Oppsummering av nyhetsbildet innen datasikkerhet for november 2019

Nasjonalt Cybersikkerhetssenter, en del av Nasjonal sikkerhetsmyndighet (NSM) åpnet i starten av november og skal bidra til å styrke den digitale sikkerheten i Norge. I tillegg til NSM, vil også en rekke samarbeidspartnere fra både privat og offentlig sektor være representert på senteret, som er lokalisert på Havnelageret i Oslo sentrum.

En ny lov som omhandler myndigheters rett til å slå av Internett har trådt i kraft i Russland. For å muliggjøre en slik avkobling fra internett, er det påkrevd at trafikk fra samtlige ISPer rutes gjennom servere eid og håndtert av landets telekomregulator. Kritikere og eksperter på russisk politikk, menneskerettigheter og personvern mener derimot at dette kun er en lov for å muliggjøre overvåking av russiske borgere og sensur av utenlandske nettsteder.

En svakhet har blitt avdekket i smart-høyttalere (Google Assistant, Alexa og Siri) samt andre enheter som benytter MEMS-mikrofoner for å utføre stemmegjenkjenning. Ved å variere lysintensiteten til en laserstråle rettet mot enheten, kan man simulere en stemme og dermed kontrollere enhetene. Dette kan for eksempel benyttes til å låse opp dører eller bekrefte kjøp på nettsteder. Forskerne klarte å utføre denne typen angrep på 110 meters avstand og samarbeider nå med produsentene for å forebygge og forhindre utnyttelse av svakheten. For å motvirke dette bør en absolutt ikke gi smarthøyttalere tilgang til å åpne dører, starte biler osv.

Det viser seg at det er en sårbarhet i mange kamera-apper på Android-mobiler. Konsulentselskapet Checkmarx har sluppet informasjon og PoC for tilgang til kamera, mikrofon og lokasjonsdata via tredjeparts programvare kun med adgang til lagringsresursene på mobilen. PoCen viser hvordan man via en annen applikasjon kan styre tilgang til telefonens ressurser med enkle kall, og med disse ta opp og hente ned bilder, video og lyd uten at brukeren legger merke til det. Google ble informert om svakheten tidligere i sommer og oppdaterte kameraprogramvaren i Android i juli. Så langt har Google og Samsung fikset problemet, men det gjenstår å se hvor fort andre leverandører tetter hullet..

Under CyberwarCon-konferansen i Arlington, Virginia, formidlet Microsofts Ned Moran at den Iranske hackergruppen APT33 (også kjent som Holmium, Refined Kitten og Elfin) ser ut til å ha oppskalert aktivitetene mot industrielle kontrollsystemer. Moran sa at passord-spray-angrep har økt kraftig i intensitet mot cirka 2000 bedrifter. Han mener også det ser ut til at gruppen går aktivt inn for å befeste seg for å kunne gjøre større fysisk skadeverk via cyber-angrep. I foredraget nevnte han hverken hvilke systemer eller bedrifter som er berørt, men at de leverer kontrollsystemer til olje-, strøm- og foredlingsbransjen.

I november ble tre personer i USA siktet for spionasje til fordel for Saudi Arabia, to tidligere ansatte i Twitter og én ekstern. De er tiltalt for spionasje mot personer som har uttrykt kritikk mot den saudiarabiske kongefamilien. "Den foreløpige siktelsen går ut på at saudiarabiske agenter har gått inn i Twitters interne systemer for å hente ut personlig informasjon om kjente saudiarabiske kritikere og tusenvis av andre Twitter-brukere", sa den amerikanske statsadvokaten David Anderson.

16. og 17. november ble det gjennomført en hacker-konkurranse kalt Tanfu Cup i Chengdu, Kina. Konferansen er kun for kinesere, etter at landets borgere fikk forbud mot å delta i internasjonale hacker-konkurranser i 2018. I konkurransen lyktes det deltakerne å kompromittere blant annet Edge, Chrome, Safari, D-Link routere, Office 365 og Adobe Reader.

En gruppe forskere har vist at Intel og STMicroelectronics TPM (Trusted Platform Module) er sårbar for timing-angrep som i enkelte tilfeller kan brukes til å utlede 256-bit private nøkler som er lagret i TPM. Forskerne klarte å utlede en ECDSA-nøkkel på 4-20 minutter lokalt. Via et raskt nettverk klarte de å finne en VPN-nøkkel på fem timer ved hjelp av rundt 45.000 oppkoblinger. Intel har sluppet oppdateringer som fikser svakheten, mens STMicroelectronics TPM krever ny versjon av chipen.

Trend Micro opplyste denne måneden at en ansatt hadde solgt personlige data tilhørende ca. 100.000 kunder til svindlere som ringer opp og utgir seg for å være ulike former for teknisk support og skal "hjelpe" deg med PCen din. Den ansatte er sagt opp og er under politietterforskning.

I november håndterte vi 204 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 261 i oktober. Denne måneden er det forskjellige ondsinnede utvidelser til Chrome-nettleseren samt graving etter kryptovaluta som dominerer hendelsene.

Det var 388 bekreftede DDoS-angrep denne måneden, opp fra 306 i oktober. 151 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.85 Gbps og varte typisk i 42 minutter. Det største angrepet observert i denne perioden var på 50 Gbps og varte i 11 minutter. Seks av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2019

Demant, en av verdens største produsenter av høreapparater, ble i slutten av september rammet av et cyberangrep. Dansk presse har beskrevet angrepet som løsepengevirus, uten at selskapet har bekreftet dette. Selskapet anslår et inntektstap på over 800 millioner NOK. Det gjør angrepet til et av de dyreste som er kjent, inkludert cyberangrepet mot Norsk Hydro tidligere i år. Demant opplyste etter angrepet at de forventet at alle forretningskritiske systemer skulle være gjenopprettet i løpet av to til tre uker.

Pilz, en tysk gigant innen industriautomasjon med kontorer i over 70 land, har også blitt truffet hardt av et løsepengevirus. 13. oktober så de seg nødt til å ta ned alle servere, arbeidsstasjoner og hele nettverket for å unngå spredning og ytterligere skade. Deler av tjenestene deres, inkludert e-post, ble skrudd på igjen 21. oktober.

Senere i måneden ble også Pitney Bowes rammet av løsepengevirus. Selskapet hevdet at angrepet ikke berørte kundedata, men flere av deres tjenester ble utilgjengelige. Også flere sykehus i USA og Australia ble rammet av løsepengevirus og ble nødt til å avlyse operasjoner, fordi viktige systemer var rammet. Denne måneden var dessverre altså preget av en mengde utpressingsangrep, og det ser ikke ut til at denne trenden kommer til å endre seg med det første.

Crowdstrike har gitt ut en interessant rapport om en avansert og langvarig industrispionasje-operasjon mot produsenter og leverandører til flysektoren over hele verden. Operasjonen skal være iscenesatt av Kinas Ministry of State Security, og formålet skal ha vært å gjøre Kina i stand til å bygge sitt eget fly, C919, uten ekstern hjelp. Operasjonen skal ha pågått siden 2010.

