Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

onsdag 8. juni 2022

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2022

Tirsdag 10. mai varslet Norkart om at de hadde vært utsatt for et dataangrep mot deres tjenester for eiendomsinformasjon. NRK har estimert at det har blitt lekket informasjon for inntil 3.3 millioner innbyggere i Norge. Informasjonen som er har vært tilgjengelig fra Norkarts IT-systemer inneholder navn, adresse og fødselsnummer. Personer berørt av angrepet er alle som eier eller har eid norsk eiendom. Angrepet er meldt til Datatilsynet og politiet, men det er per nå ukjent hvem som står bak angrepet eller nøyaktig hvor mye informasjon som har blitt hentet ut. Sårbarheten skyldtes en feil i konfigurasjonen av brannmur for søketjenesten, noe som ga uautorisert tilgang til tjenesten, skriver Norkart. I etterkant av innbruddet var det stor pågang for å reservere seg mot kredittopplysninger hos norske leverandører av kredittopplysninger. Mange har vært nervøse for at enkel tilgang til fødselsnummer skal kunne gjøre det enklere å ta opp lån i deres navn.

Et Word-dokument som ble latest opp til Virustotal fra en IP-adresse i Belarus i slutten av mai, har vist seg å kunne utnytte en til nå ukjent sårbarhet i Office. Svakheten lar seg utnytte, selv uten at makroer er aktivert i Word og har fått navnet “Follina”. Dokumenter som utnytter svakheten, bruker en funksjon for tilgang til eksterne maler til å laste ned den ondsinnede HTML-filen. Deretter brukes Microsoft-supportverktøyet “ms-msdt” til å laste inn koden og å kjøre denne i PowerShell. Svakheten fungerer mot både Office 2013, 2016 og 2021. Siste versjon av Office 365 skal ikke være sårbar. Svakheten ble utnyttet allerede i april, uten at noen da var klar over problemet. Microsoft har postet informasjon om svakheten og hvordan en kan hindre utnyttelse, men enda ikke noen fullverdig patch.

For å feire "verdens passord-dag" 5. mai, lanserte de tre store operativsystem-leverandørene Apple, Google og Microsoft et samarbeid om å bevege seg vekk fra tekstbaserte passord. De ønsker å implementere et system der brukeren benytter seg av allerede innloggede enheter for å logge inn på nye, istedet for et tekstbasert passord. Utviklerne av systemet (FIDO) sier: "Disse nye funksjonene forventes å bli tilgjengelige på tvers av Apple-, Google- og Microsoft-plattformer i løpet av det kommende året." Det nye systemet vil motvirke phishing, siden det kreves at enheten du logger inn på, og enheten du bekrefter innloggingen fra, er fysisk i nærheten av hverandre. Det er dermed ingen engangspassord som kan snappes opp av angripere.

Den nyvalgte presidenten av Costa Rica, Rodrigo Chaves, har erklært nasjonal nødsituasjon etter en bølge av Conti-ransomware-angrep som har vært rettet mot flere offentlige etater i landet. Nyhetsnettstedet BleepingComputer erfarer at Conti har lekket 97% av en 672GB datadump som angivelig inneholder data stjålet fra offentlige etater i Costa Rica. Conti har tidligere krevd $10 millioner dollar fra finansdepartementet, som de har nektet å betale. Senere i måneden ble også helsevesenet i landet angrepet av ransomware-gruppen Hive, men mange spekulerer i at det er Conti-gruppen som står bak også dette angrepet. President Chaves har hevdet at Conti-gruppen har personer på innsiden av offentlige etater i landet.

Både statsministeren Pedro Sanchez og sikkerhetsministeren Margarita Robles har blitt overvåket ved hjelp av spion-programvaren Pegasus. Telefonene ble infisert i mars og juni 2021 og det har blitt bekreftet at data har blitt eksfiltrert. Spanske myndigheter har startet etterforskning for å sjekke om flere av deres ansatte har fått Pegasus på mobilen. Pegasus utvikles av det Israelske sikkerhetsselskapet NSO group, som hevder at de kun selger programvaren til statlige aktører for å overvåke kriminelle og terrorister. Denne hendelsen føyer seg inn i en rekke lignende hendelser fra det siste året.

