Oppsummering av nyhetsbildet innen datasikkerhet for august 2022

 Cisco ble 24. mai 2022 kjent med at de kanskje hadde blitt kompromittert. Siden har Cisco Security Incident Response (CSIRT) og Cisco Talos arbeidet med analyse og opprydding. Innloggingsdetaljer tilhørende en ansatt ble kompromittert, etter at en angriper fikk tilgang til den private Google-kontoen til vedkommende, og innloggingsdetaljer lagret i nettleseren ble hentet ut. Ved bruk av phishing klarte angriperne å få den ansatte til å akseptere multifaktor-autentisering iverksatt av angriper, som ga VPN-tilgang inn i Ciscos nettverk under den ansattes navn. Cisco tror så langt at angriperen ikke har fått tilgang til kritiske interne systemer. Angriperen ble etter hvert kastet ut av systemene, men gjorde i ukene etter gjentatte forsøk på å få tilbake tilgangene uten hell. Cisco Talos opplyser at det er høy sannsynlighet for at angriperen kan ha tilknytning til en trusselaktør som tidligere har solgt tilganger til grupperingene UNC2447, Lapsus$ og Yanluowang.

Twilio, et amerikansk sky-kommunikasjonsfirma, bekreftet at kundedata var på avveie etter et SMS-phishing angrep. Angriperene utga seg for å være Twilio sin IT-avdeling via SMS og ba de ansatte om å tilbakestille passordet sitt. Nettsiden de lenket til skal ha sett identisk ut som den ekte siden. CloudFlare ble også utsatt for samme type angrep fra den samme aktøren. Tre av de ansatte ble lurt, men angriperne fikk ikke tilgang til interne systemer, da CloudFlare benytter seg av hardware-nøkler for innlogging. Denne typen nøkler gjør at innlogging er umulig å gjøre fra andre maskiner enn der nøkkelen er fysisk satt inn.

Meldingstjenesten Signal brukte Twilio for å levere SMS-meldinger for å autentisere Signal-brukere. Angrepet mot Twilio førte til at angriperen fikk tilgang til 1900 mobiltelefonnumre som var knyttet til Signal-kontoer, og deretter kunne omregistrere Signal-kontoer over til nye mobiltelefoner. Flere kontoer ble omregistrert, og aktøren kunne dermed gi seg ut for å være disse brukerne. Meldingshistorikk og kontakter blir ikke overført av Signal ved bytte av mobil. Signal oppfordrer etter hendelsen alle deres brukere til å skru på registrerings-lås på Signal-kontoen. Dette gjør at en angriper ikke uten videre kan ta over kontoen din, selv om de får tilgang til tekstmeldingen for å flytte kontoen.

Firmaet Okta bekreftet mot slutten av måneden at også de var et av ofrene etter angrepet mot Twilio. Informasjon om brukere, telefonnummer og engangspassord ble hentet ut fra Twilio og brukt mot Okta i en større phishing-kampanje. Informasjonen som ble hentet ut ble så brukt i datainnbrudd mot over 130 organisasjoner i hele verden. Så langt ser det ikke ut til at norske firmaer er rammet. Aktøren bak denne phishing-angrepsbølgen har fått navnet “0ktapus” og det er ukjent hvem som står bak.

Twitter bekreftet i starten av august at informasjon knyttet til 5.4 millioner brukere ble stjålet i januar. Dette ble oppdaget etter at telefonnumre og epost-adresser tilhørende diverse Twitter-kontoer ble laget ut for salg på "Breach Forums". Informasjonen ble stjålet ved hjelp av et sikkerhetshull som gjorde det mulig å finne ut hvilken Twitter-konto et telefonnummer eller mailadresse tilhører ved å skrive det inn under innlogging. Twitter har fikset sikkerhetshullet, men anbefaler folk som har pseudonyme kontoer på Twitter om å fjerne epost-adresser og telefonnumre fra kontoen for å redusere framtidig risiko for å bli de-anonymisert. Senere i måneden gikk også Twitters forhenværende sikkerhetssjef Peiter "Mudge" Zatko offentlig ut med opplysninger om at Twitter har alvorlige mangler i deres forsvar mot data-angrep og dårlig håndtering av spam og falske kontoer.

