Situasjonsrapport fra Telenor SOC - november 2023

Alvorlige hendelser
I november håndterte TSOC 79 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 53 i oktober.

Denne måneden så vi maskiner som var infisert av tre typer informasjons-stjelere: “SocGolish”, “Redline” og “Vidar”. Alle disse er designet for å raskest mulig samle sammen viktig informasjon fra en PC og sende dette ut til trusselaktøren, noen ganger fungerer de også som en bakdør til systemet som gjør at det kan fjernstyres. Informasjonen blir solgt i undergrunnsmarkeder som ferdige "informasjonspakker" til høystbydende. Kjøperen av informasjonen kan så surfe rundt på nettet og ha de samme tilgangene som offeret i form av sesjons-nøkler (cookies), brukernavn og passord. Offeret mister personlig informasjon, kan bli frastjålet penger og dersom PCen er koblet mot et bedriftsnettverk, kan dette i siste instans føre til ransomware og kryptering av data i hele nettverket. For å unngå denne typen trusler er den mest effektive forsvarsmekanismen å bare tillate kjøring og installasjon av applikasjoner fra forhåndsgodkjente lister eller leverandører.

DDoS-angrep
Det var 188 bekreftede DDoS-angrep denne måneden, opp fra 169 i november. 131 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 7.2 Gbps og varte i 31 minutter. Det største angrepet observert i denne perioden var på 155 Gbps og varte i 15 minutter. To av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
Atlassian advarte i starten av november om en kritisk sikkerhetssvakhet i Confluence Data Center og Server som kan føre til store datatap dersom den blir utnyttet av en angriper. Svakheten fikk CVVS (standard for å beregne en svakhets alvorlighetsgrad) på 9.1 av 10 og kan utnyttes uten å autentisere seg mot serveren først. Videre utover i november ble svakheten utnyttet av flere trusselaktører, blant annet til å installere Cerber ransomware. Tjenester som Confluence bør ikke eksponeres direkte mot Internett, men kun være tilgjengelig for autoriserte brukere, gjerne bak en VPN-tilkobling.

Et ransomware-angrep rammet den amerikanske avdelingen av Kinas største bank, Industrial and Commercial Bank of China. Angrepet førte til at banken måtte stenge ned noen tjenester, noe som også førte til mindre forstyrrelser i omsetningen av amerikanske statsobligasjoner. Wall Street Journal meldte senere at en Citrix Netscaler-server som ikke var patchet for sårbarheten "CitrixBleed" (meldt 10. oktober) var inngangsvektoren for ransomware-gruppen Lockbit. Reuters opplyste også at banken antageligvis har betalt løsepenger for å få låst opp systemene sine igjen.

Recorded Future har nettopp gitt ut en rapport om angreps-aktivitet fra Kina. I det siste har kinesiske aktører økt sine angrep mot såkalt "edge-devices", altså enheter som står i ytterkant av bedrifters nettverk og er eksponert mot Internet. Flere ransomware-aktører har også utnyttet denne typen utstyr i det siste. Disse enhetene er ekstra sårbare mot ferske angrep, før de blir patchet, siden de ofte kan kontaktes fra hele Internett. De bør derfor patches kjapt ved nye svakheter, overvåkes ekstra nøye og tilgang til interne systemer i nettet bør begrenses så mye som mulig.

En trusselaktør Microsoft følger som "Diamond Sleet" (Lazarus Group) kompromitterte denne måneden et populært program for videoredigering kalt CyberLink. Produsenten ble utsatt for datainnbrudd, og en versjon av programvaren med malware inkludert ble lagt ut for nedlasting i oktober. Malwaren kontakter en kommando og kontroll-server og laster eventuelt ned mer malware. Denne gruppen er økonomisk motivert og er som oftest ute etter å få tak i kontodetaljer for å overføre verdier ut fra bank-kontoer eller kryptobørser.