Google TAG (Threat Analysis Group) publiserte en gjennomgang av flere målrettede angrep mot Android-brukere som benyttet seg av zero-day svakheter i 2021. Alle svakhetene ble skaffet til veie av selskapet Cytrox, som solgte dem videre til flere aktører tilknyttet myndigheter i flere land. Google mener at landene Egypt, Armenia, Hellas, Madagaskar, Elfenbenskysten, Serbia, Spania og Indonesia har vært kunder. Svakhetene brukes for å installere overvåkingsprogramvare på mobilene, og retter seg som oftest bare mot et fåtall ofre. Google sin TAG-gruppe følger for tiden over 30 selskaper som driver med salg og kjøp av denne typen svakheter og overvåkingsprogramvare.

I en ny målrettet phishing-kampanje benytter APT-29, også kjent som Cozy Bear/Nobelium, seg av legitime epost-adresser i målrettede angrep mot diplomater og myndigheter. Adressene som brukes for å sende ut epostene er legitime kompromitterte adresser fra flere forskjellige ambassader. Innholdet i epostene utgir seg for å være politiske oppdateringer, men har vedlegg som eksekverer ondsinnet kode dersom de åpnes. Dersom en klient blir infisert, vil APT 29 ta over brukeren og forsøke å eskalere rettigheter, typisk innen 12 timer. Skadevaren benytter seg av Atlassian Trello for kommunikasjon med kontrollserverne sine, som er en legitim skytjeneste.

24. februar rapporterte sikkerhetsforskeren med pseudonymet "satya0x" en kritisk feil i Wormhole sin kontrakt på blokkjeden Ethereum til Immunefi. Dersom buggen hadde blitt utnyttet, kunne dette ført til at verdiene til Wormhole sine brukere kunne ha blitt låst for alltid. Samme dagen som buggen ble rapportert, fikset Wormhole svakheten. Vedkommende som meldte fra om svakheten har nå fått utbetalt 10 millioner dollar i finnerlønn, noe som er er ny rekord.

I mai håndterte TSOC 71 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 65 i april. Denne måneden så vi blant annet en del Android-mobiler med Joker-malware og Mac-maskiner med Shlayer-trojaneren. Vi avdekket også en Windows-maskin som var infisert av informasjons-stjeleren Red Line. Denne malwaren stjeler brukernavn, passord, kredittkortinfo og alt av informasjonskapsler (cookies) som er lagret på PCen.

Det var 360 bekreftede DDoS-angrep denne måneden, opp fra 293 i april. 124 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.47 Gbps og varte i 15 minutter. Det største angrepet observert i denne perioden var på 22.2 Gbps og varte i 18 minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.


tirsdag 3. mai 2022

Oppsummering av nyhetsbildet innen datasikkerhet for april 2022

Det er blitt oppdaget en ny versjon av Industroyer, som er kjent fra 2016 da Sandworm APT-gruppen kuttet strømmen til deler av Ukraina i et kortere tidsrom. Den nye versjonen av Industroyer er gitt navnet Industroyer2. Industroyer2 ble forsøkt benyttet mot høyspennings-nettet i Ukraina. Det ble også funnet bruk av annen malware som CaddyWiper og flere andre typer wiper-malware, altså programvare som har som formål å ødelegge datautstyr ved å slette data. Ukrainske myndigheter melder at angrepet denne gangen ble stoppet før det fikk gjort noen skade.

Citizen Lab har funnet nye tilfeller av bruk av overvåkingsprogramvare mot mobiltelefoner for spionasje og overvåking. Den britiske regjeringen har vært utsatt for overvåking ved hjelp av Pegasus fra NSO i 2020 og 2021. Både statsministerens kontor og utenriksdepartementet ble rammet. Myndighetene ble advart om saken. Det skal være De forente arabiske emirater som står bak denne aksjonen. Citizen Lab melder også at 65 katalanske offentlige personer ble rammet av overvåking ved hjelp av verktøyene Pegasus og Candiru. Flere av mobiltelefonene har blitt infisert ved hjelp av en til nå ukjent svakhet i iPhone kalt HOMAGE. Svakheten ble patchet i iOS versjon 13.2.