Amerikanske myndigheter har utlovet en dusør på inntil 10 millioner dollar for informasjon som kan medføre arrestasjon av de fem lederne i Conti. Sammen med dusøren har myndighetene utgitt et bilde av "Target" som er en av lederne. De er også interessert i informasjon om de fire andre personene kjent som "Tramp", "Dandis", "Professor" og "Reshaev" som nå deltar i flere andre løsepengevirus-grupper etter at Conti ble oppløst. Det statlige programmet “The Rewards of Justice” står bak dusøren og er kjent for å utgi belønninger for informasjon om trusselaktører som kan påvirke nasjonale sikkerhet.

USA sanksjonerte i august Tornado Cash, som er en tjeneste for å anonymisere kryptovaluta-transaksjoner. Tjenesten har legitime bruksområder for anonymitet, men blir ofte misbrukt for ulovlig aktivitet som hvitvasking av penger. Finansdepartementet i USA anslår at Tornado Cash har blitt brukt til hvitvasking av over 6 milliarder USD i kryptovaluta siden 2019. Tornado Cash har ikke innført tilfredsstillende rutiner for å kontrollere og hindre ulovlig bruk, noe som har ført til at transaksjons-mikseren nå er svartelistet av USA. GitHub-kontoen som ble brukt til å vedlikeholde kildekoden til tjenesten er også slettet. Én av utviklerne av tjenesten ble også arrestert i Nederland og sitter fortsatt fengslet.

Samtlige 7-Eleven kiosker i Danmark ble rammet av data-angrep mandag 8. august. Kasseapparatene fungerte ikke lengre, noe som førte til at de ansatte ikke kunne ta imot betaling fra kunder. Det tok flere dager før kioskene gradvis begynte å åpne igjen. 7-Eleven drives i Danmark av "Reitan Convenience Denmark" som også eier Rema 1000 i Norge.

I august håndterte TSOC 64 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 9 i juli. Denne måneden skyldes de fleste hendelsene malware som tar kontroll over nettleseren og serverer annonser og videresender brukeren til uønskede sider. Etter sommeren ser vi også at en del maskiner har blitt infisert av skadevare som utvinner kryptovaluta.

Det var 309 bekreftede DDoS-angrep denne måneden, opp fra 198 i juli. 161 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.64 Gbps og varte i 23 minutter. Det største angrepet observert i denne perioden var på 104 Gbps og varte i 42 minutter. Én av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2022

Mandag 4. juli ble nettsiden til NSM (Nasjonal Sikkerhetsmyndighet) utsatt for et tjenestenektangrep, sammen med en del  transport-firmaer som Bastø Fosen og Boreal. Angrepet minner om angrepsbølgen som traff flere norske nettsteder i slutten av juni, der grupperingen Killnet stod bak. Denne gangen var det den russisk-vennlige grupperingen "NoName057" som tok på seg ansvaret. Nedetiden for tjenestene var ikke langvarig.

Google har skrevet en blogg-post om hacker-grupper som bedrifter og privatpersoner kan leie tjenester fra på timebasis. Disse gruppene blir gjerne brukt i angrep mot politiske aktivister, advokater og journalister. De kan også leies inn til å utføre industrispionasje. Reuters har også skrevet en spesial-rapport om en indisk gruppering som har spesialisert seg i å hacke advokatkontorer. I forbindelse med rettssaker kan det ha svært stor verdi å få tak i motpartens saksdokumenter.

Project Zero, et team av sikkerhetsanalytikere ansatt hos Google, rapporterer at 18 nulldagssårbarheter har blitt oppdaget og utnyttet så langt i 2022. Minst ni av svakhetene er varianter av tidligere sårbarheter fra 2021, der flere lett kunne blitt unngått med grundigere analyse og patching av sårbarheten. Nulldagssårbarhetene påvirker produkter som Windows, iOS og Chromium. 