17. oktober ble Dagbladets nettsider tatt ned i over tre timer etter at noen skaffet seg tilgang til nettsiden og publiserte uønsket innhold. Senere identifiserte politiet en antatt gjerningsperson i saken som viste seg å være en ungdom bosatt utenfor Oslo. Rune Skjold, seksjonssjef for finans- og spesialetterretning i Oslo politidistrikt sier i en uttalelse til NRK at politiet har gjort beslag av ungdommens datautstyr og vil etterforske saken videre. Politiet mistenker at den mistenkte skal ha fått tilgang til nettsidene ved at kritiske passord har havnet på avveie.

FireEye melder at hackere ofte bruker falske meldinger om oppdateringer for nettlesere for å infisere større bedrifter. Meldingene dukker opp som pop-ups i nettleseren og påstår at den må oppdateres. Dersom brukeren blir lurt til å laste ned den falske oppdateringen, installeres forskjellig malware. Dersom PCen står i en større bedrift, tar også angriperne noen ganger manuell kontroll for å installere ransomware på flere av maskinene i det interne nettverket ved hjelp av Windows-kommandoen PSExec.

En  gruppering har fått tilgang til sikkerhetsselskapet Avast sin interne infrastruktur gjennom en kompromittert ansatt-konto på deres VPN. Dette er andre gangen noen har kompromittert Avast for å manipulere CCleaner som et ledd i et forsyningskjedeangrep. Kina mistenkes for å stå bak begge angrepene. CCleaner er et forholdsvis mye brukt program, og blir brukt av angriperne som et brohode inn i forskjellige organisasjoner.

Microsoft opplyste at Gruppen Phosphorus, med antatt iransk tilknytning, i perioden august til september har gjort forsøk på å skaffe seg tilgang til private Microsoft sky-kontoer tilhørende journalister, valgmedarbeidere og eksil-iranere. Kontoene ble overtatt ved å få tak i flest mulig opplysninger om ofrene og resette passordene ved hjelp av passord-spørsmål. Målet med kampanjen er sannsynligvis politisk påvirkning.

NSA og GCHQ melder at den russiske APTen Turla (del av den russiske militære utenlandsetterretningen GRU) har tatt i bruk infrastrukturen til en annen gruppe, APT34/Oilrig/Crambus, som er knyttet til Iran. Oilrig sine C2 servere ser ut til å ha blitt kompromittert av Turla, og leverer nå deres malware til infiserte klienter. 35 land skal ha blitt rammet av operasjonen. Ved å bruke Iransk infrastruktur, kan Russland lettere benekte kjennskap til operasjonene.

Facebook har levert et søksmål mot det israelske firmaet NSO Group etter deres bruk av en null-dags sårbarhet i WhatsApp for å overvåke 1400 advokater, journalister, diplomater og politiske dissidenter på vegne av en nasjonalstat. Dagen etter at søksmålet ble levert, slettet Facebook kontoene til ansatte i det israelske selskapet.

I oktober håndterte vi 261 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 452 i september. I september påvirket en mengde PCer med programvare PremierOpinion statistikken. Denne måneden har denne aktiviteten avtatt, men til gjengjeld har en mengde installasjoner av den ondsinnede nettleser-utvidelsen “Lnkr Adware” tatt over.

Det var 306 bekreftede DDoS-angrep denne måneden, opp fra 202 i september. 134 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.67 Gbps og varte typisk i 20 minutter. Det største angrepet observert i denne perioden var på 45 Gbps og varte i 19 minutter. Fire av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for september 2019

Sikkerhetsforskere har oppdaget en angrepsmetode for SIM-kapring. Angrepet går ut på at det sendes en SMS med en skjult STK-kommando (SIM Toolkit) som kan utnytte applikasjonen "S@T browser". Telenor Norges SIM-kort (UICC) er ikke sårbare for denne typen angrep. Angrepet er avhengig av at "S@T-browser" finnes på SIM-kortet, noe som ikke er tilfellet på våre kort. I Vest-Europa er det også få operatører som fortsatt bruker denne eldre teknologien.

Senere i måneden ble enda en SIM-sårbarhet offentliggjort kalt "WIBattack". Svakheten benytter seg av WIB (Wireless Internet Browser), som er programvare som ligger i noen SIM-kort. Den utnyttes ved å sende spoofede meldinger til SIM-kortet. Telenor Norge har WIB på noen SIM-kort. Så langt vi har kunnet fastslå i samarbeid med vår leverandør, er det imidlertid kun kort produsert i tidsrommet 2002 til 2010 som har denne sårbarheten. Det er relativt få av disse som fortsatt er aktive, og vi arbeider nå med videre håndtering av dem. Telenor har i tillegg SMS hjem-ruting og restriksjoner på sending av OTA SMS, noe som ytterligere reduserer sannsynligheten for utnyttelse av sårbarheten – og lignende sårbarheter.

I september var det nok en gang en bølge med telefonsvindel mot Norge, spesielt mange oppringninger kommer fra Algerie og Seychellene. Vi anbefaler å ikke ta telefonen dersom man ikke kjenner igjen nummeret som ringer, selv om dette ikke koster penger. Det er også viktig å ikke ringe tilbake igjen til slike numre, da dette kan koste penger. Det pågår også andre typer svindel der oppringere påstår å ringe fra Microsoft, banker og andre kredittinstitusjoner.

DNS-over-HTTPS vil snart være på som standard i Firefox. CloudFlare er valgt som DNS-leverandør initielt. Nettleseren vil håndtere DNS-oppslag kryptert på applikasjonsnivå, og i de fleste tilfeller overstyre operativsystemets DNS-innstillinger. Dersom nettleseren håndterer DNS-oppslag via DoH, vil ISPer få mindre mulighet for innsikt i trafikken og muligheter for å beskytte sine brukere ved hjelp av DNS-filter. Mozilla påpeker at det vil foreligge mekanismer som oppdager at foreldrekontroll eller sikkerhetsfiltre er i bruk, og deaktiverer DoH i slike tilfeller.

En ny boot-rom exploit med kallenavnet Checkm8 har blitt publisert for litt eldre iPhone-telefoner. Sårbarheten gjelder iPhone 4S til og med iPhone X. Svakheten innebærer at en angriper med fysisk tilgang til en telefon kan oppnå root-rettigheter til enheten. Etter reboot av enheten vil denne tilgangen forsvinne. Feilen ligger i hardware og skal være umulig å patche. Vi anbefaler å holde fysisk kontroll over telefonen sin dersom den er sårbar, spesielt dersom en reiser til utlandet.

Den iranske grupperingen "Cobalt Dickens" har siden juli sendt phishing-eposter til ansatte ved 60 universiteter i USA, Canada, Storbritannia, Sveits og Australia. Phishing-epostene inneholder en videresending til en forfalsket nettside. Det antas av SecureWorks at rundt 8% av ca 100000 angrepne konti har blitt kompromittert. "Fangsten" av informasjon består i ca 32 terrabyte med forskningsdata.

Massachusetts General Hospital har sendt ut info til 10.000 pasienter, som deltok i en studie ved nevrologisk avdeling, om at et datainnbrudd kan ha eksponert deres lagrede genetiske informasjon. Dette inkluderer blant annet pasientenes eventuelle diagnoser, genetisk informasjon, medisinske historie og biologiske markører.

Denne måneden vant Google en sak i The European Court of Justice som slo fast at Google ikke trenger å følge GDPRs bestemmelser om "right to be forgotten" i et globalt bilde. Dermed må alle data fjernes innenfor EUs grenser om man velger å "bli glemt" av Google, men utenfor EU gjelder ikke de samme reglene.

