlig browser-hijackere, forsøk på å logge inn ved å prøve mange brukernavn/passord og crypto-mining.

Det var 441 bekreftede DDoS-angrep i mars. 142 av disse ble mitigert. Et gjennomsnittlig angrep var på 2,22 Gbps og varte typisk 21 minutter. Det største angrepet observert i denne perioden var på 23,2 Gbps og varte i 44 minutter. Ni av TSOCs kunder ble utsatt for angrep denne måneden, noe som er et uvanlig høyt tall.

28. februar ble Github offer for et DDOS-angrep på 1.35 terabits per sekund. Dette er det største angrepet registrert noen sinne. Mitigeringstjenesten til Github, Akamai Prolexic, ble automatisk kontaktet i løpet av 10 minutter og gikk inn som mellommann og rutet all trafikk inn og ut fra Github. Trafikken ble sendt gjennom trafikk-filtere for å blokkere ute angrepstrafikken. Etter rundt 20 minutter ga angriperne opp og angrepet avtok. Angrepet var av typen Memcached DDOS, som er en ny type forsterkningsangrep. Angrepet utføres ved at angriper spoofer ip adressen til offeret og sender spesielle pakker til memcached-servere som står åpent ut på nett, eid av bedrifter og institusjoner. Disse sender så pakker som er mangedoblet i størrelse tilbake til offeret. Memcached er egentlig en tjeneste som er ment å ikke være eksponert mot offentlige nettverk.

Noen dager senere meldte Netscout Arbor at en kunde av en amerikansk ISP hadde blitt utsatt for et DDoS-angrep på 1.7 Tbps. I likhet med DDoS-angrepet mot Github var også dette angrepet av typen memcached reflection/amplification.

Firmaet Cambridge Analytica laget detaljerte velgerprofiler på 50 millioner velgere i USA. Dette ble gjort ved å betale 270.000 mennesker for å gjøre en "personlighestest" gjennom en app på Facebook. Appen fikk tilgang til informasjon både fra de som lastet den ned, samt alle kontaktene deres. Informasjonen ble senere brukt til målrettet politisk reklame for Trump-kampanjen. Facebook har nå suspendert firmaet fra å bruke deres plattform. Facebook har i etterkant mottatt kraftig kritikk for slepphendt behandling av brukernes data og datasikkerhetssjefen trakk seg også etter avsløringen.

Forskere har funnet en skadevare som har vært gjemt i 6 år - til tross for at den har infisert mer enn 100 maskiner verden over. Skadevaren har fått navnet Slingshot og er antatt å være utviklet av en nasjonalstat grunnet dens høye kompleksitet og elegans. Den har blant annet en modul for å infisere routere fra Mikrotik. Kaspersky Labs opplyser at skadevaren først og fremst har rammet Asia og Afrika. Senere i måneden viste det seg at det var USAs “Joint Special Operations Command” som skal ha stått bak kampanjen. Den var en del av en anti-terror operasjon, og ment for å infisere maskiner brukt av medlemmer av ISIS.

Den Israelske organisasjonen CTS oppdaget 13 kritiske svakheter i flere moderne AMD prosessor-familier. Svakhetene kan utnyttes til å få tilgang til CPUen sin "Secure Processor", som bl.a. utfører en rekke sikkerhetsrelaterte operasjoner. CTS får kritikk for å ha gitt AMD kun 24-timers frist før offentliggjøring. Flere er også skeptiske til alvorligheten av funnene, samt motivasjonen til CTS for publisering. AMD bekreftet senere i måneden flere av svakhetene og opplyste at de ville komme med fastvareoppdateringer.

Selskapet Recorded Future oppdaget at Kina bevisst manipulerer publiseringsdato for enkelte sårbarheter i landets offentlige sårbarhetsdatabase (CNNVD). Årsaken skal ifølge Recorded Future være at landets "Ministry of State Security" (MSS) vurderer/benytter sårbarhetene i forbindelse med målrettede angrep før de offentliggjøres.

22. mars ble Atlanta offer for et angrep med den kjente ransomwaren SamSam, som tok ned flere av byens systemer og websider. Systemene som ble rammet håndterer blant annet prosessering av innbetalinger og videreformidling av informasjon fra pågående rettssaker. Byens myndigheter jobbet med FBI, Microsoft, og Cisco i forsøk på å rette opp etter angrepet. I følge CBS mottok myndighetene krav om betaling av 6 Bitcoins i bytte mot nøkler som kunne dekryptere de rammede systemene. Det tok over én uke før alle systemene var oppe igjen.