Situasjonsrapport fra Telenor SOC - oktober 2024

 Alvorlige hendelser
I oktober håndterte TSOC 9 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 28 i september.

DDoS-angrep
Det var 142 bekreftede DDoS-angrep denne måneden, opp fra 136 i september. 81 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 13.2 Gbps og varte i 19 minutter. Det største angrepet observert i denne perioden var på 278 Gbps og varte i 12 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden. 

Denne måneden opplevde vi et aggressivt DDoS-angrep mot en av våre kunder. Angrepet var ikke så stort i volum, kun 2.5Gbps, men det bestod av en lang rekke små pakker, såkalte SYN-pakker, som normalt brukes for å opprette nye sesjoner. I stedet for å angripe bare én adresse hos kunden, som er det normale, ble 255 adresser angrepet samtidig. Et stort antall angrepspakker mot en rekke samtidige mål kan være ekstra ressurskrevende for nettverksutstyr og servere.

Angrepet ble mitigert ved å midlertidig blokkere en del geografiske regioner som stod bak mesteparten av angrepstrafikken, såkalt geo-blokkering. Denne typen blokkering blir gjort ved hjelp av forhåndsdefinerte lister over hvilke nettverk som tilhører forskjellige land/regioner.

I det siste har det vært et oppsving i DDoS-angrep mot finans-institusjoner i Norge. Nordea uttalte for eksempel til VG i oktober at de hadde vært utsatt for et større angrep i 25 dager. Også bankens søsterfilialer i andre nordiske land er rammet. Det er uklart hva motivet er eller hvem som står bak angrepene.

Nyhetsoppsummering
Europol ledet en global aksjon mot ransomware-syndikatet “LockBit”, som har stått bak over 1,800 ransomware-angrep over hele verden. I samarbeid med politimyndigheter fra USA, Storbritannia, Frankrike, Spania og flere andre land, resulterte operasjonen i arrestasjonen av fire nøkkelmedlemmer samt beslag av IT-infrastruktur som ble brukt av syndikatet. Myndigheter mener at grupperingen har tjent over 1 milliard USD i løpet av de fire årene de var aktive. Operasjonen var en del av "Operation Cronos", og myndighetene innførte sanksjoner mot tilknyttede personer. Europol har støttet utviklingen av dekrypteringsverktøy og støtter også ofre gjennom "No More Ransom"-prosjektet. I samarbeid med japansk politi, UK’s National Crime Agency, og FBI er disse verktøyene tilgjengelige gratis på nomoreransom.org.

CERT-UA har avdekket en sofistikert phishingkampanje som retter seg mot offentlige etater, industri og militære enheter i Ukraina og allierte land. Angriperne sender ut e-poster som utgir seg for å handle om integrasjon av Amazon- og Microsoft-tjenester og implementering av Zero Trust Architecture. De vedlagte RDP-filene etablerer i virkeligheten utgående Remote Desktop-forbindelser til angripernes servere. Når disse filene åpnes, får angriperne omfattende tilgang til offerets datamaskinressurser, inkludert lokale disker, nettverksressurser, skrivere og mulighet til å kjøre uautoriserte programmer. Analyser tyder på at forberedelsene til cyberangrepene startet allerede i august 2024, noe som indikerer en godt planlagt operasjon. Vi anbefaler å blokkere .rdp-filer i eposter, begrense tilgang til verktøyet der det ikke er nødvendig og sette opp group policies for å hindre redirigering av lokale ressurser via RDP-sesjoner.

Politimyndigheter i flere land tok i oktober ned informasjons-stjelerne Redline og Meta i "Operation Magnus". USA tok ut tiltale mot en russisk statsborger de mener er utvikleren bak Redline-malwaren. Det har også kommet fram at nederlandsk politi har tatt beslag i tre servere i Nederland. Belgisk politi har arrestert to personer i forbindelse med aksjonen, som skal være Redline-kunder. Sikkerhetsfirmaet ESET har lansert en scanner som kan lastes ned for å sjekke om en maskin har vært påvirket av en informasjons-stjeler. Firmaet har også hjulpet til i forbindelse med aksjonen. Det har i løpet av det siste året vært et oppsving i bruk av informasjons-stjelere. Informasjonen som blir stjålet, gjerne fra private PCer, legges ut for salg og brukes ofte til å få gyldige kontoer hos både større firmaer og myndigheter.

