Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 7. mai 2018

Oppsummering av nyhetsbildet innen datasikkerhet for april 2018

Vår tjeneste Sikkerhetsovervåking oppdaget 138 alvorlige hendelser i april. Dette var en liten oppgang fra 121 i mars. Fortsatt er det mange PCer som blir infisert for å utvinne kryptovaluta, da særlig av typen Monero, siden Bitcoin krever spesialisert hardware for å utvinne i betydelig grad.

Det var 297 bekreftede DDoS-angrep i mars. 108 av disse ble mitigert. Et gjennomsnittlig angrep var på 2,55 Gbps og varte typisk 22 minutter. Det største angrepet observert i denne perioden var på hele 101 Gbps og varte i én time. Dette angrepet gikk mot en bredbåndskunde i Norge og var av typen LDAP-reflection. Åtte av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Analyser utført av DHS, FBI og NCSC viser at russisk-sponsede aktører utnytter nettverksenheter til å utføre man-in-the-middle-angrep, overvåke trafikk og generelt legge et grunnlag for senere angrep hos statlige og private organisasjoner, samt ISPer og tilbydere av kritisk infrastruktur. Det er generiske svakheter (særlig i Cisco Smart Install), gammel programvare og konfigurasjonsfeil som utnyttes. I varselet er det mange nyttige tips for sikkert oppsett av nettverksutstyr. Det har ikke vært rapportert om at nettverksutstyr i Norge har vært rammet av denne aksjonen.

6. april ble det utført et målrettet hackerangrep mot russisk og iransk IT-infrastruktur. Angrepet påvirket hovedsaklig internett-tjenesteleverandører, datasentre og noen nettsider. I tillegg til å deaktivere utstyret, la hackerne igjen følgende melding: “Do not mess with our elections”, sammen med et bilde av det amerikanske flagget. I et blogginnlegg skrevet av IT-sikkerhetsselskapet Kaspersky, kommer det frem at angrepet utnyttet en kjent sårbarhet i Cisco Smart Install Client. Talos (som er en del av Cisco) skrev i sitt eget blogginnlegg at de ved hjelp av søkemotoren Shodan hadde funnet 168 000 systemer som potensielt var utsatt for svakheten. Personene som påstod at de stod bak angrepet, uttalte til Motherboard at de ville hevne seg etter manipulering av det amerikanske valget i 2016.

Facebook slettet 135 Facebook- og Instagram-kontoer, samt fjernet 138 Facebook-sider som skal ha vært opprettet av russiske "Internet Research Agency" (IRA). Begrunnelsen oppgis å være IRAs utstrakte bruk av falske kontoer, som bl.a. ble brukt til å påvirke det amerikanske presidentvalget i 2016.

Etter Cambridge Analytica-skandalen har nå Facebook begynt å stramme inn på hvilke data apper får lov til å innhente fra brukerne på plattformen. Blant annet er det nå ikke lov for apper å hente inn data om religiøst/politisk ståsted, om du er i et forhold eller ikke, utdannelse osv. Facebook har også sperret datatilgangen for apper som ikke har vært i bruk de siste 3 månedene av hver enkelt bruker.

BGP-hijacking ble i april benyttet til å kapre/re-route DNS-trafikk til Amazons servere via en DNS-server i Chicago. Vha. denne DNS-serveren ble besøkende til krytovaluta-siden "MyEtherWallet.com" sendt til en falsk side i Russland. Googles DNS-tjeneste plukket også opp den falske adressen. I løpet av angrepet, som pågikk i omlag to timer, skal bakmennene ha klart å stjele Ethereum (kryptovaluta) for rundt 1.2 millioner kroner. Brukerne ble gitt en advarsel om ugyldig sertifikat fra nettleseren, men mange ignorerte denne.

Mobilsikkerhetsfirmaet Lookout har funnet tre apper med avansert skadevare i Google sin app-butikk, Google Play. Det ser ut til at appene kommer fra to forskjellige grupper mAPTs, eller mobile advanced persistent threats, og var myntet på personer fra Midtøsten. Da appene ble fjernet, hadde de totalt mellom 650 og 1250 nedlastinger. Hovedsakelig ser det ut til at appene har blitt spredd ved hjelp av lenker sendt fra profiler på Facebook/Messenger.

Myndighetene i Russland har forlangt å få utlevert de private nøklene som brukes av meldingstjenesten Telegram. Telegram har nektet å utlevere disse og mener at pålegget er brudd på grunnloven. Firmaet har base i Dubai. En domstol i Moskva ferdigstilte i april saken mot Telegram og godkjente bannlysing av meldingstjenesten, grunnet manglende utlevering av nøkler. Senere i april opplevde mange russere problemer med tilgang til flere skytjenester levert gjennom Amazon og Google. Dette skyldes blokkeringer for å sperre bruken av tjenesten i Russland. Det var også demonstrasjoner i gatene til støtte for Telegram.

Webstresser.org har solgt og gjennomført millioner av DDoS-angrep. Nå har nettstedet blitt tatt ned gjennom en felles politiaksjon i flere europeiske land og Canada. Britisk og tysk politi ledet aksjonen via Interpol. Nettstedet hadde over 136.000 registrerte brukere og har stått bak over 4 millioner angrep. Seks administratorer ble arrestert i England, Kroatia, Canada og i Serbia.

 
>