Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 7. mai 2021

Oppsummering av nyhetsbildet innen datasikkerhet for april 2021

Den nylig opprettede Ransomware Task Force (RTF) er organisert av “Institute for Security and Technology” i samarbeid med representanter fra teknologi- og sikkerhetsbedrifter, regjeringer, politi og internasjonale organisasjoner. Ransomware-bølgen har etter hvert økt i omfang til å bli en fare for samfunnet, med flere eksempler på ødeleggende angrep mot sykehus, kommuner, politi og offentlig infrastruktur. RTF mener at det må et internasjonalt samarbeid til for å stoppe bølgen. De har akkurat gitt ut sin første rapport med anbefalinger. Disse går blant annet ut på å få politiet til å prioritere denne typen saker, pålegge organisasjoner å informere myndighetene om betalinger av løsepenger og å få kryptobørser til å vite hvem kundene er og overvåke transaksjoner.

Bedriften ClickStudios la ut en melding om at de hadde vært utsatt for et sikkerhetsbrudd mellom 20. og 22. april. Bedriften lager et produkt kalt Passwordstate, som brukes av større organisasjoner for å holde orden på passord og automatisere innlogginger. Denne programvaren ble kompromittert og en bakdør ble lagt inn. Versjonen av Passwordstate med bakdøren var tilgjengelig for nedlasting i 28 timer. Clickstudios har sluppet informasjon om hvordan en kan sjekke om den kompromitterte utgaven av Passwordstate er installert.

Noen av de store løsepengegruppene har begynt å presse bedrifter til å betale løsepenger ved å sende eposter direkte til både kunder og partnere av offeret. I epostene står det at sensitive data om dem som kunder/brukere vil bli lekket, dersom offeret ikke betaler. Mottakerne oppfordres videre til å legge press på offeret for å ordne betaling.

Den store nyheten i mars var Exchange-svakheten “ProxyLogon” som ble benyttet til å plassere bakdører på servere over hele verden. FBI i USA benyttet denne måneden den samme Exchange-bakdøren til å slette den opprinnelige bakdøren som ble lagt inn. Eierne av serverne som ble berørt ble ikke kontaktet først og det diskuteres i sikkerhetsmiljøet om dette var en lovlig og etisk  teknikk eller ikke.

NSA, FBI og Cybersecurity and Information Security Agency sier at  Russland stod bak supply-chain angrepet mot Solarwinds. Angrepet førte til at en bakdør ble sendt ut til over 18 000 kunder via oppdateringer. USA har nå lagt sanksjoner mot Russland og seks russiske selskaper som støttet Russland i å utføre dette angrepet. Amerikanske myndigheter advarer videre om at russisk etterretning fortsetter angrepene sine ved å utnytte kjente sårbarheter i populære produkter fra leverandører som Fortinet, Pulse Secure, Citrix og VMWare.

I april ble det meldt om en kritisk svakhet i Pulse Secure VPN-enheter som lar angripere omgå autentisering. Svakheten er svært enkel å utnytte og FireEye meldte raskt at flere trusselaktører allerede utnyttet svakheten til å installere forskjellige typer malware. Blant annet er flere amerikanske forsvars-underleverandører rammet. Kinesisk-støttede aktører skal hovedsakelig stå bak angrepene.

Den kjente malware gruppen BazarLoader jobber med tvilsomme call-center for å lure ofrene til å laste ned et infisert dokument. Phishing-epostene ber personer om å ringe et nummer for å oppgradere et abonnement eller lignende. Når personene ringer nummeret, blir de guidet til å laste ned et Office-dokument og deretter slå av sikkerhetsfunksjoner i Office for å tillate makroer å kjøre. Makroen laster deretter ned malware og infiserer maskinen.

Mot slutten av april mottok mange nordmenn tekstmeldinger på engelsk om å hente en tilsendt pakke. Dersom en lar seg lure og følger lenken fra en Android-mobil, leder den til en nedlastingsside for malware. For å installere malwaren må brukeren slå på muligheten for å installere apper fra ukjente kilder og svare ja til flere sikkerhetsadvarsler. Det er malwaren Flubot som blir installert, og denne vil laste ned personlige detaljer og prøve å lure brukeren til å gi fra seg nettbank-detaljer. Flubot vil også fortsette å sende SMS-meldingene videre til brukerens kontakter. Hittil har heldigvis Flubot hatt begrenset spredning i Norge, muligens fordi få benytter seg av tredjeparts app-butikker i Norge.

