tag:blogger.com,1999:blog-17998828322780010712024-03-08T09:32:04.192+01:00TSOC-blogg- en sikkerhetsbloggtsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.comBlogger179125tag:blogger.com,1999:blog-1799882832278001071.post-36739589035884451012024-03-08T09:30:00.001+01:002024-03-08T09:31:33.184+01:00Situasjonsrapport fra Telenor SOC - februar 2024<p><b>Alvorlige hendelser<br /></b>I februar håndterte TSOC 24 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 45 i januar. Denne måneden oppdaget vi at en av våre kunder tillot trafikk over SMB-protokollen ut fra sitt nettverk mot Internet. SMB står for “Server Message Block”, og er en Windows-protokoll, opprinnelig fra 1983, for utveksling av filer, printer-utskrifter osv. Protokollen brukes normalt kun internt i bedrifters nettverk, men noen glemmer å sperre for denne i brannmuren mot Internett. Ved flere tilfeller har svakheter ført til at protokollen kan misbrukes, nå sist denne måneden. Microsoft patchet en svakhet (CVE-2024-21413) i Outlook, som kunne føre til lekkasje av brukernavn og kryptert passord over SMB-protokollen og ut mot angripere på Internett. Svakheten blir utnyttet ved å lure offeret til å trykke på en lenke, f.eks. i en e-post. Denne typen svakheter har dukket opp ved flere tilfeller de siste årene. Vi anbefaler derfor å blokkere all SMB-trafikk mellom det interne nettverket og Internett i brannmuren.</p><p><b>DDoS-angrep<br /></b>Det var 127 bekreftede DDoS-angrep denne måneden, ned fra 166 i januar. 79 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 4.6 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 86 Gbps og varte i én time. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p><p><b>Nyhetsoppsummering<br /></b>Det amerikanske justisdepartementet meldte at de hadde tatt ned et botnett som i stor grad er bygget opp av kompromitterte hjemmeroutere fra Cisco og Netgear. Det skal være den kineiske trusselaktøren Volt Typhoon som stod bak operasjonen. Botnettet har blitt brukt til å kartlegge og kompromittere kritisk infrastruktur i USA. Ved å bruke botnettet som et proxy-nettverk, har angriperne kunnet sende angrepstrafikken ut fra routere i nærheten av angrepsmålet. Dette gjør at trafikken er lettere å gjemme i lokal legitim nettverkstrafikk. Senere i måneden meldte også FBI at de hadde tatt ned et lignende botnett brukt av APT 28/Fancy Bear, bestående av Ubiquiti Edge OS-routere. Routerne var før kompromittering eksponert mot Internet med standard-passord satt av produsenten. Norske PST var også med i denne aksjonen ved å ta kontakt med eierne av rundft ti kompromitterte routere i Norge for å få tettet svakheten.</p><p>Ofre for ransomware betalte over 1 milliard USD til ransomware-bandene i 2023. Dette er nesten en dobling i forhold til 2022, som virker å være et unntaksår. Tallene er hentet fra analyse-selskapet Chainalysis, som sporer blokkjede-betalinger for både myndigheter og private. 2023 var preget av mange høye utbetalinger, spesielt etter de omfattende angrepene mot organisasjoner som benyttet seg av MOVEit-programvaren for filoverføringer.</p><p>Internasjonale politistyrker hacket seg inn i infrastrukturen til ransomware-gjengen Lockbit. Europol arresterte siden tre mistenkte i Polen og Ukraina. Flere russiske bakmenn ble også etterlyst. Amerikanske myndigheter har utlovet en dusør på $15 millioner USD for opplysninger som kan føre til arrestasjon av lederne av banden. Dekrypteringsnøkler for flere hundre ofre er også tllgjengelig. Den siste utviklingen i saken er at fildelings-tjenesten Mega og epost-tjenestene Tutanota og Protonmail har stengt ned 14.000 kontoer i forbindelse med aksjonen. Kontoene ble identifisert brukt av Lockbit eller deres underleverandører, eller i forbindelse med andre ransomware-operasjoner. Etter aksjonen har Lockbit etter hvert bygget opp igjen infrastrukturen sin og også meldt om nye ofre på nettsider på nye adresser kompromittert ved hjelp av en ny versjon av sin ransomware.</p><p>Microsoft og OpenAI har avdekket at flere trusselaktører fra Kina, Russland, Iran og Nord-Korea har benyttet seg av AI-verktøyet ChatGPT i varierende grad. Bruken har blitt analysert og kontoene har blitt sperret. Foreløpig ser det ikke ut til at aktørene benytter de nye verktøyene i vesentlig grad eller på en automatisert måte. Eksempler på bruk som har blitt avdekket så langt er: Finne informasjon om firmaer og sikkerhetsverktøy, fjerne bugs i og generere kode, generering av scripts, produksjon av innhold til phishing-eposter, oversette tekniske dokumenter osv. OpenAI opplyser at de har slettet flere kontoer etter sine undersøkelser.</p><p>Cloudflare opplyser at de har vært utsatt for et datainnbrudd, mest sannsynlig fra en statlig aktør, i perioden mellom 14. og 24. november. Aktøren benyttet seg av innloggingsdetaljer de først hadde stjålet i et tidligere innbrudd mot Okta, én tilgangsnøkkel og tre brukernavn/passord til Cloudflares AWS-konto, Atlassian Bitbucket, Moveworks og Smartsheet. Angriperne fikk tilgang til intern dokumentasjon og kildekode. Etter innbruddet har Cloudflare nullstilt over 5000 tilganger, gjennomført bedre fysisk segmentering mellom test- og produksjonsnettverket, gjennomsøkt 4893 systemer etter tegn på innbrudd og kjørt omstart på alle servere.</p><p>Google har gitt ut en detaljert rapport om den kommersielle overvåkingsindustrien og hvilke konsekvenser den har for ytringsfriheten og pressefriheten. Denne industrien benytter seg av store mengder ferske svakheter for å bryte seg inn i mobiltelefoner og PCer og overvåke brukerne. Egentlig er meningen at produktene skal brukes av myndighetene for å overvåke kriminelle og hindre terrorisme, men mange stater benytter også verktøyet for å overvåke regimemotstandere, journalister og opposisjonen. 80% av de nye svakhetene Google oppdaget i bruk i 2023 ble først brukt av aktører i denne industrien, som NSO Group, Cy4Gate, Intellexa og Negg Group. Google følger rundt 40 produsenter av overvåkingsprogramvare.</p><p>Internasjonale politimyndigheter annonserte 1. februar at de hadde arrestert 31 cyberkriminelle og har identifisert 1300 servere som har vært brukt til å utføre phishing-angrep og distribuere skadevare. Operasjonen pågikk fra september til november 2023 og har fått navnet "Synergia". Over 60 politi-organisasjoner fra forskjellige land deltok. Operasjonen ble utført som et svar på globaliseringen og profesjonaliseringen innenfor cyberkriminalitet.</p>tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-51041644803324143862024-02-07T11:56:00.005+01:002024-02-07T11:56:29.565+01:00Situasjonsrapport fra Telenor SOC - januar 2024<p><b>Alvorlige hendelser<br /></b>I januar håndterte TSOC 45 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 32 i desember. Denne måneden var det mye oppmerksomhet rundt ransomware-gruppen Akira på SOC, etter flere angrep mot nordiske mål i det siste. Denne gruppen bruker ofte bedrifters VPN-forbindelser som inngangsvektor. Dette er tjenester som gjerne eksponeres ut offentlig og kan utnyttes både gjennom passord-spraying (vanlige passord brukt mot store mengder kontoer) og svakheter. Det er viktig å holde VPN-utstyr oppdatert med patcher, MFA-autentisering bør være slått på og det kan være fornuftig å vurdere å kun tillate innlogging fra forhåndsgodkjente IP-adresser eller nettverk.</p><p><b>DDoS-angrep<br /></b>Det var 166 bekreftede DDoS-angrep denne måneden, opp fra 144 i desember. 97 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 8 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 149 Gbps og varte i 7 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p><p><b>Nyhetsoppsummering<br /></b>Sikkerhetsselskapet Volexity meldte 10. januar at de hadde oppdaget at to ferske svakheter i Ivanti Connect Secure VPN (tidligere Pulse Secure) ble utnyttet aktivt i angrep, trolig siden starten av desember. Svakhetene ble utnyttet etter hverandre for å kunne kjøre vilkårlig kode på en sårbar server, uten å måtte autentisere seg. Etter å ha tatt seg inn på enheten, endret trusselaktøren konfigurasjonen for å slå på tastatur-logging, lagre passord og åpne for fjernadministrasjon. Tilgangen ble også typisk benyttet for å få videre tilgang inn i interne nettverk. Volexity meldte at det i starten var en trusselaktør med kinesisk tilknytning som utnyttet svakhetene. Etter hvert begynte også andre aktører å benytte seg av svakhetene, og det ble rapportert at minst 1700 VPN-enheter ble kompromittert. Ivanti ga først ut instruksjoner for hvordan kundene kunne konfigurere VPN-enhetene for å unngå at de ble utnyttet. Patcher for svakhetene ble først levert 31. januar.</p><p>Microsoft oppdaget den 12. januar at en aktør med tilknytning til den russiske stat hadde tilgang til deres interne systemer. Microsoft kaller aktøren for Midnight Blizzard, men den er også kjent som Nobelium, APT29 og Cozy Bear. Aktøren knyttes til den russiske Utenriksetterretningstjenesten SVR. Microsoft avdekket at aktøren først fikk tilgang til deres systemer i november 2023, ved hjelp av et passord-spray angrep, der mye brukte passord blir prøvd mot en rekke kontoer. Aktøren fikk på denne måten tilgang til en konto i en test-tenant, hvor de senere fikk utvidet sine tilganger. Disse ble brukt til å lese interne epost-kontoer i Microsoft, blant annet kontoene til ledelsen. Microsoft mener at aktøren blant annet hadde som mål å finne ut hva slags informasjon Microsoft hadde om aktøren selv. Etter hendelsen har Microsoft lovet å innføre nye tiltak for å øke sikkerheten.</p><p>Senere i måneden meldte også Hewlett Packard Enterprise (HPE) at de hadde vært utsatt for datainnbrudd fra den samme trusselaktøren, som hadde hatt tilgang til deres skybaserte epost-systemer siden mai 2023. HPE undersøker fortsatt innbruddet og tror at det kan skyldes at trusselaktøren tidlig i 2023 fikk tilgang til filer i deres Sharepoint-server.</p><p>Natten mellom 19. og 20. januar ble et av Tietoevrys datasentre i Sverige rammet av ransomware-angrep og noen av deres systemer gikk ned. Hendelsen var isolert til kun den svenske delen av Tietoevry og deres kunder. Selskapet meldte etter hvert at det var rasomware-gruppen Akira som stod bak angrepet. Den 29. januar meldte selskapet at flere kundesystemer var gjenopprettet, men at gjenoppretting for noen kunder med avanserte oppsett fortsatt pågikk.</p><p>Orange Spain opplevde internett-avbrudd etter at en angriper brøt seg inn i selskapets RIPE-konto. Angriperen feilkonfigurerte med overlegg BGP-ruting og RPKI-konfigurasjonen, noe som resulterte i ytelsesproblemer i Orange Spain sitt nettverk og påvirket surfingen for noen kunder. Ifølge Cloudflare førte angrepet til omdirigering av trafikk til ondsinnede nettsteder. Angrepet ble utført av en trusselaktør kjent som 'Snow'. Orange Spain forsikret etter hendelsen at kundedata ikke ble kompromittert, og tjenesten kom raskt tilbake igjen. Årsaken til bruddet ble knyttet til fravær av tofaktorautentisering på RIPE-kontoen til selskapet.</p><p>En person ble arrestert i Ukraina i januar for å ha opprettet og brukt 1 million virtuelle servere for å utvinne kryptovaluta, noe som resulterte i en gevinst på over 2 millioner USD. Tilgangen til serverne blir skaffet gjennom å hacke seg inn i bedrifters kontoer og så opprette serverne gjennom deres kontoer. For å forsvare seg mot denne typen angrep er det viktig med god kontroll på tilganger og overvåking av egen ressursbruk i skytjenester.</p><p>To sykehus i USA har i det siste blitt rammet av ransomware-angrep og angriperne har stjålet store mengder sensitive pasientdata. Noen av pasientene mottar nå trusler direkte fra ransomware-banden der de truer med å offentliggjøre personlige detaljer eller å utføre "swatting"-angrep mot dem. Pasientene blir oppfordret av angriperne til å prøve å overbevise sykehuset om å betale løsepengene. "Swatting" er relativt utbredt i USA og går ut på å ringe politiets nødtelefon og si at det foregår en gissel-situasjon eller lignende, og videre oppgi adressen til offeret til politiet. Politiet vil da ofte møte opp tungt bevæpnet hos offeret og farlige situasjoner kan oppstå.</p>tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-31544648138703089762024-01-09T13:18:00.002+01:002024-01-09T13:26:24.874+01:00Situasjonsrapport fra Telenor SOC - desember 2023<p><b>Alvorlige hendelser<br /></b>I desember håndterte TSOC 32 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 79 i november.</p><p>Mange fryktet at det skulle bli et oppsving i angrep med løsepengevirus i løpet av jule- og nyttårshelgen, noe som ofte skjer i høytider. Trusselaktørene benytter seg noen ganger av disse rolige periodene, i håp om at det er færre på jobb til å oppdage sikkerhetshendelser. Det viste seg heldigvis at det heller ble færre hendelser enn vanlig over nyttårshelgen. Starten av desember var også relativt rolig på vårt sikkerhetssenter.<br /><br /><b>DDoS-angrep<br /></b>Det var 144 bekreftede DDoS-angrep denne måneden, ned fra 188 i november. 103 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 6.8 Gbps og varte i 30 minutter. Det største angrepet observert i denne perioden var på 86 Gbps og varte i 20 minutter. To av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p><p><b>Nyhetsoppsummering<br /></b>Tirsdag 12. desember ble den ukrainske teleoperatøren Kyivstar rammet av et større cyber-angrep. Både tale- og data-trafikk gikk ned og det tok flere dager før tjenestene var operative igjen. Store mengder interne systemer og kjernenettet ble slettet av angriperne ved hjelp av såkalt “wiper”-malware. Selskapet tok også selv ned flere interne systemer etter å ha oppdaget angrepet, for å unngå videre ødeleggelser mens omfanget av ødeleggelsene ble kartlagt. Angriperne hadde antagelig vært inne i nettverket siden mai 2023. Det er så langt uvisst hva som var angrepsvektoren, men det er gruppen “Sandworm” fra den russiske militære etterretningen GRU som mistenkes å stå bak. Angrepet førte blant annet til at varsling av flyangrep gikk ned i deler av Kyiv. Noen minibanker sluttet også å virke. Ukrainske myndigheter har opplyst at nedetiden ikke skal ha gått ut over militære operasjoner.</p><p>Volt Typhoon er en trusselaktør som har kartlagt blant annet amerikansk kritisk infrastruktur. Aktøren benytter seg av et eget botnet bestående av utdaterte hjemmeroutere fra blant annet Cisco, Netgear og Fortinet. Enhetene har typisk flere sårbarheter eller svake passord, og det leveres ikke lengre oppdatert programvare for dem. Trusselaktøren benytter disse enhetene for å skjule sin kommunikasjon og få det til å virke som om datatrafikken går til enheter som er geografisk i nærheten av målet som angripes. Dette gjør at innbruddsdeteksjon som tar hensyn til hvor i verden brukeren logger inn fra kan feile, noe som spesielt kan gå ut over deteksjon av vellykkede phishing-angrep.</p><p>En ny samling sårbarheter i UEFI-firmware (Unified Extensible Firmware Interface) kalt “LogoFail”, tillater angripere å levere skadelig kode som omgår sikker oppstart på PCer fra mange leverandører. UEFI er en standard for å starte opp PCen, før selve operativsystemet lastes. LogoFail utnytter forskjellige sårbarheter i biblioteker for å dekode bilder i Firmware, og påvirker enheter fra Intel, Acer, og Lenovo. Svakhetene kan brukes til å plante skadelig kode som lastes inn før operativsystemet, og dermed er vanskelig å oppdage.</p><p>Kjente trusselaktører med forbindelser til Nord-Korea har nylig brukt den to år gamle Log4Shell-sårbarheten til å angripe organisasjoner med tre nye trojanere for fjernstyring (RAT). Fortsatt bruker rundt 1/3 av applikasjoner som benytter seg av Log4j-biblioteket en gammel og sårbar versjon. Trusselaktørene har nylig skiftet taktikk ved å bruke sårbarheten til å installere skadelig programvare og utfører kommandoer for å samle blant annet systeminformasjon og passord. Det er primært eksponerte VMware Horizon-servere som har blitt kompromittert.</p><p>Den amerikanske senatoren Ron Wyden har avslørt at Apple og Google gir regjeringer i flere land tilgang til push-varslene som kommer opp på telefoner. Disse varslene behandles ofte av Apple og Google før de dukker opp på mobilene. Varslene kan inneholde tekst som kan avsløre bruk av spesifikke apper og noen ganger også utdrag med tekst fra ellers krypterte apper. Google gir allerede detaljert informasjon rundt pålegg om å utlevere denne typen informasjon i jevnlige innsynsrapporter, mens Apple skal begynne å ta med dette i sine rapporter fra nå av.</p><p>Interpol melder at de har beslaglagt over 300 millioner USD og arrestert 3500 mistenkte i en global operasjon kalt "HAECHI IV". Aksjonen har pågått i seks måneder i 34 land og har rettet seg mot syv typer svindel-operasjoner: voice phishing, dating-svindel, sex-utpressing, investerings-svindel, hvitvasking i forbindelse med pengespill, BEC (business email compromise)-svindel og falske nettbutikker.</p><p>Sikkerhetsforskere ved EURECOM har avdekket et nytt angrep mot Bluetooth-chipset som åpner for å ta over sesjoner mellom allerede sammenkoblede enheter. Angrepet fungerer ved at en spoofer de to enhetene, setter seg i midten av kommunikasjonen og får til en nedgradering av krypteringen som er brukt mellom enhetene. Flere leverandører jobber med en fiks for svakheten. Foreløpig anbefales det at produsenter av utstyr får utstyret til å avvise forbindelser med svak kryptering.</p>tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-48348016833314906652023-12-08T08:49:00.002+01:002023-12-08T08:49:29.280+01:00Situasjonsrapport fra Telenor SOC - november 2023<p><b>Alvorlige hendelser<br /></b>I november håndterte TSOC 79 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 53 i oktober.</p><p>Denne måneden så vi maskiner som var infisert av tre typer informasjons-stjelere: “SocGolish”, “Redline” og “Vidar”. Alle disse er designet for å raskest mulig samle sammen viktig informasjon fra en PC og sende dette ut til trusselaktøren, noen ganger fungerer de også som en bakdør til systemet som gjør at det kan fjernstyres. Informasjonen blir solgt i undergrunnsmarkeder som ferdige "informasjonspakker" til høystbydende. Kjøperen av informasjonen kan så surfe rundt på nettet og ha de samme tilgangene som offeret i form av sesjons-nøkler (cookies), brukernavn og passord. Offeret mister personlig informasjon, kan bli frastjålet penger og dersom PCen er koblet mot et bedriftsnettverk, kan dette i siste instans føre til ransomware og kryptering av data i hele nettverket. For å unngå denne typen trusler er den mest effektive forsvarsmekanismen å bare tillate kjøring og installasjon av applikasjoner fra forhåndsgodkjente lister eller leverandører.</p><p><b>DDoS-angrep<br /></b>Det var 188 bekreftede DDoS-angrep denne måneden, opp fra 169 i november. 