Apple har sluppet en testversjon av en ny funksjon for iOS som heter "Lockdown Mode" hvor de fleste typer vedlegg og forhåndsvising av web-linker vil bli blokkert. Lockdown mode vil også skru av kablede forbindelser til PCer og tilbehør. Den nye modusen kan enkelt skrus av og på av brukeren. Funksjonen er ment brukt av personer som har høy risiko for å bli utsatt for målrettede angrep med kommersiell spionprogramvare, f.eks. fra NSO Group.

Nye versjoner av Windows 11 kommer nå med "Account Lockout Policy" skrudd på som standard. Dette fører til at bruker- og admin-kontoer blir automatisk låst i ti minutter etter ti mislykkede forsøk på innlogging. Microsoft sin VP David Weston skriver at å prøve å logge inn gjentatte ganger automatisk (brute-force) er en populær teknikk for å bryte seg inn i Windows-miljøer via Remote Desktop Protocol (RDP). Microsoft har også planer om å sakte men sikkert blokkere andre populære angrepsvektorer som brukes i forbindelse med løsepengevirus og innbrudd i Windows-miljøer.

Den 8. juli oppdaget sikkerhetfirmaet CrowdStrike Intelligence en callback phishing-kampanje, hvor angriperne utgir seg for å være fra CrowdStrike og andre store cybersikkerhetsfirmaer. I e-postene som blir sendt ut, skriver de at mottakerens firma har blitt utsatt for hackerangrep og ber dem ringe nummeret i e-posten for å avtale analyse av mottakerens PC. CrowdStrike forventer at angriperne vil prøve å lure mottakerne til å installere RAT-programvare på PCen når de ringer nummeret. Formålet med den nye teknikken er mest sannsynlig å installerer ransomware i bedriftenes datasystemer med påfølgende utpressing.

I juli håndterte TSOC 9 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 59 i juni. Sommeren er som vanlig preget av et stort fall i antall alvorlige hendelser. Dette skyldes at de fleste hendelser blir utløst av menneskelige handlinger, som åpning av vedlegg, besøk på ondsinnede nettsider, flytting av PCer fra eksternt til interne nett osv. Aktiviteten hos våre kunder er lavere i ferietiden, og da gjenspeiles dette også i antall alvorlige hendelser.

Det var 198 bekreftede DDoS-angrep denne måneden, ned fra 267 i juni 85 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.64 Gbps og varte i 27 minutter. Det største angrepet observert i denne perioden var på 78.3 Gbps og varte i 12 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2022

Flere store norske nettsteder ble denne måneden utsatt for DDoS-angrep fra grupperingen Killnet. Disse har siden Russlands invasjon av Ukraina stått bak DDoS-angrep mot en rekke vestlige land som har støttet Ukraina i krigen. I det siste har blant annet Litauen og Italia vært mål. Gruppen legger ut målene for angrepene i en egen Telegram-kanal og ber følgerne sine om å angripe lister med mål. Natt til onsdag 29. juni la gruppen ut en liste med en rekke norske mål, som utover dagen ble angrepet. Blant målene som ble angrepet var Politiet, UDI, BankID, ID-porten hos Difi, NAV og flere andre norske nettsider. Flere av nettstedene ble ustabile eller sluttet helt å svare i løpet av dagen. Rundt kl 17 på ettermiddagen ble det lagt ut en melding fra Killnet til sine følgere om å avslutte angrepene.

Typiske DDoS-angrep blir gjennomført ved å sende store mengder "søppeltrafikk" mot nettsteder, mens angrepene fra Killnet ble gjennomført på lag 7 (applikasjonslaget) med full oppkobling av forbindelse mot nettstedet som blir angrepet. Dette gjør at angrepene kan være vanskelig å skille fra vanlig nyttetrafikk. Volummessig er også angrepene veldig små. De oppnår sin virkning ved å binde opp ressurser på selve web-serveren som blir angrepet, ikke ved å fylle opp Internett-linjen til offeret.