The Internet Archive er et nettsted som arkiverer innhold fra Internet og tar var på dette for ettertiden. Nettstedet har vært rammet av et datainnbrudd via et sårbart Javascript-bibliotek. Via svakheten har uvedkommende fått tilgang til systemene og har blant annet lastet ned en database med oversikt over de 31 millioner registrerte brukerne. Nettstedet har også vært utsatt for store DDoS-angrep de siste ukene. Det er ukjent hvem som står bak angrepene, men mange er imot tjenesten siden den lagrer “snapshots” av nettsteder som det i ettertid er vanskelig å få fjernet. Tjenesten "Have I Been Pwned" har blitt oppdatert med de kompromitterte epost-adressene.

Microsoft har varslet noen kunder om at de mangler over to uker med sikkerhetslogger for noen av deres skytjenester. Feilen oppsto mellom 2. og 19. september i en intern overvåkingsagent. Berørte tjenester inkluderer Microsoft Entra, Sentinel, Defender for Cloud og Purview. Microsoft understreker at loggtapet ikke skyldes en sikkerhetshendelse, men kan påvirke kunders evne til å analysere data, oppdage trusler og generere sikkerhetsvarslinger. Selskapet har løst problemet ved å rulle tilbake en endring i sine systemer og har varslet de berørte kundene om hendelsen.

Forskere fra ESET har avdekket at svindlernettverket Telekopye har utvidet sin virksomhet til å angripe brukere av populære booking-plattformer som Booking.com og Airbnb. Svindlerne bruker kompromitterte kontoer tilhørende legitime hoteller og utleiere for å målrettet svindle brukere som nylig har booket opphold, men ennå ikke har betalt. De sender phishing-e-poster som hevder det er problemer med betalingen og leder ofrene til godt utformede, falske nettsider som etterligner de ekte plattformene med kundens ekte informasjon inkludert. Denne typen svindel har hatt en skarp økning i 2024, særlig i sommermånedene. Politiet i Tsjekkia og Ukraina har arrestert flere cyberkriminelle knyttet til Telekopye i to felles operasjoner sent i 2023.

Situasjonsrapport fra Telenor SOC - september 2024

Alvorlige hendelser
I september håndterte TSOC 28 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 24 i august.

Denne måneden ble Telenor og flere av våre kunder utsatt for et relativt avansert phishing-angrep. Phishing-epostene ble sendt ut fra kompromitterte kontoer hos norske firmaer, typisk firmaer som har med økonomi og regnskap å gjøre. Mottakeren ble bedt om å trykke på en lenke i eposten for å laste ned fakturaen.I stedet for å få opp en faktura, dukker det opp en phishing-side som ber offeret om å logge inn med sin Microsoft-konto. Phishing-siden er egentlig en proxy, den gjenspeiler altså en ekte innloggings-side hos Microsoft, men manipulerer og lagrer det som blir sendt igjennom den. Bakmennene kan derfor snappe opp både brukernavn, passord, engangspassord og innloggings-nøkkel (cookie).

Det som skiller denne kampanjen fra tidligere kampanjer, er at svindlerne etter å ha fått tak i innloggings-detaljene, forsøker å logge på Microsofts skytjenester fra en norsk IP-adresse. Normalt har Microsoft logikk for å sjekke om en innlogging kommer fra omtrent den samme lokasjonen som den forrige innloggingen til brukeren.Dersom brukeren i løpet av kort tid logger på fra en helt annen del av verden, vil påloggingen bli stoppet eller brukeren må oppgi ekstra detaljer for å få logget inn. Ved å benytte seg av en VPN-node i Norge klarer angriperne å omgå denne logikken.

Siden angriperne omgikk både tofaktor-autentisering og sjekk på hvor brukeren logget på fra geografisk, var kampanjen uvanlig effektiv. Flere norske firmaer ble rammet ved at én eller flere brukere ble kompromittert.