131 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 7.2 Gbps og varte i 31 minutter. Det største angrepet observert i denne perioden var på 155 Gbps og varte i 15 minutter. To av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p><p><b>Nyhetsoppsummering<br /></b>Atlassian advarte i starten av november om en kritisk sikkerhetssvakhet i Confluence Data Center og Server som kan føre til store datatap dersom den blir utnyttet av en angriper. Svakheten fikk CVVS (standard for å beregne en svakhets alvorlighetsgrad) på 9.1 av 10 og kan utnyttes uten å autentisere seg mot serveren først. Videre utover i november ble svakheten utnyttet av flere trusselaktører, blant annet til å installere Cerber ransomware. Tjenester som Confluence bør ikke eksponeres direkte mot Internett, men kun være tilgjengelig for autoriserte brukere, gjerne bak en VPN-tilkobling.</p><p>Et ransomware-angrep rammet den amerikanske avdelingen av Kinas største bank, Industrial and Commercial Bank of China. Angrepet førte til at banken måtte stenge ned noen tjenester, noe som også førte til mindre forstyrrelser i omsetningen av amerikanske statsobligasjoner. Wall Street Journal meldte senere at en Citrix Netscaler-server som ikke var patchet for sårbarheten "CitrixBleed" (meldt 10. oktober) var inngangsvektoren for ransomware-gruppen Lockbit. Reuters opplyste også at banken antageligvis har betalt løsepenger for å få låst opp systemene sine igjen.</p><p>Recorded Future har nettopp gitt ut en rapport om angreps-aktivitet fra Kina. I det siste har kinesiske aktører økt sine angrep mot såkalt "edge-devices", altså enheter som står i ytterkant av bedrifters nettverk og er eksponert mot Internet. Flere ransomware-aktører har også utnyttet denne typen utstyr i det siste. Disse enhetene er ekstra sårbare mot ferske angrep, før de blir patchet, siden de ofte kan kontaktes fra hele Internett. De bør derfor patches kjapt ved nye svakheter, overvåkes ekstra nøye og tilgang til interne systemer i nettet bør begrenses så mye som mulig.</p><p>En trusselaktør Microsoft følger som "Diamond Sleet" (Lazarus Group) kompromitterte denne måneden et populært program for videoredigering kalt CyberLink. Produsenten ble utsatt for datainnbrudd, og en versjon av programvaren med malware inkludert ble lagt ut for nedlasting i oktober. Malwaren kontakter en kommando og kontroll-server og laster eventuelt ned mer malware. Denne gruppen er økonomisk motivert og er som oftest ute etter å få tak i kontodetaljer for å overføre verdier ut fra bank-kontoer eller kryptobørser.</p><p>Datatilsynet beordret i sommer Meta om å stanse bruken av nordmenns persondata til adferdsbasert reklame. Teknologikjempen, som eier Facebook og Instagram, har siden august fått én million i daglige bøter for å ikke følge vedtaket. Datatilsynet har nå vunnet frem hos Personvernrådet i EU og tilsynets forbud utvides til flere land i EØS. Som mottrekk gjorde Meta det denne måneden mulig å betale 150 kroner i måneden for å få en annonsefri utgave av Facebook og Instagram.</p><p>Politi fra syv land, inkludert Norge, var med i arrestasjonen av fem personer i Ukraina mistenkt for å ha drevet med utpressing ved hjelp av ransomware. Personene er mistenkt for å ha vært involvert i angrep utført under navnene LockerGata, MegaCortex, Hive og Darma. De har kryptert over 1000 servere tilhørende større firmaer over hele verden og har krevet inn minst $82 millioner i løsepenger. Etterforskningen startet etter angrepet mot Hydro og har pågått i mer enn fem år. Ti personer fra Kripos har vært i Kyiv i forbindelse med aksjonen. Én mistenkt sitter fra før arrestert i Norge. Fortsatt er det flere mistenkte som ikke er pågrepet.</p><p>Telenor registrerte i november en stor økning i svindelanrop som gir seg ut for å være fra politiet. I løpet av bare én uke fanget Telenors svindelfiltre i mobilnettet opp over 1,1 millioner uønskede samtaler. I løpet av en vanlig uke ligger antallet på rundt 400.000. Økningen skyldes i stor grad mange tilfeller av politisvindel, altså at svindlere ringer opp og gir seg ut for å være fra politiet. “Politiet vil aldri, aldri, aldri spørre deg om din BankID. Dette er det utrolig viktig at folk forstår og husker på”, uttalte politiinspektør og næringslivskontakt i Oslo politidistrikt, Christina Rooth, i pressemeldingen.</p>tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-51577339563165963362023-11-06T12:48:00.005+01:002023-11-06T12:48:56.498+01:00Situasjonsrapport fra Telenor SOC - oktober 2023<p><b>Alvorlige hendelser</b></p><p>I oktober håndterte TSOC 53 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 81 i september.</p><p>Denne måneden ble flere av kundene våre rammet av en phishing-kampanje som benyttet seg av QR-koder for å lure brukeren. Avsenderadressen til e-posten blir typisk forfalsket til å virke som om den kommer fra brukerens egen organisasjon, eller et domene som ligner. I e-posten blir offeret ironisk nok oppfordret til å scanne en QR-kode med mobilen for å oppdatere innloggings-sikkerheten på kontoen sin. Svindlerne flytter på denne måten brukeren over på mobilen, siden en mobiltelefon ofte er dårligere sikret enn arbeids-PCen. Mobilen er for eksempel gjerne ikke sikret av bedriftens brannmur eller blokkeringslister mot ondsinnede domener.</p><p>Ved å følge lenken i QR-koden, blir offeret koblet opp mot en innloggingsside som etterligner bedriftens egen side. Informasjon som offeret gir fra seg til svindel-siden blir videresendt til bedriftens egentlige nettside, samtidig som svindleren også ser og tar vare på informasjonen. Angriperen setter seg altså inn i kommunikasjonen mellom offeret og bedriftens innloggingsside (proxy). Bruk av engangskoder for innlogging via SMS eller app (2-faktor) vil ikke hjelpe mot denne typen angrep, da angriperen snapper opp både brukernavn, passord, engangskode og selve sesjons-nøkkelen som brukeren får etter innlogging. Angriper kan så benytte sesjonsnøkkelen til å gi seg ut for å være offeret mot bedriftens server.</p><p>Hendelser av denne typen kan heldigvis ofte oppdages ved at brukeren logger på fra en ny enhet eller at brukeren har flyttet seg langt geografisk siden forrige pålogging. For å helt avverge denne typen angrep, må en gå over til påloggingsmetoder som er motstandsdyktige mot phishing, som sertifikat-basert innlogging, FIDO2 eller fysiske sikkerhetsnøkler som Yubikeys. Vi er redd at avansert phishing som omgår 2-faktor autentisering vil bli mer vanlig fremover. Denne typen angrep brukes både for spionasje, svindel og for å få et initielt fotfeste i systemet for videre ransomware-angrep.</p><p><b>DDoS-angrep</b></p><p>Det var 169 bekreftede DDoS-angrep denne måneden, ned fra 264 i september. 82 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.7 Gbps og varte i 28 minutter. Det største angrepet observert i denne perioden var på 78 Gbps og varte i 28 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p><p><b>Nyhetsoppsummering</b></p><p>16. oktober meldte Cisco om en kritisk svakhet i deres IOS XE-programvare (CVE-2023-20198) som kunne tillate angripere å ta full kontroll over sårbare routere. Svakheten lå i web-grensesnittet for å administrere enheten, og dette måtte altså være aktivt og eksponert for at svakheten skulle kunne utnyttes. Svakheten hadde allerede vært under aktiv utnyttelse i noen uker da Cisco annonserte den, og eksponerte enheter måtte regnes som allerede kompromitterte. Etter hvert kom det fram at titusenvis av routere over hele verden hadde fått installert bakdører i form av “webshells” og nyopprettede kontoer. Også i Norge ble mange rammet av svakheten, og Telenor varslet flere av sine kunder om at de hadde sårbare eksponerte routere. Cisco slapp etter hvert patcher for svakheten, samt retningslinjer for hvordan en kunne sjekke om enheten hadde blitt kompromittert. Et generelt råd er å ikke eksponere administrasjons-interface til nettverksutstyr ut på det åpne nettet, men å kun tillate innlogging fra sikrede interne nett. Saken fikk stor oppmerksomhet i media etter at NSM uttalte seg til Dagens Næringsliv. </p><p>Okta varslet om at hackere brøt seg inn i deres system for kundestøtte og stjal sensitive data som kan brukes til å gi seg ut for å være gyldige brukere i form av informasjonskapsler (cookies). Ved feilsøking av påloggingsproblemer har flere kunder sendt inn HTTP Archive (HAR)-filer, som har inneholdet sesjonsnøkler som trusselaktøren har stjålet. Selskapet BeyondTrust oppdaget innbrudd i sine systemer med stjålne sesjonsnøkler fra Okta allerede 2. oktober og meldte fra om dette til Okta. Først 19. oktober opplyste Okta at de hadde vært utsatt for en hendelse. CloudFlare og 1Password har også opplevd datainnbrudd etter Okta-hendelsen. Okta satte i verk tiltak for å beskytte kundene, inkludert ugyldiggjøring av lekkede sesjonsnøkler. Okta forsikrer at produksjonssystemene deres ikke ble berørt, og tjenestene fungerer normalt. Også i 2022 ble Okta utsatt for et alvorlig datainnbrudd.</p><p>Denne måneden ble det meldt om en ny kritisk svakhet i Citrix Netscaler og ADC (CVE-2023-4966), som kan lekke interne data fra enheten. Denne typen enheter er ofte eksponert direkte mot nettet og svakheten var lett å utnytte. Citrix meldte først at de ikke var kjent med at svakheten ble aktivt utnyttet, men senere i måneden fant sikkerhetsselskapet Mandiant ut at avanserte trusselaktører hadde utnyttet den for tyveri av sesjonsnøkler og konto-hijacking. Mandiant observerte også at angrepene hadde kompromittert infrastruktur tilhørende både offentlige organisasjoner og teknologiselskaper.</p><p>Økokrim har siden januar i år etterforsket et stort antall bedragerier begått mot minst 400 nordmenn som er lurt til å oppgi sin egen Bank-ID til svindlere i Romania. Det samlede tapet er sannsynligvis på mange millioner kroner. Tre rumenske menn ble pågrepet i en aksjon i Romania denne måneden. To av dem er begjært utlevert av Økokrim, siktet for grovt bedrageri og ID-tyveri i Norge. Under etterforskningen har Økokrim hatt et godt samarbeid med private aktører, som blant annet BankID og Visma.</p>tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-55054302039303581202023-10-03T14:07:00.000+02:002023-10-03T14:07:13.713+02:00Oppsummering av nyhetsbildet innen datasikkerhet for september 2023<p>TSOC hånderte 81 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse i september, opp fra 41 i august. Denne måneden var det som vanlig flere klienter som var infisert med programvare for å utvinne kryptovaluta eller hadde fått installert ondsinnede nettlesertillegg. Det var også fortsatt flere nye tilfeller av Mac-maskiner som var infisert med trojaneren AdLoad. Vi oppdaget også flere tilfeller av brukere som hadde blitt lurt til å følge phishing-lenker i e-poster, og som dermed potensielt kunne ha gitt fra seg innloggingsinformasjon eller andre sensitive detaljer. Denne måneden oppdaget vi også en server som sendte trafikk ut via Microsoft-tjenesten SMB (Server Message Block protocol). Dette er en høy-risiko protokoll som bør være sperret i ekstern brannmur, da den ofte kan føre til lekkasje av interne data som hashede passord.</p><p>Det var 264 bekreftede DDoS-angrep denne måneden, opp fra 219 i august. 155 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.8 Gbps og varte i 30 minutter. Det største angrepet observert i denne perioden var på 68 Gbps og varte i 9 minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p><p>I september har det vært oppdaget uvanlig mange tilfeller av aktiv bruk av ferske svakheter (zero-day) mot produkter fra både Apple og Google. Det er leverandører av kommersiell programvare for overvåking som har stått bak angrepene, og avdelingen “Citizen Lab” ved Universitetet i Toronto har avdekket de fleste av angrepene. Myndigheter i mange land kjøper tjenester for kommersiell overvåking, og leverandører som NSO Group (Pegasus spyware) og Cytrox (Predator spyware) har mye penger til å selv finne eller kjøpe svakheter dekan bruke for å hacke seg inn i telefoner og PCer.</p><p>7. september ble det meldt om at Apple-enheter ble angrepet gjennom to nye svakheter kalt BLASTPASS som lar angripere ta kontroll over sårbare enheter uten at brukeren trenger å foreta deg noe eller har mulighet for å oppdage det (zero-click). Svakhetene utnyttes mot iPhones ved å sende en iMessage til offerets enhet med et spesielt PassKit-vedlegg. Det var Citizen Lab som oppdaget de nye svakhetene, etter at de hadde sett dem i bruk av NSO Group i deres Pegasus-programvare for overvåking. 20 september måtte Apple patche enda tre svakheter som ble aktivt utnyttet og rapportert av Citizen Lab.</p><p>11. september ga Google ut en haste-oppdatering for en svakhet i Chrome som allerede ble utnyttet i angrep. Også denne svakheten ble meldt inn av Citizen Lab. Svakheten lå i visning av bilder lagret i “WebP”-formatet. Apple, Mozilla og flere andre leverandører patchet fortløpende tilsvarende svakhet i deres produkter, som benyttet det samme biblioteket for å dekode WebP-bilder. 27. september måtte Google nok en gang patche Chrome, denne gangen på grunn av en feil i hvordan film ble kodet i VP8-formatet av programvare-biblioteket livbpx. Også denne svakheten ble aktivt utnyttet i angrep av en kommersiell leverandør av overvåkingsprogramvare. Dette biblioteket benyttes av flere andre firmaer som også må patche sine produkter.</p><p>Microsoft kunngjorde i juli at den Kina-tilknyttede aktøren Storm-0558 hadde fått tilgang til et av deres signerings-sertifikater. Dette hadde blitt brukt for å signere tilgangsnøkler som igjen ble brukt for å få tilgang til e-postkontoene til myndighetspersoner i USA. Over 60.000 e-poster ble hentet ut i angrepet. Microsoft har nå foretatt en teknisk gjennomgang av hendelsen og funnet ut hvordan trusselaktøren fikk tilgang til sertifikatet. En maskin i et beskyttet miljø brukt for signering krasjet i april 2021 og en minnedump ble skrevet til disken. Normalt vil sensitiv informasjon som signeringsnøkler og passord bli slettet fra minnedumpen, men på grunn av en bug ble den private nøkkelen brukt til signering inkludert i filen. Denne ble deretter flyttet til et mer åpent miljø for nærmere krasj-analyse, uten at det ble oppdaget at den private nøkkelen var inkludert. På et senere tidspunkt har så trusselaktøren kompromittert en personlig konto tilhørende en Microsoft-ansatt med tilgang til dette analyse-miljøet. Det antas så at trusselaktøren har lastet ned og analysert filen og har funnet den private nøkkelen, som så har blitt brukt til å signere tilgangsnøkler.</p><p>AI-forskere hos Microsoft skulle dele treningsdata åpent via Github. De genererte derfor en SAS (Shard Access Key) i Azure, men åpnet ved en feil for tilgang til alle data i kontoen, i stedet for tilgang til en spesifikk katalog. Forskerne delte derfor ut fulle backuper av to interne datamaskiner, 30.000 interne Teams-meldinger og andre data. Til sammen ble 38TB med interne data offentliggjort. Ved bruk av SAS-nøkler anbefales det å knytte dem opp mot en SAP (Store Access Policy) for å gjøre det lettere å styre og logge tilgangen til dataene som er delt.</p><p>Sikkerhetsfirmaet Okta har advart om angrep som benytter sosial manipulering mot IT-kundestøtte. Denne teknikken ble blant annet brukt i det nylige utpressingsangrepet mot selskapet MGM Resorts. Angriperne forsøkte å lure kundestøtte til å tilbakestille multifaktorautentisering for høyt privilegerte brukere. Angriperne hadde allerede tilgang til passord for privilegerte kontoer, typisk skaffet til veie via phishing-angrep eller passord-lekkasjer fra kompromitterte tjenester. Etter vellykket kompromittering av en Super Admin-konto, brukte de anonymiserende proxytjenester og fjernet multifaktorautentisering for noen kontoer. Okta anbefaler en rekke tiltak for å beskytte admin-kontoer mot slike angrep.</p><p>Siden februar 2023 har Microsoft observert en betydelig økning i angrep som benytter seg av såkalt passord-spraying utført av en trusselaktør knyttet til Iran kjent som Peach Sandstorm. Denne gruppen har rettet seg mot et bredt spekter av sektorer globalt, med særlig fokus på satellitt-, forsvars- og farmasøytiske organisasjoner. Microsoft mener at Peach Sandstorms hovedmål er innsamling av etterretning til støtte for iranske statsinteresser. Gruppen bruker passord-spraying mot tusenvis av systemer for å få initiell tilgang, med andre ord prøver de altså å logge på med vanlige passord mot mange forskjellige kontoer. Kampanjen bruker en kombinasjon av offentlig tilgjengelige og tilpassede verktøy for kartlegging, laterale bevegelser og eksfiltreringav informasjon fra kompromitterte miljøer.</p>tsochttp://www.blogger.com/profile/03423025793438361055noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-35012611021171176502023-09-07T09:41:00.005+02:002023-09-07T09:41:32.464+02:00Oppsummering av nyhetsbildet innen datasikkerhet for august 2023<p>FBI og myndigheter i flere europeiske land har tatt ned Qakbot-nettverket, som har operert siden 2008. Qakbot-nettverket har infisert over 700.000 enheter og det har blitt brukt til ransomware-angrep og svindel. Infiserte maskiner koblet seg jevnlig til kontroll-serverne til Qakbot, som var under full kontroll av bakmennene. Myndighetene beslagla også over $8.6 millioner i kryptovaluta. Før nettverket ble tatt ned, ble det brukt til å sende ut en siste kommando som renset de infiserte maskinene for skadevare. Så langt skal aksjonen være gjennomført direkte mot den tekniske infrastrukturen til Qakbot og ingen har blitt arrestert eller tiltalt. Myndighetene har også inngått et samarbeid med tjenesten HaveIbeenpwned.com, slik at ofre kan sjekke om de er påvirket av Qakbot. Botnettet kan komme til å gjenoppstå dersom bakmennene bygger det opp igjen fra bunnen.</p><p>Det amerikanske cybersikkerhetsbyrået CISA har uttrykt bekymring for potensielle sikkerhetssvakheter i Unified Extensible Firmware Interface (UEFI), da det utgjør et attraktivt mål for hackere. Byrået understreker at svakheter i UEFI-kode kan gjøre datasystemer utsatt for skjult skadevare som kan bli værende på systemet over tid. Sårbarhetene ble tydeliggjort gjennom nylige hendelser med skadevaren “BlackLotus”, som infiserer systemer og skjuler seg på maskinen under operativsystemet. Patcher for UEFI-svakheter tar lang tid å distribuere, siden de ofte må installeres manuelt av sluttbrukeren. CISA arbeider nå med Microsoft for å implementere sikrere oppdateringsrutiner.</p><p>Det er oppdaget en alvorlig sårbarhet i Intel-prosessorer som har fått navnet “Downfall”. Denne sårbarheten gir angripere mulighet til å få tilgang til og stjele data fra andre brukere på samme datamaskin. Dette kan la skadelige apper stjele sensitiv informasjon som passord og krypteringsnøkler. Svakheten rammer spesielt sky-tjenester og andre virtualiserte miljøer. Problemet stammer fra minneoptimaliseringsfunksjoner i Intel-prosessorer, som utilsiktet eksponerer interne maskinvare-registre. Dette lar prosesser få tilgang til minneområder som tilhører andre prosesser. Noen dager etter ble det også meldt om en lignende svakhet i AMD Zen-CPUer kalt “Inception” som også lar uvedkommende få tilgang til lokale data. Brukere av virtualiserte miljøer bør sette seg inn i begge svakhetene, samt patcher og metoder for å omgå problemstillingen.