Datatilsynet beordret i sommer Meta om å stanse bruken av nordmenns persondata til adferdsbasert reklame. Teknologikjempen, som eier Facebook og Instagram, har siden august fått én million i daglige bøter for å ikke følge vedtaket. Datatilsynet har nå vunnet frem hos Personvernrådet i EU og tilsynets forbud utvides til flere land i EØS. Som mottrekk gjorde Meta det denne måneden mulig å betale 150 kroner i måneden for å få en annonsefri utgave av Facebook og Instagram.

Politi fra syv land, inkludert Norge, var med i arrestasjonen av fem personer i Ukraina mistenkt for å ha drevet med utpressing ved hjelp av ransomware. Personene er mistenkt for å ha vært involvert i angrep utført under navnene LockerGata, MegaCortex, Hive og Darma. De har kryptert over 1000 servere tilhørende større firmaer over hele verden og har krevet inn minst $82 millioner i løsepenger. Etterforskningen startet etter angrepet mot Hydro og har pågått i mer enn fem år. Ti personer fra Kripos har vært i Kyiv i forbindelse med aksjonen. Én mistenkt sitter fra før arrestert i Norge. Fortsatt er det flere mistenkte som ikke er pågrepet.

Telenor registrerte i november en stor økning i svindelanrop som gir seg ut for å være fra politiet. I løpet av bare én uke fanget Telenors svindelfiltre i mobilnettet opp over 1,1 millioner uønskede samtaler. I løpet av en vanlig uke ligger antallet på rundt 400.000. Økningen skyldes i stor grad mange tilfeller av politisvindel, altså at svindlere ringer opp og gir seg ut for å være fra politiet. “Politiet vil aldri, aldri, aldri spørre deg om din BankID. Dette er det utrolig viktig at folk forstår og husker på”, uttalte politiinspektør og næringslivskontakt i Oslo politidistrikt, Christina Rooth, i pressemeldingen.

Situasjonsrapport fra Telenor SOC - oktober 2023

Alvorlige hendelser

I oktober håndterte TSOC 53 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 81 i september.

Denne måneden ble flere av kundene våre rammet av en phishing-kampanje som benyttet seg av QR-koder for å lure brukeren. Avsenderadressen til e-posten blir typisk forfalsket til å virke som om den kommer fra brukerens egen organisasjon, eller et domene som ligner. I e-posten blir offeret ironisk nok oppfordret til å scanne en QR-kode med mobilen for å oppdatere innloggings-sikkerheten på kontoen sin. Svindlerne flytter på denne måten brukeren over på mobilen, siden en mobiltelefon ofte er dårligere sikret enn arbeids-PCen. Mobilen er for eksempel gjerne ikke sikret av bedriftens brannmur eller blokkeringslister mot ondsinnede domener.

Ved å følge lenken i QR-koden, blir offeret koblet opp mot en innloggingsside som etterligner bedriftens egen side. Informasjon som offeret gir fra seg til svindel-siden blir videresendt til bedriftens egentlige nettside, samtidig som svindleren også ser og tar vare på informasjonen. Angriperen setter seg altså inn i kommunikasjonen mellom offeret og bedriftens innloggingsside (proxy). Bruk av engangskoder for innlogging via SMS eller app (2-faktor) vil ikke hjelpe mot denne typen angrep, da angriperen snapper opp både brukernavn, passord, engangskode og selve sesjons-nøkkelen som brukeren får etter innlogging. Angriper kan så benytte sesjonsnøkkelen til å gi seg ut for å være offeret mot bedriftens server.

Hendelser av denne typen kan heldigvis ofte oppdages ved at brukeren logger på fra en ny enhet eller at brukeren har flyttet seg langt geografisk siden forrige pålogging. For å helt avverge denne typen angrep, må en gå over til påloggingsmetoder som er motstandsdyktige mot phishing, som sertifikat-basert innlogging, FIDO2 eller fysiske sikkerhetsnøkler som Yubikeys. Vi er redd at avansert phishing som omgår 2-faktor autentisering vil bli mer vanlig fremover. Denne typen angrep brukes både for spionasje, svindel og for å få et initielt fotfeste i systemet for videre ransomware-angrep.

