Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 2. august 2019

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2019

En underleverandør til FSB, en føderal sikkerhetstjeneste i Russland, har blitt hacket av en gruppe kalt 0v1ru$. Hemmelige prosjekter som ble utviklet for etterretningstjenesten ble lekket til russisk media som et resultat av dette. Russiske BBC beskriver hendelsen som muligens "det største databruddet i historien til russiske etterretningstjenester." Prosjektene gikk blant annet ut på å deanonymisere brukere av tjenesten TOR, innsamling av data fra sosiale nettverk og hvordan den russiske delen av Internett kan isoleres fra resten av nettet.

Forskere har oppdaget et av de mest avanserte og fullverdige mobile overvåkningsverktøy som noen gang er oppdaget. Det har fått navnet Monokle, og er sett brukt helt siden mars 2016. Firmaet Lookout har sporet verktøyet tilbake til Special Technology Center, en russisk forsvarskontraktør som var involvert i påvirkning av den amerikanske valgkampen i 2016. Monokle kan kommunisere med bakmennene via vanlig Internett-trafikk, epost, SMS og telefonsamtaler. Det har også alle vanlig overvåkingsfunksjoner, som å ta opp lyd, video, hente ut info osv. Det er ukjent hvordan Monokle blir installert på ofrenes telefoner, men det har ikke blitt funnet i Googles app-butikk.

2. juli i fjor, fikk administrasjonssjefen hos Regjeringsadvokaten en epost som utga seg for å komme fra Fredrik Sejersted. Etter et år med etterforskning har nigeriansk politi pågrepet én mann, og tre andre er etterlyste basert på informasjon fra Oslo-politiet. De fire er siktet for såkalt direktørsvindel for drøyt 12,7 millioner norske kroner. Banden har stått bak 26 bedragerier i Norge og flere hundre tilfeller i Europa. Oslo-politiet avslørte svindlerne ved å kommunisere med dem og få dem til å legge igjen elektroniske spor.

Etter at informasjon om nærmere 380 000 kunder ble stjålet fra juni til september 2018, har British Airways blitt ilagt en bot på nærmere to milliarder kroner. Datatilsynet melder at også nordmenn kan være berørt, siden alle som har bestilt eller endret sine billettbestillinger på BAs nettsider i den aktuelle perioden kan være rammet.

Sikkerhetsforskere har avdekket 11 sårbarheter i VxWorks, et sanntidsoperativsystem utviklet av Wind River. Operativsystemet brukes i forskjellig hardware som industrielle kontrollsystemer, medisinsk utstyr, brannmurer osv. Sårbarhetene, som går under samlebetegnelsen Urgent11, kan føre til eksekvering av vilkårlig kode og det antas at rundt 200 millioner enheter er sårbare. Wind River har allerede gitt ut oppdateringer som forhindrer utnyttelse og anbefaler på det sterkeste å oppdatere til nyeste versjon. Til nå har man ikke funnet noe som tyder på at sårbarhetene har blitt utnyttet i angrep.

Nyhetsbyrået Reuters meldte at hackere stjal finansielle data om 5 millioner bulgarske innbyggere. Det tilsvarer ca. 70 prosent av den totale befolkningen. Angrepet, som ble utført i juni, ser ut til å være av russisk opphav og anses som Bulgarias mest alvorlige datainnbrudd noensinne. Til nå har hackerne lekket 11 GB med data, men hevder at de har stjålet 21 GB og at det vil komme mer senere. Totalt skal 110 databaser tilhørende de Bulgarske skattemyndighetene ha blitt kompromittert i angrepet. Den lekkede informasjonen inneholder blant annet personnummer, samt opplysninger om inntekter og helseforsikringer for innbyggerne. Senere i måneden ble en 20-åring, som tidligere har jobbet for myndighetene i forbindelse med datasikkerhet, arrestert for innbruddet. Den arresterte nekter for å ha noe med saken å gjøre.