</p><p>Rundt 2000 Citrix Netscaler-enheter har blitt kompromittert i en massiv utnyttelseskampanje. Angriperne har utnyttet sårbarheter i systemet for å skaffe seg uautorisert tilgang til enhetene, etter at en kritisk svakhet ble annonsert 18. juli (CVE-2023-3519). De berørte enhetene har i noen tilfeller blitt brukt som en inngangsport for å få tilgang til bedriftsnettverk og data. Citrix har utgitt sikkerhetsoppdateringer for å tette sårbarhetene, og brukerne blir sterkt oppfordret til å implementere oppdateringene så raskt som mulig, samt å sjekke serverne for kompromittering. Hendelsen understreker viktigheten av å ha gode rutiner for patching, samt overvåking av servere som er eksponert med tjenester direkte mot Internett.</p><p>Det rapporteres om en økning i kapring av LinkedIn-kontoer. Angriperne ser ut til å ha benyttet seg av ulike teknikker for å få tilgang til disse kontoene, inkludert phishing, bruk av lekkede passord fra andre tjenester og brute-force gjetting av mye brukte passord. Målet deres har vært å stjele sensitiv informasjon og spre ondsinnet innhold. Saken understreker viktigheten av å opprettholde høy grad av bevissthet rundt e-post sikkerhet, valg av passord og ikke dele sensitiv informasjon med ukjente kilder. Etter å ha tatt kontroll over kontoene endrer angriperne ofte epost-adressene registrert på kontoene for å gjøre det vanskeligere for eieren å få kontroll over kontoen igjen.</p><p>AT&T Alien Labs har kartlagt et stort botnett som selges som en del av en proxy-tjeneste. Selgerne av proxy-tjenesten påstår at de som har installert programvaren har godkjent dette, men i realiteten installeres den gjennom piratkopiert programvare og "cracks". Denne typen proxy-tjenester med kompromitterte private brukere benyttes av både kriminelle og statlige aktører for å skjule hvor angrepene kommer fra. En vanlig taktikk er å velge en proxy som ligger i det samme landet som den tjenesten som blir angrepet. Trafikken ser da ut som den kommer fra en vanlig privat bredbåndsbruker fra det samme landet. Aktøren som kompromitterte DSS i sommer (Departementenes sikkerhets- og serviceorganisasjon) benyttet seg for eksempel av denne taktikken.</p><p>Denne måneden ble det danske selskapet CloudNordic rammet av et ransomware-angrep. Alle systemer ble kryptert og tjenestene til selskapet gikk ned, inkludert interne systemer og kundenes hjemmesider, epost, data osv. Selskapet opplyser at løsesummen de har blitt bedt om å betale er for høy til at dette er en mulighet. De har heller ikke noen backup og kundenes data er tapt for alltid, dersom de ikke har laget egne backups. Direktør Martin Haslund Johansson uttaler til ComputerWorld at han ikke forventer at selskapet vil overleve angrepet.</p><p>I august håndterte TSOC 41 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 6 i juli. Denne måneden har vi sett et oppsving i Mac-maskiner infisert med trojaneren “AdLoad”. Denne skadevaren dukket først opp i 2017 og pakkes typisk sammen med annen legitim programvare som brukeren laster ned. Når den har kommet inn på maskinen kan den laste ned andre moduler med skadevare, i det siste som oftest en modul for å starte en proxy-server på maskinen. Tilgang til infiserte maskiner selges videre som en automatisert proxy-tjeneste til cyber-kriminelle, som kan koble seg via den når de vil kommuniserer anonymt ut på Internett. Denne typen skadevare kan dessverre i enkelte tilfeller føre til problemer for offeret, da den kriminelle aktiviteten kan se ut til å komme fra den infiserte maskinen.</p><p>Det var 219 bekreftede DDoS-angrep denne måneden, ned fra 233 i juli. 122 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.2 Gbps og varte i 39 minutter. Det største angrepet observert i denne perioden var på 78 Gbps og varte i én time. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p>Jan Roger Wilkenshttp://www.blogger.com/profile/09861491857442015074noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-69178546356762060652023-08-08T14:09:00.000+02:002023-08-08T14:09:15.814+02:00Oppsummering av nyhetsbildet innen datasikkerhet for juli 2023<p>I juli håndterte TSOC kun seks alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 49 i juni. Det er vanlig at antall hendelser i høytider og ferier går ned, siden færre ansatte er på jobb. Dessverre er det også i disse periodene at målrettede og alvorlige hendelser ofte opptrer, noe vi også har sett i nyhetsbildet i sommer.</p><p>Det var 233 bekreftede DDoS-angrep denne måneden, opp fra 126 i juni. 124 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5 Gbps og varte i 34 minutter. Det største angrepet observert i denne perioden var på 143 Gbps og varte i 16 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p><p>Den store nyheten i sommer var et målrettet innbrudd hos Departementenes sikkerhets- og serviceorganisasjon (DSS) som lot angriperen få tilgang til intern informasjon fra 12 departementer. Innbruddet ble utført ved å utnytte en fersk og ukjent (zero-day) svakhet i Ivanti Endpoint Manager Mobile (EPMM), tidligere kjent som MobileIron Core. Svakheten gjorde det mulig å omgå autentisering i systemet og dermed administrere og hente ut informasjon fra systemet og mobile enheter. Tilgangen ble også brukt for å få tilgang til en intern Exchange-server hos DSS, som ikke var tilgjengelig fra Internett. Svakheten fikk en alvorlighets-score på 10 av 10 poeng (CVSS) og ble først utnyttet i april 2023. NSM ved Nasjonalt cybersikkerhetssenter (NCSC) samarbeidet etter hendelsen med amerikanske Cybersecurity and Infrastructure Security Agency (CISA) om en “Joint Cybersecurity Advisory” som beskriver sårbarhetene og hvordan de ble misbrukt. Angrepet har fått internasjonal oppmerksomhet og EPMM er også i bruk av mange andre store firmaer og statlige virksomheter verden rundt. DSS er så langt den eneste virksomheten som offentlig har bekreftet at de er rammet av svakheten. Hverken DSS eller PST har villet kommentere hvem som kan tenkes å stå bak innbruddet, men mange eksperter mener at det må være en ressurssterk statlig aktør. Aktøren bak innbruddet brukte kompromitterte hjemmeroutere som proxyer for å skjule sin aktivitet, noe som understøtter denne vurderingen.</p><p>18. juli varslet Citrix om kritiske svakheter i NetScaler ADC og NetScaler Gateway, tidligere Citrix ADC/Citrix Gateway. Den alvorligste av svakhetene gjorde det mulig å kjøre kommandoer på en sårbar enhet og var svært enkel å utnytte (CVSS-score på 9.8 av 10 mulige.) Allerede 20. juli ble svakheten utnyttet i aktive angrep, så vinduet for å få patchet var svært lite. Også mange norske virksomheter har dessverre blitt rammet av denne svakheten. Virksomheter som benytter seg av denne typen utstyr bør vurdere å sjekke utstyret for kompromittering, selv om de var kjappe til å installere patcher. Flere av systemene som har blitt kompromittert har fått installert bakdører i form av “web-shells”, som trusselaktører kan benytte for fjerninnlogging på et senere tidspunkt. ShadowServer Foundation har <a href="https://www.shadowserver.org/news/technical-summary-of-observed-citrix-cve-2023-3519-incidents/ " target="_blank">gitt ut en guide</a> der de går igjennom tegn på kompromittering. Per 5. august har de observert nesten 7000 systemer på nettet som fortsatt ikke er patchet,</p><p>I juli kom det fram at kinesiske hackere hadde fått tilgang til de skybaserte (Exchange Online og Outlook.com) epost-kontoene til flere høytstående myndighetspersoner og firmaer i USA. Blant annet ble den amerikanske ambassadøren i Kina og en ansatt i utenriksdepartementet med ansvar for øst-asia rammet. Dette skjedde like før flere amerikanske politikere skulle på diplomatisk besøk til Kina. Microsoft har tilskrevet aktiviteten til en trusselaktør de kaller Storm-0558, kjent for å rette seg inn mot myndigheter i vestlige land for å drive med spionasje. Det viste seg at trusselaktøren hadde hatt tilgang til systemene helt siden 15. mai ved hjelp av en intern Microsoft signeringsnøkkel. Det er så langt ukjent hvordan aktøren fikk tilgang til nøkkelen, men alle tilgangene som ble oppnådd ved hjelp av den er nå trukket tilbake. Etter hendelsen har Microsoft begynt å tilby mer detaljerte sikkerhetslogger fra deres skytjenester til kunder, uten å ta ekstra betalt. Microsoft opplyser at de etter hendelsen har økt sikkerheten på systemer som utsteder nye signeringsnøkler, samt økt graden av logging og overvåking. Hendelsen illustrerer problematikken med at innbrudd hos leverandører av sky-tjenester kan få vidtrekkende konsekvenser for flere av kundene samtidig.</p><p>Sikkerhetsforskere har funnet flere svakheter i TETRA-standarden som er brukt i radioer over hele verden, blant annet i det norske Nødnettet. Det er firmaet Midnight Blue som avdekket svakhetene kalt TETRA:BURST allerede i 2021, men informasjon rundt dem har ikke blitt offentliggjort før nå. TETRA-standarden bruker forskjellige proprietære algoritmer og systemer og det har derfor vært lite tilgjengelig informasjon. Den mest alvorlige svakheten ligger i krypterings-algoritmen TEA1, som gjør at den effektive nøkkel-lengden brukt for kryptering av kommunikasjonen effektivt blir på kun 32 bits. Dette gjør det mulig å gjette seg fram til krypterings-nøkler i løpet av minutter med en vanlig PC. Denne svakheten kan ha blitt innført med vilje for å gjøre det mulig å selge utstyret uten å bli hindret av eksport-restriksjoner. Statlige nødnett, politi osv. bruker normalt en kraftigere krypterings-algoritme.</p><p>Søndag 16. juli oppdaget resirkuleringsselskapet Tomra at de hadde vært utsatt for et omfattende dataangrep. Angrepet ble kjent gjennom en børsmelding fra selskapet 17. juli. Tomra koblet umiddelbart ut enkelte av sine systemer for å minimere skadeomfanget av angrepet. Tomra opplyste at noen av deres kunde-systemer kunne være trege eller ustabile, men at arbeidet med å få opp igjen alle systemer hadde høyeste prioritet. Noen av firmaets kontorer ble stengt etter angrepet og ansatte ble bedt om å jobbe hjemmefra. Tomra opplyste også at noen eldre systemer for innlevering av flasker ikke ville fungere i en periode. Det er så langt ukjent hvem som står bak angrepet.</p><p>Cyberkriminelle har lenge installert programvare for å utvinne kryptovaluta fra kompromitterte PCer og servere. De kan så tjene penger på å utføre CPU- eller GPU-krevende operasjoner. Angripere har nå også begynt å installere proxy-programvare som betaler brukeren på maskiner de får kontroll over. Dette fungerer ved at flere firmaer betaler noen få dollar i måneden for å få brukere til å installere en proxy på PCen og få sende trafikk ut via den. Programvare for å utvinne kryptovaluta vil ofte få PCen til å gå varm og lage mye støy, mens proxy-programvare ikke er like lett å oppdage.</p>Jan Roger Wilkenshttp://www.blogger.com/profile/09861491857442015074noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-31435848166217856592023-07-06T11:58:00.005+02:002023-07-06T11:58:39.344+02:00Oppsummering av nyhetsbildet innen datasikkerhet for juni 2023<p>I juni håndterte TSOC 49 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 53 i mai. Denne måneden hadde vi et eksempel på at uvedkommende logget på en PC hos en av våre kunder fra en TOR-node. TOR står for “The Onion Router”, og er en del av Internet som ofte omtales som “det mørke nettet” på norsk. Denne delen av Internet er kryptert og anonymisert. TOR har imidlertid rundt 2000 såkalte “exit-noder”, som gjør at trafikk fra det mørke nettet kan sendes ut på det vanlige åpne nettet. Trafikk som kommer ut fra disse nodene bærer dessverre ofte preg av kriminell virksomhet, så også i dette tilfellet. Heldigvis flagget sikkerhetssystemet innloggingen som mistenkelig, siden den stammet fra TOR-nettet. Bruker-kontoen ble derfor sperret inntil et nytt passord var satt. Det er uvisst hvordan passordet kom på avveie.</p><p>Det var 126 bekreftede DDoS-angrep denne måneden, ned fra 161 i mai. 52 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 6.3 Gbps og varte i 32 minutter. Det største angrepet observert i denne perioden var på 216 Gbps og varte i 11 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p><p>Flere hundre norske bilverksteder ble rammet etter at IT-leverandøren Helios Auto i Verdal i Trøndelag ble utsatt for et angrep med løsepengevirus. Angriperne krypterte servere hos bedriften og kom med krav om løsepenger for å låse opp igjen systemene. Bilverksteder over hele landet måtte gå tilbake til manuelle rutiner, siden de nå manglet informasjon om kunder, biler, deler og priser. Helios jobbet i rundt én uke med å få systemene fullt operative igjen. Heldigvis hadde en de fersk backup av sine systemer, og ingen data gikk dermed tapt. Angriperne lyktes heller ikke i å stjele informasjon om kundene for bruk i utpressing.</p><p>MOVEit er et filoverføringssystem som brukes av større virksomheter for å kopiere store mengder data. Systemet er dessverre i mange tilfeller eksponert direkte ut mot Internett, og er dermed ekstra utsatt dersom det finnes svakheter i det. Løsepengevirus-aktøren Cl0p oppdaget en svakhet i systemet og kunne dermed utnytte denne direkte mot alle MOVEit-servere som var tilgjengelig på nettet. Tilgangen ble brukt til å laste ned store mengder data fra hundrevis av ofre. Siden svakheten var helt ny, var det ingen som oppdaget aksjonen før det var for sent. Denne gangen ble ingen data kryptert, det ble kun truet med å offentliggjøre interne stjålne data. Blant ofrene er flere departementer og offentlige etater i USA, Schneider Electric, Siemens Energy, BBC, British Airways osv. Heldigvis virker det som om MOVEit hadde få brukere i Norge. Mot slutten av måneden utlovet det amerikanske utenriksdepartementet en dusør på USD 10 millioner for informasjon som kunne knytte ransomware-aktøren Cl0p, eller lignende trusselaktører, til en utenlandsk regjering.</p><p>Russlands FSB beskylder USA for å ha hacket tusenvis av Apple-enheter tilhørende diplomater og ansatte i stats-adminstrasjonen. Det russiske cybersikkerhetsfirmaet Kaspersky ga også ut en rapport der de analyserer iOS-malwaren som har rammet deres ansatte. Malwaren infiserer mobilene uten at brukeren trenger å foreta seg noe, såkalt zero-click. Kaspersky har døpt operasjonen "Operation Triangulation". FSB påstår også at Apple samarbeider med NSA om å infisere mobilene. En talsmann for Apple har kommentert at de aldri har jobbet med noen regjering for å legge inn bakdører i Apple-produkter og at de heller aldri kommer til å gjøre det. Senere i måneden ga Apple ut sikkerhetsoppdateringer som patchet de tre svakhetene som operasjonen benyttet seg av.</p><p>Fortinet ga ut en oppdatering for sine SSL-VPN produkter som fikser en kritisk RCE (Remote Code Execution) sårbarhet. Sårbarheten tillater en ekstern aktør å koble seg opp mot med enheten over VPN uten å autentisere seg, selv med MFA (Multi Faktor Autentisering) skrudd på. Rundt tre uker etter at oppdateringen ble gjort tilgjengelig, var det fortsatt mer enn 300 000 sårbare enheter eksponert mot Internett, tross flere oppfordringer om patching fra Fortinet.</p><p>ThreatFabric rapporterer at Android-brukere fra minst fem land har blitt utsatt for en malware-kampanje, der falske apper fra Google Play Store brukes for å hente ut bankinformasjon. Den første falske appen ble oppdaget i mars 2023 der appen utga seg for å være en PDF-leser. Totalt har det blitt funnet fem lignende apper. Ved hjelp av grafiske elementer som legger seg over andre apper, kan skadevaren (kalt Anatsa) stjele sensitiv informasjon som brukernavn/passord, kredittkort, kontobalanse og betalingsinformasjon. Dette kan så brukes av trusselaktørene for å initiere falske bankoverførsler i offeret sitt navn. Det er så langt ikke meldt om ofre i Norge.</p>Jan Roger Wilkenshttp://www.blogger.com/profile/09861491857442015074noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-50525018282703902632023-06-06T13:54:00.000+02:002023-06-06T13:54:11.316+02:00Oppsummering av nyhetsbildet innen datasikkerhet for mai 2023<div>Myndigheter fra USA og allierte land offentliggjorde denne måneden at de har gjennomført en aksjon mot Snake-malwaren. Det er den russiske aktøren Turla (FSB) som har benyttet malwaren i stadig nyere varianter de siste 20 årene. Snake brukes for spionasje og er designet for å ikke bli oppdaget. USA har imidlertid klart å avsløre nettverket og har dekodet kommandoene som brukes av kontroll-serverne. Dette har blitt brukt til å sende en kommando til infiserte servere som har uskadeliggjort malwaren. I forbindelse med aksjonen har det blitt gitt ut en detaljert gjennomgang av malwaren og hvordan en beskytter seg mot den.</div><div><br /></div><div>Barracuda advarte i mai om en kritisk sårbarhet som allerede var i bruk mot deres Email Security Gateway (ESG). Svakheten ligger i en modul som utfører scanning av vedlegg i innkommende e-poster, og kan dermed utnyttes ved å sende en spesielt utformet epost gjennom enheten. En patch ble sendt ut 20. mai, men noen enheter var da allerede kompromittert. Enheter som ble rammet skal ha fått et varsel om dette i bruker-interfacet med instruksjoner om hva de skal gjøre videre. Firmaets skytjenester (Saas) skal ikke være rammet. Etter hvert viste det seg at svakheten hadde vært utnyttet i det stille helt siden november 2022. Det viser seg dessverre litt for ofte at enheter som er ment å gjøre nettverket sikrere i stedet har store sikkerhetssvakheter.</div><div><br /></div><div>Microsoft har sluppet den fjerde utgaven av Cyber Signals. Her skriver de om en økning i svindel gjort ved hjelp av BEC - Business Email Compromise. Ved denne svindelmetoden bruker angriperne forskjellige metoder via e-post, telefon-oppringninger og sosiale medier, typisk for å lure til seg penger fra bedrifter. Microsoft anbefaler sikre e-post-løsninger, å beskytte identiteter ved hjelp av to-faktor innlogging, opplæring av ansatte og å bruke en sikret betalingsplattform for å motvirke svindel-forsøkene. Alle større utbetalinger bør også kontrolleres av flere ansatte og bør verifiseres via minst to kommunikasjonsmetoder. Mange norske bedrifter og offentlige institusjoner har blitt rammet av denne typen svindel de siste årene.</div><div><br /></div><div>Det amerikanske Justisdepartementet har beslaglagt domenene til 13 tjenester som har solgt DDoS-angrep. Tilbyderne av disse ulovlige tjenestene beskriver dem som "booter"- eller "stressor"-tjenester, som lar nettstedeiere teste robustheten og stabiliteten til infrastrukturen deres. Disse tjenestene blir imidlertid som oftest benyttet av personer som ønsker å hevne seg på nettsteder, medspillere i online-spill eller for å drive utpressing ved å ta ned Internett-forbindelsen deres.