Nettstedet Digi.no så på budskapet som ble lagt ut av Killnet i forbindelse med angrepene. Det kan virke som om hovedmotivet for angrepene er norsk nei til transport av russiske varer over Storskog for frakt videre til Svalbard. I dagene etter de første angrepene la Killnet og andre lignende russisk-vennlige grupperinger ut stadig nye lister med mål. Disse påfølgende angrepene hadde enda mindre effekt enn de første. DDoS-angrep har heldigvis ikke noen varig effekt og tjenestene som er rammet begynner å fungere igjen så fort angrepstrafikken opphører eller trafikken blir filtrert vekk.

I over ett år har kunder av Telenor og andre teleoperatører over store deler av verden vært plaget av Flubot, en type malware for Android som sprer seg via SMS og MMS-meldinger. Skadevaren stjal blant annet passord samt bank- og kredittkortinformasjon. Europol meldte 1. juni at nederlandsk politi hadde tatt ned infrastrukturen som ble brukt av Flubot-banden. Dette skjedde etter et samarbeid mellom politimyndigheter fra 11 land. Det pågår fortsatt etterforskning for å avsløre hvem som stod bak operasjonen. I Telenors mobilnettverk har vi ikke sett spor av Flubot-aktivitet etter at aksjonen ble gjennomført.

Google har gitt ut en ny rapport der de har undersøkt bruk av spionvare mot mobiltelefon-brukere i Italia og Kasakhstan. Programvaren som er brukt er produsert av Milan-baserte RCS Lab. RCS har kommentert at deres produkter og tjenester overholder europeisk lovgivning og hjelper myndighetene med å oppklare saker. Google mener at noen av infeksjonene ble gjennomført i samarbeid med mobiloperatørene som målene brukte. Mobiloperatøren slo med vilje av dataforbindelsen til målet og det ble sendt ut en tekst-melding med lenke til en app som måtte lastes ned for å få tilbake forbindelsen. Appen som ble lastet ned var forkledd som en offisiell app fra mobiloperatøren, men var i virkeligheten spionvare. Appene for iOS var gyldige og signerte, men ikke tilgjengelig fra de offisielle app-butikkene.

Den 23. juni ble blokkjede-selskapet Harmony One rammet av et data-angrep. Uvedkommende hadde fått tak i kryptonøkler for å hente ut kryptovaluta som var låst i en bro mellom to blokkjeder, Ethereum og Harmony. Dette ble gjort ved å få tak i de private nøklene til broen, slik at verdiene kunne tas ut. Det er mistanke om den Nord-koreanske stats-støttede grupperingen Lazarus Group står bak tyveriet. De har de siste årene stått bak flere høyprofilerte datainnbrudd der store verdier blir stjålet. De benytter seg både av hacking og sosial manipulering for å nå sine mål.

Secureworks har publisert informasjon om de to statlig tilknyttede APTene (Advanced Persistent Threat) Bronze Riverside og Bronze Starlight. Begge har vært involvert i en koordinert kampanje for å stjele intern informasjon fra bedrifter og stater. Etter å ha kopiert ut informasjonen fra bedriften, har aktørene gjennomført angrep med ransomware mot de samme ofrene for å skjule sporene og den egentlige grunnen til data-innbruddene.

Det russiske botnettet "RSOCKS", som tilbød kundene sine tilgang til et stort utvalg av ulovlige IP-adresser, har blitt stanset av et partnerskap mellom USA, Tyskland, Nederland og Storbritannia. RSOCKS fungerte som en ulovlig proxy-tjeneste som ga kundene tilgang til IP-adresser tilhørende kompromitterte klienter (botnett) slik at trafikk kan gå ut på nettet anonymt. Både myndigheter og kriminelle aktører har brukt tjenesten for anonymisering.

I juni håndterte TSOC 59 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 71 i mai. Denne måneden er det fortsatt mye aktivitet fra kryptovaluta-utvinnere, selv om verdien av kryptovaluta har stupt i det siste. En del Windows-maskiner har fått installert verktøy for fjernadministrering og overvåking, blant annet NJRat. På Android-mobiler har vi sett enheter infisert av både Joker- og Plankton-malware, mens en del Mac-maskiner har vært infisert av Shlayer-malware.