DDoS-angrep

Det var 169 bekreftede DDoS-angrep denne måneden, ned fra 264 i september. 82 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.7 Gbps og varte i 28 minutter. Det største angrepet observert i denne perioden var på 78 Gbps og varte i 28 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering

16. oktober meldte Cisco om en kritisk svakhet i deres IOS XE-programvare (CVE-2023-20198) som kunne tillate angripere å ta full kontroll over sårbare routere. Svakheten lå i web-grensesnittet for å administrere enheten, og dette måtte altså være aktivt og eksponert for at svakheten skulle kunne utnyttes. Svakheten hadde allerede vært under aktiv utnyttelse i noen uker da Cisco annonserte den, og eksponerte enheter måtte regnes som allerede kompromitterte. Etter hvert kom det fram at titusenvis av routere over hele verden hadde fått installert bakdører i form av “webshells” og nyopprettede kontoer. Også i Norge ble mange rammet av svakheten, og Telenor varslet flere av sine kunder om at de hadde sårbare eksponerte routere. Cisco slapp etter hvert patcher for svakheten, samt retningslinjer for hvordan en kunne sjekke om enheten hadde blitt kompromittert. Et generelt råd er å ikke eksponere administrasjons-interface til nettverksutstyr ut på det åpne nettet, men å kun tillate innlogging fra sikrede interne nett. Saken fikk stor oppmerksomhet i media etter at NSM uttalte seg til Dagens Næringsliv. 

Okta varslet om at hackere brøt seg inn i deres system for kundestøtte og stjal sensitive data som kan brukes til å gi seg ut for å være gyldige brukere i form av informasjonskapsler (cookies). Ved feilsøking av påloggingsproblemer har flere kunder sendt inn HTTP Archive (HAR)-filer, som har inneholdet sesjonsnøkler som trusselaktøren har stjålet. Selskapet BeyondTrust oppdaget innbrudd i sine systemer med stjålne sesjonsnøkler fra Okta allerede 2. oktober og meldte fra om dette til Okta. Først 19. oktober opplyste Okta at de hadde vært utsatt for en hendelse. CloudFlare og 1Password har også opplevd datainnbrudd etter Okta-hendelsen. Okta satte i verk tiltak for å beskytte kundene, inkludert ugyldiggjøring av lekkede sesjonsnøkler. Okta forsikrer at produksjonssystemene deres ikke ble berørt, og tjenestene fungerer normalt. Også i 2022 ble Okta utsatt for et alvorlig datainnbrudd.

Denne måneden ble det meldt om en ny kritisk svakhet i Citrix Netscaler og ADC (CVE-2023-4966), som kan lekke interne data fra enheten. Denne typen enheter er ofte eksponert direkte mot nettet og svakheten var lett å utnytte. Citrix meldte først at de ikke var kjent med at svakheten ble aktivt utnyttet, men senere i måneden fant sikkerhetsselskapet Mandiant ut at avanserte trusselaktører hadde utnyttet den for tyveri av sesjonsnøkler og konto-hijacking. Mandiant observerte også at angrepene hadde kompromittert infrastruktur tilhørende både offentlige organisasjoner og teknologiselskaper.

Økokrim har siden januar i år etterforsket et stort antall bedragerier begått mot minst 400 nordmenn som er lurt til å oppgi sin egen Bank-ID til svindlere i Romania. Det samlede tapet er sannsynligvis på mange millioner kroner. Tre rumenske menn ble pågrepet i en aksjon i Romania denne måneden. To av dem er begjært utlevert av Økokrim, siktet for grovt bedrageri og ID-tyveri i Norge. Under etterforskningen har Økokrim hatt et godt samarbeid med private aktører, som blant annet BankID og Visma.

Oppsummering av nyhetsbildet innen datasikkerhet for september 2023

TSOC hånderte 81 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse i september, opp fra 41 i august. Denne måneden var det som vanlig flere klienter som var infisert med programvare for å utvinne kryptovaluta eller hadde fått installert ondsinnede nettlesertillegg. Det var også fortsatt flere nye tilfeller av Mac-maskiner som var infisert med trojaneren AdLoad. Vi oppdaget også flere tilfeller av brukere som hadde blitt lurt til å følge phishing-lenker i e-poster, og som dermed potensielt  kunne ha gitt fra seg innloggingsinformasjon eller andre sensitive detaljer. Denne måneden oppdaget vi også en server som sendte trafikk ut via Microsoft-tjenesten SMB (Server Message Block protocol). Dette er en høy-risiko protokoll som bør være sperret i ekstern brannmur, da den ofte kan føre til lekkasje av interne data som hashede passord.