I løpet av årets Pwn2Own konkurranse ble det utbetalt over $1.2 millioner kroner i premier til deltakerne. I løpet av konkurransen ble helt nye måter å hacke Safari, Chrome, Edge, Windows 10, Ubuntu, Microsoft Teams, Zoom og Exchange vist fram. Alle teknikkene ble demonstrert og detaljer rundt disse deretter overlevert til arrangørene og leverandørene. Nok en gang viser det seg at alle større softwareprodukter er forholdsvis enkle å utnytte, bare en er motivert nok.

I april håndterte TSOC 118 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 140 i mars. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt, sammen med Mac OS X-maskiner infisert av Shlayer-trojaneren.

Det var 355 bekreftede DDoS-angrep denne måneden, ned fra 415 i mars. 137 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.63 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 37.5 Gbps og varte i 23 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.


fredag 9. april 2021

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2021

Den store nyheten denne måneden var kompromitteringen av titusenvis av Exchange-servere over hele verden. Microsoft meldte 2. mars om at avanserte angripere brukte fire nye og til da ukjente svakheter til å kompromittere Exchange-servere som var eksponert mot Internet. Exchange-tjenester hostet hos Microsoft var ikke rammet. Angrepene startet egentlig så tidlig som 6. januar og i begynnelsen var det den kinesiske APT-gruppen Hafnium som stod bak angrepene, som for det meste rammet mål i USA. Det er trolig spionasje som var formålet med operasjonen. Microsoft ga raskt ut patcher for svakhetene som ble utnyttet, men i de påfølgende dagene fikk flere trusselaktører tak i verktøyene for å utnytte svakhetene. Exchange-servere som ikke hadde blitt patchet ble kompromittert og disse ble brukt som brohode inn i mange bedrifter for å stjele data, installere programvare for å utvinne kryptovaluta eller å ta ned hele bedriften ved hjelp av ransomware.

I forbindelse med angrepet mot Exchange-serverne ble Stortinget kompromittert for andre gang i løpet av få måneder. Angrepet er under etterforskning og det er bekreftet at data fra eposter har blitt hentet ut. Etter at angrepet ble kjent gikk Stortinget ut og opplyste om at alle sikringstiltakene som ble vedtatt gjennomført etter det forrige angrepet nå har blitt gjennomført.

Google har oppdaget en hackergruppe som har utnyttet minst 11 forskjellige 0-dagssvakheter i deres ni måneder lange operasjon som ble gjennomført i 2020. Operasjonen har blitt omtalt tidligere, men Google slipper nå flere detaljer. Ofrene ble lurt inn på spesielt utformede nettsider og både Android, iOS og Windows brukere ble utnyttet. Svakhetene ble utnyttet etter hverandre, slik at angriperne til slutt kunne få tilgang til det underliggende operativsystemet, med permanent tilgang til enheten. Etter hvert ble det klart at operasjonen var en del av en vestlig stats anti-terror operasjon. Det har i etterkant vært diskusjoner om det er riktig å ta ned denne typen operasjoner eller ikke.

Sikkerhetsfirmaet Qualys har blitt frastjålet data via et vellykket angrep mot sine Accellion FTA-servere. Dette var del av en større kampanje som startet i desember 2020. I mars slapp Clop ransomware-gjengen skjermdumper som viser at de har fått tak i filer som tilhører Qualys. Dette inkluderer bestillinger, fakturaer, skatte-dokumentasjon og rapporter fra skanninger.

OVH er et hosting-selskap som tilbyr kapasitet i datasentre på forskjellige steder. Natt til 10. mars begynte deres datasenter SBG2 å brenne. SBG1, 2, 3 og 4 ble også stengt ned som følge av brannen. SBG2 ble helt ødelagt etter brannen og OVH ber kundene om å følge sine kriseplaner. Brannen viser hvor viktig det er å ha kopi av sine data på flere fysiske steder.

I desember ble Hurtigruten utsatt for et datainnbrudd. Det er nå funnet at personlige opplysninger om ansatte er på avveie på det mørke nettet, blant annet fødselsnumre og sykemeldinger. Ransomware-gjenger slipper gjerne slike opplysninger på det mørke nettet for å tvinge bedrifter til å betale. Senere i måneden ble også data fra angrepet mot Østre Toten kommune gjort tilgjengelig på det mørke nettet.