Det er funnet flere sårbarheter i de trådløse Unifying-donglene fra Logitech. Sårbarhetene kan brukes til å avlytte tastetrykk og sende egne tastaturkommandoer til maskinene som har dongelen tilkoblet. Det kreves imidlertid at en er fysisk nær dongelen for å kunne utføre avlytting og angrep. Alle USB-donglene som er rammet har en oransje stjerne printet på siden. Logitech jobber med å patche deler av sårbarhetene for øyeblikket. Det anbefales å bruke kablet tastatur og mus til sensitivt arbeid.

En svakhet i Zoom-klienten for Mac lot nettsider aktivere kameraet og filme brukeren uten å be om samtykke. Svakheten utnytter en lokal webtjener som Zoom-applikasjonen installerer. Etter hvert viste det seg at webtjeneren også inneholdt alvorlige svakheter som kunne brukes til å ta over kontroll over PCen. Apple slapp etter hvert en oppdatering som fjernet web serveren på alle Mac-maskiner uten at brukeren merket noe i samarbeid med Zoom.

I juli håndterte vi 69 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 122 i juni. Den kraftige nedgangen skyldes ferieavvikling med mindre aktivitet.

Det var 204 bekreftede DDoS-angrep denne måneden, ned fra 307 i juni. 92 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.39 Gbps og varte typisk i 25 minutter. Det største angrepet observert i denne perioden var på 46.6 Gbps og varte i én time og 5 minutter. Tre av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

tirsdag 2. juli 2019

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2019

I juni håndterte vi 122 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, opp fra 100 i mai.

Det var 307 bekreftede DDoS-angrep denne måneden, noe opp fra 260 i mai. 115 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.61 Gbps og varte typisk i 23 minutter. Det største angrepet observert i denne perioden var på 41.8 Gbps og varte i tre og en halv time. Tre av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Reuters hadde denne måneden en større artikkel om den kinesisk-støttede APT-aktøren APT10 og angrepsbølgen kalt Cloud Hopper. Disse fikk tilgang til Hewlett Packard sine skysystemer, som ble brukt som springbrett inn i flere av kundenes nettverk. Bedriften Ericsson ble utsatt for fem angrepsbølger fra 2014 til 2017. Andre bedrifter som ble rammet er Fujitsu, Tata Consultancy Services, NTT Data, Dimension Data, Computer Sciences Corporation og DXC Technology.

Denne måneden ble to svakheter i Firefox benyttet til å angripe ansatte i flere kryptobørser, blant annet Coinbase. Den første svakheten ble brukt til å kompromittere selve nettleseren, og den andre til å komme seg ut av nettleserens sandkasse (isolert miljø). Det spesielle er at angrepet var rettet mot MacOS-maskiner og prøvde å installere en bakdør på maskinene. Det er så langt ikke meldt om at verdier har blitt stjålet. Mozilla slapp raskt patcher for begge svakhetene.

Sikkerhetsselskapet Cybereason har funnet ut at flere teleselskaper har vært utsatt for datainnbrudd. Angriperne har vært aktive minst tilbake til 2017. Verktøy, metoder og tidsrammer tyder på at aktørene har vært støttet av Kina. Målet har vært å få tak i Call Detail Records (CDR)-data for et lite antall spesifikke personer. Dette ville la aktøren spore aktivitet, kommunikasjon og lokasjon til personene. Det er så langt ukjent hvilke leverandører som er rammet.

Etter at byen Lake City i Florida ble utsatt for ransomware-angrep i midten av juni, ble det besluttet at byen skulle betale ut løsepenger. Sammen med Riviera Beach, som nylig betalte $600,000 etter et tilsvarende angrep, har byer i Florida denne måneden betalt totalt $1,100,000 i løsepenger.