Mot slutten av måneden sendte Microsoft ut en hasteoppdatering for Internet Explorer som beskytter brukerne mot en svakhet som gjør at angripere kan kjøre ekstern kode hos brukeren. Svakheten ble allerede utnyttet til aktive angrep. Svakheten gjorde at angriperen kunne oppnå samme rettigheter som brukeren selv. Vi anbefaler alle å slutte å bruke Internet Explorer, men heller benytte seg av moderne nettlesere som FireFox, Edge eller Chrome.

I september håndterte vi 452 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, opp fra 135 i august. Den store økningen i antall hendelser skyldes i hovedsak en mengde PCer som har hatt programvare PremierOpinion installert. Denne programvaren installerer et eget root-sertifikat på PCen og overvåker trafikk som ellers skulle vært kryptert.

Det var 202 bekreftede DDoS-angrep denne måneden, ned fra 284 i august. 70 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.90 Gbps og varte typisk i 38 minutter. Det største angrepet observert i denne perioden var på 11.6 Gbps og varte i én timer. To av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for august 2019

Google Project Zero meldte om en serie med iOS 0-dags svakheter funnet på en rekke kompromitterte nettsider. Nettstedene brukte fem forskjellige sårbarhets-kjeder satt sammen fra 14 svakheter for å kompromittere telefonene uten at brukeren merket noe. Tusenvis av enheter fikk installert overvåkingsprogramvare over en periode på to år. Google meldte fra om svakhetene til Apple og disse ble fikset i februar med iOS versjon 12.1.4. TechCrunch meldte senere at Kina brukte de mye omtalte svakhetene i iPhones til å installere malware for å overvåke Uighurer, en folkegruppe som blant annet har tilhold i Kina.

Google har tatt for seg den delen av angrepsflaten til iPhone som kan nås via mobilnettverket og der brukeren ikke trenger å gjøre noe for å bli kompromittert. Dette dreier seg om SMS, MMS, Visual Voicemail, e-post og iMessage. Denne typen svakheter har ved flere tilfeller blitt brukt av avanserte statlig aktører mot iPhoner. De mest alvorlige svakhetene ble funnet i iMessage, og gjorde at angripere kunne hente informasjon fra mobiltelefoner. Google fant til sammen 10 svakheter og rapporterte disse til Apple. Alle ble fikset i iOS versjon 12.4.

Under konferansen Black Hat i Las Vegas annonserte Ivan Krstic, lederen for Apple Security Engineering and Architecture, at Apple nå revolusjonerer sitt program for sårbarhetsrapportering. Sikkerhetsforskere som finner en svakhet som lar en angriper få fullstendig, vedvarende og fjernstyrt kontroll over et system uten handling fra slutt-brukeren mottar en dusør på hele 1 million amerikanske dollar. Alle svakheter som avdekkes i beta-platformen øker også dusøren med 50%, dermed kan man potensielt tjene 1.5 millioner amerikanske dollar for å melde inn én enkelt svakhet.

Sikkerhetsforskere har oppdaget en trojan dropper-modul i den populære Android-applikasjonen CamScanner. Dette er i utgangspunktet en legitim applikasjon som har blitt lastet ned over 100 millioner ganger. Skadevaren ble innført da utviklerne av applikasjonen la til et kompromittert bibliotek for å vise annonser. Dropper-trojaneren sørger for å infisere enheten videre ved å laste ned og installere annen skadevare. Utviklerne har gitt ut en ny versjon som fjerner det kompromitterte biblioteket, men applikasjonen ble også midlertidig fjernet fra Play Store. Den ondsinnede modulen ble oppdaget av Igor Golovin og Anton Kivva som arbeider for Kaspersky.

Under Sikkerhetsfestivalen i Lillehammer ble det på mandag informert om et nytt prosjekt som har fått navnet Kommune CSIRT (Computer Security Incident Response Team). Prosjektet går ut på å opprette et eget sikkerhetssenter for norske kommuner, ettersom de ikke er godt nok rustet mot hacking og andre digitale sårbarheter. Oppland fylkeskommune, Lillehammer- og Gjøvik kommune blir prosjekteiere og bidrar med til sammen 8 millioner kroner. Prosjektleder Jan Tore Meren sier i en uttalelse av nettkriminalitet og IKT-sikkerhet har blitt et stadig økende problem for kommunene. Senteret skal driftes fra innlandet, ettersom de har utviklet en bred kompetanse innen IKT-sikkerhet over flere år.

Hittil i år har det kommet en rekke forsyningskjede-angrep gjennom åpen kildekode-programvare, og dette ser ikke ut til å avta. Mandag ble det avslørt en ny bakdør i 11 biblioteker tilgjengelige i RubyGems-pakkebrønnen. Her ble det blant annet avdekket at koden inneholdt en kryptominer. Denne uken ble det også meldt om svakheter i det populære verktøyet Webmin. Prosjekter for åpen kildekode har ofte hundrevis av utviklere, der mange er anonyme. Ny kildekode blir sjekket av flere før den blir lagt til, men ikke alle bakdører er like lette å oppdage.

Firmaet Suprema står bak diverse biometri-systemer som fingeravtrykk og ansiktsgjenkjenning for autentisering. Disse brukes blant annet i høysikkerhets dørlåser av firmaer som britiske banker, industri og forsvaret. Firmaet hadde åpne databaser tilgjengelig på Internett som inneholdt biometri-informasjon, brukernavn, passord osv. for over 1 million brukere. Dette er spesielt problematisk med biometrisk informasjon, siden denne ikke endrer seg.

Ved utstedelse av EV (Extended Validation)-sertifikater må mottakeren av sertifikatet bevise at han representerer et spesifikt firma. Nettleseren viser så navnet på dette firmaet i nettleseren. For rundt et år siden ble Extended Validation-sertifikater usynlige i Safari. Det samme vil skje i Google Chrome og Firefox om kort tid. Det virker dermed som om det er liten nytte i å benytte seg av EV-sertifikater framover.

I august håndterte vi 135 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, opp fra 69 i juni. Antall hendelser har altså tatt seg opp igjen etter sommerferien.

Det var 284 bekreftede DDoS-angrep denne måneden, opp fra 204 i juli. 84 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.23 Gbps og varte typisk i 21 minutter. Det største angrepet observert i denne perioden var på 91.4 Gbps og varte i fire timer. Tre av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2019

En underleverandør til FSB, en føderal sikkerhetstjeneste i Russland, har blitt hacket av en gruppe kalt 0v1ru$. Hemmelige prosjekter som ble utviklet for etterretningstjenesten ble lekket til russisk media som et resultat av dette. Russiske BBC beskriver hendelsen som muligens "det største databruddet i historien til russiske etterretningstjenester." Prosjektene gikk blant annet ut på å deanonymisere brukere av tjenesten TOR, innsamling av data fra sosiale nettverk og hvordan den russiske delen av Internett kan isoleres fra resten av nettet.

Forskere har oppdaget et av de mest avanserte og fullverdige mobile overvåkningsverktøy som noen gang er oppdaget. Det har fått navnet Monokle, og er sett brukt helt siden mars 2016. Firmaet Lookout har sporet verktøyet tilbake til Special Technology Center, en russisk forsvarskontraktør som var involvert i påvirkning av den amerikanske valgkampen i 2016. Monokle kan kommunisere med bakmennene via vanlig Internett-trafikk, epost, SMS og telefonsamtaler. Det har også alle vanlig overvåkingsfunksjoner, som å ta opp lyd, video, hente ut info osv. Det er ukjent hvordan Monokle blir installert på ofrenes telefoner, men det har ikke blitt funnet i Googles app-butikk.