Det var 267 bekreftede DDoS-angrep denne måneden, ned fra 360 i mai. 126 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.80 Gbps og varte i 18 minutter. Det største angrepet observert i denne perioden var på 46.6 Gbps og varte i én time. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2022

Tirsdag 10. mai varslet Norkart om at de hadde vært utsatt for et dataangrep mot deres tjenester for eiendomsinformasjon. NRK har estimert at det har blitt lekket informasjon for inntil 3.3 millioner innbyggere i Norge. Informasjonen som er har vært tilgjengelig fra Norkarts IT-systemer inneholder navn, adresse og fødselsnummer. Personer berørt av angrepet er alle som eier eller har eid norsk eiendom. Angrepet er meldt til Datatilsynet og politiet, men det er per nå ukjent hvem som står bak angrepet eller nøyaktig hvor mye informasjon som har blitt hentet ut. Sårbarheten skyldtes en feil i konfigurasjonen av brannmur for søketjenesten, noe som ga uautorisert tilgang til tjenesten, skriver Norkart. I etterkant av innbruddet var det stor pågang for å reservere seg mot kredittopplysninger hos norske leverandører av kredittopplysninger. Mange har vært nervøse for at enkel tilgang til fødselsnummer skal kunne gjøre det enklere å ta opp lån i deres navn.

Et Word-dokument som ble latest opp til Virustotal fra en IP-adresse i Belarus i slutten av mai, har vist seg å kunne utnytte en til nå ukjent sårbarhet i Office. Svakheten lar seg utnytte, selv uten at makroer er aktivert i Word og har fått navnet “Follina”. Dokumenter som utnytter svakheten, bruker en funksjon for tilgang til eksterne maler til å laste ned den ondsinnede HTML-filen. Deretter brukes Microsoft-supportverktøyet “ms-msdt” til å laste inn koden og å kjøre denne i PowerShell. Svakheten fungerer mot både Office 2013, 2016 og 2021. Siste versjon av Office 365 skal ikke være sårbar. Svakheten ble utnyttet allerede i april, uten at noen da var klar over problemet. Microsoft har postet informasjon om svakheten og hvordan en kan hindre utnyttelse, men enda ikke noen fullverdig patch.

For å feire "verdens passord-dag" 5. mai, lanserte de tre store operativsystem-leverandørene Apple, Google og Microsoft et samarbeid om å bevege seg vekk fra tekstbaserte passord. De ønsker å implementere et system der brukeren benytter seg av allerede innloggede enheter for å logge inn på nye, istedet for et tekstbasert passord. Utviklerne av systemet (FIDO) sier: "Disse nye funksjonene forventes å bli tilgjengelige på tvers av Apple-, Google- og Microsoft-plattformer i løpet av det kommende året." Det nye systemet vil motvirke phishing, siden det kreves at enheten du logger inn på, og enheten du bekrefter innloggingen fra, er fysisk i nærheten av hverandre. Det er dermed ingen engangspassord som kan snappes opp av angripere.

Den nyvalgte presidenten av Costa Rica, Rodrigo Chaves, har erklært nasjonal nødsituasjon etter en bølge av Conti-ransomware-angrep som har vært rettet mot flere offentlige etater i landet. Nyhetsnettstedet BleepingComputer erfarer at Conti har lekket 97% av en 672GB datadump som angivelig inneholder data stjålet fra offentlige etater i Costa Rica. Conti har tidligere krevd $10 millioner dollar fra finansdepartementet, som de har nektet å betale. Senere i måneden ble også helsevesenet i landet angrepet av ransomware-gruppen Hive, men mange spekulerer i at det er Conti-gruppen som står bak også dette angrepet. President Chaves har hevdet at Conti-gruppen har personer på innsiden av offentlige etater i landet.

Både statsministeren Pedro Sanchez og sikkerhetsministeren Margarita Robles har blitt overvåket ved hjelp av spion-programvaren Pegasus. Telefonene ble infisert i mars og juni 2021 og det har blitt bekreftet at data har blitt eksfiltrert. Spanske myndigheter har startet etterforskning for å sjekke om flere av deres ansatte har fått Pegasus på mobilen. Pegasus utvikles av det Israelske sikkerhetsselskapet NSO group, som hevder at de kun selger programvaren til statlige aktører for å overvåke kriminelle og terrorister. Denne hendelsen føyer seg inn i en rekke lignende hendelser fra det siste året.