Det russiske militæret er i ferd med å fase ut Windows som OS og flytter over på sin egen Linux-distribusjon kalt Astra Linux. OSet ble klarert for å håndtere gradert informasjon forrige måned. Tidligere i måneden kom det også meldinger om at det kinesiske militæret er i ferd med å gå over til et egenutviklet OS, som ikke er basert på Linux.

Pavel Durov, direktøren av meldingstjenesten Telegram, hevder at kinesiske myndigheter står bak et nylig DDoS-angrep mot tjenesten. I en uttalelse sier han at angrepet var av en slik størrelsesorden at han mistenker at statlige aktører er nødt til å ha stått bak. Angrepet inntraff under en stor offentlig protest i Hong Kong. Durov mener at dette er mistenkelig, ettersom den krypterte meldingstjenesten tidligere har blitt brukt som et verktøy for å kommunisere i forbindelse med protester. Det amerikanske nyhetsbyrået Bloomberg opplyser også at demonstrantene benytter masker for å skjule ansiktene sine under protestene for å unngå ansiktsgjenkjenningsteknologi.

New York times rapporterer i en artikkel at USA har plantet skadelig programvare i det russiske strømnettet, samt andre mål. Kildene sier at USA kan gjøre betydelig skade ved en eventuell konflikt. Trump la senere ut en melding på Twitter om saken der han sier at den er løgn og at New York Times er fiender av folket.

Facebook har gitt ut en prototyp av sin egen kryptovaluta kalt Libra, som planlegges lansert neste år. En testutgave er allerede operativ. Facebook ønsker å gjøre det enkelt å bruke kryptovaluta i det daglige, samt å få en valuta som er mer stabil for store kurssvingninger enn andre kryptovalutaer. De ser også for seg at den kan brukes i land der få har tilgang til banktjenester. Verdien av valutaen skal være på rundt 1 USD per enhet og kobles mot flere store valutaer.

Symantec oppdaget at APT-gruppen Turla ser ut til å ha tatt kontroll over servere tilhørende en annen APT-gruppe, OilRig. Førstnevnte gruppe knyttes til Russland og den andre til Iran. Denne typen operasjoner kan gjøre det enda vanskeligere å vite hvem som faktisk står bak et cyber-angrep.

fredag 7. juni 2019

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2019

Antall alvorlige hendelser relatert til tjenesten Sikkerhetsovervåking holdt seg jevnt i mai. Det ble håndtert 100 hendelser denne måneden, mot 105 i april. Denne måneden var det fortsatt mange infiserte maskiner som ble satt til å utvinne kryptovaluta.

Det var 260 bekreftede DDoS-angrep denne måneden, omtrent likt med de 262 april. 81 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.99 Gbps og varte typisk i 18 minutter. Det største angrepet observert i denne perioden var på 65 Gbps og varte i bare syv minutter. Tre av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

I denne månedens sikkerhetsoppdatering fra Microsoft var det en svært alvorlig svakhet i "Remote Desktop Services"-komponenten som brukes i blant annet Windows 7, XP, og Windows 2003. I likhet med WannaCry, gjør svakheten det mulig for infiserte enheter å spre skadevaren videre automatisk, altså å utvikle en dataorm. Microsoft har ikke sett tegn til utnyttelse av svakheten, men anbefaler å oppdatere berørte enheter. Mot slutten av mai var det fortsatt over 900.000 sårbare maskiner tilgjengelig på Internett, og mange millioner sårbare maskiner i interne nettverk.

I løpet av de siste tre årene har gruppen Wicked Panda/Barium infiltrert forsyningskjedene til minst seks store organisasjoner. Det er antatt at medlemmene er av kinesisk opprinnelse. Gruppen har blant annet stått bak innbrudd hos CCleaner og ASUS melder Wired.com. Metoden går ut på å infisere store mengder PCer gjennom forsyningskjeder og så hente ut data fra interessante maskiner for bruk i spionasje.

