Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 3. april 2020

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2020

Detaljer om en kritisk svakhet i SMBv3 (Microsoft Server Message Block) protokollen ble lekket på Internet like i forkant av denne månedens sikkerhetsoppdatering fra Microsoft. Svakheten, med betegnelsen CVE-2020-0796, ble ikke utbedret av mars-oppdateringen. Det blir antatt at svakheten kan utnyttes til å lage automatisk spredende ormer. Microsoft slapp heldigvis en haste-patch for svakheten i løpet av få dager og de fleste bør nå ha installert den.

Den 23. mars ble det meldt om en kritisk zero-day svakhet i Windows og at den allerede ble utnyttet av avanserte angripere. Svakheten ligger i Adobe Type Manager Library, en komponent i Windows. Hackere kan ta kontroll over systemet ved å lure en bruker til å åpne et spesielt utformet dokument. Svakheten er mest alvorlig for Windows 7, siden Windows 10 allerede har mitigeringer for svakheten. Microsoft har offentliggjort råd for å delvis uskadeliggjøre problemet, og forventer å slippe en fiks i sin månedlige oppdatering for april.

Reuters melder at stats-sponsede hackere har prøvd å få tilgang til interne kontoer hos WHO, World Health Organisation. Angriperne satte opp et falskt nettsted som ga seg ut for å være innloggings-siden til organisasjonen. WHO kommenterte etter saken at de hadde sett en økning av angrep mot organisasjonen i det siste. Flere mener at det er grupperingen Dark Hotel som står bak aksjonen mot WHO, og også flere andre operasjoner mot andre organisasjoner i helsesektoren i det siste.

FireEye rapporterer at den kinesiske trusselaktøren APT41 har vært svært aktiv i løpet av årets første kvartal. Det er observert forsøk på innbrudd hos 75 av firmaets kunder. Angrepene skjer blant annet ved hjelp av svakheter i Citrix Netscaler, Cisco routere og Zoho ManageEngine. Disse svakhetene er alle relativt ferske. Angrepene fordeler seg over en rekke selskaper og sektorer, så det er uklart hva som er motivet.

I mars ble det avdekket et datainnbrudd i de administrative IT-systemene til den europeiske samarbeidsorganisasjonen for systemansvarlige nettselskaper, ENTSO-E. Statnett, som er medlem i ENTSO-E, arbeider med å få oversikt over hendelsen og stanse eventuell spredning. Angrepet skal ikke ha berørt kritiske kontrollsystemer.

Google avslørte at en hackergruppe har brukt ikke mindre enn fem 0-dagssvakheter i en phishing- og spionasje-kampanje mot Nord-Korea i fjor. Kaspersky skal ha knyttet aktiviteten til en gruppe kjent som DarkHotel, som har vist interesse for Nord-Korea tidligere. Flere mener at Sør-Korea skal stå bak gruppen og operasjonen.

Et amerikansk selskap opplevde en sjelden form for BadUSB-angrep, altså et angrep med en spesielt utformet USB-enhet forkledd som en minnepinne. Selskapet mottok et brev i posten med et forfalsket gavekort fra BestBuy og en minnepinne som angivelig skulle inneholde en liste over varer de kunne benytte gavekortet på. Da USB-enheten ble plugget inn i en isolert maskin oppdaget de at den fungerte som et tastatur og emulerte diverse tastetrykk for å laste ned skadevare på enheten. I etterkant har det kommet fram at flere bedrifter har blitt angrepet på denne måten.

Et vannhullsangrep, oppdaget 10 januar 2020, utnyttet flere svakheter i forskjellige versjoner av iOS til å fjerninstallere overvåkningsrammeverket LightSpy. Lenken til vannhullet virker hovedsakelig å være spredt ved hjelp av ulike sosiale plattformer og skal ha vært rettet mot innbyggere i Hong Kong. Det spekuleres om aksjonen kan knyttes til APT-gruppen Spring Dragon/Lotus Blossom/Billbug.

Corona-krisen utnyttes i phishing-kampanjer, hvor mottakere lures til å åpne falske vedlegg som inneholder informasjon om Covid-19. I tillegg har det blitt oppdaget at en rekke aktører og malware også gjemmer seg bak påstått informasjon om viruset, inkludert Trickbot, Lokibot og Agent Tesla. Trusselaktører utnytter også situasjonen ved å bruke merkevarer som assosieres med U.S. Center for Disease Control and Prevention (CDC) og Verdens Helse Organisasjon (WHO), i tillegg til lands-spesifikke helseorganisasjoner. I Norge har det så langt ikke vært observert noen økning i data-angrep og det er heller ikke mange kampanjer som bruker Corona-tematikk.