Motivet til bakmennene kan variere i forbindelse med denne typen phishing-kampanjer. Ofte vil de ha tak i kontoer for å spre svindelen videre, ved å sende ut flere phishing-eposter. Noen ganger kartlegger de epost-korrespondansen til offeret og bruker dette til å sende ut falske fakturaer for å lure til seg penger. Andre ganger kan de stjele sensitiv informasjon for deretter å presse bedriften for penger. Mange av kampanjene benytter seg av en kommersiell phishing-tjeneste med ferdige maler og infrastruktur, noe som gjør det hele svært enkelt å gjennomføre.

For å motvirke denne typen angrep bør virksomheter innføre phishingresistent autentisering eller kun tillate pålogging fra innrullerte enheter.

DDoS-angrep
Det var 136 bekreftede DDoS-angrep denne måneden, opp fra 124 i august. 68 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 7.85 Gbps og varte i 27 minutter. Det største angrepet observert i denne perioden var på 90 Gbps og varte i to timer. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden. 

Nyhetsoppsummering
Trusselaktøren "Salt Typhoon", med antatte forbindelser til den kinesiske regjeringen, har i følge amerikanske myndigheter nylig brutt seg inn hos flere amerikanske ISPer som Verizon og AT&T. Kampanjen har som mål å stjele sensitiv informasjon, og er en del av en større trend med kinesiske angrep rettet mot kritisk infrastruktur i USA. Trusselaktøren skal blant annet ha fått tilgang til de interne systemene for å overvåke brukere i forbindelse med pålegg fra domstoler. Det er også avdekket et nettverk med over 200 000 enheter, inkludert rutere, kameraer og andre internett-tilkoblede enheter som ble brukt av en annen kinesisk trusselaktør kalt Flax Typhoon. FBI-direktør Christopher Wray har advart om Kinas kapabiliteter, og amerikanske myndigheter har gjentatte ganger advart om kinesiske datainnbrudd. I følge dem er dette sannsynligvis bare «toppen av isfjellet» på grunn av trusselaktørenes sofistikerte angrepsmetodikker. Kinesiske myndigheter har benektet anklagene om angrep.

I august satte angripere opp en målrettet kampanje mot ansatte i firmaet Lowe's, for å høste inn brukernavn og passord. Angriperne kjøpte annonser fra Google i forbindelse med treff på søkeordet "MyLowesLife", som er navnet på firmaets interne portal. Dersom en ansatt trykket på de sponsede resultatene, ble vedkommende sendt til en phishing-side som var lik den vanlige portal-innloggingen til firmaet. Phishing-siden samlet inn brukernes brukernavn, passord og svar på sikkerhetsspørsmål før de ble videresendt til den faktiske MyLowesLife-nettsiden. Saken viser nok en gang hvor viktig det er med phishing-resistent autentisering.

En internasjonal politioperasjon har slått til mot et forbryternettverk som siden 2018 har spesialisert seg på å låse opp stjålne mobiltelefoner. Banden har kontrollert et automatisk phishing-system med en mengde sider som ga seg ut for å være forskjellige mobiltjenester. Tjenesten ble brukt av tyver via mellommenn for å låse opp mobiltelefoner etter at de var stjålet, ved å lure de egentlige eierne av mobilene til å gi fra seg personlig informasjon og passord.

En internasjonal koalisjon ledet av Europol og Eurojust har lykkes i å ta ned en kryptert kommunikasjonsplattform kalt "Ghost", som ble brukt av organiserte kriminelle nettverk verden over. Plattformen muliggjorde sikker kommunikasjon for kriminelle aktiviteter som narkotikahandel, hvitvasking og voldelige handlinger. Operasjonen involverte ni land og resulterte i 51 arrestasjoner, beslag av over 1 million euro i kontanter, samt våpen og narkotika. Aksjonen avslører et fragmentert landskap for kryptert kommunikasjon, der kriminelle aktører stadig søker nye tekniske løsninger for å unngå overvåkning.