Tidlig i mars ble det meldt om at Citrix hadde blitt utsatt for et datainnbrudd. I mai kom det fram at Citrix ble kompromittert i et såkalt passordspray-angrep hvor angriperne kom seg inn i systemet og stjal data om finans og ansatte. Angriperne hadde tilgang til det interne nettet i seks måneder. FBI bistår i saken.

Selskapet Red Balloon Security har oppdaget to alvorlige svakheter i Cisco-produkter. Den ene svakheten lar en angriper omgå secure-boot mekanismen (Trust Anchor) og installere egen programvare på routeren. Den andre svakheten gir muligheten for å kjøre tilfeldige kommandoer på en router via nettverket. Til sammen gjør svakhetene det mulig å ta kontroll over en router via nettet og installere et spesialtilpasset OS på den.

I mai ble Huawei svartelistet av den amerikanske administrasjonen. Dette har ført til at en rekke selskaper har meldt om at de slutter å levere software og hardware til den kinesiske produsenten. Google har for eksempel varslet at de vil slutte å gi fremtidige Huawei-mobiler tilgang til Google Play. ARM og Intel har også sagt at de ikke lengre kan gi selskapet tilgang til CPUer.

Google har delt data om hvor godt forskjellige 2-faktor autentiseringsmetoder stopper phishing-angrep. Å måtte skrive inn en kode fra en SMS-melding blokkert for eksempel 100% av automatiserte angrep, 76% av masseutsendte angrep og 76% av målrettede angrep. Det beste forsvaret var bruk av en fysisk sikkerhetsnøkkel, som stoppet alle angrep.

I mai ble det oppdaget en alvorlig svakhet i WhatsApp for iOS og Android. Noen kan ta kontroll over telefonen din, kun ved å sende pakker for å koble opp en videosamtale via WhatsApp. Brukeren trenger ikke engang å svare på anropet for at svakheten skal kunne utnyttes. Svakheten ble brukt av statlige aktører til å infisere håndsettene til regimekritikere med spionprogramvare.

Den antatt russiske APT-aktøren Turla har utviklet en Exchange-bakdør kalt LightNeuron. Bakdøren kan hente inn og endre info i alle e-poster som går gjennom serveren. Den mottar nye kommandoer via e-poster. Disse e-postene inneholder bildevedlegg der kommandoene er gjemt ved hjelp av steganografi. Bakdøren er brukt i nylige angrep mot mål i Midtøsten og Øst-Europa.

Windows 10 har nå blitt offisielt FIDO2-sertifisert av FIDO-alliansen. FIDO2 er et sett av standarder som muliggjør enkel og sikker pålogging på nettsider og applikasjoner via biometriske løsninger, mobile enheter eller fysiske sikkerhetsnøkler, og baserer seg på solid kryptografisk sikkerhet. Støtten kommer i neste oppdatering av Windows, som er ventet i slutten av mai.

Kinesiske etterretningsagenter fikk tak i flere hacker-verktøy fra NSA og brukte disse i angrep mot institusjoner i USA og Europa i 2016. Symantec antar at Kina ikke stjal verktøyene, men fikk tak i dem da USA brukte dem mot mål i Kina. Dette var før verktøyene ble sluppet av grupperingen The Shadow Brokers.

fredag 3. mai 2019

Oppsummering av nyhetsbildet innen datasikkerhet for april 2019

Antall alvorlige hendelser relatert til tjenesten Sikkerhetsovervåking gikk ned fra 153 i mars til 105 i april. Denne måneden så vi et oppsving i malware på Mac-maskiner grunnet trojaneren Shlayer. Ellers er det fortsatt en del maskiner som blir infisert for å drive med utvinning av kryptovaluta.

