Oppsummering av nyhetsbildet innen datasikkerhet for august 2018

I august ble det registrert 170 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, ned fra 184 i juli. Det er ingen spesielle angrepskampanjer som skiller seg ut denne måneden. Av sikkerhetshendelser er det for eksempel skanning etter diverse svakheter, malware som utvinner kryptovaluta, forsøk på innlogging ved å prøve mange forskjellige brukernavn/passord og nettleserutvidelser som spionerer på brukerne.

Det var 213 bekreftede DDoS-angrep i august, opp fra 171 i juli. 81 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.67 Gbps og varte typisk i 23 minutter. Det største angrepet observert i denne perioden var et SYN-angrep på 85.0 Gbps og varte i én time. Fem av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Den indiske banken Cosmos Bank ble utsatt for dataangrep hvor 13,5 millioner dollar ble stjålet. Angriperne klarte å bryte seg inn hos banken, og deretter ble 2 millioner dollar stjålet via bankoverføringer og 11,5 millioner dollar via uautoriserte minibank-uttak i mer enn 24 land. Dette skjedde etter at FBI gikk ut med advarsel om kommende global minibank-svindel.

Facebook annonserte i begynnelsen av august at de hadde oppdaget en pågående kampanje der en rekke ikke-autentiske sider og brukere ble brukt til politisk påvirkning. I følge Facebook er det snakk om 17 brukerprofiler, åtte Facebook-sider, og syv Instagram-kontoer. Mellom April 2017 og Juni 2018 skal kontoene ha betalt 11.000 dollar for 150 reklame-kampanjer på de to plattformene.

Microsoft hevdet å ha funnet seks falske nettsider som hadde som mål å hacke maskinene til de som besøkt sidene. Noen av nettsidene skal ha vært relatert til offentlig politikk og Senatet, og alle sidene skal ha blitt opprettet av en gruppe som blir knyttet til den russiske regjeringen, APT-28. Microsoft fikk kontroll over DNS-pekerne til sidene ved hjelp av en amerikansk domstol for å gjøre videre undersøkelser.

Datasikkerhet hos Bergen Kommune har vært mye omtalt i august. Mandag 13. august ble det sendt ut en melding fra administrator-brukeren fra systemet eFeide. Årsaken til "hackingen" var at brukernavn og passord til administrator-brukeren lå i en fil som elever hadde tilgang til var. En elev varslet skolen om om glippen i vår, men ble ikke hørt. Kommunen risikerer nå millionbot fra Datatilsynet etter sikkerhetstabben.

En rapport publisert av Netscout Arbor forteller at det var syv ganger flere DDoS-Angrep over 300 Gbps i første halvdel av 2018, sammenlignet med første halvdel av 2017. Gjennomsnittsstørrelsen på DDoS-angrep steg med 174% i perioden, men frekvens på antall angrep gikk ned 13%. Økningen skyldes i stor grad oppdagelsen av nye metoder for distribuerte angrep, og det store antallet ubeskyttede IoT-enheter.

Flere produsenter av routere har svakheter i nøkkelhåndteringen i forbindelse med VPN-forbindelser. Svakhetene ligger i IKE v1. Nøkler kan utsettes for offline brute-force angrep. Cisco, Huawei og Zyxel har allerede sluppet oppdateringer.

Forskere har oppdaget enda flere svakheter i Intel-CPUer som kan brukes til å lese ut sensitive data, spesielt i virtuelle miljøer. De nye svakhetene er kalt Foreshadow, og lar angripere lese ut info fra Level 1-cache og SMM (System Management Mode)), operativsystem-kjernen og informasjon tilhørende andre virtuelle maskiner som kjører på samme CPU. Mange eksperter anbefaler nå å slå av “multithreading”/SMT i BIOS for å unngå mange av svakhetene som har vært offentliggjort for Intel-CPUer i det siste.

Samferdselsdepartementet sier de vil vurdere mulige tiltak overfor utstyrsleverandører fra land Norge ikke har sikkerhetspolitisk samarbeid med. USA har bannlyst Huawei og ZTE fra sine mobilnett, og nå har også Australia truffet en tilsvarende avgjørelse; de to kinesiske selskapene får ikke være med på utbygging av mobilnett i Australia.

Tre Ukrainske hackere er arrestert i henholdsvis Polen, Tyskland og Spania. Arrestasjonene skjedde i løpet av våren, men har først nå blitt offentliggjort. De tre skal ha vært medlemmer av gruppen FIN7/Carbanak Group og har blitt etterforsket av amerikanske myndigheter.