</div><div><br /></div><div>Trusselaktører benytter seg i økende grad av Google-annonser for å få tilgang på innsiden av bedriftsnettverk. Annonsene gir seg ut for å være legitime populære applikasjoner som brukere ofte laster ned til sine PCer, men offeret blir egentlig lurt til å laste ned en bakdør sammen med applikasjonen. Denne typen annonser havner over de vanlige søkeresultatene, og mange lar seg derfor lure. Tilgangene blir typisk solgt videre på markedsplasser og brukt til spionasje eller utpressing. For å motvirke denne typen angrep bør ikke ansatte ha mulighet til å installere tilfeldig programvare fra nettet.</div><div><br /></div><div>Ondsinnede aktører har en tendens til å utnytte populære fenomener og tjenester i sitt virke, og den mye omtalte chatboten ChatGPT er intet unntak, viser det seg. I løpet av de siste månedene har Facebook etterforsket og gått til aksjon mot flere typer skadevare som utnytter folks interesse for OpenAIs ChatGPT for å lure dem til å installere skadevare som utgir seg for å ha AI-funksjonalitet. Ofte er det nettleser-tillegg som brukes for å infisere brukerne. Vi har også sett flere tilfeller av dette på SOC. Ansatte bør kun ha mulighet til å installere forhåndsgodkjente nettleserutvidelser for å unngå denne angrepsvektoren.</div><div><br /></div><div>En hengelås på en nettside var for noen år siden en sterk indikasjon på at nettsiden var trygg, siden sider med svindel og skadevare svært sjelden var sikret med SSL/TLS-kryptering. Etter hvert ble imidlertid også forbindelsen til svindel-nettsteder rutinemessig kryptert. Hengelåsen blir fortsatt misforstått av mange til å indikere at nettsiden er sikker, noe Google nå vil gjøre noe med. I løpet av de neste månedene vil hengelåsen bli byttet ut med et ikon for innstillinger i nettleseren Chrome, og beslektede nettlesere. Google mener at en sikker forbindelse til en nettside nå bør være en selvfølge og at hengelåsen derfor er unødvendig. Ved å trykke på ikonet kan brukeren se status på kryptering, nettsidens tilgang til mikrofon, kamera, lokasjon osv.</div><div><br /></div><div>I mai håndterte TSOC 53 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 54 i april. Vi ser at phishing-eposter stadig er effektive. Ofte blir det først oppdaget at brukeren har blitt frastjålet passordet sitt, ved at uvedkommende prøver å logge på kontoen. Heldigvis blir dette ofte avverget ved at sikkerhetssystemer fanger opp at brukeren logger på fra en uvanlig fysisk lokasjon, gjerne i kombinasjon med at innloggingen gjøres fra en ukjent PC. To-faktor autentisering avverger også mange av denne typen angrep. Denne måneden hadde vi også noen tilfeller av maskiner som ble infisert av malwaren “SocGolish”. Trusselaktøren bak, TA569, legger inn Java-script-kode på sårbare nettsteder som viser pop-ups til brukerne om at de må oppdatere nettleseren sin. Mange lar seg dessverre lure, og resultatet kan bli uthenting av informasjon fra PCen, eller i siste instans ransomware og kryptering av data i hele nettverket.</div><div><br /></div><div>Det var 161 bekreftede DDoS-angrep denne måneden, ned fra 200 i april. 60 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3 Gbps og varte i 35 minutter. Det største angrepet observert i denne perioden var på 48 Gbps og varte i ni minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</div>Jan Roger Wilkenshttp://www.blogger.com/profile/09861491857442015074noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-29398032829383807442023-05-05T09:24:00.000+02:002023-05-05T09:24:51.988+02:00Oppsummering av nyhetsbildet innen datasikkerhet for april 2023<p>VoIP-firmaet 3CX ble tidligere i år rammet av et forsyningskjede-angrep der deres programvare for Windows og macOS fikk injisert en bakdør. Oppdateringer av programvaren, med denne bakdøren inkludert, ble deretter automatisk sendt ut til 3CX sine kunder. Det var nord-koreanske hackere som stod bak angrepet, og målet var å stjele krypto-valuta. Det viser seg etter hvert at det initielle innbruddet hos 3CX skjedde på grunn av et forsyningskjede-angrep. Sikkerhetsselskapet Mandiant meldte at en PC tilhørende en ansatt i 3CX ble hacket gjennom et forsyningskjede-angrep mot programvaren til finans-firmaet Trading Technologies. Angrepet ble gjennomført av den samme nord-koreanske gruppen som kompromitterte 3CX. Dette er antagelig det første eksempelet på et dobbelt forsyningskjede-angrep.</p><p>Mange DDoS-angrep blir utført ved å forsterke angrepstrafikken via sårbare tjenester som er tilgjengelig på nettet. Angriper sender en liten pakke med trafikk, forfalsket til å se ut som om den blir sendt fra målet for angrepet, til en sårbar tjeneste. Tjenesten som blir kontaktet, sender deretter svaret på forespørselen til målet, men svaret er mye større enn forespørselen. Angriperen oppnår dermed både å forsterke angrepet sitt og skjule hvor angrepet kommer fra. Det har nå blitt oppdaget en ny tjeneste som kan utnyttes til å gjennomføre denne typen angrep. Tjenesten kalles SLP (Service Location Protocol) og ble laget av Sun Microsystems tilbake i 1997. Tjenesten ble brukt for å registrere tilgjengelige lokale ressurser på det interne nettverket, men var aldri ment å være tilgjengelig utenfor lokalnettet. 35.000 servere eksponerer dessverre tjenesten ut på nettet og kan potensielt sett misbrukes i angrep. Ved å manipulere listen over tilgjengelige enheter før angrepet startes, kan angrepstrafikken forsterkes hele 2200 ganger! Telenors tjeneste for DDoS-beskyttelse håndterer denne typen angrep godt.</p><p>Etter at Microsoft har begynt å blokkere makroer fra å kjøre i Office-dokumenter lastet ned fra nettet, har vedlegg i OneNote blitt en populær måte å distribuere malware på. Mottakeren av dokumentet blir lurt til å åpne de vedlagte filene, og maskinen blir infisert. OneNote har så langt ikke hatt en sperre mot å legge ved eksekverbare filer og scripts, men dette blir det nå en endring på. I løpet av de nærmeste ukene vil Microsoft sperre farlige filtyper i alle varianter av OneNote.</p><p>CitizenLab har gitt ut en ny rapport som tar for seg tre forskjellige zero-click exploit-kjeder brukt mot iOS av overvåkningsfirmaet NSO-group i 2022. Svakhetene har blant annet blitt brukt mot menneskerettighetsforkjempere og journalister. Både iOS 15 og iOS 16 har vært rammet. Dette dreier seg altså om svakheter som det ikke fantes patcher for på det tidspunktet de ble brukt og som infiserte brukerne uten at de var klar over det. Firmaer som selger denne typen programvare påstår ofte at de kun selger til regjeringer og politi, men mange land misbruker dessverre programvaren til tvilsomme aktiviteter.</p><p>Genesis Market ble tatt ned av FBI tirsdag i påskeuken. Markedsplassen har vært kjent for storstilt omsetning av stjålne brukernavn, passord og innloggings-sesjonsnøkler (cookies). I etterkant av aksjonen rapporterte FBI at rundt 120 personer har blitt arrestert i flere land. Innloggingsdetaljene fra markedsplassen har vært brukt både for å plante ransomware, stjele intern informasjon og tyveri fra enkeltpersoner. Etter aksjonen har FBI delt en liste over alle kompromitterte brukere med tjenesten "Have I been Pwned", slik at berørte brukere har fått beskjed om at deres informasjon er på avveie.</p><p>QuaDreams er et firma som leverer overvåkingsprogramvare for mobiltelefoner. Firmaet konkurrerer med firmaer som israelske NSO. Denne typen firmaer leverer typisk programvaren sin til myndigheter i forskjellige land. CitizenLab og Microsoft har sett nærmere på firmaet og deres programvare-plattform kalt "Reign", som inkluderer utnyttelseskode og overvåkingsprogramvare for Android og iOS-mobiler. Microsoft har dokumentert at Reign, og spesielt malwaren "KingsPawn", har blitt brukt til å kompromittere og overvåke iPhones tilhørende journalister og personer involvert i politikk i flere land. Det er også tegn på at Android-mobiler er rammet. Etter all oppmerksomheten opplyste firmaet at de er i ferd med å stenge ned virksomheten sin.</p><p>I april håndterte TSOC 54 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 111 i februar. Kriminelle tilpasser ofte sine malware-kampanjer og svindelforsøk med temaer som er aktuelle i nyhetsbildet. Dette viste seg ved en alvorlig hendelse som ble avdekket ved hjelp av tjenesten Logganalyse denne måneden. En ansatt ble lurt til å laste ned et falskt tillegg til Chrome-nettleseren, som skulle berike søkeresultater med informasjon fra ChatGPT. I tillegg til dette, stjal imidlertid akkurat denne utvidelsen også login-info som var lagret i nettleseren og sendte dette ut til bakmennene. Vi satte klienten i karantene og kundens driftsorganisasjon ba brukeren om å bytte passord til tjenester som var benyttet fra PCen, samt få reinstallert operativsystemet.</p><p>Det var 200 bekreftede DDoS-angrep denne måneden, ned fra 212 i mars. 94 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 4.26 Gbps og varte i 38 minutter. Det største angrepet observert i denne perioden var på 140 Gbps og varte i litt over én time. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p>Jan Roger Wilkenshttp://www.blogger.com/profile/09861491857442015074noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-10191273420510294702023-04-13T15:12:00.004+02:002023-04-13T15:12:14.851+02:00Oppsummering av nyhetsbildet innen datasikkerhet for mars 2023<p>En sikkerhetsforsker oppdaget at en app som ble brukt til å vise søkeresultater i Bing (Bing Trivia) var satt opp med manglende tilgangskontroll; alle brukere i Azure kunne bruke appen og dermed manipulere søkeresultater. XSS-kode (Cross Site Scripting) kunne også legges inn, for å kjøre tilfeldig Java-script i kontekst av Bings brukere. Dette kunne brukes til å stjele brukerens innlogings-token for Office 365 og dermed alle data tilgjengelig for brukeren. Etter en scanning av flere applikasjoner viste seg at Microsoft og mange andre firmaer hadde store mengder applikasjoner med den samme konfigurasjonsfeilen. Det ble utbetalt $40.000 i belønning for oppdagelsen. Microsoft anbefaler at alle scanner sine egne Azure-instanser for denne feilen i tilgangsstyringen, nemlig at apper er satt opp til å tillate "multi-tenancy" uten videre krav til autentisering.</p><p>Nasjonal sikkerhetsmyndighet (NSM) har på oppdrag fra Justis- og beredskapsdepartementet foretatt en vurdering knyttet til sikkerheten rundt bruk av mobil-appene Tiktok og Telegram på tjeneste-enheter. NSM vurderer at appene ikke bør installeres på offentlig ansattes tjenesteenheter som er tilknyttet virksomhetens interne digitale infrastruktur eller tjenester. NSM presiserer at anbefalingen ikke er et forbud mot de to appene, men et råd om at de ikke bør installeres på tjenesteenheter i departementet. NSM vurderer at dette også bør gjelde ansatte i privat sektor som er underlagt sikkerhetsloven helt eller delvis. I etterkant av de nye retningslinjene har flere bedrifter og offentlige instanser innført forbud mot appene på mobiler brukt i jobbsammenheng.</p><p>Sikkerhetsfirmaet SentinelOne meldte om et pågående forsyningskjede-angrep gjennomført av en nord-koreansk aktør via IP-telefoni appen 3CXDesktopApp for Windows og Mac OS. Installasjons-programmet var korrekt signert, men inneholdt likevel skadelig kode for å laste ned mer malware og siden eksfiltrere data fra rammede bedrifter. Det kom senere fram at målet med aksjonen trolig var å få tilgang til firmaer som driver med krypto-valuta for å utføre tyverier, noe som er vanlig for aktører fra Nord-Korea.</p><p>Sikkerhetsselskapene Sentinel Labs og Proofpoint har gitt ut rapporter om den russiske aktøren TA473/Winter Vivern. Aktøren har siden februar 2023 utnyttet svakheter i Zimbra-installasjoner, blant annet til å stjele eposter fra ansatte i NATO, myndigheter, militært personell og diplomater. Phishing-eposter blir brukt til å injisere javascript i sårbare Zimbra-installasjoner ved hjelp av svakheten kjent som CVE-2022-27926. Aktøren får på denne måten kopiert ut brukernavn, passord og innloggings-nøkler (cookies).</p><p>Mange land bruker kommersiell spionvare rettet mot mobiltelefoner for å overvåke kriminelle, journalister, regimemotstandere osv. Programvaren installeres på utvalgte mobiler ved å utnytte svakheter i Android og iOS og skjer ofte uten at brukeren merker eller trenger å gjøre noe (zero-click svakheter). USA innfører nå restriksjoner i bruk av denne typen programvare. Før den brukes må det undersøkes om det kan føre til kontraspionasje eller andre sikkerhetsrisikoer. Leverandører som selger sin programvare til regimer som misbruker systemene skal også unngås. I forbindelse med restriksjonene kom det også fram at over 50 amerikanske diplomater hadde blitt rammet av denne typen programvare mens de var i utlandet, de fleste med programvare laget av israelske NSO.</p><p>Microsoft advarer om at trusselaktøren DEV-1101 tilbyr et phishing-verktøy som åpen kildekode som kan brukes til å stjele sesjonsnøkler (cookies). Verktøyet støtter proxy-funksjonalitet (AiTM - Adversary in the Middle) for å hente ut engangskoder og sesjonsnøkler fra ofrene. Verktøyet kan både kjøpes og leies med support-avtale. Det brukes av flere trusselaktører til å sende ut millioner av phishing-eposter og få tilgang til bedrifter. For å unngå å miste innloggingsdetaljer i forbindelse med denne typen angrep, må en implementere autentiserinsmekanismer som er motstandsdyktige mot phishing som FIDO2 med sikkerhetsnøkler eller sertifikat-basert autentisering.</p><p>Britiske National Crime Agency (NCA) avslørte i mars at de hadde opprettet flere sider der de gir seg ut for å tilby salg av DDoS-tjenester. De har gjort dette for å avsløre kriminelle som bruker denne typen tjenester for å angripe og drive med utpressing av organisasjoner. Flere tusen har besøkt nettstedene. I stedet for å få utført DDoS-angrep, lagret nettstedene bruker-informasjon som epost-adresser, IP-adresse og betalingsinformasjon for senere etterforskning mot de besøkende. NCA advarer de kriminelle om at det fortsatt finnes mange tilsvarende nettsteder, selv om de nå har avslørt én av sine falske sider.</p><p>FBI og politi fra flere land har gjennomført en politi-aksjon mot infrastrukturen til fjernstyrings-verktøyet NetWire, som er et fjernstyrings-verktøy som for det meste har blitt solgt som en RAT (Remote Access Trojan). Siden 2014 har verktøyet blitt brukt i forbindelse med phishing og innbrudd i bedriftsnettverk. Domenet til verktøyet har nå blitt beslagslagt, sammen med serverne i Sveits. Den antatte hovedmannen bak verktøyet ble samtidig arrestert i Kroatia.</p><p>En ny trend med lydtjenester basert på kunstig intelligens (KI) gir folk muligheten til å kopiere stemmer og konstruere fiktive samtaler. Kvaliteten er nå så god at det er lett å la seg lure. Bare uker etter at selskapet Eleven Labs lanserte en nettside med KI-verktøy for lyd, har det flommet over av populære humorvideoer på TikTok, YouTube og Twitter basert på verktøyet. Utviklingen gjør det enda viktigere å verifisere at den du kommuniserer med er riktig person, spesielt før du gir fra deg informasjon eller foretar viktige handlinger som overføring av valuta.</p><p>I mars håndterte TSOC 181 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 111 i februar. Denne måneden avdekket vi blant annet en infisert maskin som mottok kodede Powershell-kommandoer gjemt i lovlige DNS-forespørsler. Denne uvanlige måten å kommunisere på brukes for å gjøre det vanskeligere å avdekke at infiserte maskiner kontakter sin kontroll-server, ved å skjule trafikken i store mengder lovlig trafikk. Vi avdekket også en maskin som var infisert med malwaren “RecordBreaker”, en nyere variant av Raccoon Stealer, som laster opp lagret innloggingsinformasjon i nettleseren (cookies) til en kontroll-server.</p><p>Det var 212 bekreftede DDoS-angrep denne måneden, ned fra 252 i februar. 70 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.24 Gbps og varte i 3 timer. Det største angrepet observert i denne perioden var på 51 Gbps og varte i 8 minutter. Åtte av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden. Vi ser fortsatt langvarige angrep mot enkelte kunder som blir kamuflert som vanlig nyttetrafikk mot bedriftens tjenester, typisk gjennomført av hacktivist-grupper.</p>Jan Roger Wilkenshttp://www.blogger.com/profile/09861491857442015074noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-63051013261087791322023-03-06T10:13:00.001+01:002023-03-06T15:06:14.116+01:00Oppsummering av nyhetsbildet innen datasikkerhet for februar 2023<p>2. februar meldte Vadsø Kommune om uønsket aktivitet i deres nettverk. Nettverket ble stengt ned og kommunale brukere var uten nettforbindelse i rundt ett døgn etter hendelsen. I dagene etterpå var det også problemer med noen tjenester. Den 10. februar meldte kommunen at angrepet hadde skjedd via lekkede påloggingsdetaljer tilhørende en ekstern tjenesteleverandør og at alle kommunale tjenester igjen fungerte som normalt. 3. februar kl 13:00 stengte også Målselv Kommune ned sin Internett-forbindelse etter mistanke om datainnbrudd. Situasjonen ble avklart og nettforbindelsen åpnet igjen kl 18:45 samme dag. Begge sakene er politianmeldt og etterforskes av et team hos Kripos.</p><p>DNB melder at digitale bedragerier har økt med 832 prosent fra 2018 til 2022. Bedrageriene er også mer avanserte enn tidligere, samtidig som at de rammer både bedrifter og privatpersoner. DNB klarte i fjor å avverge bedrageriforsøk for 1067 millioner kroner, men de kriminelle lyktes med å gjennomføre bedragerier for 177 millioner kroner fra deres kunder. Over halvparten av bedrageriforsøkene skyldes phishing. Det siste året har det vært en økning i phishing-forsøk på 69 prosent og hele 920 prosent i forhold til for tre år siden. Ofte skyldes vellykket phishing at folk har mer tillit til bedrageren enn de har til bankens varslinger. Dette forklares med at bedragerne har blitt mer sofistikerte i sine angrep.</p><p>Flyselskapet SAS ble 14. februar utsatt for et tjenestenektangrep (DDoS) som rammet både nettsiden og appen til selskapet. I forkant av angrepene hadde en hacktivist-gruppe truet med å utføre DDoS-angrep mot flere svenske flyselskaper. I en tidsperiode ble kunder i mange tilfeller sendt til en annen tilfeldig profil, dersom de prøvde å logge seg inn på appen. Med dette kunne man både se personopplysninger samt bonuspoeng og kommende flyvninger. Klokken 20:45 ble innloggingsproblemene løst. Det er ikke meldt om at SAS ble utsatt for innbrudd i sine datasystemer.</p><p>Økokrim har tatt beslag i verdier for rundt 60 millioner kroner etter rekordtyveriet mot spillet Axie Infinity og 750 norske spillere i fjor. De jakter nå videre på flere milliarder kroner som fortsatt er utestående sammen med FBI. Tidligere har FBI fått tak i rundt 300 millioner i tilsvarende beslag. Ifølge det amerikanske føderale politiet FBI stod den nordkoreanske hackergruppen «Lazarus» bak tyveriet i fjor.