Det var 262 bekreftede DDoS-angrep denne måneden, ned fra 356 i mars. 94 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.8 Gbps og varte typisk i 20 minutter. Det største angrepet observert i denne perioden var på 21 Gbps og varte i bare fem minutter. Fem av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Den Indiske IT-gianten Wipro ble rammet av et datainnbrudd denne måneden. Fra Wipros systemer har angriperne beveget seg videre til minst 11 kunder, blant dem CapGemini, Avanade, Cognizant, Infosys og Rackspace. Wipro har bekreftet angrepet. Senere kom det fram at angrepet mest sannsynlig var gjort av en gruppering som i flere år har drevet med svindel innenfor gavekort og fordelsprogrammer, og ikke en statsstøttet aktør som først antatt.

Passord-spraying, eller credential stuffing, er en angrepsform som har økt i omfang i  det siste. Angriperne får tak i lekkede brukernavn og passord fra datainnbrudd og bruker samme brukernavn og passord mot andre tjenester. Veldig mange brukere benytter det samme passordet på flere tjenester, og kontoen kan dermed tas over. En del tjenestetilbydere sjekker brukernes passord opp mot lekkede passord og tvinger i så fall passordbytte. Å tvinge bruk av to-faktor autentisering kan også motvirke denne typen angrep.

Wired har skrevet en artikkel om hvordan den Nord-Koreanske hackergruppen APT-38 aktivt blir brukt til å stjele kryptovaluta for å finansiere nasjonens atomvåpen. I perioden januar 2017 til september 2018 skal gruppen ha stjålet 571 millioner dollar fra fem ulike kryptovaluta-børser i Asia.

Legemiddelfirmaet Bayer opplyste at de har vært utsatt for et dataangrep utført fra Kina. Firmaet oppdaget malware i nettverket sitt tidlig i 2018. De overvåket angrepet fram til mars og har nå fjernet all malware fra nettverket. Firmaet opplyser at ingen data ble stjålet. Sikkerhetseksperter mener angrepet har vært utført av APT-grupperingen Wicked Panda ved hjelp av programvaren WINNTI.

Google lanserte i april en løsning hvor man benytter en Android telefon som fysisk sikkerhetsnøkkel. Dette gjelder Android versjon 7 eller nyere. Ved hjelp av nettleseren Chrome, Bluetooth og en Android telefon får man en fysisk enhet som kan benyttes istedenfor en vanlig fysisk sikkerhetsnøkkel. Denne løsningen er sikrere enn å skrive inn en engangskode via en SMS eller app, siden enheten som det blir logget inn på må kommunisere med telefonen via Bluetooth og dermed sikre at telefonen er fysisk i nærheten.

I mars ble det oppdaget kritiske svakheter i både samhandlingsverktøyet Confluence og Oracle WebLogic. Disse systemene er typisk eksponert mot Internet, og tusenvis av systemer som ikke ble patchet hurtig nok ble kompromittert. Angriperne installerte typisk utpressingsprogramvare (ransomware) eller programvare for å utvinne kryptovaluta på systemene.

Siden 25. mars har ukjente personer lekket detaljer rundt operasjonene til den iranske APT-grupperingen APT34/OilRig. Informasjonen omhandler verktøy, ofre og identiteten til flere av medlemmene og blir lekket via tjenesten Telegram.

Google har gitt ut sin årlige sikkerhetsrapport for Android og Google Play. Antallet potensielt skadelige apper installert fra Google Play doblet seg i fjor, men dette skyldes hovedsakelig at apper som driver med click fraud i bakgrunnen nå har blitt definert som skadelige. Google advarer også mot at en del “billig”-leverandører inkluderer skadelige apper på håndsettene sine. Telefoner fra leverandøren BLU var utsatt for dette i fjor.

mandag 1. april 2019

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2019

Antall alvorlige hendelser relatert til tjenesten sikkerhetsovervåking gikk noe opp fra 112 i februar til 153 denne måneden. Hendelsen var en blanding av forskjellige trojanere, ulovlig utvinning av kryptovaluta og diverse annen uønsket programvare.