Oppdrettsleverandøren Akva Group ble rammet av et løsepengevirus i januar 2021. Selskapet anslår at de direkte kostnadene som følge av angrepet vil havne et sted mellom 40 og 50 millioner kroner. Da systemene ble rammet ble også alle sikkerhetskopier kryptert. Akva Group har ikke kommet med noen uttalelse om de har betalt løsepenger for å dekryptere filene. De melder at ingen data har gått tapt som følge av angrepet.

Telenor har lansert et nytt system for å redusere telefonsvindel. Systemet vil avdekke om mobilen med nummeret det ringes fra, er en mobil som faktisk befinner seg i Norge. Dersom den gjør det, men oppringingen skjer fra utlandet, vil det flagges som svindelforsøk og vises for mottaker som skjult nummer. Dette vil gjøre det lettere å identifisere svindel for mottakeren og spoofede nummer som benyttes til svindel vil ikke bli utsatt for store mengder anrop.

I mars håndterte TSOC 140 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 82 i januar. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt, sammen med Mac OS X-maskiner infisert av Shlayer-trojaneren.

Det var 415 bekreftede DDoS-angrep denne måneden, ned fra 349 i februar. 137 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.1 Gbps og varte i én time. Det største angrepet observert i denne perioden var på 32.2 Gbps og varte i 8 minutter. Syv av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

fredag 5. mars 2021

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2021

 Mandag 22. februar kveld fikk TietoEvry problemer med tjenester som ble levert til 25 av sine kunder. Dette skyldes et løsepengevirus som krypterte flere servere hos bedriften. NSM og Kripos er varslet og bistår selskapet med håndteringen av saken videre. Selskapet har opplyst at det ikke er noe som tyder på at personopplysninger er lekket. Så langt har det heller ikke blitt lekket data ut på det mørke nettet fra angrepet, noe som etter hvert har blitt vanlig ved denne typen angrep.

Nettkriminaliteten øker, men politiet henger ikke med, mener Riksrevisjonen. “– Kriminaliteten har flyttet seg fra gata til data. Det har dessverre ikke politiet”, uttalte riksrevisor Per-Kristian Foss i en pressemelding. I Riksrevisjonens rapport går det fram at politiet mangler oversikt over kriminaliteten som foregår digitalt og også mangler kompetanse og kapasitet til å etterforske den. Det er for lite samordning mellom politidistriktene, og internasjonalt samarbeid er vanskelig. Politidirektoratet og Justis- og beredskapsdepartementet har ikke prioritert dette høyt nok, heter det.

I februar ble det avslørt en skadevare-kampanje mot sårbare Centreon-systemer. Centreon er et fransk firma som produserer programvare for system- og nettverksmonitorering. Frankrikes Cyber-Security enhet knytter kampanjen mot Sandworm, som igjen knyttes til russlands militære etterretning GRU. Kampanjen skal ha pågått i årevis frem til 2020, hvor de første ofrene ble kompromittert allerede i 2017. Sikkerhetseksperter mener at denne kampanjen ikke er et forsyningskjede-angrep, men heller opportunistisk utnyttelse av sårbarheter i eksponerte systemer.

Appen Barcode Scanner av LAVABIRD LTD, som kunne lastes ned fra Google Play, gikk fra å være en legitim scanner-app til å inneholde malware/adware etter siste oppdatering. Appen vil etter oppdateringen åpne nettleseren og en rekke ondsinnede nettsider og annonser. Google Play har fjernet appen, men enheter med appen installert kan fortsatt bli rammet dersom appen har blitt oppdatert. Appen hadde over 10 millioner nedlastinger før den ble fjernet. Saken belyser et økende problem, nemlig at apper og nettleser-tillegg kjøpes opp og fylles med malware. For kriminelle er dette en forholdsvis billig måte å kjøpe seg eksponering mot millioner av brukere.

En sikkerhetsforsker har klart å få kontroll over interne systemer hos over 35 store IT-selskaper, inkludert Microsoft, Apple, PayPal, Netflix, Tesla og Uber, ved å laste opp ondsinnet kode til forskjellige kildekodelager på internett. Forskeren kom seg inn ved å laste opp editerte oppgraderingspakker til programvare med et høyere versjonsnummer, som deretter hentes ned automatisk av systemene hos selskapene. Det er dermed viktig at det blir verifisert hvilke kildelager som er tatt i bruk for henting av programmer hos alle systemer og om det er et internt eller eksternt lager som skal brukes. Dette angrepet er en variant av forsyningskjedeangrep.