Justisdepartementet i USA har beslaglagt 32 internettdomener som ble brukt i en russisk statssponset påvirkningskampanje kalt "Doppelganger". Operasjonen, styrt av den russiske presidentadministrasjonen, spredte propaganda for å redusere støtten til Ukraina, fremme pro-russiske interesser og påvirke velgere i USA og andre land. Kampanjen benyttet seg av metoder som betaling til Youtube-profiler for å lage innhold, AI-generert innhold, betalte annonser på sosiale medier og falske profiler for å spre desinformasjon. Som en del av aksjonen har det amerikanske finansdepartementet også innført sanksjoner mot 10 personer og 2 enheter involvert i påvirkningsoperasjonen. CNN melder at den russiske operasjonen finansierte et amerikansk firma kalt "Tenet Media" i USA, som igjen betalte flere amerikanske Youtube-kommentatorer for å støtte russiske interesser.

Situasjonsrapport fra Telenor SOC - august 2024

Alvorlige hendelser
I august håndterte TSOC 24 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 8 i juli. 

Denne måneden ble en ansatt hos en av våre kunder lurt til å laste ned skadevare kalt “Lumma Stealer”. Den ansatte søkte først etter programvare vedkommende ville laste ned. I stedet for å bli sendt til den ekte siden for nedlasting, ble den ansatte sendt til en side som var en kopi av den ekte. Her blir besøkende bedt om å løse en CAPTCHA for å bevise at de ikke er et dataprogram. I stedet for en vanlig captcha der en typisk skal skrive inn nærmeste uleselige bokstaver eller velge hvilke deler av et bilde som er trafikklys, blir brukeren bedt om å åpne en Windows kommandolinje ved å trykke “Windows-tast + R”, kopiere inn tekst som allerede har blitt lagt i utklippstavlen og trykke “enter”.

For de fleste vanlige brukere vil teksten som blir kopiert inn se meningsløs ut, men i virkeligheten blir PowerShell bedt om å kjøre en rekke kommandoer som igjen ber det det legitime Windows-programmet “mshta” om å laste ned en .exe-fil med “Lumma Stealer” som så startes. Siden nedlastingen skjer fra et kommandolinje-verktøy, får brukeren heller ikke hjelp av innebygget deteksjon av skadevare i nettleseren. Lumma Stealer kontakter øyeblikkelig sin kontroll-server og henter ned kommandoer om hva den skal foreta seg videre. Som oftest blir skadevaren bedt om å samle alt av brukernavn, passord, sesjonsnøkler, krypto-lommebøker, lagrede kredittkort osv. og sende dette til bakmennene.

Dersom en mistenker infeksjon av denne typen skadevare, bør PCen slettes og installeres på nytt. Brukeren bør også øyeblikkelig begynne å kartlegge hva slags informasjon som kan ha blitt stjålet, og bytte passord, stenge kredittkort osv. Vi anbefaler å kun tillate kjøring av forhåndsgodkjent programvare på bruker-PCer. Brukere bør også læres opp til aldri å kopiere inn tekst fra nettleseren til kommando-linjen.

DDoS-angrep
Det var 124 bekreftede DDoS-angrep denne måneden, opp fra 110 i juli. 57 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 7.36 Gbps og varte i 17 minutter. Det største angrepet observert i denne perioden var på 131 Gbps og varte i 36 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden. 

Nyhetsoppsummering
Denne måneden inneholdt Microsofts månedlige oppdatering oppdateringer for 92 svakheter. I tillegg ble seks av disse svakhetene allerede utnyttet i pågående angrep. Spesielt én av svakhetene fikk stor oppmerksomhet, en kritisk feil i Windows sin håndtering av IPv6-pakker (CVE-2024-38063). Denne svakheten var heldigvis ikke én av dem som allerede ble aktivt utnyttet, men til gjengjeld kunne den i teorien brukes til å utvikle en Internett-orm, altså programvare som automatisk sprer seg fra maskin til maskin. Microsoft anbefalte hurtig patching, og dersom dette ikke var mulig å sperre for IPv6-trafikk til sårbare maskiner. I løpet av august ble svakheten heldigvis ikke utnyttet og ting kan tyde på at den er vanskeligere å utnytte i praksis enn først ventet.