I denne månedens Android-patcher fikset Google et kritisk sikkerhetshull i Bluetooth-systemet. Sikkerhetshullet gjorde det mulig for en angriper å ta kontroll over mobilen uten noen brukerinteraksjon. Dette åpnet også for selvspredende Bluetooth-ormer. For å utnytte svakheten må mobilen søke aktivt etter andre Bluetooth-enheter. Mobilen kan ikke tas over dersom den kjører Android versjon 10 og nyere, men mobilen kan fortsatt krasje.

Europol har i samarbeid med Spansk og Rumensk politi arrestert 26 personer i forbindelse med SIM-swap svindel. Banden har stjålet €3.5 million fra ofrenes bankkontoer ved å få tilgang til mobilabonnementer og deretter stjele engangskoder tilsendt via SMS.

I mars håndterte vi 80 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 145 i februar. Det lave antall hendelser kan skyldes senket aktivitet generelt grunnet Corona-krisen.

Det var 569 bekreftede DDoS-angrep denne måneden, opp fra 401 i januar. 155 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.70 Gbps og varte typisk i 23 minutter. Det største angrepet observert i denne perioden var på 113 Gbps og varte i 13 minutter. Fem av TSOCs bedriftskunder ble utsatt for angrep denne måneden. Oppgangen i angrep er særlig mot privat-brukere. Denne økningen kan skyldes en økning i dataspillrelaterte angrep. Spillaktiviteten har økt, siden flere nå er hjemme og innendørs

tirsdag 3. mars 2020

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2020

Ransomware-varianten som kalles DoppelPaymer eksfiltrerer (sender ut en kopi av) offerets data før de krypteres. De truer så med å selge eller publisere dataene som er blitt eksfiltrert hvis offeret ikke betaler. Gruppen som står bak skadevaren skal ha sagt at de tidligere har solgt data fra kompromitterte systemer når offeret ikke har betalt.

FBI opplyser at de etterforsker over 1000 tilfeller av kinesisk industrispionasje mot amerikanske bedrifter og institusjoner. De kom med opplysningene på en konferanse om kinesisk industrispionasje mot amerikanske teknologibedrifter. Bedriftene blir advart mot spionasje og får råd om hvordan de kan hindre og oppdage virksomheten. Myndighetene sier at aksjonene er beordret direkte fra myndighetene i Kina. Senere i måneden sikter USA kinesiske Huawei for å ha forsøkt å tilegne seg forretningshemmeligheter fra seks ulike amerikanske selskaper. Den nye siktelsen anklager Huawei for å tilby bonuser til ansatte for å stjele forretningshemmeligheter fra konkurrenter.

I februar ble det avslørt 12 svakheter i Bluetooth Low Energy-enheter fra syv forskjellige leverandører. Svakhetene kan bl.a. tillate en angriper å krasje, fryse, re-starte eller få tilgang til å lese/skrive funksjoner i enheten. Enheter som er verifisert til å være sårbare er bl.a. Fitbit Inspire smartwatch, Eve Energy smart plug, August Smart Lock eGee Touch TSA Lock og CubiTag item tracking tag.

Sikkerhetsfirmaet Clearsky har publisert en rapport som omhandler operasjoner utført av den Iranske aktøren kjent som Fox Kitten. Ett av funnene i rapporten er at aktøren prioriterer å utnytte kjente svakheter i forskjellige VPN- og RDP (Remote Desktop)-løsninger så fort de blir kjent. Dette gjøres for å tilegne seg og beholde tilgang til målenes infrastruktur over tid. Svakheter som er identifisert brukt av aktøren ligger blant annet i Pulse Secure, Fortinet FortiOS og Palo Alto Networks VPN.

Amerikanske myndigheter har gått ut med beskyldninger mot den russiske militære etterretningstjenesten GRU etter lang tids etterforskning. I uttalelsen beskyldes GRU for aktivt å forstyrre georgiske private og statlige interesser med angrep som har pågått over lengre tid. Russlands GRU er aktive i flere av de gamle sovjetstatene, og har blitt knyttet til aktivitet fra APT-grupperingen Sandworm. Sandworm har blitt identifisert som hovedaktøren bak bl.a. NotPetya-ormen og Olympic Destroyer skadevaren. NotPetya-ormen ble designet for å ta ned og forstyrre Ukrainske interesser, og den spredte seg globalt på svært kort tid og tok ned nettverket til store selskaper, blant annet Maersk. Olympic Destroyer skapte store forstyrrelser under OL i Pyongyang.