Svakere multifaktor-autentisering (MFA), som engangs-passord gjennom SMS eller push varslinger der man er nødt til å trykke en knapp etter push varslingen for å eskalere multifaktor-autentiseringen, har flere ganger blitt utnyttet av Lapsus$ og SolarWinds-hackerne. Lapsus$ har brukt denne metoden til å forbigå autentiseringen hos både Microsoft, Okta og Nvidia de siste månedene. Dette gjelder metoder som å oversvømme målet med push eller link forespørsler over lang tid. Mange innloggingsløsninger har ikke noen begrensning på hvor mange forespørsler som kan sendes, og offeret går til slutt lei og godtar forespørselen eller trykker feil.

Private meldinger fra Telegram-kanalen til LAPSUS$ viser at de flere ganger brøt seg inn i systemene til T-Mobile fram til mars 2022. Her stjal de data fra flere forskjellige prosjekter, men skal ikke ha fått tak i informasjon tilhørende myndigheter eller kundene til T-Mobile. KrebsOnSecurity har nylig fått tak i logger fra LAPSUS$ sin private Telegram-kanal. Her kommer det fram at gruppen ofte fikk initiell tilgang til systemene ved å kjøpe brukernavn og passord (eller cookies) gjennom russiske markeder. 

I mars 2022 autoriserte justisdepartementet i USA en operasjon for å delvis ta ned botnettet Cyclops Blink. Det er grupperingen Sandworm, som knyttes til den russiske etterretningstjenesten GRU, som står bak botnettet. Cyclops Blink og den tidligere utgaven VPNFilter, brukes av hemmelige russiske tjenester som et privat VPN for å skjule angrep. Botnettet består av tusenvis av enheter fra produsentene Watchguard og Asus. Under operasjonen ble infiserte enheter logget inn på, malwaren fjernet og administrasjons-porten mot internett lukket. Det ble kun ryddet opp i enheter som befant seg i USA.

CISA, FBI og NSA advarer mot et nytt malwareverktøysett, kjent som Pipedream. Dette er kanskje det mest allsidige verktøyet som noen gang er laget for å målrette angrep mot kritisk infrastruktur som strømnett og oljeraffinerier. Pipedream gjør det mulig for angriperen å kapre enheter, forstyrre eller forhindre adgang for operatører, sette enhetene permanent ut av spill, eller bruke enhetene til å angripe andre deler av kontrollsystemnettverket. Det mistenkes at Russland står bak Pipedream.

Sikkerhetsforskere fra ESET har oppdaget tre sårbarheter som påvirker flere ulike modeller av Lenovo-maskiner beregnet på forbrukermarkedet. To av disse påvirker maskinvare-drivere i UEFI, som kun skulle vært aktivert når maskinene ble produsert, men som ikke har blitt fjernet. Dermed kan angripere med administrator-rettigheter på maskinen bruke disse driverne til å deaktivere SPI flash protection eller UEFI Secure Boot. Svakhetene kan brukes til å legge inn bakdører som nesten ikke lar seg oppdage og er svært vanskelige å slette. Én av driverne heter til og med SecureBackDoor.

Tysk politi har tatt ned russiskspråklige Hydra, verdens største handelssted på det mørke nettet for å hvitvaske penger og selge narkotika. Det estimeres at Hydra hadde økonomisk aktivitet på over 1 milliard dollar i 2020. Tysk politi konfiskerte serverne som ble brukt og beslagla også kryptovaluta verdt over $25 millioner.

I april håndterte TSOC 65 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 128 i mars. Denne måneden er det mange av de vanlige hendelsene som går igjen, infeksjon av forskjellige typer adware på mobiler/PCer, utvinning av kryptovaluta på infiserte PCer samt en del mobiler med Joker-trojaneren installert.

Det var 293 bekreftede DDoS-angrep denne måneden, opp fra 212 i mars. 88 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.35 Gbps og varte i 23 minutter. Det største angrepet observert i denne perioden var på 50.8 Gbps og varte i 18 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

tirsdag 5. april 2022

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2022

Det ukrainske cyberpolitiet, som nå engasjerer seg i cyberkrigføring, hevder at flere viktige russiske nettsteder og statlige nettportaler har blitt tatt ned av angrep. Etter invasjonen fra Russland bestemte Ukrainske embetsmenn seg for å danne en spesiell "IT-hær" som består av frivillige hackere fra hele verden. Medlemmer av styrken har siden invasjonen angrepet nettressursene til Russland og Hviterussland. Flere russiske nettsteder tilhørende myndigheter og banker har gått ned og data fra flere offentlige nettsteder har blitt lekket. Gruppen oppdaterer en liste med mål som deles offentlig. På den andre siden melder Google om flere målrettede angrep mot ukrainske myndighetspersoner, blant annet fra den kjente grupperingen Fancy Bear/APT-28.