Det amerikanske justisdepartementet har siktet Matthew Isaac Knoot fra Nashville for å ha hjulpet nordkoreanske IT-arbeidere med å få fjernarbeid hos amerikanske og britiske selskaper. Knoot skal ha brukt stjålne identiteter og opprettet en “laptop farm” for å gi nordkoreanerne tilgang til selskapenes systemer, noe som resulterte i inntekter på hundretusener av dollar som ble sendt til Nord-Korea. Denne svindelen har påført de berørte selskapene betydelige kostnader for å revidere og sikre sine systemer. Justisdepartementet advarer nå selskaper om å være ekstra årvåkne ved ansettelse av fjernarbeidere, spesielt fra land med høy risiko. Det er viktig å utføre detaljerte fysiske intervjuer og ha nøye sjekk av identiteten til innleide.

Det nasjonale instituttet for standarder og teknologi (NIST) i USA har publisert tre nye krypteringsalgoritmer designet for å motstå fremtidige angrep fra kvantedatamaskiner. Standardene, som er resultatet av et åtte år langt prosjekt, dekker generell kryptering og digitale signaturer. FIPS 203, basert på CRYSTALS-Kyber-algoritmen, er ment for generell kryptering, mens FIPS 204 og FIPS 205 er designet for digitale signaturer, basert på henholdsvis CRYSTALS-Dilithium og Sphincs+ algoritmene. NIST oppfordrer organisasjoner til å begynne å implementere disse standardene umiddelbart, selv om ytterligere backup-algoritmer fortsatt er under evaluering.

Det er nylig oppdaget en sårbarhet i Microsoft 365 Copilot. Sårbarheten utnytter en kombinasjon av avanserte angrepsmetoder; "prompt-injection", automatisk oppstart av verktøy og "ASCII-smugling". Angrepet begynner ved at en angriper sender en ondsinnet e-post som inneholder skjulte AI-instruksjoner. Når Copilot analyserer e-posten vil Copiloten bli tatt over av instruksjonene, og begynne å utføre angriperens ønskede kommandoer. Det er blant annet vist hvordan instruksjonene kan søke etter sensitive e-poster eller dokumenter, og skjule denne informasjonen i skjulte Unicode-tegn i en hyperlenke. Brukeren blir deretter lurt til å klikke på lenken, som sender de stjålne dataene til angriperen. Sårbarheten utgjør en betydelig risiko for lekkasje av informasjon, og det er blitt anbefalte flere tiltak for å motvirke slike angrep. Microsoft påstår de har adressert sårbarheten, selv om de nøyaktige detaljene rundt løsningen ikke er offentliggjort.

Microsoft Threat Analysis Center (MTAC) rapporterer om en økning i utenlandsk påvirkning rettet mot det amerikanske presidentvalget i 2024, med Russland og Iran som hovedaktører. Irans cyberbaserte påvirkningsoperasjoner har blitt mer fremtredende de siste månedene, og skiller seg fra russiske kampanjer ved å fokusere mer på selve gjennomføringen av valget enn å påvirke velgerne. MTAC overvåker også bruken av generativ kunstig intelligens (KI) i påvirkningskampanjer, men observerer at mange aktører går tilbake til tradisjonelle teknikker som digital manipulasjon og misbruk av kjente varemerker eller logoer. Nettstedet Politico meldte også at de hadde mottatt lekkasjer i form av interne eposter fra Trump-kampanjen. Senere i måneden bekreftet Trump-medarbeidere at de hadde vært utsatt for et dataangrep, og at de mente at Iran stod bak angrepet. Dette er så langt ikke bekreftet, men FBI etterforsker saken.

En ny phishing-kampanje retter seg mot bankkunder i Tsjekkia, Ungarn og Georgia ved å bruke falske bankapper som er nesten identiske med de legitime appene. Hackerne brukte automatiserte talemeldinger, SMS og sosiale medier-annonser for å lure brukere til å installere ondsinnet programvare på Android- og iOS-enheter fra tredjeparts nettsteder. De skadelige appene er av typen progressive webapplikasjoner (PWA), som oppfører seg som ekte mobilapper og gir angripere tilgang til mikrofon, geolokasjon og kamera. Disse appene er egentlig bygget opp som en vanlig nettside og fungerer på tvers av en rekke operativsystemer. Angriperne satte også opp nettsider som simulerte app-butikker, for å lure ofrene til å tro at de hadde lastet ned ekte vare.