Microsoft har sluppet flere kritiske oppdateringer til Windows og andre produkter i februar. Totalt ga Microsoft ut hele 99 oppdateringer! Av de mest kritiske nevnes en zero-day svakhet i Internet Explorer som kan utnyttes ved hjelp av en spesiallaget nettside (CVE-2020-0674). Denne svakheten ble offentliggjort i januar og har allerede vært aktivt utnyttet i målrettede angrep.

Et system driftet av Defense Information Systems Agency (DISA), som er en del av Department of Defence, har sendt ut varsler til en rekke personer om at personlig informasjon er på avveie. DISA har blant annet ansvaret for sikker kommunikasjon for presidenten, secret service, deler av militæret m.m. DISA har rundt 8000 militære og sivile ansatte, men behandler også data fra flere kontraktører. Det spekuleres i at en nasjonalstat står bak innbruddet.

En nylig avdekket Emotet-variant har muligheten til å spre seg til usikre WiFi-nettverk som ligger i nærheten til en infisert enhet. Den allerede etablerte og utbredte Emotet-skadevaren, har siden tilbakekomsten i september brukt flere nye taktikker for å stjele innloggingsdetaljer og spre trojaneren. Den nye varianten ble oppdaget 23. januar, men selve programfilen har et tidsstempel fra 4/16/2018. Forskere anbefaler å blokkere denne nye Emotet-teknikken ved bruk av sterke passord for å sikre trådløse nettverk slik at de ikke enkelt kan gjettes av skadevaren.

Det rapporteres at en ransomware-type, som blant annet kalles EKANS, har en liste med prosesser den vil forsøke å stoppe. På denne listen står blant annet flere komponenter som brukes i forbindelse med ulike industrielle kontrollsystemer. Dette er den første kjente ransomware-varianten som er delvis rettet mot kontrollsystemer.

En gruppe forskere hos Check Point har avdekket muligheten for å misbruke en sårbar lyspære for å angripe Philips Hue Bridge. Via enda en sårbarhet i Hue Bridge kan så resten av nettverket angripes. Informasjonen ble gitt til leverandøren for 3 måneder siden, og en oppdatering ble utgitt i januar 2020. Sårbarhetene skal allerede ha blitt automatisk patchet på utstyr som er i bruk.

I februar håndterte vi 145 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 204 i januar. Denne måneden har det vært en økning i antall maskiner som har vært infisert av trojaneren Glupteba.

Det var 401 bekreftede DDoS-angrep denne måneden, ned fra 438 i januar. 137 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.47 Gbps og varte typisk i 36 minutter. Det største angrepet observert i denne perioden var på 92.3 Gbps og varte i én time. Åtte av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

onsdag 5. februar 2020

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2020

Sikkerhetsforskere advarte tidlig i januar om aktive skanninger etter et kritisk sikkerhetshull i Citrix-servere. Sårbarheten (CVE-2019-19781) ble avslørt i desember og påvirker Citrix Application Delivery Controller - også kjent som NetScaler ADC og Citrix Gateway. Svakheten gjør det mulig for en angriper å utføre ekstern kjøring av kode uten å autentisere seg. Senere i måneden ble det publisert fungerende PoC (Proof of Concept)-kode som demonstrerte svakheten, uten at det enda var noen patcher tilgjengelig fra Citrix. Citrix publiserte etter hvert instruksjoner for hvordan utstyret kunne settes opp på en måte som hindret svakheten i å bli utnyttet. Utover måneden ble etter hvert tusenvis av sårbare systemer kompromittert. Mot slutten av måneden slapp Citrix endelig patcher for svakheten.

Microsoft utbedret 49 svakheter i Windows og relaterte produkter i januar i sin månedlige oppdatering. Det ble spesielt mye oppmerksomhet rundt en svakhet som ble meldt inn av NSA i USA. Denne svakheten fikk navnet CVE-2020-0601 og befinner seg i Windows CryptoAPI (Crypt32.dll), og er en alvorlig svakhet relatert til verifisering av kryptografiske sertifikater. Svakheten kan utnyttes til å signere filer ved hjelp av forfalskede sertifikater slik at de fremstår som signert av en troverdig kilde. Svakheten kan også utnyttes til å utføre man-in-the-middle angrep og dekryptere kryptert kommunikasjon. Den ble demonstrert i simulerte angrep kort tid etter at patchen ble offentlig, men er så langt kjent ikke brukt i reelle angrep.