Det var 264 bekreftede DDoS-angrep denne måneden, opp fra 219 i august. 155 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.8 Gbps og varte i 30 minutter. Det største angrepet observert i denne perioden var på 68 Gbps og varte i 9 minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

I september har det vært oppdaget uvanlig mange tilfeller av aktiv bruk av ferske svakheter (zero-day) mot produkter fra både Apple og Google. Det er leverandører av kommersiell programvare for overvåking som har stått bak angrepene, og avdelingen “Citizen Lab” ved Universitetet i Toronto har avdekket de fleste av angrepene. Myndigheter i mange land kjøper tjenester for kommersiell overvåking, og leverandører som NSO Group (Pegasus spyware) og Cytrox (Predator spyware) har mye penger til å selv finne eller kjøpe svakheter dekan bruke for å hacke seg inn i telefoner og PCer.

7. september ble det meldt om at Apple-enheter ble angrepet gjennom to nye svakheter kalt BLASTPASS som lar angripere ta kontroll over sårbare enheter uten at brukeren trenger å foreta deg noe eller har mulighet for å oppdage det (zero-click). Svakhetene utnyttes mot iPhones ved å sende en iMessage til offerets enhet med et spesielt PassKit-vedlegg. Det var Citizen Lab som oppdaget de nye svakhetene, etter at de hadde sett dem i bruk av NSO Group i deres Pegasus-programvare for overvåking. 20 september måtte Apple patche enda tre svakheter som ble aktivt utnyttet og rapportert av Citizen Lab.

11. september ga Google ut en haste-oppdatering for en svakhet i Chrome som allerede ble utnyttet i angrep. Også denne svakheten ble meldt inn av Citizen Lab. Svakheten lå i visning av bilder lagret i “WebP”-formatet. Apple, Mozilla og flere andre leverandører patchet fortløpende tilsvarende svakhet i deres produkter, som benyttet det samme biblioteket for å dekode WebP-bilder. 27. september måtte Google nok en gang patche Chrome, denne gangen på grunn av en feil i hvordan film ble kodet i VP8-formatet av programvare-biblioteket livbpx. Også denne svakheten ble aktivt utnyttet i angrep av en kommersiell leverandør av overvåkingsprogramvare. Dette biblioteket benyttes av flere andre firmaer som også må patche sine produkter.

Microsoft kunngjorde i juli at den Kina-tilknyttede aktøren Storm-0558 hadde fått tilgang til et av deres signerings-sertifikater. Dette hadde blitt brukt for å signere tilgangsnøkler som igjen ble brukt for å få tilgang til e-postkontoene til myndighetspersoner i USA. Over 60.000 e-poster ble hentet ut i angrepet. Microsoft har nå foretatt en teknisk gjennomgang av hendelsen og funnet ut hvordan trusselaktøren fikk tilgang til sertifikatet. En maskin i et beskyttet miljø brukt for signering krasjet i april 2021 og en minnedump ble skrevet til disken. Normalt vil sensitiv informasjon som signeringsnøkler og passord bli slettet fra minnedumpen, men på grunn av en bug ble den private nøkkelen brukt til signering inkludert i filen. Denne ble deretter flyttet til et mer åpent miljø for nærmere krasj-analyse, uten at det ble oppdaget at den private nøkkelen var inkludert. På et senere tidspunkt har så trusselaktøren kompromittert en personlig konto tilhørende en Microsoft-ansatt med tilgang til dette analyse-miljøet. Det antas så at trusselaktøren har lastet ned og analysert filen og har funnet den private nøkkelen, som så har blitt brukt til å signere tilgangsnøkler.