</p><p>Rundt nyttår ble en kvinnelig sjåfør stoppet i en rutinekontroll i Paris. I bilen ble det funnet en mistenkelig gjenstand som politiet først trodde var en bombe. Det viste seg etter hvert at gjenstanden var en IMSI-catcher. Dette er avansert utstyr som brukes av politi og hemmelige tjenester for å overvåke mobilkommunikasjon og finne ut hvor mobiltelefoner befinner seg fysisk. Det viser seg nå at utstyret ble brukt til å sende ut over 400.000 SMS-meldinger til mobiler i nærheten som lurte mottakerne til å besøke en phishing-side.</p><p>Europakommisjonen har nå innført nye sikkerhetsregler som bannlyser de ansatte fra å bruke appen TikTok på sine mobile enheter betalt av arbeidsgiver. Dette blir gjort for å styrke cybersikkerhet internt i kommisjonen, gjennom å stoppe kartlegging av ansatte og innsamling av data fra mobiltelefonene. De ansatte ble bedt om å avinstallere appen på offisielle enheter umiddelbart, samt personlige enheter dersom disse blir brukt i jobbsammenheng. Appen kan fortsatt brukes på helt private mobilenheter. Det hvite hus meldte noen dager senere at den kinesisk-eide appen skal være fjernet fra telefoner og systemer som tilhører regjeringskontorene i USA innen 30 dager.</p><p>En av de største sykehus-kjedene i USA opplyser at hackere har fått tak i sensitiv helseinformasjon om rundt 1 million pasienter. Opplysingene ble stjålet etter å ha utnyttet en svakhet i filoverføringsverktøyet GoAnywhere fra Fortra. Journalisten Brian Krebs advarte to uker før angrepet om at en ny svakhet var under aktiv utnyttelse i verktøyet GoAnywhere. Svakheten ble senere kjent som CVE-2023-0669 og ble patchet av selskapet 7. februar. Flere andre firmaer skal også ha blitt kompromittert ved hjelp av svakheten. Flere har blitt utsatt for ransomware. Utnyttelse av svakheten krever tilgang til innloggings-siden til verktøyet.</p><p>Før Russland invaderte Ukraina gjennomførte den russiske regjeringen flere aksjoner mot russiske kriminelle grupper for å blidgjøre vestlige land. Etter invasjonen har den russiske regjeringens styrket båndene til cyberkriminelle, skriver The Record. Forskjellige kriminelle grupperinger utfører oppdrag som understøtter krigen, ofte ved å lekke stjålne data fra Ukraina. Dette har også ført til en økning i cyberkriminalitet, da kriminelle har fått økt støtte og beskyttelse fra regjeringen, så lenge de ikke angriper mål innenlands. Myndighetene kan også gjennomføre aksjoner gjennom de kriminelle gruppene eller gi seg ut for å være dem.</p><p>Bitwarden og 1Password er to apper for lagring av passord, såkalte passord-hvelv. Firmaene bak applikasjonene melder at cyberkriminelle lager falske nettsider som etterligner deres nettsider. De betaler også Google for annonser på deres søkesider. Når man f.eks. søker etter «bitwarden password manager» kommer det opp en falsk side som første resultat hos Google, men brukeren blir sendt til en phishing-side som ser identiske ut til originalen og også har et lignende domene-navn. Trusselaktørene prøver gjennom denne teknikken å få tilgang til alle kontoene som er lagret i ofrenes passord-hvelv, ved å lure fra dem deres hoved-passord til hvelvet. Google opplyser at å stoppe denne typen angrep har høyeste prioritet, men annonser fra Google har i det siste vært kilde til flere typer svindel og spredning av malware.</p><p>I februar håndterte TSOC 111 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 148 i januar. Denne måneden oppdaget vi flere maskiner som var kompromittert og infisert med bakdørene AsyncRAT og DCRAT. Denne typen verktøy kan brukes til å fjernstyre de infiserte maskinene, kopiere ut informasjon fra dem og bruke dem som utgangspunkt for videre innbrudd i nettverket.</p><p>Det var 252 bekreftede DDoS-angrep denne måneden, ned fra 358 i januar. 138 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.57 Gbps og varte i 3 timer. Lengden på et gjennomsnittlig angrep gikk mye opp denne måneden i forbindelse med langvarige angrep som hacktivist-grupper som Noname057 har påtatt seg ansvaret for. Det største angrepet observert i denne perioden var på 65 Gbps og varte i 44 minutter. Seks av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p>Jan Roger Wilkenshttp://www.blogger.com/profile/09861491857442015074noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-968976481610461632023-02-07T08:48:00.000+01:002023-02-07T08:48:02.096+01:00Oppsummering av nyhetsbildet innen datasikkerhet for januar 2023<p>Sikkerhetsforskere har avdekket at en ny versjon av malware-rammeverket Raspberry Robin har blitt brukt i angrep mot europeiske firmaer i finans- og forsikringssektoren. Raspberry Robin sprer seg blant annet via USB-enheter og har vært observert også i Norge de siste månedene. Det er vanskelig å detektere infeksjoner med rammeverket og malwaren i seg selv er også vanskelig å dekompilere.</p><p>Torsdag 6. januar og fredag 7. januar ble TV2.no og TV 2 Play utsatt for dataangrep. Angriperne benyttet lekkede passord fra andre tjenester for å logge seg inn. Det er foreløpig meldt at 18.000 kunder må bytte sitt passord. For å stoppe videre angrep har TV 2 valgt å sperre og tilbakestille passord på berørte kontoer. Datatilsynet er rutinemessig varslet, og TV 2 er også i dialog med Nasjonal Sikkerhetsmyndighet.</p><p>DNV bekrefter i en melding på deres nettsted at de har vært utsatt for et angrep med ransomware. Angrepet skjedde lørdag 7. januar og rammet serverne til systemet "ShipManager". Dette er et system som brukes for flåtestyring. DNV råder kundene til foreløpig å bruke systemet i frakoblet modus, inntil de får opp ryddet opp. Ingen andre systemer skal være rammet og DNV jobber sammen med politiet og eksperter for å få opp igjen systemer. 23. januar opplyste DNV at de fortsatt jobbet med å få opp igjen systemet. 70 kunder med til sammen rundt 1000 skip er rammet.</p><p>11. januar advarte Royal Mail i Storbritannia om at de hadde problemer med import og eksport av post grunnet datatrøbbel. Post inn i landet ble forsinket og post ut av landet stoppet helt opp. Kundene fikk til og med beskjed om ikke å levere inn flere pakker eller brev som skulle til utlandet. Innenlands post fungerte som normalt. Først 18. januar ble begrenset eksport av post startet opp igjen. I etterkant av hendelsen har Royal Mail bekreftet at problemene skyldtes ransomware og de beskyldte russiske kriminelle for å stå bak.</p><p>Sentinel Labs har skrevet en bloggpost om gruppen NoName057(16). Den pro-russiske hacktivist-gruppen har stått bak mengder av DDoS-angrep, sist i januar mot flere banker i Danmark. Gruppen stod også bak angrep mot NAV, Arbeidstilsynet, BankID og flere andre nettsteder i Norge sist sommer. Angrepene blir koordinert via en kanal i chatte-tjenesten Telegram. Primært bruker de verktøyet DDOSIA, som startes opp manuelt av hver enkelt tilhenger av grupperingen. Angrepene foregår typisk via ressurskrevende HTTPS-forespørsler direkte mot tjenestene som angripes. Bidragsytere som genererer mest effektiv angrepstrafikk kan også få belønning av gruppen.</p><p>De siste ukene har det vært flere tilfeller der sponsede søkeresultater fra Google sender brukerne til malware. Når en gjør Google-søk kommer det ofte opp sponsede resultater i toppen av resultat-listen. Hackere har nå satt opp falske nedlastings-sider for fritt tilgjengelige applikasjoner som VLC og 7-Zip. De kjøper også annonseplasseringer som sender brukerne til disse sidene for å laste ned malware, kamuflert som legitim programvare. Malwaren har i noen tilfeller blitt brukt til å stjele store verdier i form av krypto-valuta. Husk å alltid verifisere at du henter ned programvare fra den egentlige utgiveren. Det kan også være en god idé å laste opp filer til tjenesten Virus Total for testing, før en kjører nedlastede programmer.</p><p>En gruppe sikkerhetsforskere har undersøkt appene og APIene (Application Programming Interface) til diverse billeverandører for svakheter. De benyttet seg blant annet av en teknikk kalt “fuzzing”, som går ut på å bombardere de bakenforliggende systemene med alle mulige varianter av forespørsler for å avdekke svakheter. Resultatet ble at de klarte å låse opp biler, starte biler, logge inn på interne tjenester hos leverandørene, logge inn som ansatte uten passord, ta full kontroll over brukerkontoer osv. Blant firmaene som hadde kritiske svakheter var Ferrari, BMW, Rolls Royce, Nissan og Porsche. Sårbarhetene ble meldt til leverandørene så fort de ble oppdaget.</p><p>Den russiske trusselaktøren "Turla", som forbindes med etterretningstjenesten FSB, har fått tilgang til andre trusselaktørers servere ved å registrere gamle domener assosiert med eldre USB-basert skadevare. Turla bruker dermed allerede infiserte systemer fra andre trusselaktører for å unngå å avsløre seg selv. Turla sin "piggyback"-teknikk har vært observert siden september i fjor i forbindelse med "Andromeda"-skadevaren, som først ble oppdaget i 2013. Da det amerikanske selskapet Mandiant undersøkte kommando og kontroll serveren til Andromeda, oppdaget de at et domene assosiert med Andromeda hadde blitt registrert på nytt i 2022 av Turla-grupperingen.</p><p>Europol har i samarbeid med europeiske og amerikanske myndigheter klart å ta ned infrastrukturen til HIVE, et ransomware-as-a-service produkt fra HIVE ransomware group. Fra juni 2021 til januar 2023 har over 1500 firmaer fra over 80 land blitt utsatt for HIVE ransomware. Det er estimert et tap på rundt 100 millioner euro i løsepenger. Etter at Europol beslagla infrastrukturen har flere dekrypteringsnøkler blitt funnet, noe som sparte bedrifter for opp mot 120 millioner euro i løsepenger. FBI har i forbindelse med aksjonen utlovet en dusør på $10 millioner for tips som kan knytte Hive eller andre grupperinger til nasjonalstater.</p><p>Trusselaktører har nå blitt observert i å benytte seg av OneNote-vedlegg til bruk i epost-phishing kampanjer, en teknikk tidligere brukt ved hjelp av Word- eller Excel-dokumenter. I juli i fjor endret Microsoft standardinnstillingene for makroer til å være avslått i Microsoft Office-dokumenter som var lastet ned fra nettet, som et tiltak mot potensiell skadevare. Ved å legge til Office-dokumentene som vedlegg til OneNote-filer, kan denne sperren omgås. Office-vedleggene blir startet ved hjelp av Visual Basic Script-filer som også er vedlagt dokumentet. Disse filene blir gjemt under grafikk-elementer for at brukeren ikke skal fatte mistanke. Brukeren må også godta en eller flere sikkerhetsadvarsler, men erfaring tilsier at mange brukere ignorerer disse.</p><p>I løpet av 2022 har ransomware-grupper utpresset ofre for rundt $458.8 millioner, noe som er en nedgang på 40% i forhold til de siste to årene ($765 millioner). I følge data fra Chainalysis kan den drastiske nedgangen i profitt ikke korreleres med færre angrep totalt sett, men heller at ofrene nekter å betale løsepengene. Historisk sett har majoriteten av ofrene endt opp med å betale. I 2022 har dette snudd, siden 59 prosent av ofrene ikke endte opp med å betale løsepengene.</p><p>I januar håndterte TSOC 163 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 107 i desember. Denne måneden ble flere av våre kunder utsatt for overbevisende phishing-angrep som prøvde å lure fra brukerne innloggingsdetaljer til Microsoft sine tjenester. Angrepene ble heldigvis fort oppdaget og en del brukeres passord ble byttet for sikkerhets skyld. Ellers har vi oppdaget at en del maskiner har vært infisert av bakdørene AsyncRAT og DCrat (RAT - Remote Access Trojan. Det kan lønne seg med en liste over godkjente applikasjoner (hvitelisting) på PCer for å unngå denne typen malware.</p><p>Det var 358 bekreftede DDoS-angrep denne måneden, opp fra 212 i januar. 182 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.48 Gbps og varte i én time. Det største angrepet observert i denne perioden var på 16 Gbps og varte i 16 minutter. Seks av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p>Jan Roger Wilkenshttp://www.blogger.com/profile/09861491857442015074noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-13041637336547196392023-01-06T14:34:00.006+01:002023-01-06T14:34:48.167+01:00Oppsummering av nyhetsbildet innen datasikkerhet for desember 2022<p>Før jule- og nyttårshelgen var det mange som var bekymret for en reprise av stresset fra de to foregående årene. Desember 2020 ble verden rammet av et svært avansert forsyningskjede-angrep via programvareselskapet Solarwinds. For ett år siden ødela svakheten Log4J julefeiringen for millioner av sikkerhetsfolk. Desember 2022 viste seg heldigvis å bli rolig på datasikkerhetsfronten, både her hjemme og internasjonalt, til tross for at den globale sikkerhetssituasjonen er mer spent enn på lenge.</p><p>Dessverre ble to norske bedrifter rammet av ransomware i løpet av måneden. 15. desember ble Stangeland Maskin rammet av ransomware. Hackere krevde millioner av kroner i løsepenger, ifølge Aftenbladet. Leverandører av selskapet ble varslet og hendelsen gikk heldigvis ikke ut over anleggsarbeidet. 19. desember meldte Rec Silicon at de hadde blitt rammet av løsepengevirus, som satte selskapets virtuelle servermiljø ut av drift en kort periode. Alle systemene kom opp igjen, men angriperne klarte dessverre å kopiere ut data fra bedriften før de ble stoppet. Disse stjålne dataene skal delvis ha blitt lagt ut offentlig. </p><p>Passordlagringstjenesten LastPass har i det siste vært rammet av to datainnbrudd. 22. desember opplyste de at inntrengerne hadde kopiert ut data om kundene. Av ukrypterte data er både epost-adresser og hvilke tjenester kundene har lagret passord til. Dette kan brukes til å lage personlig utformede phishing-angrep for å lure fra brukerne passordene sine. Brukernes passord er heldigvis kryptert med den enkelte brukers "hovedpassord". Dersom dette passord er unikt og langt (minst 12 tegn), skal risikoen for at dataene kan dekrypteres være liten. Vi vil uansett anbefale å bytte passord på ekstra viktige tjenester som epost-konto, Apple ID, Google, BankID osv. Bytt også hoved-passord dersom dette ikke er unikt, eller ikke har tilstrekkelig antall tegn.</p><p>Flere norske SektorCERT-organisasjoner kom med advarsler mot spredning av ormen Raspberry Robin via USB-enheter i Norge. Ormen har også flere andre måter å spre seg på. Dersom en infisert USB-enhet blir satt inn i en PC, må brukeren manuelt åpne en fil for at infeksjonen skal skje. Brukerne blir imdlertid lurt til å trykke ved hjelp av falske ikoner, fristende filnavn osv. Etter at den får etablert seg på innsiden av et nettverk, blir denne tilgangen typisk videresolgt til andre kriminelle aktører for bruk i industri-spionasje, ransomware osv. Bedrifter bør vurdere å begrense kjøring av filer fra tilfeldige USB-enheter og eventuelt innføre hvitelisting av eksekerbare filer for å beskytte seg mot denne angrepsvektoren.</p><p>Det amerikanske justisdepartementet melder at de har arrestert seks personer for å ha drevet flere nettsteder som har tilbydd DDoS-angrep mot betaling. FBI har også beslaglagt 48 Internet-domener der tjenestene har blitt solgt. Denne typen tjenester ("booter"-tjenester) brukes ofte av utpressere. De velger seg ut ofre, utfører DDoS-angrep mot dem og forlanger løsepenger for å avslutte angrepene.</p><p>Apple har meldt at de nå vil tilby kryptering av bilder, chat-logger og andre sensitive bruker-data i iCloud. Den nye sikkerhetsfunksjonen ble tilgjengelig for kunder i USA før nyttår, mens resterende land vil få tilgang til tjenesten i løpet av 2023. Det er forventet at det vil komme protester fra myndigheter i forskjellige land sammen med potensielle lovforslag for å stoppe sikkerhetstiltaket. Fram til nå har mange lands myndigheter kunnet få tilgang til en ukryptert backup av Apple-enheter ved hjelp av krav om utlevering av data, noe som nå vil bli umulig</p><p>Sikkerhetsfirmaet Hold Security melder at ransomware-grupper i mange tilfeller har problemer med å få betalt. De benytter seg derfor av stadig nye utpressingsmetoder. Ransomware-gruppen Venus har for eksempel truet med å endre e-poster tilhørende høyt profilerte ledere, for å få det til å se ut som om de planlegger innsidehandel. Gruppen truer videre med å publisere disse e-postene dersom det ikke betales en sum løsepenger. En annen gruppe kalt CLOP har begynt å sende infiserte filer utformet til som ultralyd-bilder eller andre medisinske dokumenter. Deretter skaffer de helseforsikring og betalingsbevis for å booke en konsultasjonstime, i håp om at helsepersonell vil gå igjennom de infiserte filene før timen og dermed infisere systemene sine.</p><p>Tilgang til bedrifters stjålne e-post-kontoer blir solgt på markedsplasser for cyberkriminelle for så lite som $2. Det israelske cyber-etterretningsselskapet KELA rapporterer at minst 225.000 e-post-kontoer er til salgs på slike markedsplasser. Kontoene blir som regel stjålet ved hjelp av cracking (av stjålne passord-filer), gjetting av passord mot eksponerte tjenester (credential stuffing) eller phishing. De som kjøper kontoene bruker de gjerne til å utføre målrettede phishing-angrep eller som en inngangsport til dypere nettverks-infiltrering med industrispionasje eller ransomware som endelig mål.</p><p>I desember håndterte TSOC 107 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 124 i november. Denne måneden oppdaget vi blant annet at en USB-minnepinne ble satt inn i en PC til en av våre kunder. Infisering via USB-enheter har hatt en oppblomstring de siste måneden, spesielt fra skadevaren Raspberry Robin. En maskin infisert av malware fra grupperingen TA569/SocGholish ble oppdaget hos en annen kunde. Denne grupperingen har i de siste månedene infisert maskiner ved hjelp av annonser som videresender til nedlasting av malware.</p><p>Det var 212 bekreftede DDoS-angrep denne måneden, opp fra 176 i november. 82 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.72 Gbps og varte i 2 timer. Det største angrepet observert i denne perioden var på 20.3 Gbps og varte i 33 minutter. Syv av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p>Jan Roger Wilkenshttp://www.blogger.com/profile/09861491857442015074noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-20065113414004937042022-12-06T12:38:00.007+01:002022-12-06T12:38:57.285+01:00Oppsummering av nyhetsbildet innen datasikkerhet for november 2022<p>Microsoft har sluppet ny "Digital Defense Report" for 2022 med fokus på krigen i Ukraina, hvor det kommer frem at det generelt har vært en økning av aggressive angrep på nett fra land med autoritære ledere. Det siste året har angrep mot kritisk infrastruktur fra nasjonalstater økt fra 20% av alle angrep til 40%, noe som i stor grad skyldes Russlands stadige angrep mot Ukraina. Iran har også utført flere dristige angrep mot EU-stater og Israel etter overgangen til ny president. Nord-Korea, som inntok sin mest aggressive periode med missiltesting i første halvår av 2022, har stått bak tyveri fra luftfarts og forsknings-miljøer over hele verden. Kina økte sin spionasje og datatyverier som et forsøk på å øke sin regionale innflytelse i Sørøst-Asia og motvirke økende interesse fra USA. Mange av angrepene fra Kina er utført med helt ferske og ukjente svakheter, såkalte 0-day angrep. Borgere i Kina som oppdager nye svakheter i programvare er nå pålagt å melde fra om disse til myndighetene først.