Google TAG (Threat Analysis Group) publiserte en gjennomgang av flere målrettede angrep mot Android-brukere som benyttet seg av zero-day svakheter i 2021. Alle svakhetene ble skaffet til veie av selskapet Cytrox, som solgte dem videre til flere aktører tilknyttet myndigheter i flere land. Google mener at landene Egypt, Armenia, Hellas, Madagaskar, Elfenbenskysten, Serbia, Spania og Indonesia har vært kunder. Svakhetene brukes for å installere overvåkingsprogramvare på mobilene, og retter seg som oftest bare mot et fåtall ofre. Google sin TAG-gruppe følger for tiden over 30 selskaper som driver med salg og kjøp av denne typen svakheter og overvåkingsprogramvare.

I en ny målrettet phishing-kampanje benytter APT-29, også kjent som Cozy Bear/Nobelium, seg av legitime epost-adresser i målrettede angrep mot diplomater og myndigheter. Adressene som brukes for å sende ut epostene er legitime kompromitterte adresser fra flere forskjellige ambassader. Innholdet i epostene utgir seg for å være politiske oppdateringer, men har vedlegg som eksekverer ondsinnet kode dersom de åpnes. Dersom en klient blir infisert, vil APT 29 ta over brukeren og forsøke å eskalere rettigheter, typisk innen 12 timer. Skadevaren benytter seg av Atlassian Trello for kommunikasjon med kontrollserverne sine, som er en legitim skytjeneste.

24. februar rapporterte sikkerhetsforskeren med pseudonymet "satya0x" en kritisk feil i Wormhole sin kontrakt på blokkjeden Ethereum til Immunefi. Dersom buggen hadde blitt utnyttet, kunne dette ført til at verdiene til Wormhole sine brukere kunne ha blitt låst for alltid. Samme dagen som buggen ble rapportert, fikset Wormhole svakheten. Vedkommende som meldte fra om svakheten har nå fått utbetalt 10 millioner dollar i finnerlønn, noe som er er ny rekord.

I mai håndterte TSOC 71 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 65 i april. Denne måneden så vi blant annet en del Android-mobiler med Joker-malware og Mac-maskiner med Shlayer-trojaneren. Vi avdekket også en Windows-maskin som var infisert av informasjons-stjeleren Red Line. Denne malwaren stjeler brukernavn, passord, kredittkortinfo og alt av informasjonskapsler (cookies) som er lagret på PCen.

Det var 360 bekreftede DDoS-angrep denne måneden, opp fra 293 i april. 124 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.47 Gbps og varte i 15 minutter. Det største angrepet observert i denne perioden var på 22.2 Gbps og varte i 18 minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for april 2022

Det er blitt oppdaget en ny versjon av Industroyer, som er kjent fra 2016 da Sandworm APT-gruppen kuttet strømmen til deler av Ukraina i et kortere tidsrom. Den nye versjonen av Industroyer er gitt navnet Industroyer2. Industroyer2 ble forsøkt benyttet mot høyspennings-nettet i Ukraina. Det ble også funnet bruk av annen malware som CaddyWiper og flere andre typer wiper-malware, altså programvare som har som formål å ødelegge datautstyr ved å slette data. Ukrainske myndigheter melder at angrepet denne gangen ble stoppet før det fikk gjort noen skade.

Citizen Lab har funnet nye tilfeller av bruk av overvåkingsprogramvare mot mobiltelefoner for spionasje og overvåking. Den britiske regjeringen har vært utsatt for overvåking ved hjelp av Pegasus fra NSO i 2020 og 2021. Både statsministerens kontor og utenriksdepartementet ble rammet. Myndighetene ble advart om saken. Det skal være De forente arabiske emirater som står bak denne aksjonen. Citizen Lab melder også at 65 katalanske offentlige personer ble rammet av overvåking ved hjelp av verktøyene Pegasus og Candiru. Flere av mobiltelefonene har blitt infisert ved hjelp av en til nå ukjent svakhet i iPhone kalt HOMAGE. Svakheten ble patchet i iOS versjon 13.2.