2. juli i fjor, fikk administrasjonssjefen hos Regjeringsadvokaten en epost som utga seg for å komme fra Fredrik Sejersted. Etter et år med etterforskning har nigeriansk politi pågrepet én mann, og tre andre er etterlyste basert på informasjon fra Oslo-politiet. De fire er siktet for såkalt direktørsvindel for drøyt 12,7 millioner norske kroner. Banden har stått bak 26 bedragerier i Norge og flere hundre tilfeller i Europa. Oslo-politiet avslørte svindlerne ved å kommunisere med dem og få dem til å legge igjen elektroniske spor.

Etter at informasjon om nærmere 380 000 kunder ble stjålet fra juni til september 2018, har British Airways blitt ilagt en bot på nærmere to milliarder kroner. Datatilsynet melder at også nordmenn kan være berørt, siden alle som har bestilt eller endret sine billettbestillinger på BAs nettsider i den aktuelle perioden kan være rammet.

Sikkerhetsforskere har avdekket 11 sårbarheter i VxWorks, et sanntidsoperativsystem utviklet av Wind River. Operativsystemet brukes i forskjellig hardware som industrielle kontrollsystemer, medisinsk utstyr, brannmurer osv. Sårbarhetene, som går under samlebetegnelsen Urgent11, kan føre til eksekvering av vilkårlig kode og det antas at rundt 200 millioner enheter er sårbare. Wind River har allerede gitt ut oppdateringer som forhindrer utnyttelse og anbefaler på det sterkeste å oppdatere til nyeste versjon. Til nå har man ikke funnet noe som tyder på at sårbarhetene har blitt utnyttet i angrep.

Nyhetsbyrået Reuters meldte at hackere stjal finansielle data om 5 millioner bulgarske innbyggere. Det tilsvarer ca. 70 prosent av den totale befolkningen. Angrepet, som ble utført i juni, ser ut til å være av russisk opphav og anses som Bulgarias mest alvorlige datainnbrudd noensinne. Til nå har hackerne lekket 11 GB med data, men hevder at de har stjålet 21 GB og at det vil komme mer senere. Totalt skal 110 databaser tilhørende de Bulgarske skattemyndighetene ha blitt kompromittert i angrepet. Den lekkede informasjonen inneholder blant annet personnummer, samt opplysninger om inntekter og helseforsikringer for innbyggerne. Senere i måneden ble en 20-åring, som tidligere har jobbet for myndighetene i forbindelse med datasikkerhet, arrestert for innbruddet. Den arresterte nekter for å ha noe med saken å gjøre.

Det er funnet flere sårbarheter i de trådløse Unifying-donglene fra Logitech. Sårbarhetene kan brukes til å avlytte tastetrykk og sende egne tastaturkommandoer til maskinene som har dongelen tilkoblet. Det kreves imidlertid at en er fysisk nær dongelen for å kunne utføre avlytting og angrep. Alle USB-donglene som er rammet har en oransje stjerne printet på siden. Logitech jobber med å patche deler av sårbarhetene for øyeblikket. Det anbefales å bruke kablet tastatur og mus til sensitivt arbeid.

En svakhet i Zoom-klienten for Mac lot nettsider aktivere kameraet og filme brukeren uten å be om samtykke. Svakheten utnytter en lokal webtjener som Zoom-applikasjonen installerer. Etter hvert viste det seg at webtjeneren også inneholdt alvorlige svakheter som kunne brukes til å ta over kontroll over PCen. Apple slapp etter hvert en oppdatering som fjernet web serveren på alle Mac-maskiner uten at brukeren merket noe i samarbeid med Zoom.

I juli håndterte vi 69 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 122 i juni. Den kraftige nedgangen skyldes ferieavvikling med mindre aktivitet.

Det var 204 bekreftede DDoS-angrep denne måneden, ned fra 307 i juni. 92 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.39 Gbps og varte typisk i 25 minutter. Det største angrepet observert i denne perioden var på 46.6 Gbps og varte i én time og 5 minutter. Tre av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2019

I juni håndterte vi 122 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, opp fra 100 i mai.

Det var 307 bekreftede DDoS-angrep denne måneden, noe opp fra 260 i mai. 115 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.61 Gbps og varte typisk i 23 minutter. Det største angrepet observert i denne perioden var på 41.8 Gbps og varte i tre og en halv time. Tre av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Reuters hadde denne måneden en større artikkel om den kinesisk-støttede APT-aktøren APT10 og angrepsbølgen kalt Cloud Hopper. Disse fikk tilgang til Hewlett Packard sine skysystemer, som ble brukt som springbrett inn i flere av kundenes nettverk. Bedriften Ericsson ble utsatt for fem angrepsbølger fra 2014 til 2017. Andre bedrifter som ble rammet er Fujitsu, Tata Consultancy Services, NTT Data, Dimension Data, Computer Sciences Corporation og DXC Technology.

Denne måneden ble to svakheter i Firefox benyttet til å angripe ansatte i flere kryptobørser, blant annet Coinbase. Den første svakheten ble brukt til å kompromittere selve nettleseren, og den andre til å komme seg ut av nettleserens sandkasse (isolert miljø). Det spesielle er at angrepet var rettet mot MacOS-maskiner og prøvde å installere en bakdør på maskinene. Det er så langt ikke meldt om at verdier har blitt stjålet. Mozilla slapp raskt patcher for begge svakhetene.

Sikkerhetsselskapet Cybereason har funnet ut at flere teleselskaper har vært utsatt for datainnbrudd. Angriperne har vært aktive minst tilbake til 2017. Verktøy, metoder og tidsrammer tyder på at aktørene har vært støttet av Kina. Målet har vært å få tak i Call Detail Records (CDR)-data for et lite antall spesifikke personer. Dette ville la aktøren spore aktivitet, kommunikasjon og lokasjon til personene. Det er så langt ukjent hvilke leverandører som er rammet.

Etter at byen Lake City i Florida ble utsatt for ransomware-angrep i midten av juni, ble det besluttet at byen skulle betale ut løsepenger. Sammen med Riviera Beach, som nylig betalte $600,000 etter et tilsvarende angrep, har byer i Florida denne måneden betalt totalt $1,100,000 i løsepenger.

Det russiske militæret er i ferd med å fase ut Windows som OS og flytter over på sin egen Linux-distribusjon kalt Astra Linux. OSet ble klarert for å håndtere gradert informasjon forrige måned. Tidligere i måneden kom det også meldinger om at det kinesiske militæret er i ferd med å gå over til et egenutviklet OS, som ikke er basert på Linux.

Pavel Durov, direktøren av meldingstjenesten Telegram, hevder at kinesiske myndigheter står bak et nylig DDoS-angrep mot tjenesten. I en uttalelse sier han at angrepet var av en slik størrelsesorden at han mistenker at statlige aktører er nødt til å ha stått bak. Angrepet inntraff under en stor offentlig protest i Hong Kong. Durov mener at dette er mistenkelig, ettersom den krypterte meldingstjenesten tidligere har blitt brukt som et verktøy for å kommunisere i forbindelse med protester. Det amerikanske nyhetsbyrået Bloomberg opplyser også at demonstrantene benytter masker for å skjule ansiktene sine under protestene for å unngå ansiktsgjenkjenningsteknologi.