AI-forskere hos Microsoft skulle dele treningsdata åpent via Github. De genererte derfor en SAS (Shard Access Key) i Azure, men åpnet ved en feil for tilgang til alle data i kontoen, i stedet for tilgang til en spesifikk katalog. Forskerne delte derfor ut fulle backuper av to interne datamaskiner, 30.000 interne Teams-meldinger og andre data. Til sammen ble 38TB med interne data offentliggjort. Ved bruk av SAS-nøkler anbefales det å knytte dem opp mot en SAP (Store Access Policy) for å gjøre det lettere å styre og logge tilgangen til dataene som er delt.

Sikkerhetsfirmaet Okta har advart om angrep som benytter sosial manipulering mot IT-kundestøtte. Denne teknikken ble blant annet brukt i det nylige utpressingsangrepet mot selskapet MGM Resorts. Angriperne forsøkte å lure kundestøtte til å tilbakestille multifaktorautentisering for høyt privilegerte brukere. Angriperne hadde allerede tilgang til passord for privilegerte kontoer, typisk skaffet til veie via phishing-angrep eller passord-lekkasjer fra kompromitterte tjenester. Etter vellykket kompromittering av en Super Admin-konto, brukte de anonymiserende proxytjenester og fjernet multifaktorautentisering for noen kontoer. Okta anbefaler en rekke tiltak for å beskytte admin-kontoer mot slike angrep.

Siden februar 2023 har Microsoft observert en betydelig økning i angrep som benytter seg av såkalt passord-spraying utført av en trusselaktør knyttet til Iran kjent som Peach Sandstorm. Denne gruppen har rettet seg mot et bredt spekter av sektorer globalt, med særlig fokus på satellitt-, forsvars- og farmasøytiske organisasjoner. Microsoft mener at Peach Sandstorms hovedmål er innsamling av etterretning til støtte for iranske statsinteresser. Gruppen bruker passord-spraying mot tusenvis av systemer for å få initiell tilgang, med andre ord prøver de altså å logge på med vanlige passord mot mange forskjellige kontoer. Kampanjen bruker en kombinasjon av offentlig tilgjengelige og tilpassede verktøy for kartlegging, laterale bevegelser og eksfiltreringav informasjon fra kompromitterte miljøer.

Oppsummering av nyhetsbildet innen datasikkerhet for august 2023

FBI og myndigheter i flere europeiske land har tatt ned Qakbot-nettverket, som har operert siden 2008. Qakbot-nettverket har infisert over 700.000 enheter og det har blitt brukt til ransomware-angrep og svindel. Infiserte maskiner koblet seg jevnlig til kontroll-serverne til Qakbot, som var under full kontroll av bakmennene. Myndighetene beslagla også over $8.6 millioner i kryptovaluta. Før nettverket ble tatt ned, ble det brukt til å sende ut en siste kommando som renset de infiserte maskinene for skadevare. Så langt skal aksjonen være gjennomført direkte mot den tekniske infrastrukturen til Qakbot og ingen har blitt arrestert eller tiltalt. Myndighetene har også inngått et samarbeid med tjenesten HaveIbeenpwned.com, slik at ofre kan sjekke om de er påvirket av Qakbot. Botnettet kan komme til å gjenoppstå dersom bakmennene bygger det opp igjen fra bunnen.

Det amerikanske cybersikkerhetsbyrået CISA har uttrykt bekymring for potensielle sikkerhetssvakheter i Unified Extensible Firmware Interface (UEFI), da det utgjør et attraktivt mål for hackere. Byrået understreker at svakheter i UEFI-kode kan gjøre datasystemer utsatt for skjult skadevare som kan bli værende på systemet over tid. Sårbarhetene ble tydeliggjort gjennom nylige hendelser med skadevaren “BlackLotus”, som infiserer systemer og skjuler seg på maskinen under operativsystemet. Patcher for UEFI-svakheter tar lang tid å distribuere, siden de ofte må installeres manuelt av sluttbrukeren. CISA arbeider nå med Microsoft for å implementere sikrere oppdateringsrutiner.