Situasjonsrapport fra Telenor SOC - juli 2024

Alvorlige hendelser
I juli håndterte TSOC 8 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 19 i juni. Det er vanlig at antallet hendelser reduseres under sommerferien, ettersom færre ansatte er på jobb og det skjer mindre hos kundene våre.

Sommermåneden juli forløp relativt rolig på Telenor SOC. Den 11. juli ble imidlertid noen av Telenors nettsteder rammet av et relativt kraftig DDoS-angrep, noe som førte til treghet for kundene som brukte nettsidene. En kjent russisk hacktivist-gruppe tok på seg ansvaret for angrepet mot Telenor, samt noen andre norske nettsteder, i deres Telegram-kanal. Motivet for angrepet var Norges støtte til Ukraina. Angrepstrafikken ble raskt filtrert bort og nettsidene ble tilgjengelige igjen.

Denne typen politisk motiverte angrep fra forskjellige grupperinger har etter hvert blitt vanlig. Det er mange aktive grupper, og målene for angrepene endres ofte. De fleste større selskaper har heldigvis fått på plass effektive systemer eller tjenester for å raskt filtrere bort angrepstrafikken.

DDoS-angrep
Det var 110 bekreftede DDoS-angrep denne måneden, ned fra 115 i juni. 51 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 6.3 Gbps og varte i én time. Det største angrepet observert i denne perioden var på 91 Gbps og varte i 11 minutter. To av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden. 

Nyhetsoppsummering
Den største hendelsen innenfor cybersikkerhet i juli var ikke forårsaket av en trusselaktør, men av en leverandør av sikkerhetsprogramvare. En feilaktig oppdatering fra cybersikkerhetsselskapet CrowdStrike levert fredag 19. juli, førte til at Windows-maskiner over hele verden krasjet. Dette skyldtes en feil i en kjerne-driver i produktet, levert gjennom en automatisk deteksjons-oppdatering. De påvirkede maskinene ble stående fast i en “Blue Screen of Death”-feilmelding, og måtte startes opp i “Safe Mode” for å fikses. Dette er en manuell prosess som må gjøres på hver enkelt maskin, og mange maskiner måtte også ha en spesiell BitLocker gjenopprettingsnøkkel. Det ble rapportert om tekniske problemer fra en rekke sektorer, inkludert flyselskaper, banker og mediehus over hele verden. Microsoft anslo at 8.5 millioner Windows-systemer ble påvirket av den feilaktige oppdateringen fra CrowdStrike.

Microsoft poengterte etter hendelsen at restriksjoner pålagt av EU-kommisjonen kan ha forsterket problemene med Windows-systemene. Selskapet peker på en avtale fra 2009 som krevde at Microsoft gir sikkerhetsleverandører samme tilgang til Windows som selskapet selv har. Denne avtalen, som skulle fremme konkurranse, kan gjøre det enklere for tredjepartsleverandører å forstyrre systemer ved en feil, siden de har full tilgang til kjernen i systemet.

I en gjennomgang etter hendelsen, avslørte CrowdStrike at det var en feil i et system for å teste programvareoppdateringer som var årsaken. Selskapet har lovet å forbedre sine rutiner og gjøre mer fullstendige tester før oppdateringer. Utrulling av oppdateringer skal også gjøres puljevis i framtiden. Etter hendelsen estimerte forsikringsselskapet Paramtrix at amerikanske firmaer hadde tapt $5.4 milliarder. Flere firmaer forbereder nå søksmål mot sikkerhetsfirmaet.

Fredag 12. juli avslørte AT&T at de hadde blitt rammet av et datainnbrudd i april 2024. Innbruddet har blitt knyttet til en amerikansk hacker bosatt i Tyrkia, som angivelig har fått 370.000 dollar i løsepenger for å sikre at den stjålne informasjonen ble slettet. Informasjon fra samtlige av AT&T sine kunder ble stjålet, og dataene inkluderte blant annet oversikt over samtaler og tekstmeldinger fra mai 2022 til januar 2023. Selskapet opplyste at ingen sensitive personopplysninger, som innholdet av samtaler eller tekstmeldinger, ble kompromittert. AT&T sine data ble stjålet fra en tredjeparts skyplattform. Mest sannsynlig dreier det seg om en kompromittert kundekonto hos selskapet Snowflake, som brukes av mange firmaer for å analysere interne data. Hackere har i de siste månedene brutt seg inn i Snowflake-kontoer tilhørende en rekke teknologi-selskaper.