New York times rapporterer i en artikkel at USA har plantet skadelig programvare i det russiske strømnettet, samt andre mål. Kildene sier at USA kan gjøre betydelig skade ved en eventuell konflikt. Trump la senere ut en melding på Twitter om saken der han sier at den er løgn og at New York Times er fiender av folket.

Facebook har gitt ut en prototyp av sin egen kryptovaluta kalt Libra, som planlegges lansert neste år. En testutgave er allerede operativ. Facebook ønsker å gjøre det enkelt å bruke kryptovaluta i det daglige, samt å få en valuta som er mer stabil for store kurssvingninger enn andre kryptovalutaer. De ser også for seg at den kan brukes i land der få har tilgang til banktjenester. Verdien av valutaen skal være på rundt 1 USD per enhet og kobles mot flere store valutaer.

Symantec oppdaget at APT-gruppen Turla ser ut til å ha tatt kontroll over servere tilhørende en annen APT-gruppe, OilRig. Førstnevnte gruppe knyttes til Russland og den andre til Iran. Denne typen operasjoner kan gjøre det enda vanskeligere å vite hvem som faktisk står bak et cyber-angrep.

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2019

Antall alvorlige hendelser relatert til tjenesten Sikkerhetsovervåking holdt seg jevnt i mai. Det ble håndtert 100 hendelser denne måneden, mot 105 i april. Denne måneden var det fortsatt mange infiserte maskiner som ble satt til å utvinne kryptovaluta.

Det var 260 bekreftede DDoS-angrep denne måneden, omtrent likt med de 262 april. 81 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.99 Gbps og varte typisk i 18 minutter. Det største angrepet observert i denne perioden var på 65 Gbps og varte i bare syv minutter. Tre av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

I denne månedens sikkerhetsoppdatering fra Microsoft var det en svært alvorlig svakhet i "Remote Desktop Services"-komponenten som brukes i blant annet Windows 7, XP, og Windows 2003. I likhet med WannaCry, gjør svakheten det mulig for infiserte enheter å spre skadevaren videre automatisk, altså å utvikle en dataorm. Microsoft har ikke sett tegn til utnyttelse av svakheten, men anbefaler å oppdatere berørte enheter. Mot slutten av mai var det fortsatt over 900.000 sårbare maskiner tilgjengelig på Internett, og mange millioner sårbare maskiner i interne nettverk.

I løpet av de siste tre årene har gruppen Wicked Panda/Barium infiltrert forsyningskjedene til minst seks store organisasjoner. Det er antatt at medlemmene er av kinesisk opprinnelse. Gruppen har blant annet stått bak innbrudd hos CCleaner og ASUS melder Wired.com. Metoden går ut på å infisere store mengder PCer gjennom forsyningskjeder og så hente ut data fra interessante maskiner for bruk i spionasje.

Tidlig i mars ble det meldt om at Citrix hadde blitt utsatt for et datainnbrudd. I mai kom det fram at Citrix ble kompromittert i et såkalt passordspray-angrep hvor angriperne kom seg inn i systemet og stjal data om finans og ansatte. Angriperne hadde tilgang til det interne nettet i seks måneder. FBI bistår i saken.

Selskapet Red Balloon Security har oppdaget to alvorlige svakheter i Cisco-produkter. Den ene svakheten lar en angriper omgå secure-boot mekanismen (Trust Anchor) og installere egen programvare på routeren. Den andre svakheten gir muligheten for å kjøre tilfeldige kommandoer på en router via nettverket. Til sammen gjør svakhetene det mulig å ta kontroll over en router via nettet og installere et spesialtilpasset OS på den.

I mai ble Huawei svartelistet av den amerikanske administrasjonen. Dette har ført til at en rekke selskaper har meldt om at de slutter å levere software og hardware til den kinesiske produsenten. Google har for eksempel varslet at de vil slutte å gi fremtidige Huawei-mobiler tilgang til Google Play. ARM og Intel har også sagt at de ikke lengre kan gi selskapet tilgang til CPUer.

Google har delt data om hvor godt forskjellige 2-faktor autentiseringsmetoder stopper phishing-angrep. Å måtte skrive inn en kode fra en SMS-melding blokkert for eksempel 100% av automatiserte angrep, 76% av masseutsendte angrep og 76% av målrettede angrep. Det beste forsvaret var bruk av en fysisk sikkerhetsnøkkel, som stoppet alle angrep.

I mai ble det oppdaget en alvorlig svakhet i WhatsApp for iOS og Android. Noen kan ta kontroll over telefonen din, kun ved å sende pakker for å koble opp en videosamtale via WhatsApp. Brukeren trenger ikke engang å svare på anropet for at svakheten skal kunne utnyttes. Svakheten ble brukt av statlige aktører til å infisere håndsettene til regimekritikere med spionprogramvare.

Den antatt russiske APT-aktøren Turla har utviklet en Exchange-bakdør kalt LightNeuron. Bakdøren kan hente inn og endre info i alle e-poster som går gjennom serveren. Den mottar nye kommandoer via e-poster. Disse e-postene inneholder bildevedlegg der kommandoene er gjemt ved hjelp av steganografi. Bakdøren er brukt i nylige angrep mot mål i Midtøsten og Øst-Europa.

Windows 10 har nå blitt offisielt FIDO2-sertifisert av FIDO-alliansen. FIDO2 er et sett av standarder som muliggjør enkel og sikker pålogging på nettsider og applikasjoner via biometriske løsninger, mobile enheter eller fysiske sikkerhetsnøkler, og baserer seg på solid kryptografisk sikkerhet. Støtten kommer i neste oppdatering av Windows, som er ventet i slutten av mai.

Kinesiske etterretningsagenter fikk tak i flere hacker-verktøy fra NSA og brukte disse i angrep mot institusjoner i USA og Europa i 2016. Symantec antar at Kina ikke stjal verktøyene, men fikk tak i dem da USA brukte dem mot mål i Kina. Dette var før verktøyene ble sluppet av grupperingen The Shadow Brokers.

Oppsummering av nyhetsbildet innen datasikkerhet for april 2019

Antall alvorlige hendelser relatert til tjenesten Sikkerhetsovervåking gikk ned fra 153 i mars til 105 i april. Denne måneden så vi et oppsving i malware på Mac-maskiner grunnet trojaneren Shlayer. Ellers er det fortsatt en del maskiner som blir infisert for å drive med utvinning av kryptovaluta.

Det var 262 bekreftede DDoS-angrep denne måneden, ned fra 356 i mars. 94 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.8 Gbps og varte typisk i 20 minutter. Det største angrepet observert i denne perioden var på 21 Gbps og varte i bare fem minutter. Fem av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Den Indiske IT-gianten Wipro ble rammet av et datainnbrudd denne måneden. Fra Wipros systemer har angriperne beveget seg videre til minst 11 kunder, blant dem CapGemini, Avanade, Cognizant, Infosys og Rackspace. Wipro har bekreftet angrepet. Senere kom det fram at angrepet mest sannsynlig var gjort av en gruppering som i flere år har drevet med svindel innenfor gavekort og fordelsprogrammer, og ikke en statsstøttet aktør som først antatt.