Det var 356 bekreftede DDoS-angrep denne måneden, opp fra 305 i februar. 142 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.4 Gbps og varte typisk i 19 minutter. Det største angrepet observert i denne perioden var på 58 Gbps og varte i litt over én time. To av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Hydro ble natt til tirsdag 19. mars utsatt for et større cyber-angrep i form av løsepengevirus. Målet kan ha vært å presse Hydro for penger, men det egentlige målet kan også ha vært å sabotere bedriften. Hydro måtte bytte over til manuelle rutiner i produksjonsprosessene der dette var mulig. Det var malwaren LockerGoga som brukt, en relativt enkel malware som ikke har nettverkskommunikasjon. Den må derfor manuelt kopieres til klienter og servere i bedriften som angripes. I Hydros tilfelle ble dette gjort ved at angriperne fikk tilgang til deres Active Directory server. Herfra hadde angriperne full kontroll over nettverket. Det er usikkert hvem som står bak angrepet. Mot slutten av måneden opplyste Hydro at cyberangrepet kan komme til å koste dem opp mot 350 millioner kroner.

Den Taiwan-baserte teknologigiganten ASUS antas å ha eksponert hundretusener av kunder for malware gjennom sitt automatiske programvareoppdateringsverktøy. Angripere kompromitterte selskapets oppdateringsserver og brukte den til å sende ut malware til nøye utvalgte maskiner. Det er antakelig en avansert aktør som står bak angrepet. Oppdateringsverkøyet sjekket maskinene for spesifikke MAC-adresser før selve malwaren ble lastet ned. Dette var altså et svært målrettet angrep mot et fåtall maskiner. Det tok lang tid før operasjonen ble oppdaget.

WebAuthn er et grensesnitt brukt av webapplikasjoner for autentisering ved hjelp av offentlige, og private nøkler. For å autentisere seg, kan brukeren benytte både fysiske sikkerhetsnøkler og biometri. W3C og FIDO annonserte nylig at WebAuthn blir den offisielle webstandarden for passordfri innlogging.

I mars kom det fram at komprimeringsverktøyet WinRar hadde en alvorlig svakhet som hadde eksistert i 19 år. Svakheten ble fikset i versjon 5.70 som ble lansert 26. februar. Siden har svakheten blitt utnyttet i flere kampanjer av avanserte aktører.

Citrix ble informert av FBI 6. mars at uautoriserte brukere har vært på deres interne nettverk. Citrix jobber fortsatt med å kartlegge omfanget, men melder så langt at bedriftsdokumenter er lekket, uten at det er klart hva slags dokumenter dette dreier seg om. Det er foreløpig ingen tegn på at tjenestene de tilbyr videre har blitt kompromittert. Det ukjente sikkerhetsselskapet Resecurity hevder det er Iranske hackere som står bak angrepet.

Tidlig denne måneden ble det meldt om to nye svakheter i henholdsvis Google Chrome og Windows 7. APT-grupperingene SandCat og FruityArmor utnyttet disse i aktive angrep. Svakheten i Windows brukes til å få kernel-tilgang etter først ha fått tilgang til en PC via Google Chrome. Google patchet først Google Chrome, mens Microsoft patchet Windows i sin månedlige sikkerhetsoppdatering.

I følge en rapport fra Trend Micro er norske bedrifter spesielt attraktive for IT-angrep via direktørsvindel. Norge står for 1,9% av alle registrerte forsøk på verdensbasis og dette plasserer Norge på en femteplass i verden over land utsatt for direktørsvindel.

I domstolsdokumenter som ble utgitt 29. mars, kom det fram at Microsoft har hatt en pågående kamp mot en aktør som blir støttet av Iranske myndigheter. Microsoft fikk gjennomslag for å ta over flere av domenene til gruppen, som er kjent som APT35, Phosphorus, Charming Kitten eller Ajax Security Domain. Domene som Microsoft tok over har blitt brukt til målrettet phishing mot brukere i hele verden. Noen av domene etterlignet eksisterende Microsoft-tjenester.

 
>