Med denne månedens patchedag for Microsoft-produkter er det nå End-of-Life for patcher til Windows 7. Det finnes fortsatt millioner av maskiner som ikke er oppgradert og som dermed vil være sårbare for sikkerhetssvakheter som fikses i nyere Windows-versjoner fremover. Det anbefales å jobbe mot å oppdatere til Windows 10 så snart som mulig, selv om det er mulig for bedrifter å kjøpe utvidet Windows 7 sikkerhetsstøtte en stund fremover.

Denne måneden ble det avslørt at Avast selger sensitive data om sine kunders Internett-bruk gjennom et datterselskap kalt Jumpshot. De reklamerte med at kundene kan få tilgang til hvert klikk, søk og kjøp som kundene gjør. Dataene samles inn gjennom Avast Antivirus og krever samtykke fra kundene, men ikke alle kundene er enig i at de faktisk har gitt samtykke selv om data samles inn. Det er gjort forsøk på å anonymisere dataene, men mange brukere kan antakeligvis de-anonymiseres. Senere i måneden forsvant nettsidene til Jumpshot etter at de ble nedlagt.

Fem Elasticsearch-databaser, som inneholdt 250 millioner support-hendelser fra Microsoft kundesupport fra 2005 til nå, lå åpent på internett i minst to dager mot slutten av 2019. Microsoft sikret databasene i slutten av desember 2019. Det er usikkert hvor mye data som har blitt kopiert ut og Microsoft jobber med å varsle de som er rammet.

Kostnader ved utpressingsangrep doblet seg i siste kvartal i 2019 ifølge forskere ved Coveware. Dette skyldes at angripere sikter seg inn på større bedrifter og konsern, og at nedetiden som følge av angrep har økt betraktelig til i snitt 16 dager. Gjennomsnittlig utbetaling til angriperne har også økt til $84.116.

Det har vært mye strid omkring hvorvidt Huawei skal få levere utstyr i forbindelse med utrullingen av 5G-mobilnett rundt om i Europa. Nå har Huawei fått innpass i Storbritannias utvikling av 5G nettet i begrenset omfang. Trump-administrasjonen er skuffet.

I januar håndterte vi 204 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 261 i desember. Denne måneden er det igjen forskjellige ondsinnede utvidelser til nettlesere samt graving etter kryptovaluta som dominerer hendelsene.

Det var 438 bekreftede DDoS-angrep denne måneden, opp fra 367 i desember. 193 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.26 Gbps og varte typisk i 27 minutter. Det største angrepet observert i denne perioden var på 41.3 Gbps og varte i 27 minutter. Ni av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

mandag 6. januar 2020

Oppsummering av nyhetsbildet innen datasikkerhet for desember 2019

Byen Pensacola i delstaten Florida ble i løpet av den første helgen i desember rammet av et cyberangrep. Flere delstater har nylig blitt offer for diverse ransomware-angrep, men borgermesteren i Pensacola ønsker ikke å uttale seg om de har mottatt noe løsepengekrav. IT-avdelingen i byen så seg nødt til å koble ut en rekke systemer etter angrepet, noe som gjorde at blant annet e-post ikke var tilgjengelig. Pensacola ble rammet av ransomware-varianten Maze, som også laster opp data til angriperne før krypteringen av dataene blir gjennomført. I slutten av måneden lastet angriperne opp 2GB med data fra kommunen som bevis for at angrepet hadde vært vellykket. Totalt skal 32GB med data ha blitt stjålet.

Maze er en form for ransomware som nylig har vært brukt i flere cyberangrep. Nå har en av aktørene bak angrepene opprettet en nettside hvor de oppgir navnet på flere bedrifter som angivelig har blitt rammet, men som har nektet å betale løsepenger. Angriperne opplyser at dersom bedriftene ikke samarbeider, kommer de til å lekke informasjonen som de hentet ut før de krypterte innholdet. KrebsOnSecurity har verifisert at minst ett av selskapene som står oppført på nettsiden, nylig har vært offer for et Maze ransomware-angrep. Sikkerhetseksperter sier at aktører i lang tid har kommet med denne typen trusler, men at de aldri faktisk har publisert informasjonen. Dersom informasjonen skulle publiseres, blir selskaper fremover nødt til å behandle ransomware-angrep på lik linje som andre former for data-lekkasje.