Passord-spraying, eller credential stuffing, er en angrepsform som har økt i omfang i  det siste. Angriperne får tak i lekkede brukernavn og passord fra datainnbrudd og bruker samme brukernavn og passord mot andre tjenester. Veldig mange brukere benytter det samme passordet på flere tjenester, og kontoen kan dermed tas over. En del tjenestetilbydere sjekker brukernes passord opp mot lekkede passord og tvinger i så fall passordbytte. Å tvinge bruk av to-faktor autentisering kan også motvirke denne typen angrep.

Wired har skrevet en artikkel om hvordan den Nord-Koreanske hackergruppen APT-38 aktivt blir brukt til å stjele kryptovaluta for å finansiere nasjonens atomvåpen. I perioden januar 2017 til september 2018 skal gruppen ha stjålet 571 millioner dollar fra fem ulike kryptovaluta-børser i Asia.

Legemiddelfirmaet Bayer opplyste at de har vært utsatt for et dataangrep utført fra Kina. Firmaet oppdaget malware i nettverket sitt tidlig i 2018. De overvåket angrepet fram til mars og har nå fjernet all malware fra nettverket. Firmaet opplyser at ingen data ble stjålet. Sikkerhetseksperter mener angrepet har vært utført av APT-grupperingen Wicked Panda ved hjelp av programvaren WINNTI.

Google lanserte i april en løsning hvor man benytter en Android telefon som fysisk sikkerhetsnøkkel. Dette gjelder Android versjon 7 eller nyere. Ved hjelp av nettleseren Chrome, Bluetooth og en Android telefon får man en fysisk enhet som kan benyttes istedenfor en vanlig fysisk sikkerhetsnøkkel. Denne løsningen er sikrere enn å skrive inn en engangskode via en SMS eller app, siden enheten som det blir logget inn på må kommunisere med telefonen via Bluetooth og dermed sikre at telefonen er fysisk i nærheten.

I mars ble det oppdaget kritiske svakheter i både samhandlingsverktøyet Confluence og Oracle WebLogic. Disse systemene er typisk eksponert mot Internet, og tusenvis av systemer som ikke ble patchet hurtig nok ble kompromittert. Angriperne installerte typisk utpressingsprogramvare (ransomware) eller programvare for å utvinne kryptovaluta på systemene.

Siden 25. mars har ukjente personer lekket detaljer rundt operasjonene til den iranske APT-grupperingen APT34/OilRig. Informasjonen omhandler verktøy, ofre og identiteten til flere av medlemmene og blir lekket via tjenesten Telegram.

Google har gitt ut sin årlige sikkerhetsrapport for Android og Google Play. Antallet potensielt skadelige apper installert fra Google Play doblet seg i fjor, men dette skyldes hovedsakelig at apper som driver med click fraud i bakgrunnen nå har blitt definert som skadelige. Google advarer også mot at en del “billig”-leverandører inkluderer skadelige apper på håndsettene sine. Telefoner fra leverandøren BLU var utsatt for dette i fjor.

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2019

Antall alvorlige hendelser relatert til tjenesten sikkerhetsovervåking gikk noe opp fra 112 i februar til 153 denne måneden. Hendelsen var en blanding av forskjellige trojanere, ulovlig utvinning av kryptovaluta og diverse annen uønsket programvare.

Det var 356 bekreftede DDoS-angrep denne måneden, opp fra 305 i februar. 142 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.4 Gbps og varte typisk i 19 minutter. Det største angrepet observert i denne perioden var på 58 Gbps og varte i litt over én time. To av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Hydro ble natt til tirsdag 19. mars utsatt for et større cyber-angrep i form av løsepengevirus. Målet kan ha vært å presse Hydro for penger, men det egentlige målet kan også ha vært å sabotere bedriften. Hydro måtte bytte over til manuelle rutiner i produksjonsprosessene der dette var mulig. Det var malwaren LockerGoga som brukt, en relativt enkel malware som ikke har nettverkskommunikasjon. Den må derfor manuelt kopieres til klienter og servere i bedriften som angripes. I Hydros tilfelle ble dette gjort ved at angriperne fikk tilgang til deres Active Directory server. Herfra hadde angriperne full kontroll over nettverket. Det er usikkert hvem som står bak angrepet. Mot slutten av måneden opplyste Hydro at cyberangrepet kan komme til å koste dem opp mot 350 millioner kroner.

Den Taiwan-baserte teknologigiganten ASUS antas å ha eksponert hundretusener av kunder for malware gjennom sitt automatiske programvareoppdateringsverktøy. Angripere kompromitterte selskapets oppdateringsserver og brukte den til å sende ut malware til nøye utvalgte maskiner. Det er antakelig en avansert aktør som står bak angrepet. Oppdateringsverkøyet sjekket maskinene for spesifikke MAC-adresser før selve malwaren ble lastet ned. Dette var altså et svært målrettet angrep mot et fåtall maskiner. Det tok lang tid før operasjonen ble oppdaget.

WebAuthn er et grensesnitt brukt av webapplikasjoner for autentisering ved hjelp av offentlige, og private nøkler. For å autentisere seg, kan brukeren benytte både fysiske sikkerhetsnøkler og biometri. W3C og FIDO annonserte nylig at WebAuthn blir den offisielle webstandarden for passordfri innlogging.

I mars kom det fram at komprimeringsverktøyet WinRar hadde en alvorlig svakhet som hadde eksistert i 19 år. Svakheten ble fikset i versjon 5.70 som ble lansert 26. februar. Siden har svakheten blitt utnyttet i flere kampanjer av avanserte aktører.

Citrix ble informert av FBI 6. mars at uautoriserte brukere har vært på deres interne nettverk. Citrix jobber fortsatt med å kartlegge omfanget, men melder så langt at bedriftsdokumenter er lekket, uten at det er klart hva slags dokumenter dette dreier seg om. Det er foreløpig ingen tegn på at tjenestene de tilbyr videre har blitt kompromittert. Det ukjente sikkerhetsselskapet Resecurity hevder det er Iranske hackere som står bak angrepet.

Tidlig denne måneden ble det meldt om to nye svakheter i henholdsvis Google Chrome og Windows 7. APT-grupperingene SandCat og FruityArmor utnyttet disse i aktive angrep. Svakheten i Windows brukes til å få kernel-tilgang etter først ha fått tilgang til en PC via Google Chrome. Google patchet først Google Chrome, mens Microsoft patchet Windows i sin månedlige sikkerhetsoppdatering.

I følge en rapport fra Trend Micro er norske bedrifter spesielt attraktive for IT-angrep via direktørsvindel. Norge står for 1,9% av alle registrerte forsøk på verdensbasis og dette plasserer Norge på en femteplass i verden over land utsatt for direktørsvindel.

I domstolsdokumenter som ble utgitt 29. mars, kom det fram at Microsoft har hatt en pågående kamp mot en aktør som blir støttet av Iranske myndigheter. Microsoft fikk gjennomslag for å ta over flere av domenene til gruppen, som er kjent som APT35, Phosphorus, Charming Kitten eller Ajax Security Domain. Domene som Microsoft tok over har blitt brukt til målrettet phishing mot brukere i hele verden. Noen av domene etterlignet eksisterende Microsoft-tjenester.