Det amerikanske satellitt-firmaet Viasat Inc har etterforsket et cyberangrep etter delvis utfall for bredbåndstjenester via KA-SAT-nettverk for Ukraina og andre europeiske land. Utfallet i tjenesten sammenfalt med Russlands invasjon av Ukraina. Etterforskningen viste at uvedkommende hadde fått tilgang til driftsnettverket til Viasat, lastet opp destruktiv malware (wiper) kalt “AcidRain” til over 10.000 modemer og deretter sendt en kommando til alle modemene for å få dem til å slette seg selv. Dette er det mest alvorlige cyberangrepet så langt i forbindelse med Russlands invasjon av Ukraina.

Denne måneden har hacker-gjengen Lapsus$ herjet på Internett. Den kjente hardware-leverandøren Nvidia ble hacket, og persondata til mer enn 71.000 ansatte ble lekket. Senere i måneden ble Microsoft rammet, og kildekode til Cortana og Bing ble lagt ut offentlig. Sertifikater for å signere kode ble også stjålet fra både Nvidia og Microsoft og brukt til å signere malware, for å gjøre det lettere å bryte seg inn hos andre mål. Samsung ble også offer for banden, og det ble lagt ut 190GB med kildekode, blant annet algoritmene til deres biometriske ID-system, kildekode fra Qualcomm og all kildekode for autentisering og verifisering av Samsung-brukere

Lapsus$ bryter seg for det meste inn hos sine ofre ved hjelp av sosial manipulering. De prøver også å rekruttere innsidere til å gi dem tilgang til interne nettverk hos store bedrifter. Etter å ha fått tak i intern informasjon, driver de med utpressing mot bedriftene for å la være å offentliggjøre stjålen informasjon. Mot slutten av måneden ble to britiske tenåringer tiltalt for å være medlemmer av Lapsus$-banden. Det har imidlertid i ettertid fortsatt kommet kommunikasjon fra gruppen, og den har antakelig flere medlemmer i flere land.

Verdens største bilprodusent, Toyota, så seg nødt til å stoppe all produksjon av nye biler i Japan i over ett døgn i starten av mars. Dette skjer etter at Toyotas underleverandør Kojima Industries ble kompromittert. Toyota har selv flere ganger blitt kompromittert av hackere de siste årene. I 2019 ble 3.1 millioner brukerdata kompromittert, samt at de ble rammet av en større svindelsak som kostet Toyota 37 millioner USD.

Natt til torsdag 17. mars ble IT-systemene til bilforhandler-kjeden Mobile utsatt for et angrep som resulterte i at minst 30 bilbutikker ikke hadde fungerende IT-systemer. Angrepet skal stamme fra Russland, og det har så langt ikke ikke kommet frem om kundedata er lekket. Mot slutten av måneden hadde Mobile fortsatt ikke fått opp igjen alle sine datasystemer, blant annet fungerte ikke epost som det skal.

Apple og Meta har ved flere tilfeller gitt ut brukerinformasjon til hackere som ga seg ut for å være politietterforskere fra forskjellige land, forteller tre personer som har kunnskap om saken til Bloomberg. Brukerinformasjonen som ble gitt ut var informasjon som adresse, telefonnummer og IP-adresse. Hackerne hadde først kompromittert e-post-kontoene til politietterforskerne, før de sendte henvendelsene. Det var derfor vanskelig for mottakerne å avsløre svindelen.

Nordkoreanske hackere har utnyttet en ukjent (zero-day) svakhet i Chrome i opptil en måned før en sikkerhetsoppdatering ble tilgjengelig 14. februar. Angrepene var rettet mot nyhetsmedier, IT-selskaper, kryptobørser og selskaper som står for bankløsninger. Den skadelige koden ble levert både via eposter, falske nettsteder og kompromitterte legitime nettsider. Nord-Korea er ofte ute etter å stjele penger eller kryptovaluta i sine angrep, for å omgå sanksjonene som er rettet mot dem.