Etter etterforskningssamarbeid mellom FBI, CISA, og the Department of Treasury, blir tre nordkoreanske hackere tiltalt for å ha stjålet over 1.2 milliarder dollar fra organisasjoner rundt om i verden. Hackerne skal tilhøre det nordkoreanske Reconnaissance General Bureau (RGB) som gjennom kampanjen "AppleJeus" har utført målrettede angrep mot firmaer som utfører transaksjoner med kryptovaluta og også tradisjonelle finansinstitusjoner.

Politi fra USA, UK, Belgia, Malta og Canada har arrestert 10 personer i USA, Malta og Belgia. Personene er mistenkt for en mengde SIM-swap angrep mot kjendiser, Internett-influensere og innhavere av store mengder krypto-valuta. Ved å ta kontroll over SIM-kortene til ofrene sine, skal da ha fått tak i verdier for over 100 millioner dollar.

Google Project Zero melder om at rundt 25% av 0-dagssvakhetene som ble utnyttet i fjor er nære slektninger av 0-dagssvakheter som ble publisert tidligere. Disse svakhetene mener Project Zero at kunne vært unngått om det ble gjort bedre undersøkelser samt hatt bedre forståelse for hva som faktisk var feilen før man prøvde å fikse 0-dagssvakheten. Oppdateringene som leverandørene gir ut er ofte for spesifikke, og det skal bare en liten endring i angrepskoden til for å få den til å virke igjen.

Med det økende behovet for fjernaksess, øker også trenden for å tilegne seg og videreselge tilgang til nettverk. Firmaet Digital Shadows melder at RDP-tilganger i snitt går for 9765 dollar, og det er ofte ransomware-aktører som kjøper disse tilgangene. RDP og andre tjenester for fjerntilgang bør alltid gjemmes bak en trygg VPN-forbindelse med to-faktor autentisering.

I februar håndterte TSOC 82 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 83 i januar. Fortsatt er det klienter og servere infisert av malware som utvinner kryptovaluta som dominerer hendelsene.

Det var 349 bekreftede DDoS-angrep denne måneden, ned fra 457 i januar. 120 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.44 Gbps og varte i 14 minutter. Det største angrepet observert i denne perioden var på 395 Gbps og varte i 32 minutter. Ti av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

fredag 5. februar 2021

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2021

Den kjente sikkerhetsleverandøren Malwarebytes har blitt kompromittert av den samme trusselaktøren som stod bak SolarWinds-angrepet. Amerikanske tjenestemenn kaller aktøren UNC2452 / Dark Halo, og mener at den kan knyttes til russisk etterretning. Malwarebytes opplyser at innbruddet ikke er gjort via SolarWinds supply-chain hendelsen som skjdde tidligere i 2020. Innbruddet ble derimot gjort via en svakhet i et produkt for epost-sikkerhet, som var installert i deres Office 365-instans.Etter en undersøkelse av hendelsen, har Malwarebytes kommet frem til at angriperne kun hadde fått tilgang til ett fåtall av bedriftens interne eposter.

Hackerne som stod bak SolarWinds-innbruddet var i stand til å bryte seg inn i Microsoft Corporation og få tilgang til noe av selskapets kildekode, opplyste Microsoft på nyttårsaften. SolarWinds-saken er blant de mest ambisiøse cyber-operasjonene som noensinne er avslørt, og har kompromittert flere føderale etater og større firmaer. Microsoft opplyser at angriperne ikke har hatt tilgang til å gjøre endringer i kildekoden. Å lese kildekoden skal heller ikke gjøre det enklere å oppdage svakheter, i henhold til Microsoft.

En gruppe bestående av FBI, CISA, ODNI og NSA kalt Cyber Unified Coordination Group (UCG) jobber med å undersøke og håndtere angrepet gjennomført ved hjelp av SolarWinds Orion. De la i januar fram en pressemelding om arbeidet så langt. Her kunne de opplyse at over 18.000 kunder av SolarWindows fikk bakdøren installert, men kun et titall av disse ble utsatt for videre angrep. Gruppen mener også at det trolig er en russisk APT som står bak, hvor formålet er etterretning.

Natt til 9. januar ble det gjennomført et løsepengevirus-angrep mot Østre Toten kommune. Angriperne har ifølge kommunen kommet seg bak brannmuren og slettet sikkerhetskopier, og deretter kryptert alle datasystemer de har fått tilgang til. Kommunen måtte i flere dager delvis gå over til manuelle rutiner. Oppbygging av systemene har i ettertid tatt flere uker. Det er så langt ukjent hvordan angriperne fikk tilgang til det interne nettverket til kommunen.