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2019

Vi håndterte 112 alvorlige saker relatert til Sikkerhetsovervåking i februar, ned fra 173 i januar. Også denne måneden var det et høyt antall maskiner som ble misbrukt til å utvinne kryptovaluta. Ellers er det mange infiseringer av diverse trojanere, der Glupteba har vært spesielt aktiv denne måneden.

Det var 305 bekreftede DDoS-angrep denne måneden, ned fra 487 i januar. 116 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.2 Gbps og varte typisk i 20 minutter. Det største angrepet observert i denne perioden var på 22.3 Gbps og varte i 11 minutter. Fire av TSOC sine bedriftskunder ble utsatt for angrep denne måneden.

Reuters meldte i februar at norske Visma hadde blitt hacket i forbindelse med Cloudhopper-kampanjen utført av den kinesiske aktøren APT10. Angrepet har antagelig blitt gjennomført for å hacke seg videre inn hos Vismas kunder for å stjele forretningshemmeligheter. Visma har gått ut offentlig med informasjonen for å gjøre folk oppmerksomme på denne kampanjen. De mener at angriperne var for kort tid i nettet deres til å ha rukket å hacke seg inn hos noen av kundene. HP, IBM og flere andre leverandører skal være rammet i den samme kampanjen. Etter offentliggjøringen mente analytikere fra Microsoft at angrepet mest sannsynlig kom fra en annen gruppe kjent som APT31. Begge grupperingene skal ha knytninger mot kinesiske myndigheter, men APT31 er mindre kjent.

PST la fram sin trusselvurdering for 2019. De legger stor vekt på fremmede staters nettverksoperasjoner mot Norge. Statlig styrte datanettverksoperasjoner representerer en vedvarende trussel mot norske verdier. Slike operasjoner er billige, effektive og i konstant utvikling, og angriperne finner stadig nye sårbarheter de kan utnytte. Russland og Kina trekkes fram som de mest aktive i forhold til disse operasjonene.

E-tjenesten la også fram sin årlige offentlige trusselvurdering “Fokus” og trekker fram fremmed etterretning som den største trusselen mot Norge. Fremmede statsmakter som Kina og Russland prøver å påvirke Norges politiske prosesser. I 2018 har nettverksoperasjoner for å innhente informasjon vært rettet mot norske styresmakter og kommersielle selskaper innenfor en rekke sektorer. E-tjenesten omtaler også gjentatte tilfeller av GPS-jamming i Finnmark utført av Russland.

USAs utenriksminister Mike Pompeo hintet i en pressekonferanse 11. februar at USA vil kunne avslutte sitt samarbeid med selskaper som er tungt investert i utstyr levert av Huawei. Pompeo sa at utstyr levert av Huawei plassert på samme sted som viktig utstyr levert av Amerikanske produsenter vil gjøre et samarbeid vanskelig. USA har nylig innført et forbud mot bruk av utstyr levert av Huawei i offentlige institusjoner, og hos telekom-selskaper som mottar statsstøtte.

Russiske myndigheter introduserte en ny lov i Desember 2018 som sier at ISPer i landet skal kunne håndtere en frakobling fra det globale Internettet uten at landets interne tjenester går ned. I lovforslaget står det også at ISPer skal kunne rute trafikk gjennom myndighetsstyrte overvåkningspunkter. En test for å sjekke at en frakobling vil fungere etter planen skal gjennomføres innen 1. april.

Brian Krebs har skrevet en lengre bloggpost om DNS-angrepene som har pågått de siste månedene. De fleste mener nå at det er Iran som står bak bølgen med angrep. Han identifiserer flere av landene som har blitt rammet, hovedsakelig i midtøsten. Det svenske firmaet Netnod Internet Exchange har også blitt hacket. Firmaet kontrollerer blant annet én av de 13 root-DNS tjenerne på nettet. New York Times skriver også om saken i dag.

Microsoft’s Threat Intelligence Center (MSTIC) og Digital Crimes Unit (DCU) melder om økt aktivitet fra russiske hacker-grupper mot Europa. I løpet av siste kvartal ble det observert innbrudd i 104 kontoer knyttet til blant annet journalister, tenketanker og andre organisasjoner i Europa. Mesteparten av disse angrepene hevdes å komme fra gruppen Strontium, også kjent som Fancy Bear.

Over 617 millioner kontoer, samlet fra 16 hackerangrep mot websider er nå til salgs på det mørke nettet. Disse kommer fra angrep på Dubsmash (162 mil), MyFitnessPal (151 mil), MyHeritage (92 mil), ShareThis, HauteLook , Animoto , EyeEm, 8fit, Whitepages, Fotolog, 500px, Armor Games, BookMate, CoffeeMeetsBagel, Artsy, og DataCamp. Flere av innbruddene er av nyere dato.

Mange aktører bruker Apples enterprise-sertifikater for å omgå App Store. Sertifikatene er egentlig ment brukt for apper internt i organisasjoner. Disse blir imidlertid brukt i stor stil for piratkopiering og spredning av apper som Apple ikke godtar i App Store. Via denne typen apper er det også mulig å bli utsatt for malware.

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2019

Vi håndterte 173 alvorlige saker relatert til Sikkerhetsovervåking i januar, opp fra 131 i desember i fjor. Denne måneden så vi et oppsving i klienter som ble infisert av diverse programvare for å utvinne kryptovaluta.

Det var 487 bekreftede DDoS-angrep denne måneden, opp fra 464 i desember i fjor. 169 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3 Gbps og varte typisk i 18 minutter. Det største angrepet observert i denne perioden var på 257 Gbps og varte i 13 minutter. Dette angrepet var rettet mot en av våre avdelinger i Asia og bestod av fragmenterte UDP-pakker, DNS- og LDAP-trafikk. Syv av TSOC sine bedriftskunder ble utsatt for angrep denne måneden.

Zerodium har økt sine priser for 0-day svakheter som kan brukes til å kompromittere iPhones og andre meldingstjenester. En zero-click jailbreak-svakhet for iPhone er nå verdt 2 millioner dollar. Det gis 1 million dollar i belønning for svakheter som kan ta over iMessage og WhatsApp. Økningen i utbetalinger kan tyde på at sikkerheten i disse systemene blir stadig bedre.

Norske myndigheter vurder tiltak for å nekte kinesiske Huawei å bygge infrastruktur for 5G-nettet i Norge. Dette på grunn av frykt for spionasje. Norge vil dermed kunne innføre samme restriksjoner som f.eks USA og andre vestlige land.

En ny lov i USA fører til at det blir forbudt for amerikanske selskaper å eksportere til selskaper som bryter amerikanske sanksjoner. Dette har tidligere skjedd med ZTE, men ble trukket tilbake av president Trump. I januar kom det også fram at Huawei, to datterselskaper og finansdirektøren er tiltalt for å ha stjålet forretningshemmeligheter fra T-Mobile og andre amerikanske firmaer.

PST er fortsatt forsiktige med hva de sier om cyberangrepene mot fylkesmenn som ble kjent i romjulen, men sier at det trolig er en statlig aktør som står bak. Flere fylkesmenn ble utsatt for disse angrepene. Det har også kommet fram at ingen av fylkesmennene hadde fått installert en sensor fra NSM for å avdekke angrep mot samfunnskritisk digital infrastruktur. Penger til å installere dette hos samtlige fylkesmenn er nå bevilget.