Etter en PST-etterforskning viser det seg at hackere tok seg målrettet inn i e-posten til en rekke nordområde-forskere i 2020. PST, Etterretningstjenesten, og Nasjonal sikkerhetsmyndighet har trukket fram Russland som en betydelig trusselaktør i sine siste trusselvurderinger. NRK skriver at de har opplysninger som tyder på at det er Russland som står bak angrepet. Myndighetene har ikke klart å finne konkrete personer som står bak, og dermed henlegges saken.

Ukjente tyver har kommet seg unna med Ethereum og USDC (kryptovaluta) verdt over 5 milliarder kroner fra blokkjede-plattformen Ronin Network. Tyveriet skjedde 23. mars, men ble ikke oppdaget før 6 dager senere. Angrepet rettet seg mer spesifikt mot Ronin Bridge, som er en bro-tjeneste for å overføre verdier mellom ETH- og Ronin-blokkjeden. Ronin brukes primært av det populære blokkjede-baserte spillet Axie Infinity.

I mars håndterte TSOC 128 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 67 i februar. Denne måneden var det mange Android-mobiler som var infisert av malwaren TangleBot. Denne malwaren kan få full tilgang til mobilen og hente ut personlige data som meldinger, bilder og spore posisjonen til brukeren. Malwaren blir typisk installert på mobilen av brukeren selv, etter at vedkommende har blitt lurt til å trykke på en lenke i en nettside eller SMS.

Det var 212 bekreftede DDoS-angrep denne måneden, opp fra 141 i februar. 18 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.4 Gbps og varte i 29 minutter. Det største angrepet observert i denne perioden var på 48.9 Gbps og varte i 7 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.


fredag 4. mars 2022

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2022

Allerede 16. februar ble det meldt om flere bølger med DDoS-angrep mot nettsidene til myndigheter og banker i Ukraina. Blant annet ble forsvarsdepartementet og bankene PrivatBank and Oschadbank rammet. Like før Russland invaderte Ukraina, meldte ESET og Symantec fra om flere typer wiper-malware, altså malware som sletter systemene de kjører på, rettet mot myndighetsorganer i landet. Malwaren spredte seg kun internt i nettene som ble rammet, og det har så langt ikke vært spredning eller store hendelser på utsiden av Ukraina. I forbindelse med invasjonen ble det også opprettet flere falske nettsider som ga seg ut for å være styrt av ukrainske myndigheter, men som i virkeligheten infiserte besøkende med malware og spredte desinformasjon.

Dagen etter invasjonen ga NCSC i Norge (Nasjonalt Cybersikkerhetssenter) ut et oppdatert situasjonsbilde med tilhørende anbefalinger. Med bakgrunn i den svært uoversiktlig situasjonen og observasjoner av skadevare i Ukraina, vurderte de risikonivået for norske virksomheter som forhøyet. De ga også ut en liste over prioriterte tiltak som virksomheter kan iverksette i en skjerpet sikkerhetssituasjon som den vi nå er i.

Etter invasjonen spurte det ukrainske cyber-politiet om hjelp til å angripe utvalgte russiske statlige mål. Enkeltpersoner og hacktivist-grupper fra hele verden meldte seg snart til tjeneste, og flere russiske nettaviser og myndighetssider gikk ned eller fikk byttet ut innholdet med anti-krigs-informasjon. Den kjente russiske ransomware-gruppen Conti meldte på sin side at alle cyber-angrep mot Russland ville bli møtt med hevn fra deres side. Et medlem av Conti-gruppen reagerte imidlertid sterkt på uttalelsen, og slapp store mengder interne chatte-logger og verktøy som hevn. Sikkerhetseksperter har i etterkant fått mye nyttig informasjon ved studere disse loggene.

Swissport er et firma som tilbyr forskjellige tjenester innenfor luftfart på 310 flyplasser. De ble angrepet tidligere i februar, noe som førte til kansellerte og forsinkede fly, samt andre driftsforstyrrelser. Den nye ransomware-gruppen BlackCat (ALPHV) har siden tatt på seg ansvaret for angrepet og har lagt ut en mindre mengde interne data. Aktøren påstår ha kopiert ut 1.6TB data som de truer med å offentliggjøre, dersom ikke løsepengene blir betalt. Det amerikanske frakt og logistikk-firmaet Expeditors International ble også rammet av cyber-angrep i februar og måtte stenge ned deler av virksomheten.