TeamViewer ble utsatt for et datainnbrudd fra den russiske aktøren APT-29, også kjent som Cozy Bear og Midnight Blizzard. Aktøren forbindes med den russiske militære etterretningstjenesten SVR. Innbruddet ble gjort ved å logge seg inn med brukernavn og passord tilhørende en vanlig ansatt. Det er ukjent hvordan trusselaktøren fikk tak i denne informasjonen. Firmaet opplyser at angrepet ble stoppet i deres interne nettverk og ikke spredde seg til produksjonsnettverket.

Det legitime sikkerhetsverktøyet Cobalt Strike brukes ofte av kriminelle aktører for å bryte seg inn i bedrifter, samt å beholde tilgang til nettverket. Verktøyet er egentlig laget for legitim bruk i forbindelse med sikkerhetstester, men det blir ofte misbrukt i piratkopierte utgaver. I forbindelse med en aksjon, kjent som "Operation MORPHEUS", har Europol sørget for å ta ned 593 Cobalt Strike-servere i 27 land. Europol har blant annet samarbeidet med BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch og The Shadowserver Foundation i forbindelse med aksjonen. Europol vil nå følge med på denne typen misbruk framover og aksjonere etter hvert som det trengs.

En alvorlig sårbarhet kalt PKfail har blitt oppdaget i Secure Boot-funksjonen til PCer, som lar angripere installere UEFI-skadevare på hundrevis av enheter fra ti forskjellige produsenter. Denne svakheten skyldes bruk av testnøkler i stedet for sikre plattformnøkler, noe som undergraver hele sikkerhetskjeden fra firmware til operativsystemet. Berørte produsenter inkluderer Acer, Dell, HP, Intel, Lenovo og Supermicro. Brukere anbefales å oppdatere til siste firmware når fikset versjon er tilgjengelig for å beskytte sine enheter.

En sikkerhetsforsker ved eSentire har skrevet om nedgraderingsangrep mot passkey-autentisering i forbindelse med AitM (Adversary In The Middle)-angrep. Mange tjenester tilbyr nå login ved hjelp hardware eller software-baserte FIDO2-kompatible sikkerhetsnøkler, eller passkeys. Disse gjør i teorien phishing-angrep umulig å gjennomføre. Ved hjelp av phishing-sider som benytter seg av AitM-teknikker, kan imidlertid innloggings-sidene skrives om i sanntid, til kun å tilby usikre innloggingsmetoder. Bloggposten demonstrerer disse teknikkene og tar for seg forskjellige metoder for å motvirke angrepene, samt hvordan best å håndtere mistede sikkerhetsnøkler. Vi anbefaler en gjennomlesning her.

Situasjonsrapport fra Telenor SOC - juni 2024

Alvorlige hendelser
I juni håndterte TSOC 19 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 21 i mai.

Den 14. juni ble vi oppmerksomme på spredning av bank-trojaneren Vultur i Norge. Denne trojaneren retter seg mot Android-mobiler og gir blant annet trusselaktørene mulighet til å fjernstyre enheten, utføre klikk, skrolle, ta bilder av skjermen og laste opp og ned filer.

Det hele startet med en tilsynelatende uskyldig SMS-melding om en ubetalt faktura som nå vil bli sendt til inkasso. Denne meldingen ble sendt ut til flere tusen i Norge i løpet av noen få timer. Offeret ble bedt om å ta kontakt via telefon til et svensk nummer, for å unngå ekstra kostnader. Når offeret ringte nummeret, ble de møtt av en person som snakket godt svensk. Svindleren overbeviser så offeret om at mobilen trenger ekstra sikkerhetsprogramvare og sender en SMS til offeret med en lenke for nedlasting, som i virkeligheten er en modifisert versjon av McAfee Security-appen. Offeret blir så veiledet til å installere trojaneren, på tross av flere sikkerhetsadvarsler fra mobilen.