Mandag 11. januar meldte også oppdrettsleverandøren Akva Group at de hadde mottatt krav om  løsepenger etter et dataangrep. Angrepet satte deler av deres systemer ut av spill. Teknologiselskapet leverer utstyr og tjenester til oppdrettsnæringen, og omsetter for rundt tre milliarder kroner i året.

Ciaran Martin, som var sjef for National Cyber Security Centre i UK til august i fjor, mener at ransomware-angrep er i ferd med å komme ut av kontroll. Han mener at forsikringsselskapene bidrar til problemet, siden det enkleste og billigste for firmaer med forsikring ofte er å betale løsepengene.

Googles trusselanalysegruppe (TAG) publiserte en blogg-post hvor de informerer om at det har blitt identifisert en pågående kampanje mot sikkerhetsforskere som jobber med sårbarhetsforskning og utvikling hos forskjellige selskaper. Angriperne bruker flere sosiale medieplattformer og epost til å levere ondsinnet kode og bakdører til spesifikke personer. Angriperne har blant annet satt opp et nettsted med reelle artikler om relevante svakheter som ble brukt til vannhullsangrep. Angrepskode på denne bloggen skal ha kompromittert fullt patchede Chrome-nettlesere. I andre tilfeller fikk ofrene oversendt Visual Studio-prosjekter med bakdører. Det antas at myndighetene i Nord-Korea står bak og at målet er å samle inn informasjon om nye svakheter for å bruke dem i videre operasjoner.

Selskapet Mimecast, som lager sikkerhetsprodukter for epost, sier i en uttalelse at de har vært utsatt for en avansert trusselaktør som har klart å kompromittere sertifikatene som benyttes for å kryptere kommunikasjonen mellom selskapets produkter og Microsoft sine skytjenester. Mimecast ble varslet om forholdet av Microsoft. Uavhengige sikkerhetseksperter spekulerer i om dette angrepet kan ha blitt utført av samme trusselaktør som stod bak angrepet mot SolarWinds. Angrepet kan ha gjort det mulig å lese eposter og andre data i kundenes Microsoft 365-kontoer.

Sønstebyprisen er en pris som tildeles de som i krigshelt Gunnar Sønsteby sin ånd, forsvarer demokratiske verdier i Norge. I år gikk prisen til en rekke organisasjoner som har en sentral rolle i å forsvare verdens mest digitale folkeslag mot digitale trusler. Med andre ord, prisen ble tildelt landets cyberforsvarere. Virksomhetene som mottar prisen er FSH/Cyberingeniørskolen, Etterretningstjenesten, Kripos NC3, Telenor Norge, Næringslivets Sikkerhetsråd, Politiets sikkerhetstjeneste (PST), NTNU, Nasjonal sikkerhetsmyndighet (NSM), Norsk Senter for Informasjonssikring – NorSIS, CSS og Norwegian Maritime Cyber Resilience Centre (Norma Cyber).

I januar håndterte TSOC 83 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 112 i desember i fjor. I januar ble de fleste kompromitterte maskinene brukt til å utvinne kryptovaluta.

Det var 457 bekreftede DDoS-angrep denne måneden, opp fra 361 i desember i fjor. 128 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.9 Gbps og varte i 16 minutter. Det største angrepet observert i denne perioden var på 269 Gbps og varte i fire timer. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

onsdag 6. januar 2021

Oppsummering av nyhetsbildet innen datasikkerhet for desember 2020

Datainnbruddet som Stortinget ble rammet av i august ble ferdig etterforsket av PST i desember. Etterforskningen viste at nettverksoperasjonen var en del av en større kampanje nasjonalt og internasjonalt, og har pågått ihvertfall siden 2019. Analysene viser at det mest sannsynlig dreier seg om aktøren som omtales som APT28/Fancy Bear. Denne aktøren knyttes til Russlands militære etterretningstjeneste GRU, mer spesifikt deres 85. hovedsenter for spesielle tjenester. Påtalemyndigheten har besluttet å avslutte etterforskningen på bakgrunn av at det til nå ikke er frembrakt tilstrekkelige opplysninger til at det kan utferdiges en tiltale for brudd på straffeloven (§121).

Det finske parlamentet opplyste 29. desember at de også var utsatt for et data-angrep høsten 2020. E-post-kontoene til flere politikere ble angrepet og innhold i e-postene lest av uvedkommende. Angrepet skjedde i samme periode som angrepet mot det norske Stortinget, og det er antakeligvis en sammenheng.