Microsoft skal om kort tid blokkere Visual Basic for Applications (VBA) makroer som standard på en rekke Office-produkter. Endringen vil gjelde Office-filer som er lastet ned fra Internett og som inneholder denne typen makroer. Dette vil føre til at brukere ikke lengre kan kjøre makroer med et enkelt tastetrykk. Dette gjøres for å demme opp av bølgen av eposter som fører til nedlasting av malware til PCer ved hjelp av makroer i i falske dokumenter. Dette har lenge vært en av de mest populære måtene å infisere Windows-PCer på, og trusselaktørene vil måtte finne seg nye metoder for å oppnå tilgang.

Natt til 8. februar gikk en stor del av kundetjenestene til Vodafone Portugal offline over natten etter et bevisst og ondsinnet nettangrep. Tjenester for mobildata, tale og TV gikk ned. Selskapet gjenopprettet dagen etter mobil tale og datatjenester over 3G-nettet i nesten hele landet, mens andre tjenester tok flere døgn å gjenopprette. Vodafone får hjelp både lokalt og internasjonalt i det som for øyeblikket er den største cybersikkerhetshendelsen selskapet noen gang har håndtert. Selskapet samarbeider med myndighetene og basert på nåværende opplysninger ser det ikke ut til at kundedata er kompromittert.

I 2021 fortsatte Mandiant Threat Intelligence å observere ransomware-operatører som forsøkte å presse tusenvis av ofre ved å analysere flere terabyte med stjålet informasjon. Operatørene legger ofte ut denne typen informasjon på egne "lekkasje-nettsider". Dette påvirket over 1300 organisasjoner fra kritisk infrastruktur og industriell produksjonssektor på bare ett år. I ett av syv tilfeller med lekkasje av interne data, befant det seg informasjon om kritiske prosesstyringsystemer blant dataene. Dette er informasjon som avanserte aktører kan komme til å bruke til spesielt skadelige angrep senere.

Angrepet på kryptobørsen Bitfinex i 2016 ble oppklart denne måneden! Amerikanske myndigheter beslagla rundt 3,6 milliarder dollar i Bitcoin etter et gjennombrudd i saken. Dette er det største økonomiske beslaget noensinne og to personer ble arrestert, siktet for hvitvasking av penger. De to personene hadde lagret de kryptografiske nøklene til alle verdiene på en skytjeneste, som myndighetene enkelt fikk tilgang til.

I februar håndterte TSOC 67 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 138 i januar. Maskiner som utvinner kryptovaluta er fortsatt dominerende. Denne måneden har vi også hatt noen tilfeller av Android mobiler infisert av TangleBot, som gir angriperen full tilgang til å overvåke mobiltelefonen. 

Det var 141 bekreftede DDoS-angrep denne måneden, ned fra 203 i januar. 64 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 8.45 Gbps og varte i 30 minutter. Det største angrepet observert i denne perioden var på 288 Gbps og varte i én time. Én av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

tirsdag 8. februar 2022

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2022

Den 14. januar rammet et stort dataangrep hjemmesidene til den ukrainske regjeringen, samt flere departementer. Innholdet på nettsidene til rundt 70 offentlige nettsteder ble byttet ut, og det ble lagt ut trusler om at personlig informasjon vil bli spredd, samt tekster av typen “være redd og vent på det verst tenkelige”. Alle sidene skal ha brukt en utdatert versjon av CMS-systemet "October", som inneholdt en svakhet. Ukraina meldte senere at de trodde at UNC1151, som knyttes til hviterussisk etterretning, stod bak angrepet. Senere i måneden oppdaget også Microsofts Threat Intelligence Center flere tilfeller av bruk av destruktive virus (wiper) mot Ukrainske organisasjoner, forkledd som løsepengevirus. De berørte systemene tilhører statlige organisasjoner, ideelle virksomheter, og IT-selskaper. 


Høsten 2020 ble Stortinget utsatt for datainnbrudd med ikke-autorisert tilgang e-poster som resultat. Regjeringen beskyldte etter angrepet Russland for å stå bak. Datatilsynet varsler nå et overtredelsesgebyr på 2 millioner kroner til Stortingets administrasjon, for ikke å ha gjennomført egnede tekniske og organisatoriske tiltak for å oppnå et tilstrekkelig sikkerhetsnivå. Angrepet kunne trolig vært forhindret, eller gjort vanskeligere å gjennomføre, dersom 2-faktor innlogging hadde vært implementert.