</p><p>Et angrep på en underleverandør av IT-systemer til DSB (Danske Statsbaner) førte til at nesten alle tog i Danmark måtte stanse i flere timer og flere tog var forsinket helt til neste dag. Leverandøren Supeo hadde blitt rammet av et løsepengevirus og slo av serverne sine. Dette førte til at en kritisk app for togførere ikke lengre fungerte og togene måtte stoppes av sikkerhetshensyn. Appen gir vanligvis informasjon om fartsgrenser, arbeid på linjene osv.</p><p>Australia har i de siste ukene vært utsatt for flere alvorlige cyber-angrep som også har involvert løsepenger. Medibank og Optus er blant firmaene som har blitt rammet, noe som har resultert i at store mengder personlig informasjon for kunder og ansatte er på avveie. Australske myndigheter vurderer nå å forby betaling av løsepenger, for å forsøke å få hackere til å holde seg unna landet. Det har også blitt opprettet en cyber-politi-enhet som skal kjempe tilbake mot angriperne. Enheten har medlemmer både fra det føderale politiet (AFP) og utenlandsetteretningen (ASD). Gruppen skal ha tillatelse til å utføre cyber-angrep mot kriminelle.</p><p>Nettstedet "ispoof", som har blitt brukt for å selge tjenester relatert til spoofing/forfalskning av bedrifters telefonnummer, har blitt tatt ned av politimyndigheter fra Europa, Australia og USA. Nettstedet skal ha tjent over 3,7 millioner euro i løpet av 16 måneder, samt forårsaket et estimert tap på 115 millioner euro globalt i forbindelse med svindel. 142 personer har blitt arrestert, inkludert administratoren av nettstedet.</p><p>Interpol kunngjorde også denne måneden at de hadde beslaglagt $130 millioner i virtuell valuta etter en global aksjon mot finansiell kriminalitet og hvitvasking av midler. Aksjonen har fått navnet HAECHI-III, har pågått siden juni i år og har ført til arrestasjon av 975 personer. Sakene omfatter blant annet pyramidespill og call-center aktivitet relatert til svindel.</p><p>Cloud9 er et nytt botnet som kommer i form av en nettleser-utvidelse. Skadevaren oppfører seg som en fjern-tilgang trojaner og har flere funksjoner, blant annet lagring av tastetrykk, cookie-stjeling og mulighet for å få en infisert PC til å delta i DDoS-angrep. Frem til nå har skadevaren kun blitt spredd via falske eksekverbare filer og skadelige nettsider kamuflert som Flash Player-oppdateringer. Det er ikke funnet spor av at den spres via nettleseres innebygde nedlastings-tjenester for utvidelser.</p><p>Flere nyere phishing-kampanjer har lagret skadevare, opprettet phising-infrastruktur og gjennomført andre angrep som har benyttet seg av lagring av data hos InterPlanetary Filesystem (IPFS) . IPFS er ett peer-to-peer nettverk som replikerer data på tvers av flere noder. Nettverket er laget for høy tilgjengelighet og å være motstandsdyktig mot sensur. Dette gjør at nettverket dessverre er velegnet for kriminell virksomhet, sammen med andre legitime bruksområder.</p><p>Et lenge nedlagt undergrunnsmarked for narkotika på det mørke nettet kalt the Silk Road, har vist seg å være en gullgruve for amerikanske myndigheter. I går annonserte US Department of Justice at de har siktet en mann fra Georgia for å ha stjålet over 50.000 bitcoin fra Silk Road i 2012, verdt over 3 milliarder dollar. James Zhong har allerede innrømmet saken. Nøklene til verdiene var lagret i en liten datamaskin, gjemt i en Popcorn-boks som igjen var gjemt under gulvplankene på badet.</p><p>I november håndterte TSOC 124 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 113 i oktober. Denne måneden er det nok en gang en del maskiner som har blitt infisert av malwaren Banload, som typisk laster ned enda mer malware til en rammet maskin. Vi ser også informasjons-stjeleren Red Line og diverse malware som utvinner kryptovaluta på infiserte maskiner.</p><p>Det var 176 bekreftede DDoS-angrep denne måneden, ned fra 263 i oktober. 74 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.13 Gbps og varte i 27 minutter. Det største angrepet observert i denne perioden var på 67 Gbps og varte i 24 timer. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p>Jan Roger Wilkenshttp://www.blogger.com/profile/09861491857442015074noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-26461562053355891732022-11-07T13:43:00.003+01:002022-11-07T13:43:31.806+01:00Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2022<p>Albania har vært rammet av flere bølger av cyber-angrep fra Iran, etter vedvarende konflikt mellom de to landene. Etter en bølge med angrep i juli, ble landet tvunget til å slå av mange offentlige tjenester, noe som skapte store forsinkelser i betalinger og utstedelse av dokumenter for innbyggerne. Denne måneden kom det fram at Albania vurderte å utløse NATOs artikkel 5 i forbindelse med angrepene, men valgte til slutt å ikke gjøre det da ingen mennesker ble direkte fysisk skadet.</p><p>2.4TB med data som omhandler Microsofts kunder har vært åpent tilgjengelig på nettet i flere år, siden dataene ved en feil var lagret i en åpen Azure lagrings-instans. Informasjonen som var tilgjengelig var blant annet signerte fakturaer, kontrakter, kontaktinformasjon og epost-adresser til 65,000 kunder i løpet av fem år. Microsoft har fått kritikk i forbindelse med hvordan de har håndtert den nylige sikkerhetsglippen etter mangelfull informasjon og ufarliggjøring av hendelsen.</p><p>Lazarus-gruppen er den siste i en rekke av grupper som har utnyttet teknikken kalt BYOVD (Bring Your Own Vulnerable Driver). Gjennom å installere en gammel sårbar driver signert av Dell, klarte angriperne å slå av all virusbeskyttelse i Windows. Initiell tilgang til maskinen ble oppnådd gjennom Word-dokumenter som inneholdt fiendtlige makroer. Etter å ha slått av virusbeskyttelsen kunne angriperne installere en bakdør. Fortsatt finnes det mange sårbare drivere som kan utnyttes på denne måten for å få utvidet tilgang til Windows-systemer. Microsoft har en liste over drivere som Windows automatisk skal blokkere, men det viser seg at noen versjoner av Windows ikke har mottatt oppdaterte versjoner av listen.</p><p>Avisen Daily Mail hevder at telefonen til eks-statsminister Liz Truss var kompromittert av agenter fra Kremlin, mens hun var utenriksminister. Hackingen av mobilen kan ha tilgjengeliggjort sensitiv informasjon for angriperne. Etter at operasjonen ble oppdaget, ble telefonen plassert i en låst safe for å unngå videre lekkasje av informasjon. Flere forlanger nå en offisiell gransking av den påståtte hendelsen.</p><p>Microsoft har lagt til en ny “group policy” som låser kontoer i 10 minutter etter 10 feilede innloggingsforsøk mot en Windows-bruker. Dette gjelder både for standard-brukere og administrator-brukere. Funksjonen er automatisk slått på for nye installasjoner av Windows 11, men kan også skrus på for eksisterende installasjoner eller Windows 10. Denne nye standard-innstillingen vil gjøre det vanskeligere å gjennomføre angrep mot Windows-maskiner på innsiden av bedriftsnettverk ved hjelp av gjetting av passord.</p><p>En av Australias største leverandører av privat helseforsikring, Medibank Private Limited, gikk denne måneden ut med informasjon om at de hadde blitt utsatt for datainnbrudd. Angriperne hevder at de har fått tilgang til 200 GB med sensitiv informasjon om 9.7 millioner kunder, inkludert helseopplysninger, og truer nå med å selge denne informasjonen dersom Medibank ikke betaler et større beløp. Videre truer angriperne med å kontakte de 1000 mest prominente kundene og vise dem deres egne opplysninger. Dette som en "advarsel" til Medibank, som har sagt at det ikke blir aktuelt å betale løsepenger.</p><p>Sikkerhetsforskere annonserte denne uken at de har oppdaget en ny sårbarhet i logiske kontrollere (PLC) fra Siemens. Denne typen kontrollere brukes til styringssystemer i OT (Operasjonell Teknologi). Ved hjelp av sårbarheten kan man hente ut hardkodede kryptografiske nøkler fra enhetene. Disse nøklene gjør det mulig å komme seg forbi alle de fire nivåene av tilgangs-beskyttelse og utføre avanserte angrep. Siemens har publisert oppdateringer for å fikse sårbarheten og poengterer at produktet ble laget for nesten 10 år siden. Sikkerhetsløsningene som ble valgt den gangen er ikke lengre tilstrekkelige, men mange produksjonssystemer bruker dessverre gammelt utstyr.</p><p>Norske mobiloperatører går sammen om å sette en stopper for muligheten til å utgi seg for å ringe fra faste telefonnumre tilhørende norske bedrifter og etater, kjent som “spoofing”. Fra før har spoofing av mobilnumre vært sperret, men nå sperres også oppringninger fra fasttelefonnumre. Tiltaket er koordinert gjennom ITAKT – Internet og telekombransjens anti-kriminalitets tiltak.</p><p>I oktober håndterte TSOC 113 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 125 i september. Denne måneden er det nok en gang nettleserutvidelser med uærlige hensikter som dominerer. Vi har også sett noen tilfeller av Windows-maskiner som har blitt infisert av malware av typen Banload og Glupteba. Til tross for økt beredskap og årvåkenhet i forbindelse med den spente sikkerhetssituasjonen ble det ikke observert noen hendelser utenom det vanlige.</p><p>Det var 263 bekreftede DDoS-angrep denne måneden, ned fra 267 i september. 70 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 35 Gbps og varte i 21 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p>Jan Roger Wilkenshttp://www.blogger.com/profile/09861491857442015074noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-55100291341124902912022-10-06T14:32:00.002+02:002022-10-06T14:32:26.825+02:00Oppsummering av nyhetsbildet innen datasikkerhet for september 2022<p>Denne måneden ble flere bedrifter kompromittert ved hjelp av angrep som benyttet seg av sosial manipulering. Den første bedriften som ble tatt var Uber. Hackeren delte skjermbilder på sosiale medier som viste tilgang til flere interne systemer. Den initielle tilgangen til nettet ble kjøpt på det mørke nettet. En ansatt hos Uber hadde fått kompromittert sin private PC, og VPN-innloggingen til Ubers bedriftsnettverk ble på denne måten kompromittert. Uber benyttet seg av to-trinns bekreftelse ved hjelp av godkjennelse av innloggingen via mobiltelefon, men hackeren ringte opp offeret og overbeviste vedkommende om å godta innloggingen.</p><p>Senere i måneden ble også Rockstar Games rammet av datainnbrudd. Inntrengerne lastet ned store mengder kildekode, bilder og videofiler. Noe av dette ble offentliggjort på nettet, blant annet videofiler av en uferdig utgave av det kommende storspillet GTA 6. Mot slutten av måneden opplyste politi i London som jobber med cyberkriminalitet at de hadde foretatt en pågripelse i forbindelse med innbruddene mot Uber og Rockstar Games. Den pågrepne er 17 år og skal ha forbindelser til Lapsus$-gruppen, som har stått bak en rekke datainnbrudd tidligere i år, mange gjennomført ved hjelp av sosial manipulering.</p><p>Cyber sikkerhetsfirmaet GTSC fra Vietnam informerte mot slutten av måneden om to nye sårbarheter i Microsoft Exchange Server, som de opplyste at hadde blitt utnyttet siden august. Sårbarhetene minner om ProxyShell-svakheten som rammet Exchange i 2021, men denne svakheten krever en autentisert bruker for å bli utnyttet. Microsoft kom raskt med informasjon om svakheten og forslag til hvordan den kan uskadeliggjøres mens de jobber med en patch.</p><p>Forskere ved Mandiant har gjennomført analyse av en ny type skadevare som angriper VMware ESXi Hypervisor. Skadevaren krever at angriperen allerede har fått tilgang til serveren for å installeres. ESXi-servere har ofte ikke installert EDR (Endpoint Detection and Response) og det kan derfor ofte være vanskelig å avsløre skadevare på denne typen utstyr. Den nye skadevaren har flere metoder for å beholde administrator-tilgang, kan sende kommandoer som blir eksekvert på gjeste-VMer, filoverføring mellom hypervisor og VMer, manipulering av logger og kjøring av vilkårlige kommandoer mellom VMer på samme hypervisor. VMware har også gitt ut en veiledning med råd om hvordan en kan beskytte seg mot denne nye trusselen.</p><p>Amerikanske myndigheter offentliggjorde en liste med sanksjoner, siktelser og dusører knyttet til en gruppe iranske statsborgere. Disse er anklaget for å samarbeide med Iranske myndigheter for å utføre løsepenge-angrep mot hundrevis av amerikanske sykehus, statlige organisasjoner, ideelle organisasjoner og bedrifter. Amerikanerne sier de har vært aktive siden 2020. Det blir utlovet dusør på opp til $10 millioner for informasjon om tre navngitte personer, som også identifiseres med bilder. Gruppen har skannet Fortinet FortiOS og Microsoft Exchange Servere for sårbarheter siden tidlig 2021 for å oppnå tilgang til systemer. Hovedsakelig er det organisasjoner fra USA, Storbritannia og Australia som har vært mål. Både kryptering av systemene og trusler om å lekke interne data har blitt brukt for å få utbetalt løsepenger.</p><p>Den Iranske aktøren TA453 har sendt ut eposter til potensielle ofre med flere av aktørens egne epost-adresser på CC. Deretter gjennomfører de en falsk e-postutveksling mellom de falske e-postkontoene for å bygge troverdighet. I løpet av utvekslingen har de også sendt lenker til OneDrive-kontoer hvor offeret blir forsøkt lurt til å laste ned en ondsinnet fil. Angrepsmetoden har fått navnet "Multi-persona impersonation" (MPI) av etterforskere hos Proofpoint, som først oppdaget den nye teknikken.</p><p>Google melder at tidligere medlemmer av ransomware-gruppen Conti har bygget om mange av verktøyene sine for å utføre målrettede angrep mot Ukrainske organisasjoner. Trusselaktøren UAC-0098 har historisk gjennomført ransomware-angrep med trojaneren IceID. Aktøren har nå gått over til hovedsakelig å angripe mål i Ukraina og også noen andre europeiske mål relatert til krigen. Google mener at aktøren retter seg mer mot Ukraina for å understøtte Russlands krigføring mot landet. UAC-0098 har gjennomført en rekke phishing-kampanjer mot statlige og private organisasjoner i Ukraina. Blant annet sendte de ut en e-post som tilsynelatende så ut som at den kom fra representanter for Elon Musk. Den inneholdt imidlertid ondsinnede lenker som skulle se ut som en software-oppdatering for StarLink-satellitter.</p><p>Microsofts Detection and Response Team (DART) har gjennomført en etterforskning etter cyber-angrepene mot Albania i midten av juli. Angrepene forstyrret myndighetenes nettsider og offentlige tjenester og ble gjennomført av en iransk gruppe. Samtidig som angrepene skjedde, var det en annen iransk gruppe som lekket data som hadde blitt eksfiltrert i et angrep gjennomført tidligere i år. Etter angrepene har Albania kuttet alle diplomatiske forbindelser med Iran og har bedt alt ambassadepersonell om å forlate landet.</p><p>Mandiant har navngitt en ny trusselaktør, APT42. Mandiant slår fast at dette er en cyberspionasje-gren i Irans revolusjonsgarde, som blant annet har truet med å drepe amerikanske statsborgere. Gruppen benytter seg av spear-phishing mot både privatpersoner og bedrifter. Operasjonene kan foregå over lang tid og benytter seg av sosial manipulasjon. Målet er å stjele innloggingsinformasjon og ofte installere Android spyware på ofrenes telefoner. APT42 retter seg mot minst 14 land, deriblant USA, Australia, flere europeiske land og land i midtøsten. Gjennom APT42 prøver Iran å hente inn informasjon som er relevant for landet og holde kontroll over dissidenter i utlandet.</p><p>Tidligere i år stjal nordkoreanske hackere kryptovaluta for rundt $600 millioner fra kryptoplattformen Ronin Network, som brukes av spillet Axie Infinity. Analyse-firmaet Chainalysis har nå hjulpet amerikanske myndigheter med å få tilbake $30 millioner av verdiene. Så langt er det ukjent hvordan dette har skjedd i praksis, men ofte skjer denne typen beslag når verdiene befinner seg på sentraliserte kryptobørser.</p><p>I september håndterte TSOC 125 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 64 i august. Denne måneden skyldes de fleste hendelsene malware som tar kontroll over nettleseren og serverer annonser og videresender brukeren til uønskede sider. Vi har også sett noen tilfeller av at maskiner har blitt infisert av “RedLine Stealer”. Dette er en type skadevare som laster ned lagrede brukernavn, passord og cookies fra en infisert PC. Disse blir så typisk solgt i ferdige “pakker” på det mørke nettet til høystbydende. Kjøperen kan da få tilgang til mange tjenester som brukeren av PCen var logget inn på.</p><p>Det var 267 bekreftede DDoS-angrep denne måneden, ned fra 309 i august. 121 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.67 Gbps og varte i 38 minutter. Det største angrepet observert i denne perioden var på 54 Gbps og varte i 13 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p>Jan Roger Wilkenshttp://www.blogger.com/profile/09861491857442015074noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-77518919992053645062022-09-05T13:16:00.006+02:002022-09-05T13:16:43.300+02:00Oppsummering av nyhetsbildet innen datasikkerhet for august 2022<p> Cisco ble 24. mai 2022 kjent med at de kanskje hadde blitt kompromittert. Siden har Cisco Security Incident Response (CSIRT) og Cisco Talos arbeidet med analyse og opprydding. Innloggingsdetaljer tilhørende en ansatt ble kompromittert, etter at en angriper fikk tilgang til den private Google-kontoen til vedkommende, og innloggingsdetaljer lagret i nettleseren ble hentet ut. Ved bruk av phishing klarte angriperne å få den ansatte til å akseptere multifaktor-autentisering iverksatt av angriper, som ga VPN-tilgang inn i Ciscos nettverk under den ansattes navn. Cisco tror så langt at angriperen ikke har fått tilgang til kritiske interne systemer. Angriperen ble etter hvert kastet ut av systemene, men gjorde i ukene etter gjentatte forsøk på å få tilbake tilgangene uten hell. Cisco Talos opplyser at det er høy sannsynlighet for at angriperen kan ha tilknytning til en trusselaktør som tidligere har solgt tilganger til grupperingene UNC2447, Lapsus$ og Yanluowang.</p><p>Twilio, et amerikansk sky-kommunikasjonsfirma, bekreftet at kundedata var på avveie etter et SMS-phishing angrep. Angriperene utga seg for å være Twilio sin IT-avdeling via SMS og ba de ansatte om å tilbakestille passordet sitt. Nettsiden de lenket til skal ha sett identisk ut som den ekte siden. CloudFlare ble også utsatt for samme type angrep fra den samme aktøren. Tre av de ansatte ble lurt, men angriperne fikk ikke tilgang til interne systemer, da CloudFlare benytter seg av hardware-nøkler for innlogging. Denne typen nøkler gjør at innlogging er umulig å gjøre fra andre maskiner enn der nøkkelen er fysisk satt inn.