FireEye slapp en rapport om en bølge med DNS-kapring som har påvirket domener tilhørende myndigheter, telekommunikasjon og internett infrastruktur. FireEye mener at angrepene kan ha iransk opphav. Angriperne fikk først tilgang til login-detaljer hos ofrenes DNS-tilbydere. Formålet med aksjonen var å redirigere nett-trafikk for å stjele enda flere påloggingsdetaljer til forskjellige systemer. Senere i måneden slapp også DHS US-CERT en sikkerhetsbulletin der amerikanske myndigheter ble pålagt å gjennomgå en firepunkts sikkerhetssjekk med bakgrunn i denne hendelsen, innen 10 arbeidsdager.

I desember ble ti ansatte ved Universitetet i Oslo utsatt for et målrettet data­angrep. Fra og med 2019 har regjeringen tildelt Direktoratet for IKT og fellestjenester i høyere utdanning, som også eier Uninett, 70 millioner kroner over fire år for å styrke arbeidet med informasjonssikkerhet ved UH-sektoren.

Et nytt verktøy utviklet av en polsk sikkerhetsforsker, kan ved hjelp av realtime-phishing enkelt forbigå tofaktor-innlogging. Verktøyet fungerer som en proxy mellom offeret og den virkelige siden. I en publisert video blir det vist et eksempel der dette kan bli brukt mot en Google-konto. Verktøyet tar også vare på passord som brukeren skriver inn. For å motvirke denne teknikken er en avhengig av fysiske sikkerhetsnøkler, som beviser overfor tjenesten at brukeren er på den samme PCen som den fysiske sikkerhetsnøkkelen er tilkoblet.

Google fikk nylig en bot på 50 millioner euro, rundt 490 millioner kroner, for brudd på GDPR. Boten ble gitt av det franske byrået CNIL, som tilsvarer Datatilsynet i landet. CNIL begrunner boten med at Google gjør det for vanskelig for brukere å få tak i essensiell informasjon, som for eksempel hensikten med datainnsamlingen, hvor lenge data lagres og hvordan de brukes, samt hvilke personlige data som brukes til målrettet annonsering. Facebook undersøkes også for lignende brudd på GDPR.

Europol har sammen med nederlandsk og engelsk politi tatt ned en stor markedsplass for kjøp av DDoS-angrep. Markedsplassen skal ha hatt omlag 150.000 registrerte brukere, og blant kjøperne av slike angrep skal det også befinne seg flere nordmenn, derav flere mindreårige. Informasjon om disse er oversendt Kripos for videre oppfølging.

Oppsummering av nyhetsbildet innen datasikkerhet for desember 2018

Vi håndterte 131 alvorlige saker relatert til Sikkerhetsovervåking i desember, litt opp fra 127 i november. Det er ingen spesielle hendelser som peker seg ut denne måneden.

Det var 464 bekreftede DDoS-angrep denne måneden, opp fra 400 i november. 178 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.11 Gbps og varte typisk i 21 minutter. Det største angrepet observert i denne perioden var på 41 Gbps og varte i 25 minutter. Tre av TSOC sine bedriftskunder ble utsatt for angrep denne måneden.

PST (Politiets sikkerhetstjeneste) opplyste 5. desember at de henlegger saken rundt datainnbruddet hos Helse Sør-Øst. Dette skjer etter at de har gjennomført en omfattende etterforskning som har vært koordinert med Nasjonal sikkerhetsmyndighet, Etterretningstjenesten og Kripos. Saken blir henlagt på grunn av manglende opplysninger om gjerningsperson. “Vår etterforskning har ikke kunnet avdekke om det er tappet ut informasjon. Vi kan ikke utelukke dette, men vi har ikke sett det”, opplyste PST-sjef Benedicte Bjørnland til TV 2.

PST meldte i 27. desember at de i november hadde startet etterforskning av nettverksangrep mot enkelte fylkesmannsembeter. PST opplyste til NRK at etterforskningen har blitt gjennomført i samarbeid med Nasjonal sikkerhetsmyndighet (NSM), og at de på nåværende tidspunkt ikke ønsker å kommentere saken ytterligere av hensyn til etterforskningen.

Hotellkjeden Mariott International meldte tidlig i desember at de hadde blitt utsatt for et datainnbrudd hvor informasjon om 500 millioner gjester hadde blitt stjålet. Selskapet melder om at for de fleste av kundene gjelder dette informasjon som navn, adresse, telefonnummer, epost-addresse, passnummer, fødselsdato, kjønn samt ankomst- og avreise-informasjon. Fra noen av gjestene er det også stjålet kredittkortinformasjon.

Iranske hackere har omgått 2-faktor-autentisering over SMS for flere tjenester som Yahoo Mail og Gmail ved hjelp av såkalt realtime-phishing. Metoden har de brukt til å kompromittere e-postkontoer tilhørende amerikanske offentlig ansatte, journalister osv. Denne typen angrep utnytter at brukeren selv må skrive inn den andre faktoren (engangskoden), og da gir koden fra seg til angriperne, som videre bruker den til å logge seg inn. Autentisering med vanlig kodebrikke via BankID er også sårbar på samme måten. Bruk av fysisk sikkerhetsnøkler fra f.eks. Yubikey er ikke sårbare for dette angrepet, siden det blir verifisert at den fysiske sikkerhetsnøkkelen er på den samme enheten som innloggingen blir gjort fra.

1. januar 2019 trådte en ny sikkerhetslov i kraft. Den nye loven skal gjøre Norge bedre i stand til å håndtere cyberangrep og digitale trusler. Nåværende sikkerhetslov legger stor vekt på beskyttelse av gradert informasjon. Den nye loven endrer ikke på det, men den vil også kunne omfatte informasjonssystemer, infrastruktur og objekter av sentral betydning for nasjonal sikkerhet.

I 2015 kom Kina og USA til enighet om at Kina skulle slutte med økonomisk cyber-spionasje. Nå hevder USA og allierte at Kina har brutt denne avtalen gjentatte ganger. FBI anklager Kina for å stå bak en bølge av hacking-aktivitet rettet mot mer enn 245 organisasjoner, inkludert NASA og US Navy Networks, og har i den forbindelse siktet to kinesere tilknyttet trusselaktøren APT10 for dette.

I oktober publiserte Bloomberg Businessweek en artikkel der de anklaget firmaet Supermicro for å ha satt inn avlyttingsbrikker på sine hovedkort. Kortene ble solgt til blant annet Apple og Amazon. Selskapet Nardello & Co ble senere rekruttert av Supermicro for å sjekke påstandene til Bloomberg. Etter å ha gått igjennom et utvalg av kort fra både produksjon og eldre versjoner, konkluderer nå Nardello & Co med at påstandene ikke stemmer. De fant ingen form for spionvare i programvare, designfiler eller at signaler ble sendt ut av kortene. Bloomberg står imidlertid på sitt og hevder at de har 17 hemmelige kilder som sier spionvaren eksisterer.

Amerikanske myndigheter har tiltalt to Iranere for data-angrep utført med utpressingsprogrammet (ransomware) SamSam. Gruppen som har brukt dette verktøyet har ikke benyttet seg av phishing-angrep, som de fleste andre. De har derimot utnyttet eksternt eksponerte og dårlig sikrede systemer hos kommuner, sykehus, universiteter osv. De har kryptert mange viktige systemer samtidig, og deretter forlangt løsepenger for å dekryptere systemene igjen. Det er tvilsomt om de to noen gang vil bli stilt for retten, siden de befinner seg i Iran.