Myndighetene i Finland har meddelt at flere av deres diplomater i utlandet hadde blitt infisert av NSO sin Pegasus spionvare. Både diplomatenes Android- og iPhone-enheter har blitt infisert i løpet av 2021, noe som ble oppdaget på høsten. Videre sier finske myndigheter at informasjonen som ble kompromittert kun er av laveste sikkerhetsklassifisering. Det er så langt uvisst hvem som står bak angrepet, men det skal gjennomføres en grundig etterforskning. Et talsperson hos NSO har sagt at de ikke kjente til hendelsen, men ville bistå med hjelp for å finne ut om noen hadde misbrukt produktet deres. Pegasus er spion-programvare som er utviklet av den israelske teknologigruppen NSO. De selger overvåkingsverktøy til myndigheter i flere land. Blant annet har USA, Polen og Ungarn benyttet seg av disse verktøyene.


NRK har sett på løsepengevirus-angrep og kostnader relatert til dette i Norge. NRK har identifisert 29 angrep med denne typen skadevare de siste tre årene. Til sammen har bedriftene tapt minst én milliard kroner på hendelsene. Det er imidlertid ingen definert måte å beregne utgiftene på, og mange angrep av denne typen blir aldri offentlig kjent.


Den nordkoreanske finans-orienterte hackergruppen BlueNoroff (en undergruppe av Lazarus) har blitt koblet til flere nettangrep rettet mot små til mellomstore bedrifter. Formålet med angrepene er å stjele kryptovaluta. Angrepene er rettet mot FinTech (finansteknologi) selskaper i Kina, Hong Kong, India, Polen, Russland, Singapore, Slovenia, Tsjekkia, U.A.E., USA, Ukraina og Vietnam. Blokkjede-analyseselskapet Chainalysis anslår at nordkoreanske hackere kom seg unna med nesten 400 millioner USD i fjor. Aktiviteten brukes i stor grad for å omgå strenge reaksjoner som rammer landet.


Federal Bureau of Investigation (FBI) advarte amerikanske selskaper i et nylig oppdatert flash-varsel om at den økonomisk motiverte kriminelle gruppen FIN7 nå går målrettet mot den amerikanske forsvarsindustrien. Angrepene utføres ved å sende pakker i posten som inneholder ondsinnede USB-enheter for å installere løsepengevirus. USB-enhetene fremstår først som en lagringsenhet og presenterer brukeren med flere filer. Etter noe tid registrerer den seg imdlertid som et tastatur for enheten den er plugget inn i og injiserer tastetrykk for å laste ned malware for fjernstyring.


Den internasjonale Røde Kors-komiteen (ICRC) har bekreftet at personlig data for over 515 000 personer har blitt stjålet, tilhørende folk på flukt, savnede, fengslede osv. Røde kors har foreløpig uttalt at innbruddet egentlig ble utført mot et sveitsisk selskap som lagret dataene deres, men at de fremdeles ikke vet hvem som står bak angrepet. Røde Kors har bedt de som står bak angrepet om ikke å offentliggjøre dataene.


EU vil opprette sin egen DNS-infrastruktur med innebygde filtre. Tjenesten vil få navnet DNS4EU og skal være en gratis DNS-tjeneste for både det offentlige og institusjoner i EU. En av grunnen til at EU vil opprette tjenesten er for å unngå nedetid eller store problemer dersom en av de nåværende DNS-leverandørene får problemer. Tjenesten skal også ha innebygd filtrering som blokkerer forespørsler til ondsinnede domener og domener som er bestemt sperret av domstoler. Ondsinnede domener vil rapporteres inn av CERTer fra flere nasjoner. Det er så langt usikkert om det vil være krav til myndigheter om å benytte seg av denne DNS tjenesten når den lanseres.


I januar håndterte TSOC 138 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 119 i desember. Denne måneden har mange maskiner vært infisert med trojanerene Shlayer og Torpig. Fortsatt observerer vi også stadig maskiner som utvinner kryptovaluta, noe som blir varslet i tilfelle dette skyldes malware. Vi har også oppdaget noen Android-mobiler som var infisert med skadevare av typen “Joker” og “TangleBot”.


Det var 203 bekreftede DDoS-angrep denne måneden, ned fra 222 i desember. 105 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 7.82 Gbps og varte i 23 minutter. Det største angrepet observert i denne perioden var på 160 Gbps og varte i 8 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.


 
>