Det er oppdaget en alvorlig sårbarhet i Intel-prosessorer som har fått navnet “Downfall”. Denne sårbarheten gir angripere mulighet til å få tilgang til og stjele data fra andre brukere på samme datamaskin. Dette kan la skadelige apper stjele sensitiv informasjon som passord og krypteringsnøkler. Svakheten rammer spesielt sky-tjenester og andre virtualiserte miljøer. Problemet stammer fra minneoptimaliseringsfunksjoner i Intel-prosessorer, som utilsiktet eksponerer interne maskinvare-registre. Dette lar prosesser få tilgang til minneområder som tilhører andre prosesser. Noen dager etter ble det også meldt om en lignende svakhet i AMD Zen-CPUer kalt “Inception” som også lar uvedkommende få tilgang til lokale data. Brukere av virtualiserte miljøer bør sette seg inn i begge svakhetene, samt patcher og metoder for å omgå problemstillingen.

Rundt 2000 Citrix Netscaler-enheter har blitt kompromittert i en massiv utnyttelseskampanje. Angriperne har utnyttet sårbarheter i systemet for å skaffe seg uautorisert tilgang til enhetene, etter at en kritisk svakhet ble annonsert 18. juli (CVE-2023-3519). De berørte enhetene har i noen tilfeller blitt brukt som en inngangsport for å få tilgang til bedriftsnettverk og data. Citrix har utgitt sikkerhetsoppdateringer for å tette sårbarhetene, og brukerne blir sterkt oppfordret til å implementere oppdateringene så raskt som mulig, samt å sjekke serverne for kompromittering. Hendelsen understreker viktigheten av å ha gode rutiner for patching, samt overvåking av servere som er eksponert med tjenester direkte mot Internett.

Det rapporteres om en økning i kapring av LinkedIn-kontoer. Angriperne ser ut til å ha benyttet seg av ulike teknikker for å få tilgang til disse kontoene, inkludert phishing, bruk av lekkede passord fra andre tjenester og brute-force gjetting av mye brukte passord. Målet deres har vært å stjele sensitiv informasjon og spre ondsinnet innhold. Saken understreker viktigheten av å opprettholde høy grad av bevissthet rundt e-post sikkerhet, valg av passord og ikke dele sensitiv informasjon med ukjente kilder. Etter å ha tatt kontroll over kontoene endrer angriperne ofte epost-adressene registrert på kontoene for å gjøre det vanskeligere for eieren å få kontroll over kontoen igjen.

AT&T Alien Labs har kartlagt et stort botnett som selges som en del av en proxy-tjeneste. Selgerne av proxy-tjenesten påstår at de som har installert programvaren har godkjent dette, men i realiteten installeres den gjennom piratkopiert programvare og "cracks". Denne typen proxy-tjenester med kompromitterte private brukere benyttes av både kriminelle og statlige aktører for å skjule hvor angrepene kommer fra. En vanlig taktikk er å velge en proxy som ligger i det samme landet som den tjenesten som blir angrepet. Trafikken ser da ut som den kommer fra en vanlig privat bredbåndsbruker fra det samme landet. Aktøren som kompromitterte DSS i sommer (Departementenes sikkerhets- og serviceorganisasjon) benyttet seg for eksempel av denne taktikken.

Denne måneden ble det danske selskapet CloudNordic rammet av et ransomware-angrep. Alle systemer ble kryptert og tjenestene til selskapet gikk ned, inkludert interne systemer og kundenes hjemmesider, epost, data osv. Selskapet opplyser at løsesummen de har blitt bedt om å betale er for høy til at dette er en mulighet. De har heller ikke noen backup og kundenes data er tapt for alltid, dersom de ikke har laget egne backups. Direktør Martin Haslund Johansson uttaler til ComputerWorld at han ikke forventer at selskapet vil overleve angrepet.