8. desember meldte FireEye om et målrettet angrep mot firmaet. Angriperne fikk blant annet tak i deres interne angreps-verktøy for Red Team-oppdrag. FireEye slapp derfor signaturer for å oppdage bruk av disse verktøyene, i tilfelle angriperne ville bruke disse verktøyene mot andre mål for videre innbrudd. Washington Post meldte at det var mistanke om at det var den russiske grupperingen APT-29/Cozy Bear som stod bak angrepet, som regnes som å være underlagt den russiske utenlandske etterretningen.

13. desember kom det fram at angrepet mot FireEye også hadde rammet andre organisasjoner og firmaer. Blant ofrene er DHS (Department of Homeland Security), flere andre viktige departementer i USA, Microsoft samt “National Nuclear Security Administration”. Hos Microsoft fikk angriperne blant annet tilgang til kildekoden til Windows operativsystemet. Angrepet ble utført ved å kompromittere interne systemer hos programvareleverandøren Solarwinds. Gjennom disse systemene ble kildekoden til programvaren “Orion” endret til å inneholde en bakdør. Orion er et verktøy som brukes av svært mange større organisasjoner for å holde orden på og patche interne datasystemer. Dette dreide seg altså om et avansert forsyningskjede-angrep.

De manipulerte utgavene av Orion-programmet ble lagt ut på Solarwinds sine sider for nedlasting i mars 2020, og har deretter blitt lastet ned og installert av rundt 18000 organisasjoner. Selv om angriperne i realiteten har hatt tilgang til alle disse, er det bare et mindretall ofre som har blitt valgt ut for videre innbrudd, noe som antakeligvis skyldes at de ville holde en lav profil for å minimere muligheten for å bli avslørt. Dersom et mål ble utvalgt for videre målrettet innbrudd, ble en bakdør kalt “Sunburst” lastet ned til systemet og angriperne fikk kontroll over systemet. Hele operasjonen bærer preg av langvarig planlegging og mye innsats for å ikke bli avslørt.

Russisk statsstøttede hackere har i et separat angrep forsøkt å kompromittere Microsoft Azure-kunder og stjele e-poster fra minst én bedrift fra den private sektoren, sikkerhetsfirmaet CrowdStrike. Innbruddsforsøket skjedde gjennom en tredjepart som håndterer lisenser for Microsoft, og den har dermed tilgang til lisensnøkler og kundedata. Saken retter oppmerksomheten mot hvem som egentlig har tilgang til kunders data i skytjenester. CrowdStrike har etter hendelsen laget et gratis verktøy for å gi Microsoft-kunder bedre oversikt over hvem som har tilgang til dataene deres i skyen.

Operasjonen First Light, koordinert av INTERPOL, har ført til mer enn 20 000 arrestasjoner i 35 land spredt over alle kontinenter. I over ett år har det blitt samlet inn informasjon om aktører innen telefoni- og Internett-svindel, med avslutning i en mengde samtidige arrestasjoner. Dette er den første operasjonen hvor lokale politimyndigheter har utført en koordinert, global operasjon i samarbeid med INTERPOL. Nøkkeltall for operasjonen: 10 380 lokasjoner raidet, 21 549 arrestasjoner, 310 bankkontoer frosset, 154 millioner amerikanske dollar beslaglagt.

En Google-forsker har brukt karantenetiden til å oppdage og utforske en kritisk svakhet i kjernen til iOS. Svakheten gjorde det mulig å få full kontroll over alle iPhones som befant seg innenfor WiFi-rekkevidde. Offeret merket ingenting av innbruddet eller at data ble hentet ut fra enheten. Forskeren har skrevet en svært detaljert gjennomgang av hvordan han gikk fram. Apple lanserte en patch for svakheten med iOS 13.5, som ble utgitt i mai 2020. Svakheten var også "ormbar", noe som betyr at den kunne ha blitt brukt til å få malware til å spre seg fra én iPhone til alle andre iPhones innenfor radio-rekkevidde osv.

I desember håndterte TSOC 112 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 179 i november. Fortsatt er det en del MacOS-maskiner som blir infisert av trojaneren Shlayer. Mange maskiner blir også infisert av trojanere som driver med utvinning av krypto-valuta, ved å utnytte ledige prosesseringskapasitet på maskinen.

Det var 360 bekreftede DDoS-angrep denne måneden, ned fra 431 i november. 116 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3 Gbps og varte i 26 minutter. Det største angrepet observert i denne perioden var på 47 Gbps og varte i åtte minutter. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

 
>