Forsvarsdepartementet i USA utgir nå en dusør på 5 millioner amerikanske dollar for informasjon som kan lede til arrestasjon av Maksim Yakubets. Yakubets, som er den antatte lederen bak Evil Corp, skal ha vært med å spre bank-trojaneren Dridex. De to personene som står bak spredningen av trojaneren skal ha stjålet over 100 millioner amerikanske dollar i løpet av en 10-års periode. Det antas også at Yakubets står bak Zeus-trojaneren som brle brukt til å stjele til sammen 70 millioner amerikanske dollar.

Informasjon om over 15 millioner individer har blitt eksponert som følge av et ransomware angrep mot LifeLabs, Canadas største medisinske lab. LifeLabs sier i en uttalelse til sine kunder at blant annet navn, adresser, e-post, fødselsdato, brukernavn, passord og test-resultater har kommet på avveie. Firmaet opplyser ikke hvor mye de var nødt til å betale eller hvem som mottok betalingen.

Facebook og Twitter har deaktivert hundrevis av falske profiler som la ut positive meldinger om Trump og skjulte sporene sine med AI-genererte bilder slik at de ble unike og vanskelige å avsløre. Profilene som teknologi-gigantene tok ned tilhørte BL, som er en mediabedrift i USA som jobber for at Trump skal bli gjenvalgt til President.

RuNet har gjennomført vellykkede tester med deres lands-lokale internett. Russland har i lengre tid jobbet med å gjøre deres innenlands-nett uavhengig av resten av Internet. Dette skal hjelpe de russiske myndighetene med å ha kontroll over hva deres borgere gjør på Internet og gjøre det enkelt å koble RuNet fra resten av Internet.

BMW oppdaget våren 2019 at deres nettverk var kompromittert ved at Cobalt Strike ble funnet på en intern datamaskin. BMW lot angriperen være aktiv en stund etter de ble oppdaget for å prøve å få innblikk i hvem de var, deres mål, og hva de hadde fått tilgang til. BMW tror at målet var bedriftshemmeligheter, og at de trolig ikke fikk tak i det de ville ha. Gruppen OceanLotus mistenkes for å stå bak innbruddet og settes i sammenheng med Vietnam. Hyundai og Toyota skal også ha vært utsatt for innbrudd fra den samme grupperingen tidligere.

Reddit opplyste at de mistenker at Russland står bak en lekkasje av dokumenter via Reddit-plattformen i forbindelse med Brexit-forhandlingene. De har bannlyst 61 kontoer de mistenker står bak aksjonen. Lekkasjen skal være gjort som et ledd i politisk påvirkning i UK.

En ny svakhet som har fått navnet Plundervolt, gjør det mulig å få tilgang til data som ligger lagret i Intel Software Guard eXtensions (SGX) ved å regulere spenningen og frekvensen på prosessorer. Intel SGX benyttes til å lagre data som skal være utilgjengelig for andre applikasjoner som kjører på operativsystemet. Intel har gitt ut Microcode og BIOS-oppdateringer som gjør det mulig å deaktivere spenning- og frekvensregulering. Plundervolt krever fysisk tilgang til maskinen for å kunne utnyttes.

I desember håndterte vi 261 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 204 i november. Denne måneden er det igjen forskjellige ondsinnede utvidelser til Chrome-nettleseren samt graving etter kryptovaluta som dominerer hendelsene.

Det var 367 bekreftede DDoS-angrep denne måneden, ned fra 388 i november. 150 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.62 Gbps og varte typisk i 24 minutter. Det største angrepet observert i denne perioden var på 37.8 Gbps og varte i 16 minutter. Fem av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

onsdag 4. desember 2019

Oppsummering av nyhetsbildet innen datasikkerhet for november 2019

Nasjonalt Cybersikkerhetssenter, en del av Nasjonal sikkerhetsmyndighet (NSM) åpnet i starten av november og skal bidra til å styrke den digitale sikkerheten i Norge. I tillegg til NSM, vil også en rekke samarbeidspartnere fra både privat og offentlig sektor være representert på senteret, som er lokalisert på Havnelageret i Oslo sentrum.

En ny lov som omhandler myndigheters rett til å slå av Internett har trådt i kraft i Russland. For å muliggjøre en slik avkobling fra internett, er det påkrevd at trafikk fra samtlige ISPer rutes gjennom servere eid og håndtert av landets telekomregulator. Kritikere og eksperter på russisk politikk, menneskerettigheter og personvern mener derimot at dette kun er en lov for å muliggjøre overvåking av russiske borgere og sensur av utenlandske nettsteder.