Svakere multifaktor-autentisering (MFA), som engangs-passord gjennom SMS eller push varslinger der man er nødt til å trykke en knapp etter push varslingen for å eskalere multifaktor-autentiseringen, har flere ganger blitt utnyttet av Lapsus$ og SolarWinds-hackerne. Lapsus$ har brukt denne metoden til å forbigå autentiseringen hos både Microsoft, Okta og Nvidia de siste månedene. Dette gjelder metoder som å oversvømme målet med push eller link forespørsler over lang tid. Mange innloggingsløsninger har ikke noen begrensning på hvor mange forespørsler som kan sendes, og offeret går til slutt lei og godtar forespørselen eller trykker feil.

Private meldinger fra Telegram-kanalen til LAPSUS$ viser at de flere ganger brøt seg inn i systemene til T-Mobile fram til mars 2022. Her stjal de data fra flere forskjellige prosjekter, men skal ikke ha fått tak i informasjon tilhørende myndigheter eller kundene til T-Mobile. KrebsOnSecurity har nylig fått tak i logger fra LAPSUS$ sin private Telegram-kanal. Her kommer det fram at gruppen ofte fikk initiell tilgang til systemene ved å kjøpe brukernavn og passord (eller cookies) gjennom russiske markeder. 

I mars 2022 autoriserte justisdepartementet i USA en operasjon for å delvis ta ned botnettet Cyclops Blink. Det er grupperingen Sandworm, som knyttes til den russiske etterretningstjenesten GRU, som står bak botnettet. Cyclops Blink og den tidligere utgaven VPNFilter, brukes av hemmelige russiske tjenester som et privat VPN for å skjule angrep. Botnettet består av tusenvis av enheter fra produsentene Watchguard og Asus. Under operasjonen ble infiserte enheter logget inn på, malwaren fjernet og administrasjons-porten mot internett lukket. Det ble kun ryddet opp i enheter som befant seg i USA.

CISA, FBI og NSA advarer mot et nytt malwareverktøysett, kjent som Pipedream. Dette er kanskje det mest allsidige verktøyet som noen gang er laget for å målrette angrep mot kritisk infrastruktur som strømnett og oljeraffinerier. Pipedream gjør det mulig for angriperen å kapre enheter, forstyrre eller forhindre adgang for operatører, sette enhetene permanent ut av spill, eller bruke enhetene til å angripe andre deler av kontrollsystemnettverket. Det mistenkes at Russland står bak Pipedream.

Sikkerhetsforskere fra ESET har oppdaget tre sårbarheter som påvirker flere ulike modeller av Lenovo-maskiner beregnet på forbrukermarkedet. To av disse påvirker maskinvare-drivere i UEFI, som kun skulle vært aktivert når maskinene ble produsert, men som ikke har blitt fjernet. Dermed kan angripere med administrator-rettigheter på maskinen bruke disse driverne til å deaktivere SPI flash protection eller UEFI Secure Boot. Svakhetene kan brukes til å legge inn bakdører som nesten ikke lar seg oppdage og er svært vanskelige å slette. Én av driverne heter til og med SecureBackDoor.

Tysk politi har tatt ned russiskspråklige Hydra, verdens største handelssted på det mørke nettet for å hvitvaske penger og selge narkotika. Det estimeres at Hydra hadde økonomisk aktivitet på over 1 milliard dollar i 2020. Tysk politi konfiskerte serverne som ble brukt og beslagla også kryptovaluta verdt over $25 millioner.

I april håndterte TSOC 65 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 128 i mars. Denne måneden er det mange av de vanlige hendelsene som går igjen, infeksjon av forskjellige typer adware på mobiler/PCer, utvinning av kryptovaluta på infiserte PCer samt en del mobiler med Joker-trojaneren installert.

Det var 293 bekreftede DDoS-angrep denne måneden, opp fra 212 i mars. 88 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.35 Gbps og varte i 23 minutter. Det største angrepet observert i denne perioden var på 50.8 Gbps og varte i 18 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.