</p><p>Meldingstjenesten Signal brukte Twilio for å levere SMS-meldinger for å autentisere Signal-brukere. Angrepet mot Twilio førte til at angriperen fikk tilgang til 1900 mobiltelefonnumre som var knyttet til Signal-kontoer, og deretter kunne omregistrere Signal-kontoer over til nye mobiltelefoner. Flere kontoer ble omregistrert, og aktøren kunne dermed gi seg ut for å være disse brukerne. Meldingshistorikk og kontakter blir ikke overført av Signal ved bytte av mobil. Signal oppfordrer etter hendelsen alle deres brukere til å skru på registrerings-lås på Signal-kontoen. Dette gjør at en angriper ikke uten videre kan ta over kontoen din, selv om de får tilgang til tekstmeldingen for å flytte kontoen.</p><p>Firmaet Okta bekreftet mot slutten av måneden at også de var et av ofrene etter angrepet mot Twilio. Informasjon om brukere, telefonnummer og engangspassord ble hentet ut fra Twilio og brukt mot Okta i en større phishing-kampanje. Informasjonen som ble hentet ut ble så brukt i datainnbrudd mot over 130 organisasjoner i hele verden. Så langt ser det ikke ut til at norske firmaer er rammet. Aktøren bak denne phishing-angrepsbølgen har fått navnet “0ktapus” og det er ukjent hvem som står bak.</p><p>Twitter bekreftet i starten av august at informasjon knyttet til 5.4 millioner brukere ble stjålet i januar. Dette ble oppdaget etter at telefonnumre og epost-adresser tilhørende diverse Twitter-kontoer ble laget ut for salg på "Breach Forums". Informasjonen ble stjålet ved hjelp av et sikkerhetshull som gjorde det mulig å finne ut hvilken Twitter-konto et telefonnummer eller mailadresse tilhører ved å skrive det inn under innlogging. Twitter har fikset sikkerhetshullet, men anbefaler folk som har pseudonyme kontoer på Twitter om å fjerne epost-adresser og telefonnumre fra kontoen for å redusere framtidig risiko for å bli de-anonymisert. Senere i måneden gikk også Twitters forhenværende sikkerhetssjef Peiter "Mudge" Zatko offentlig ut med opplysninger om at Twitter har alvorlige mangler i deres forsvar mot data-angrep og dårlig håndtering av spam og falske kontoer.</p><p>Amerikanske myndigheter har utlovet en dusør på inntil 10 millioner dollar for informasjon som kan medføre arrestasjon av de fem lederne i Conti. Sammen med dusøren har myndighetene utgitt et bilde av "Target" som er en av lederne. De er også interessert i informasjon om de fire andre personene kjent som "Tramp", "Dandis", "Professor" og "Reshaev" som nå deltar i flere andre løsepengevirus-grupper etter at Conti ble oppløst. Det statlige programmet “The Rewards of Justice” står bak dusøren og er kjent for å utgi belønninger for informasjon om trusselaktører som kan påvirke nasjonale sikkerhet.</p><p>USA sanksjonerte i august Tornado Cash, som er en tjeneste for å anonymisere kryptovaluta-transaksjoner. Tjenesten har legitime bruksområder for anonymitet, men blir ofte misbrukt for ulovlig aktivitet som hvitvasking av penger. Finansdepartementet i USA anslår at Tornado Cash har blitt brukt til hvitvasking av over 6 milliarder USD i kryptovaluta siden 2019. Tornado Cash har ikke innført tilfredsstillende rutiner for å kontrollere og hindre ulovlig bruk, noe som har ført til at transaksjons-mikseren nå er svartelistet av USA. GitHub-kontoen som ble brukt til å vedlikeholde kildekoden til tjenesten er også slettet. Én av utviklerne av tjenesten ble også arrestert i Nederland og sitter fortsatt fengslet.</p><p>Samtlige 7-Eleven kiosker i Danmark ble rammet av data-angrep mandag 8. august. Kasseapparatene fungerte ikke lengre, noe som førte til at de ansatte ikke kunne ta imot betaling fra kunder. Det tok flere dager før kioskene gradvis begynte å åpne igjen. 7-Eleven drives i Danmark av "Reitan Convenience Denmark" som også eier Rema 1000 i Norge.</p><p>I august håndterte TSOC 64 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 9 i juli. Denne måneden skyldes de fleste hendelsene malware som tar kontroll over nettleseren og serverer annonser og videresender brukeren til uønskede sider. Etter sommeren ser vi også at en del maskiner har blitt infisert av skadevare som utvinner kryptovaluta.</p><p>Det var 309 bekreftede DDoS-angrep denne måneden, opp fra 198 i juli. 161 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.64 Gbps og varte i 23 minutter. Det største angrepet observert i denne perioden var på 104 Gbps og varte i 42 minutter. Én av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p>Jan Roger Wilkenshttp://www.blogger.com/profile/09861491857442015074noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-5612443307716667492022-08-09T08:54:00.001+02:002022-08-09T08:54:13.757+02:00Oppsummering av nyhetsbildet innen datasikkerhet for juli 2022<p>Mandag 4. juli ble nettsiden til NSM (Nasjonal Sikkerhetsmyndighet) utsatt for et tjenestenektangrep, sammen med en del transport-firmaer som Bastø Fosen og Boreal. Angrepet minner om angrepsbølgen som traff flere norske nettsteder i slutten av juni, der grupperingen Killnet stod bak. Denne gangen var det den russisk-vennlige grupperingen "NoName057" som tok på seg ansvaret. Nedetiden for tjenestene var ikke langvarig.</p><p>Google har skrevet en blogg-post om hacker-grupper som bedrifter og privatpersoner kan leie tjenester fra på timebasis. Disse gruppene blir gjerne brukt i angrep mot politiske aktivister, advokater og journalister. De kan også leies inn til å utføre industrispionasje. Reuters har også skrevet en spesial-rapport om en indisk gruppering som har spesialisert seg i å hacke advokatkontorer. I forbindelse med rettssaker kan det ha svært stor verdi å få tak i motpartens saksdokumenter.</p><p>Project Zero, et team av sikkerhetsanalytikere ansatt hos Google, rapporterer at 18 nulldagssårbarheter har blitt oppdaget og utnyttet så langt i 2022. Minst ni av svakhetene er varianter av tidligere sårbarheter fra 2021, der flere lett kunne blitt unngått med grundigere analyse og patching av sårbarheten. Nulldagssårbarhetene påvirker produkter som Windows, iOS og Chromium. </p><p>Apple har sluppet en testversjon av en ny funksjon for iOS som heter "Lockdown Mode" hvor de fleste typer vedlegg og forhåndsvising av web-linker vil bli blokkert. Lockdown mode vil også skru av kablede forbindelser til PCer og tilbehør. Den nye modusen kan enkelt skrus av og på av brukeren. Funksjonen er ment brukt av personer som har høy risiko for å bli utsatt for målrettede angrep med kommersiell spionprogramvare, f.eks. fra NSO Group.</p><p>Nye versjoner av Windows 11 kommer nå med "Account Lockout Policy" skrudd på som standard. Dette fører til at bruker- og admin-kontoer blir automatisk låst i ti minutter etter ti mislykkede forsøk på innlogging. Microsoft sin VP David Weston skriver at å prøve å logge inn gjentatte ganger automatisk (brute-force) er en populær teknikk for å bryte seg inn i Windows-miljøer via Remote Desktop Protocol (RDP). Microsoft har også planer om å sakte men sikkert blokkere andre populære angrepsvektorer som brukes i forbindelse med løsepengevirus og innbrudd i Windows-miljøer.</p><p>Den 8. juli oppdaget sikkerhetfirmaet CrowdStrike Intelligence en callback phishing-kampanje, hvor angriperne utgir seg for å være fra CrowdStrike og andre store cybersikkerhetsfirmaer. I e-postene som blir sendt ut, skriver de at mottakerens firma har blitt utsatt for hackerangrep og ber dem ringe nummeret i e-posten for å avtale analyse av mottakerens PC. CrowdStrike forventer at angriperne vil prøve å lure mottakerne til å installere RAT-programvare på PCen når de ringer nummeret. Formålet med den nye teknikken er mest sannsynlig å installerer ransomware i bedriftenes datasystemer med påfølgende utpressing.</p><p>I juli håndterte TSOC 9 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 59 i juni. Sommeren er som vanlig preget av et stort fall i antall alvorlige hendelser. Dette skyldes at de fleste hendelser blir utløst av menneskelige handlinger, som åpning av vedlegg, besøk på ondsinnede nettsider, flytting av PCer fra eksternt til interne nett osv. Aktiviteten hos våre kunder er lavere i ferietiden, og da gjenspeiles dette også i antall alvorlige hendelser.</p><p>Det var 198 bekreftede DDoS-angrep denne måneden, ned fra 267 i juni 85 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.64 Gbps og varte i 27 minutter. Det største angrepet observert i denne perioden var på 78.3 Gbps og varte i 12 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p>Jan Roger Wilkenshttp://www.blogger.com/profile/09861491857442015074noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-52291079757951861342022-07-05T13:12:00.002+02:002022-07-05T13:12:54.559+02:00Oppsummering av nyhetsbildet innen datasikkerhet for juni 2022<p>Flere store norske nettsteder ble denne måneden utsatt for DDoS-angrep fra grupperingen Killnet. Disse har siden Russlands invasjon av Ukraina stått bak DDoS-angrep mot en rekke vestlige land som har støttet Ukraina i krigen. I det siste har blant annet Litauen og Italia vært mål. Gruppen legger ut målene for angrepene i en egen Telegram-kanal og ber følgerne sine om å angripe lister med mål. Natt til onsdag 29. juni la gruppen ut en liste med en rekke norske mål, som utover dagen ble angrepet. Blant målene som ble angrepet var Politiet, UDI, BankID, ID-porten hos Difi, NAV og flere andre norske nettsider. Flere av nettstedene ble ustabile eller sluttet helt å svare i løpet av dagen. Rundt kl 17 på ettermiddagen ble det lagt ut en melding fra Killnet til sine følgere om å avslutte angrepene.</p><p>Typiske DDoS-angrep blir gjennomført ved å sende store mengder "søppeltrafikk" mot nettsteder, mens angrepene fra Killnet ble gjennomført på lag 7 (applikasjonslaget) med full oppkobling av forbindelse mot nettstedet som blir angrepet. Dette gjør at angrepene kan være vanskelig å skille fra vanlig nyttetrafikk. Volummessig er også angrepene veldig små. De oppnår sin virkning ved å binde opp ressurser på selve web-serveren som blir angrepet, ikke ved å fylle opp Internett-linjen til offeret.</p><p>Nettstedet Digi.no så på budskapet som ble lagt ut av Killnet i forbindelse med angrepene. Det kan virke som om hovedmotivet for angrepene er norsk nei til transport av russiske varer over Storskog for frakt videre til Svalbard. I dagene etter de første angrepene la Killnet og andre lignende russisk-vennlige grupperinger ut stadig nye lister med mål. Disse påfølgende angrepene hadde enda mindre effekt enn de første. DDoS-angrep har heldigvis ikke noen varig effekt og tjenestene som er rammet begynner å fungere igjen så fort angrepstrafikken opphører eller trafikken blir filtrert vekk.</p><p>I over ett år har kunder av Telenor og andre teleoperatører over store deler av verden vært plaget av Flubot, en type malware for Android som sprer seg via SMS og MMS-meldinger. Skadevaren stjal blant annet passord samt bank- og kredittkortinformasjon. Europol meldte 1. juni at nederlandsk politi hadde tatt ned infrastrukturen som ble brukt av Flubot-banden. Dette skjedde etter et samarbeid mellom politimyndigheter fra 11 land. Det pågår fortsatt etterforskning for å avsløre hvem som stod bak operasjonen. I Telenors mobilnettverk har vi ikke sett spor av Flubot-aktivitet etter at aksjonen ble gjennomført.</p><p>Google har gitt ut en ny rapport der de har undersøkt bruk av spionvare mot mobiltelefon-brukere i Italia og Kasakhstan. Programvaren som er brukt er produsert av Milan-baserte RCS Lab. RCS har kommentert at deres produkter og tjenester overholder europeisk lovgivning og hjelper myndighetene med å oppklare saker. Google mener at noen av infeksjonene ble gjennomført i samarbeid med mobiloperatørene som målene brukte. Mobiloperatøren slo med vilje av dataforbindelsen til målet og det ble sendt ut en tekst-melding med lenke til en app som måtte lastes ned for å få tilbake forbindelsen. Appen som ble lastet ned var forkledd som en offisiell app fra mobiloperatøren, men var i virkeligheten spionvare. Appene for iOS var gyldige og signerte, men ikke tilgjengelig fra de offisielle app-butikkene.</p><p>Den 23. juni ble blokkjede-selskapet Harmony One rammet av et data-angrep. Uvedkommende hadde fått tak i kryptonøkler for å hente ut kryptovaluta som var låst i en bro mellom to blokkjeder, Ethereum og Harmony. Dette ble gjort ved å få tak i de private nøklene til broen, slik at verdiene kunne tas ut. Det er mistanke om den Nord-koreanske stats-støttede grupperingen Lazarus Group står bak tyveriet. De har de siste årene stått bak flere høyprofilerte datainnbrudd der store verdier blir stjålet. De benytter seg både av hacking og sosial manipulering for å nå sine mål.</p><p>Secureworks har publisert informasjon om de to statlig tilknyttede APTene (Advanced Persistent Threat) Bronze Riverside og Bronze Starlight. Begge har vært involvert i en koordinert kampanje for å stjele intern informasjon fra bedrifter og stater. Etter å ha kopiert ut informasjonen fra bedriften, har aktørene gjennomført angrep med ransomware mot de samme ofrene for å skjule sporene og den egentlige grunnen til data-innbruddene.</p><p>Det russiske botnettet "RSOCKS", som tilbød kundene sine tilgang til et stort utvalg av ulovlige IP-adresser, har blitt stanset av et partnerskap mellom USA, Tyskland, Nederland og Storbritannia. RSOCKS fungerte som en ulovlig proxy-tjeneste som ga kundene tilgang til IP-adresser tilhørende kompromitterte klienter (botnett) slik at trafikk kan gå ut på nettet anonymt. Både myndigheter og kriminelle aktører har brukt tjenesten for anonymisering.</p><p>I juni håndterte TSOC 59 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 71 i mai. Denne måneden er det fortsatt mye aktivitet fra kryptovaluta-utvinnere, selv om verdien av kryptovaluta har stupt i det siste. En del Windows-maskiner har fått installert verktøy for fjernadministrering og overvåking, blant annet NJRat. På Android-mobiler har vi sett enheter infisert av både Joker- og Plankton-malware, mens en del Mac-maskiner har vært infisert av Shlayer-malware.</p><p>Det var 267 bekreftede DDoS-angrep denne måneden, ned fra 360 i mai. 126 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.80 Gbps og varte i 18 minutter. Det største angrepet observert i denne perioden var på 46.6 Gbps og varte i én time. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p>Jan Roger Wilkenshttp://www.blogger.com/profile/09861491857442015074noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-27928226351511945412022-06-08T14:02:00.002+02:002022-06-08T14:02:35.045+02:00Oppsummering av nyhetsbildet innen datasikkerhet for mai 2022<p>Tirsdag 10. mai varslet Norkart om at de hadde vært utsatt for et dataangrep mot deres tjenester for eiendomsinformasjon. NRK har estimert at det har blitt lekket informasjon for inntil 3.3 millioner innbyggere i Norge. Informasjonen som er har vært tilgjengelig fra Norkarts IT-systemer inneholder navn, adresse og fødselsnummer. Personer berørt av angrepet er alle som eier eller har eid norsk eiendom. Angrepet er meldt til Datatilsynet og politiet, men det er per nå ukjent hvem som står bak angrepet eller nøyaktig hvor mye informasjon som har blitt hentet ut. Sårbarheten skyldtes en feil i konfigurasjonen av brannmur for søketjenesten, noe som ga uautorisert tilgang til tjenesten, skriver Norkart. I etterkant av innbruddet var det stor pågang for å reservere seg mot kredittopplysninger hos norske leverandører av kredittopplysninger. Mange har vært nervøse for at enkel tilgang til fødselsnummer skal kunne gjøre det enklere å ta opp lån i deres navn.</p><p>Et Word-dokument som ble latest opp til Virustotal fra en IP-adresse i Belarus i slutten av mai, har vist seg å kunne utnytte en til nå ukjent sårbarhet i Office. Svakheten lar seg utnytte, selv uten at makroer er aktivert i Word og har fått navnet “Follina”. Dokumenter som utnytter svakheten, bruker en funksjon for tilgang til eksterne maler til å laste ned den ondsinnede HTML-filen. Deretter brukes Microsoft-supportverktøyet “ms-msdt” til å laste inn koden og å kjøre denne i PowerShell. Svakheten fungerer mot både Office 2013, 2016 og 2021. Siste versjon av Office 365 skal ikke være sårbar. Svakheten ble utnyttet allerede i april, uten at noen da var klar over problemet. Microsoft har postet informasjon om svakheten og hvordan en kan hindre utnyttelse, men enda ikke noen fullverdig patch.</p><p>For å feire "verdens passord-dag" 5. mai, lanserte de tre store operativsystem-leverandørene Apple, Google og Microsoft et samarbeid om å bevege seg vekk fra tekstbaserte passord. De ønsker å implementere et system der brukeren benytter seg av allerede innloggede enheter for å logge inn på nye, istedet for et tekstbasert passord. Utviklerne av systemet (FIDO) sier: "Disse nye funksjonene forventes å bli tilgjengelige på tvers av Apple-, Google- og Microsoft-plattformer i løpet av det kommende året." Det nye systemet vil motvirke phishing, siden det kreves at enheten du logger inn på, og enheten du bekrefter innloggingen fra, er fysisk i nærheten av hverandre. Det er dermed ingen engangspassord som kan snappes opp av angripere.</p><p>Den nyvalgte presidenten av Costa Rica, Rodrigo Chaves, har erklært nasjonal nødsituasjon etter en bølge av Conti-ransomware-angrep som har vært rettet mot flere offentlige etater i landet. Nyhetsnettstedet BleepingComputer erfarer at Conti har lekket 97% av en 672GB datadump som angivelig inneholder data stjålet fra offentlige etater i Costa Rica. Conti har tidligere krevd $10 millioner dollar fra finansdepartementet, som de har nektet å betale. Senere i måneden ble også helsevesenet i landet angrepet av ransomware-gruppen Hive, men mange spekulerer i at det er Conti-gruppen som står bak også dette angrepet. President Chaves har hevdet at Conti-gruppen har personer på innsiden av offentlige etater i landet.</p><p>Både statsministeren Pedro Sanchez og sikkerhetsministeren Margarita Robles har blitt overvåket ved hjelp av spion-programvaren Pegasus. Telefonene ble infisert i mars og juni 2021 og det har blitt bekreftet at data har blitt eksfiltrert. Spanske myndigheter har startet etterforskning for å sjekke om flere av deres ansatte har fått Pegasus på mobilen. Pegasus utvikles av det Israelske sikkerhetsselskapet NSO group, som hevder at de kun selger programvaren til statlige aktører for å overvåke kriminelle og terrorister. Denne hendelsen føyer seg inn i en rekke lignende hendelser fra det siste året.</p><p>Google TAG (Threat Analysis Group) publiserte en gjennomgang av flere målrettede angrep mot Android-brukere som benyttet seg av zero-day svakheter i 2021. Alle svakhetene ble skaffet til veie av selskapet Cytrox, som solgte dem videre til flere aktører tilknyttet myndigheter i flere land. Google mener at landene Egypt, Armenia, Hellas, Madagaskar, Elfenbenskysten, Serbia, Spania og Indonesia har vært kunder. Svakhetene brukes for å installere overvåkingsprogramvare på mobilene, og retter seg som oftest bare mot et fåtall ofre. Google sin TAG-gruppe følger for tiden over 30 selskaper som driver med salg og kjøp av denne typen svakheter og overvåkingsprogramvare.