Oppsummering av nyhetsbildet innen datasikkerhet for mai 2018

Vår tjeneste Sikkerhetsovervåking avdekket 106 alvorlige hendelser i mai, ned fra 138 i april. Mai var altså en rolig måned for tjenesten sikkerhetsovervåking. Det var ingen større kampanjer med malware som rammet våre kunder.

Det var 175 bekreftede DDoS-angrep i mars, noe som er en stor nedgang fra 297 i april. 58 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.94 Gbps og varte typisk 26 minutter. Det største angrepet observert i denne perioden var på 11.6 Gbps og varte i 29 minutter. Seks av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Talos offentliggjorde detaljer om en ny malware kalt "VPNFilter". Firmaet anslår at minst 500.000 enheter er infisert. Dette gjelder nettverksenheter (typisk hjemmeroutere) fra Linksys, MikroTik, NETGear og TP-Link. Skadevaren skal være i stand til både uthenting av informasjon, manipulering av datatrafikk og destruktive handlinger i form av DDoS-angrep. Det er først og fremst routere i Ukraina som er rammet, men totalt er det infiserte routere i 54 land. Den russiske grupperingen Fancy Bear er mistenkt å stå bak operasjonen.

De to mest brukte metodene for kryptering av e-poster, PGP og S/MIME, inneholder svakheter som kan eksponere innholdet i krypterte e-poster. Svakhetene fikk navnet EFail og ligger i måten e-postklienter viser og dekrypterer meldingene på, ikke i selve protokollene. Utover i mai slapp leverandørene etter hvert patcher for problemene.

Sikkerhetsforskere oppdaget en alvorlig svakhet i den populære ende-til-ende krypteringsapplikasjonen Signal for Windows og Linux. Svakheten kan gjøre det mulig for en angriper å kjøre ondsinnet kode på mottakerens system ved kun å sende en melding. En fikset utgave er sluppet og applikasjonen skal oppdatere seg selv ved omstart.

Intel og US-CERT kom med informasjon rundt to nye måter å utnytte svakhetene Spectre og Meltdown. Disse blir kalt Variant 3a og Variant 4 og er såkalte Side-Channel svakheter. Leverandører jobber nå med å få fikset de siste problemene, noe som vil kreve oppdatering av BIOS/firmware. Det meldes om et ytelsestap på 2-8% på generelle ytelsestester. Disse variantene skal være vanskeligere å utnytte enn de tidligere.

Nederlandske myndigheter forteller at de vil fase ut bruken av produkter fra Kaspersky Labs. Myndighetene opplyser at dette er en preventiv handling. Kort tid etter uttalelsen offentliggjorde Kaspersky Labs planer om å flytte deler av selskapets infrastruktur til Sveits. Operasjonen er en del av selskapets "Global Transparency Initiative".

Russland har satt i gang flere tiltak mot meldingstjenesten Telegram. Torsdag 3. mai blokkerte Russlands media- og kommunikasjonsregulerende myndighet Roskomnadzor over 50 VPN-tjenester, web-proxyer og anonymiseringsverktøy. Det russiske nyhetsbyrå TASS har bekreftet tiltaket og rapporterer at dette rammer de tjenestene som har gitt adgang til Telegram-tjenesten. Telegram ble blokkert i april, etter at de nektet å gi fra seg krypteringsnøkler slik at meldinger i tjenesten kunne dekrypteres av russiske myndigheter.

The Associated Press meldt i mai at en russiske hackergruppe i 2015 sto bak en "falsk flagg" kampanje der utvalgte amerikanske militær-fruer mottok drapstrusler fra den fiktive IS gruppen "Cyber Caliphate". Den samme grupperingen skal også ha stått bak sabotasje-angrepet mot Franske TV5 Monde 9. april 2015. Også i dette angrepet skal gruppen ha lagt igjen falske spor som pekte mot IS.

Forskere har funnet en overvåkings-programvare på Android-telefoner som antageligvis blir brukt av det Pakistanske militæret til å samle inn data fra offiserer og andre høytstående personer i Midtøsten. Verktøyet har fått navnet Stealth Mango og det anslåes å ha samlet inn 30 GB med data, deriblant lydopptak, tekstmeldinger, bilder og posisjonsdata. Rundt 100 personer er rammet og malwaren var aldri å finne i Googles offisielle app-butikk.