En svakhet har blitt avdekket i smart-høyttalere (Google Assistant, Alexa og Siri) samt andre enheter som benytter MEMS-mikrofoner for å utføre stemmegjenkjenning. Ved å variere lysintensiteten til en laserstråle rettet mot enheten, kan man simulere en stemme og dermed kontrollere enhetene. Dette kan for eksempel benyttes til å låse opp dører eller bekrefte kjøp på nettsteder. Forskerne klarte å utføre denne typen angrep på 110 meters avstand og samarbeider nå med produsentene for å forebygge og forhindre utnyttelse av svakheten. For å motvirke dette bør en absolutt ikke gi smarthøyttalere tilgang til å åpne dører, starte biler osv.

Det viser seg at det er en sårbarhet i mange kamera-apper på Android-mobiler. Konsulentselskapet Checkmarx har sluppet informasjon og PoC for tilgang til kamera, mikrofon og lokasjonsdata via tredjeparts programvare kun med adgang til lagringsresursene på mobilen. PoCen viser hvordan man via en annen applikasjon kan styre tilgang til telefonens ressurser med enkle kall, og med disse ta opp og hente ned bilder, video og lyd uten at brukeren legger merke til det. Google ble informert om svakheten tidligere i sommer og oppdaterte kameraprogramvaren i Android i juli. Så langt har Google og Samsung fikset problemet, men det gjenstår å se hvor fort andre leverandører tetter hullet..

Under CyberwarCon-konferansen i Arlington, Virginia, formidlet Microsofts Ned Moran at den Iranske hackergruppen APT33 (også kjent som Holmium, Refined Kitten og Elfin) ser ut til å ha oppskalert aktivitetene mot industrielle kontrollsystemer. Moran sa at passord-spray-angrep har økt kraftig i intensitet mot cirka 2000 bedrifter. Han mener også det ser ut til at gruppen går aktivt inn for å befeste seg for å kunne gjøre større fysisk skadeverk via cyber-angrep. I foredraget nevnte han hverken hvilke systemer eller bedrifter som er berørt, men at de leverer kontrollsystemer til olje-, strøm- og foredlingsbransjen.

I november ble tre personer i USA siktet for spionasje til fordel for Saudi Arabia, to tidligere ansatte i Twitter og én ekstern. De er tiltalt for spionasje mot personer som har uttrykt kritikk mot den saudiarabiske kongefamilien. "Den foreløpige siktelsen går ut på at saudiarabiske agenter har gått inn i Twitters interne systemer for å hente ut personlig informasjon om kjente saudiarabiske kritikere og tusenvis av andre Twitter-brukere", sa den amerikanske statsadvokaten David Anderson.

16. og 17. november ble det gjennomført en hacker-konkurranse kalt Tanfu Cup i Chengdu, Kina. Konferansen er kun for kinesere, etter at landets borgere fikk forbud mot å delta i internasjonale hacker-konkurranser i 2018. I konkurransen lyktes det deltakerne å kompromittere blant annet Edge, Chrome, Safari, D-Link routere, Office 365 og Adobe Reader.

En gruppe forskere har vist at Intel og STMicroelectronics TPM (Trusted Platform Module) er sårbar for timing-angrep som i enkelte tilfeller kan brukes til å utlede 256-bit private nøkler som er lagret i TPM. Forskerne klarte å utlede en ECDSA-nøkkel på 4-20 minutter lokalt. Via et raskt nettverk klarte de å finne en VPN-nøkkel på fem timer ved hjelp av rundt 45.000 oppkoblinger. Intel har sluppet oppdateringer som fikser svakheten, mens STMicroelectronics TPM krever ny versjon av chipen.

Trend Micro opplyste denne måneden at en ansatt hadde solgt personlige data tilhørende ca. 100.000 kunder til svindlere som ringer opp og utgir seg for å være ulike former for teknisk support og skal "hjelpe" deg med PCen din. Den ansatte er sagt opp og er under politietterforskning.

I november håndterte vi 204 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 261 i oktober. Denne måneden er det forskjellige ondsinnede utvidelser til Chrome-nettleseren samt graving etter kryptovaluta som dominerer hendelsene.

Det var 388 bekreftede DDoS-angrep denne måneden, opp fra 306 i oktober. 151 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.85 Gbps og varte typisk i 42 minutter. Det største angrepet observert i denne perioden var på 50 Gbps og varte i 11 minutter. Seks av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

 
>