</p><p>I en ny målrettet phishing-kampanje benytter APT-29, også kjent som Cozy Bear/Nobelium, seg av legitime epost-adresser i målrettede angrep mot diplomater og myndigheter. Adressene som brukes for å sende ut epostene er legitime kompromitterte adresser fra flere forskjellige ambassader. Innholdet i epostene utgir seg for å være politiske oppdateringer, men har vedlegg som eksekverer ondsinnet kode dersom de åpnes. Dersom en klient blir infisert, vil APT 29 ta over brukeren og forsøke å eskalere rettigheter, typisk innen 12 timer. Skadevaren benytter seg av Atlassian Trello for kommunikasjon med kontrollserverne sine, som er en legitim skytjeneste.</p><p>24. februar rapporterte sikkerhetsforskeren med pseudonymet "satya0x" en kritisk feil i Wormhole sin kontrakt på blokkjeden Ethereum til Immunefi. Dersom buggen hadde blitt utnyttet, kunne dette ført til at verdiene til Wormhole sine brukere kunne ha blitt låst for alltid. Samme dagen som buggen ble rapportert, fikset Wormhole svakheten. Vedkommende som meldte fra om svakheten har nå fått utbetalt 10 millioner dollar i finnerlønn, noe som er er ny rekord.</p><p>I mai håndterte TSOC 71 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 65 i april. Denne måneden så vi blant annet en del Android-mobiler med Joker-malware og Mac-maskiner med Shlayer-trojaneren. Vi avdekket også en Windows-maskin som var infisert av informasjons-stjeleren Red Line. Denne malwaren stjeler brukernavn, passord, kredittkortinfo og alt av informasjonskapsler (cookies) som er lagret på PCen.</p><p>Det var 360 bekreftede DDoS-angrep denne måneden, opp fra 293 i april. 124 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.47 Gbps og varte i 15 minutter. Det største angrepet observert i denne perioden var på 22.2 Gbps og varte i 18 minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p><div><br /></div>Jan Roger Wilkenshttp://www.blogger.com/profile/09861491857442015074noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-56368397848622286312022-05-03T10:54:00.000+02:002022-05-03T10:54:04.441+02:00Oppsummering av nyhetsbildet innen datasikkerhet for april 2022<p>Det er blitt oppdaget en ny versjon av Industroyer, som er kjent fra 2016 da Sandworm APT-gruppen kuttet strømmen til deler av Ukraina i et kortere tidsrom. Den nye versjonen av Industroyer er gitt navnet Industroyer2. Industroyer2 ble forsøkt benyttet mot høyspennings-nettet i Ukraina. Det ble også funnet bruk av annen malware som CaddyWiper og flere andre typer wiper-malware, altså programvare som har som formål å ødelegge datautstyr ved å slette data. Ukrainske myndigheter melder at angrepet denne gangen ble stoppet før det fikk gjort noen skade.</p><p>Citizen Lab har funnet nye tilfeller av bruk av overvåkingsprogramvare mot mobiltelefoner for spionasje og overvåking. Den britiske regjeringen har vært utsatt for overvåking ved hjelp av Pegasus fra NSO i 2020 og 2021. Både statsministerens kontor og utenriksdepartementet ble rammet. Myndighetene ble advart om saken. Det skal være De forente arabiske emirater som står bak denne aksjonen. Citizen Lab melder også at 65 katalanske offentlige personer ble rammet av overvåking ved hjelp av verktøyene Pegasus og Candiru. Flere av mobiltelefonene har blitt infisert ved hjelp av en til nå ukjent svakhet i iPhone kalt HOMAGE. Svakheten ble patchet i iOS versjon 13.2.</p><p>Svakere multifaktor-autentisering (MFA), som engangs-passord gjennom SMS eller push varslinger der man er nødt til å trykke en knapp etter push varslingen for å eskalere multifaktor-autentiseringen, har flere ganger blitt utnyttet av Lapsus$ og SolarWinds-hackerne. Lapsus$ har brukt denne metoden til å forbigå autentiseringen hos både Microsoft, Okta og Nvidia de siste månedene. Dette gjelder metoder som å oversvømme målet med push eller link forespørsler over lang tid. Mange innloggingsløsninger har ikke noen begrensning på hvor mange forespørsler som kan sendes, og offeret går til slutt lei og godtar forespørselen eller trykker feil.</p><p>Private meldinger fra Telegram-kanalen til LAPSUS$ viser at de flere ganger brøt seg inn i systemene til T-Mobile fram til mars 2022. Her stjal de data fra flere forskjellige prosjekter, men skal ikke ha fått tak i informasjon tilhørende myndigheter eller kundene til T-Mobile. KrebsOnSecurity har nylig fått tak i logger fra LAPSUS$ sin private Telegram-kanal. Her kommer det fram at gruppen ofte fikk initiell tilgang til systemene ved å kjøpe brukernavn og passord (eller cookies) gjennom russiske markeder. </p><p>I mars 2022 autoriserte justisdepartementet i USA en operasjon for å delvis ta ned botnettet Cyclops Blink. Det er grupperingen Sandworm, som knyttes til den russiske etterretningstjenesten GRU, som står bak botnettet. Cyclops Blink og den tidligere utgaven VPNFilter, brukes av hemmelige russiske tjenester som et privat VPN for å skjule angrep. Botnettet består av tusenvis av enheter fra produsentene Watchguard og Asus. Under operasjonen ble infiserte enheter logget inn på, malwaren fjernet og administrasjons-porten mot internett lukket. Det ble kun ryddet opp i enheter som befant seg i USA.</p><p>CISA, FBI og NSA advarer mot et nytt malwareverktøysett, kjent som Pipedream. Dette er kanskje det mest allsidige verktøyet som noen gang er laget for å målrette angrep mot kritisk infrastruktur som strømnett og oljeraffinerier. Pipedream gjør det mulig for angriperen å kapre enheter, forstyrre eller forhindre adgang for operatører, sette enhetene permanent ut av spill, eller bruke enhetene til å angripe andre deler av kontrollsystemnettverket. Det mistenkes at Russland står bak Pipedream.</p><p>Sikkerhetsforskere fra ESET har oppdaget tre sårbarheter som påvirker flere ulike modeller av Lenovo-maskiner beregnet på forbrukermarkedet. To av disse påvirker maskinvare-drivere i UEFI, som kun skulle vært aktivert når maskinene ble produsert, men som ikke har blitt fjernet. Dermed kan angripere med administrator-rettigheter på maskinen bruke disse driverne til å deaktivere SPI flash protection eller UEFI Secure Boot. Svakhetene kan brukes til å legge inn bakdører som nesten ikke lar seg oppdage og er svært vanskelige å slette. Én av driverne heter til og med SecureBackDoor.</p><p>Tysk politi har tatt ned russiskspråklige Hydra, verdens største handelssted på det mørke nettet for å hvitvaske penger og selge narkotika. Det estimeres at Hydra hadde økonomisk aktivitet på over 1 milliard dollar i 2020. Tysk politi konfiskerte serverne som ble brukt og beslagla også kryptovaluta verdt over $25 millioner.</p><p>I april håndterte TSOC 65 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 128 i mars. Denne måneden er det mange av de vanlige hendelsene som går igjen, infeksjon av forskjellige typer adware på mobiler/PCer, utvinning av kryptovaluta på infiserte PCer samt en del mobiler med Joker-trojaneren installert.</p><p>Det var 293 bekreftede DDoS-angrep denne måneden, opp fra 212 i mars. 88 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.35 Gbps og varte i 23 minutter. Det største angrepet observert i denne perioden var på 50.8 Gbps og varte i 18 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p>Jan Roger Wilkenshttp://www.blogger.com/profile/09861491857442015074noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-65495538253848776992022-04-05T10:52:00.005+02:002022-04-05T10:52:47.193+02:00Oppsummering av nyhetsbildet innen datasikkerhet for mars 2022<p>Det ukrainske cyberpolitiet, som nå engasjerer seg i cyberkrigføring, hevder at flere viktige russiske nettsteder og statlige nettportaler har blitt tatt ned av angrep. Etter invasjonen fra Russland bestemte Ukrainske embetsmenn seg for å danne en spesiell "IT-hær" som består av frivillige hackere fra hele verden. Medlemmer av styrken har siden invasjonen angrepet nettressursene til Russland og Hviterussland. Flere russiske nettsteder tilhørende myndigheter og banker har gått ned og data fra flere offentlige nettsteder har blitt lekket. Gruppen oppdaterer en liste med mål som deles offentlig. På den andre siden melder Google om flere målrettede angrep mot ukrainske myndighetspersoner, blant annet fra den kjente grupperingen Fancy Bear/APT-28.</p><p>Det amerikanske satellitt-firmaet Viasat Inc har etterforsket et cyberangrep etter delvis utfall for bredbåndstjenester via KA-SAT-nettverk for Ukraina og andre europeiske land. Utfallet i tjenesten sammenfalt med Russlands invasjon av Ukraina. Etterforskningen viste at uvedkommende hadde fått tilgang til driftsnettverket til Viasat, lastet opp destruktiv malware (wiper) kalt “AcidRain” til over 10.000 modemer og deretter sendt en kommando til alle modemene for å få dem til å slette seg selv. Dette er det mest alvorlige cyberangrepet så langt i forbindelse med Russlands invasjon av Ukraina.</p><p>Denne måneden har hacker-gjengen Lapsus$ herjet på Internett. Den kjente hardware-leverandøren Nvidia ble hacket, og persondata til mer enn 71.000 ansatte ble lekket. Senere i måneden ble Microsoft rammet, og kildekode til Cortana og Bing ble lagt ut offentlig. Sertifikater for å signere kode ble også stjålet fra både Nvidia og Microsoft og brukt til å signere malware, for å gjøre det lettere å bryte seg inn hos andre mål. Samsung ble også offer for banden, og det ble lagt ut 190GB med kildekode, blant annet algoritmene til deres biometriske ID-system, kildekode fra Qualcomm og all kildekode for autentisering og verifisering av Samsung-brukere</p><p>Lapsus$ bryter seg for det meste inn hos sine ofre ved hjelp av sosial manipulering. De prøver også å rekruttere innsidere til å gi dem tilgang til interne nettverk hos store bedrifter. Etter å ha fått tak i intern informasjon, driver de med utpressing mot bedriftene for å la være å offentliggjøre stjålen informasjon. Mot slutten av måneden ble to britiske tenåringer tiltalt for å være medlemmer av Lapsus$-banden. Det har imidlertid i ettertid fortsatt kommet kommunikasjon fra gruppen, og den har antakelig flere medlemmer i flere land.</p><p>Verdens største bilprodusent, Toyota, så seg nødt til å stoppe all produksjon av nye biler i Japan i over ett døgn i starten av mars. Dette skjer etter at Toyotas underleverandør Kojima Industries ble kompromittert. Toyota har selv flere ganger blitt kompromittert av hackere de siste årene. I 2019 ble 3.1 millioner brukerdata kompromittert, samt at de ble rammet av en større svindelsak som kostet Toyota 37 millioner USD.</p><p>Natt til torsdag 17. mars ble IT-systemene til bilforhandler-kjeden Mobile utsatt for et angrep som resulterte i at minst 30 bilbutikker ikke hadde fungerende IT-systemer. Angrepet skal stamme fra Russland, og det har så langt ikke ikke kommet frem om kundedata er lekket. Mot slutten av måneden hadde Mobile fortsatt ikke fått opp igjen alle sine datasystemer, blant annet fungerte ikke epost som det skal.</p><p>Apple og Meta har ved flere tilfeller gitt ut brukerinformasjon til hackere som ga seg ut for å være politietterforskere fra forskjellige land, forteller tre personer som har kunnskap om saken til Bloomberg. Brukerinformasjonen som ble gitt ut var informasjon som adresse, telefonnummer og IP-adresse. Hackerne hadde først kompromittert e-post-kontoene til politietterforskerne, før de sendte henvendelsene. Det var derfor vanskelig for mottakerne å avsløre svindelen.</p><p>Nordkoreanske hackere har utnyttet en ukjent (zero-day) svakhet i Chrome i opptil en måned før en sikkerhetsoppdatering ble tilgjengelig 14. februar. Angrepene var rettet mot nyhetsmedier, IT-selskaper, kryptobørser og selskaper som står for bankløsninger. Den skadelige koden ble levert både via eposter, falske nettsteder og kompromitterte legitime nettsider. Nord-Korea er ofte ute etter å stjele penger eller kryptovaluta i sine angrep, for å omgå sanksjonene som er rettet mot dem.</p><p>Etter en PST-etterforskning viser det seg at hackere tok seg målrettet inn i e-posten til en rekke nordområde-forskere i 2020. PST, Etterretningstjenesten, og Nasjonal sikkerhetsmyndighet har trukket fram Russland som en betydelig trusselaktør i sine siste trusselvurderinger. NRK skriver at de har opplysninger som tyder på at det er Russland som står bak angrepet. Myndighetene har ikke klart å finne konkrete personer som står bak, og dermed henlegges saken.</p><p>Ukjente tyver har kommet seg unna med Ethereum og USDC (kryptovaluta) verdt over 5 milliarder kroner fra blokkjede-plattformen Ronin Network. Tyveriet skjedde 23. mars, men ble ikke oppdaget før 6 dager senere. Angrepet rettet seg mer spesifikt mot Ronin Bridge, som er en bro-tjeneste for å overføre verdier mellom ETH- og Ronin-blokkjeden. Ronin brukes primært av det populære blokkjede-baserte spillet Axie Infinity.</p><p>I mars håndterte TSOC 128 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 67 i februar. Denne måneden var det mange Android-mobiler som var infisert av malwaren TangleBot. Denne malwaren kan få full tilgang til mobilen og hente ut personlige data som meldinger, bilder og spore posisjonen til brukeren. Malwaren blir typisk installert på mobilen av brukeren selv, etter at vedkommende har blitt lurt til å trykke på en lenke i en nettside eller SMS.</p><p>Det var 212 bekreftede DDoS-angrep denne måneden, opp fra 141 i februar. 18 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.4 Gbps og varte i 29 minutter. Det største angrepet observert i denne perioden var på 48.9 Gbps og varte i 7 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p><div><br /></div>Jan Roger Wilkenshttp://www.blogger.com/profile/09861491857442015074noreply@blogger.com0tag:blogger.com,1999:blog-1799882832278001071.post-51309771977892970162022-03-04T09:36:00.005+01:002022-03-04T09:36:52.486+01:00Oppsummering av nyhetsbildet innen datasikkerhet for februar 2022<p>Allerede 16. februar ble det meldt om flere bølger med DDoS-angrep mot nettsidene til myndigheter og banker i Ukraina. Blant annet ble forsvarsdepartementet og bankene PrivatBank and Oschadbank rammet. Like før Russland invaderte Ukraina, meldte ESET og Symantec fra om flere typer wiper-malware, altså malware som sletter systemene de kjører på, rettet mot myndighetsorganer i landet. Malwaren spredte seg kun internt i nettene som ble rammet, og det har så langt ikke vært spredning eller store hendelser på utsiden av Ukraina. I forbindelse med invasjonen ble det også opprettet flere falske nettsider som ga seg ut for å være styrt av ukrainske myndigheter, men som i virkeligheten infiserte besøkende med malware og spredte desinformasjon.</p><p>Dagen etter invasjonen ga NCSC i Norge (Nasjonalt Cybersikkerhetssenter) ut et oppdatert situasjonsbilde med tilhørende anbefalinger. Med bakgrunn i den svært uoversiktlig situasjonen og observasjoner av skadevare i Ukraina, vurderte de risikonivået for norske virksomheter som forhøyet. De ga også ut en liste over prioriterte tiltak som virksomheter kan iverksette i en skjerpet sikkerhetssituasjon som den vi nå er i.</p><p>Etter invasjonen spurte det ukrainske cyber-politiet om hjelp til å angripe utvalgte russiske statlige mål. Enkeltpersoner og hacktivist-grupper fra hele verden meldte seg snart til tjeneste, og flere russiske nettaviser og myndighetssider gikk ned eller fikk byttet ut innholdet med anti-krigs-informasjon. Den kjente russiske ransomware-gruppen Conti meldte på sin side at alle cyber-angrep mot Russland ville bli møtt med hevn fra deres side. Et medlem av Conti-gruppen reagerte imidlertid sterkt på uttalelsen, og slapp store mengder interne chatte-logger og verktøy som hevn. Sikkerhetseksperter har i etterkant fått mye nyttig informasjon ved studere disse loggene.</p><p>Swissport er et firma som tilbyr forskjellige tjenester innenfor luftfart på 310 flyplasser. De ble angrepet tidligere i februar, noe som førte til kansellerte og forsinkede fly, samt andre driftsforstyrrelser. Den nye ransomware-gruppen BlackCat (ALPHV) har siden tatt på seg ansvaret for angrepet og har lagt ut en mindre mengde interne data. Aktøren påstår ha kopiert ut 1.6TB data som de truer med å offentliggjøre, dersom ikke løsepengene blir betalt. Det amerikanske frakt og logistikk-firmaet Expeditors International ble også rammet av cyber-angrep i februar og måtte stenge ned deler av virksomheten.</p><p>Microsoft skal om kort tid blokkere Visual Basic for Applications (VBA) makroer som standard på en rekke Office-produkter. Endringen vil gjelde Office-filer som er lastet ned fra Internett og som inneholder denne typen makroer. Dette vil føre til at brukere ikke lengre kan kjøre makroer med et enkelt tastetrykk. Dette gjøres for å demme opp av bølgen av eposter som fører til nedlasting av malware til PCer ved hjelp av makroer i i falske dokumenter. Dette har lenge vært en av de mest populære måtene å infisere Windows-PCer på, og trusselaktørene vil måtte finne seg nye metoder for å oppnå tilgang.</p><p>Natt til 8. februar gikk en stor del av kundetjenestene til Vodafone Portugal offline over natten etter et bevisst og ondsinnet nettangrep. Tjenester for mobildata, tale og TV gikk ned. Selskapet gjenopprettet dagen etter mobil tale og datatjenester over 3G-nettet i nesten hele landet, mens andre tjenester tok flere døgn å gjenopprette. Vodafone får hjelp både lokalt og internasjonalt i det som for øyeblikket er den største cybersikkerhetshendelsen selskapet noen gang har håndtert. Selskapet samarbeider med myndighetene og basert på nåværende opplysninger ser det ikke ut til at kundedata er kompromittert.</p><p>I 2021 fortsatte Mandiant Threat Intelligence å observere ransomware-operatører som forsøkte å presse tusenvis av ofre ved å analysere flere terabyte med stjålet informasjon. Operatørene legger ofte ut denne typen informasjon på egne "lekkasje-nettsider". Dette påvirket over 1300 organisasjoner fra kritisk infrastruktur og industriell produksjonssektor på bare ett år. I ett av syv tilfeller med lekkasje av interne data, befant det seg informasjon om kritiske prosesstyringsystemer blant dataene. Dette er informasjon som avanserte aktører kan komme til å bruke til spesielt skadelige angrep senere.</p><p>Angrepet på kryptobørsen Bitfinex i 2016 ble oppklart denne måneden! Amerikanske myndigheter beslagla rundt 3,6 milliarder dollar i Bitcoin etter et gjennombrudd i saken. Dette er det største økonomiske beslaget noensinne og to personer ble arrestert, siktet for hvitvasking av penger. De to personene hadde lagret de kryptografiske nøklene til alle verdiene på en skytjeneste, som myndighetene enkelt fikk tilgang til.</p><p>I februar håndterte TSOC 67 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 138 i januar. Maskiner som utvinner kryptovaluta er fortsatt dominerende. Denne måneden har vi også hatt noen tilfeller av Android mobiler infisert av TangleBot, som gir angriperen full tilgang til å overvåke mobiltelefonen. </p><p>Det var 141 bekreftede DDoS-angrep denne måneden, ned fra 203 i januar. 64 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 8.45 Gbps og varte i 30 minutter. Det største angrepet observert i denne perioden var på 288 Gbps og varte i én time. Én av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.</p>Jan Roger Wilkenshttp://www.blogger.com/profile/09861491857442015074noreply@blogger.com0