Noen hundre norske kunder hadde ringt opp det svenske nummeret, og et titalls kunder lastet ned den falske programvaren. Disse ble kontaktet av kundeservice for å få hjelp til å slette skadevaren fra mobilen sin. Etter kort tid sperret Fraud & Crime-avdelingen meldingene fra å bli sendt ut til kundene, samt sperret siden for nedlasting av trojaneren i Nettvern og SafeZone. Noe senere fikk vi også tatt ned de svenske numrene som ofrene ble bedt om å ringe til. Det tok heller ikke mange timer før sikkerhetsprogramvaren Google Play Protect, som er innebygget i Android-mobiler, begynte å sperre for installasjon av trojaneren på mobilene.

DDoS-angrep
Det var 115 bekreftede DDoS-angrep denne måneden, ned fra 151 i mai. 59 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 6 Gbps og varte i én time. Det største angrepet observert i denne perioden var på 89 Gbps og varte i 9 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden. 

Nyhetsoppsummering
Flere av kundene til tjenesteleverandøren Snowflake har vært utsatt for datainnbrudd i juni, blant annet TicketMaster og Santander. Dette har mest sannsynlig skjedd etter at kundene har vært rammet av phishing eller informasjons-stjelere, der påloggingsinformasjon til Snowflake-tjenesten har blitt stjålet. Snowflake har ikke hatt krav om MFA i sin innloggingsløsning, og det har heller ikke vært mulig for en bedrift å tvinge alle sine brukere over på trygg autentisering. Google meldte etter hvert at det var den økonomisk motiverte trusselaktøren UNC5537 som stod bak flere av innbruddene. Aktøren har brutt seg inn i firma-kontoer, lastet ned store mengder interne data og presser deretter firmaene for penger, for ikke å offentliggjøre den interne informasjonen, som ofte blir avertert på diverse undergrunns-sider for salg. Vi anbefaler ikke-phishbar MFA på alle sensitive tjenester (sertifikater, hardware-baserte sikkerhetsnøkler, passkeys osv.)

I starten av juni kom nyheten om en kommende Windows-funksjon kalt "Recall". Denne tar bilder av alt på skjermen med få sekunders mellomrom, henter ut tekst i bildene ved hjelp av ODR og indeksere og lagrer alt lokalt, noe mange mente kunne føre til lekkasje av interne bedriftsdata, passord, QR-koder osv. ved eventuelle senere innbrudd på en PC. 7. juni opplyste Microsoft at de vil endre standardinnstillingen for funksjonen fra på til av. Brukerne må dermed ta et bevisst valg for å ta funksjonaliteten i bruk.

Hackergruppen "Shiny Hunters" la i starten av juni ut interne data fra Ticketmaster for salg. Disse dataene inkluderer informasjon om 560 millioner brukere, inkludert navn, adresse, e-post, telefonnummer, kjøpte billetter og noe kredittkortinformasjon. Ticketmaster bekreftet senere datainnbruddet. Innbruddet mot Ticketmaster knyttes mot skytjenesten "Snowflake", og det er flere ofre, blant annet banken Santander. 

Google kom med nye detaljer rundt den finansielt motiverte trusselaktøren UNC3944, også kjent som Oktapus, Octo Tempest, Scattered Spider osv. Etter å ha fått initielt fotfeste i en bedrift, beveger de seg nå ofte over i tilknyttede SaaS (Software as a Service)-tjenester. Data fra disse tjenestene blir eksfiltrert mot andre skytjenester som aktøren kontrollerer. Initiell tilgang til firmaer blir gjerne oppnådd gjennom å kontakte bedriftens helpdesk. Aktøren gir seg ut for å være en ansatt med gode interne tilganger som har mistet mobilen sin, og dermed må innrulleres i systemene på nytt. Aktøren har på forhånd gjort klar mye relevant personlig informasjon personen de gir seg ut for, i tilfelle det kommer sikkerhetspørsmål fra helpdesk.