I august håndterte TSOC 41 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 6 i juli. Denne måneden har vi sett et oppsving i Mac-maskiner infisert med trojaneren “AdLoad”. Denne skadevaren dukket først opp i 2017 og pakkes typisk sammen med annen legitim programvare som brukeren laster ned. Når den har kommet inn på maskinen kan den laste ned andre moduler med skadevare, i det siste som oftest en modul for å starte en proxy-server på maskinen. Tilgang til infiserte maskiner selges videre som en automatisert proxy-tjeneste til cyber-kriminelle, som kan koble seg via den når de vil kommuniserer anonymt ut på Internett. Denne typen skadevare kan dessverre i enkelte tilfeller føre til problemer for offeret, da den kriminelle aktiviteten kan se ut til å komme fra den infiserte maskinen.

Det var 219 bekreftede DDoS-angrep denne måneden, ned fra 233 i juli. 122 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.2 Gbps og varte i 39 minutter. Det største angrepet observert i denne perioden var på 78 Gbps og varte i én time. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2023

I juli håndterte TSOC kun seks alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 49 i juni. Det er vanlig at antall hendelser i høytider og ferier går ned, siden færre ansatte er på jobb. Dessverre er det også i disse periodene at målrettede og alvorlige hendelser ofte opptrer, noe vi også har sett i nyhetsbildet i sommer.

Det var 233 bekreftede DDoS-angrep denne måneden, opp fra 126 i juni. 124 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5 Gbps og varte i 34 minutter. Det største angrepet observert i denne perioden var på 143 Gbps og varte i 16 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Den store nyheten i sommer var et målrettet innbrudd hos Departementenes sikkerhets- og serviceorganisasjon (DSS) som lot angriperen få tilgang til intern informasjon fra 12 departementer. Innbruddet ble utført ved å utnytte en fersk og ukjent (zero-day) svakhet i Ivanti Endpoint Manager Mobile (EPMM), tidligere kjent som MobileIron Core. Svakheten gjorde det mulig å omgå autentisering i systemet og dermed administrere og hente ut informasjon fra systemet og mobile enheter. Tilgangen ble også brukt for å få tilgang til en intern Exchange-server hos DSS, som ikke var tilgjengelig fra Internett. Svakheten fikk en alvorlighets-score på 10 av 10 poeng (CVSS) og ble først utnyttet i april 2023. NSM ved Nasjonalt cybersikkerhetssenter (NCSC) samarbeidet etter hendelsen med amerikanske Cybersecurity and Infrastructure Security Agency (CISA) om en “Joint Cybersecurity Advisory” som beskriver sårbarhetene og hvordan de ble misbrukt. Angrepet har fått internasjonal oppmerksomhet og EPMM er også i bruk av mange andre store firmaer og statlige virksomheter verden rundt. DSS er så langt den eneste virksomheten som offentlig har bekreftet at de er rammet av svakheten. Hverken DSS eller PST har villet kommentere hvem som kan tenkes å stå bak innbruddet, men mange eksperter mener at det må være en ressurssterk statlig aktør. Aktøren bak innbruddet brukte kompromitterte hjemmeroutere som proxyer for å skjule sin aktivitet, noe som understøtter denne vurderingen.

18. juli varslet Citrix om kritiske svakheter i NetScaler ADC og NetScaler Gateway, tidligere Citrix ADC/Citrix Gateway. Den alvorligste av svakhetene gjorde det mulig å kjøre kommandoer på en sårbar enhet og var svært enkel å utnytte (CVSS-score på 9.8 av 10 mulige.) Allerede 20. juli ble svakheten utnyttet i aktive angrep, så vinduet for å få patchet var svært lite. Også mange norske virksomheter har dessverre blitt rammet av denne svakheten. Virksomheter som benytter seg av denne typen utstyr bør vurdere å sjekke utstyret for kompromittering, selv om de var kjappe til å installere patcher. Flere av systemene som har blitt kompromittert har fått installert bakdører i form av “web-shells”, som trusselaktører kan benytte for fjerninnlogging på et senere tidspunkt. ShadowServer Foundation har gitt ut en guide der de går igjennom tegn på kompromittering. Per 5. august har de observert nesten 7000 systemer på nettet som fortsatt ikke er patchet,

I juli kom det fram at kinesiske hackere hadde fått tilgang til de skybaserte (Exchange Online og Outlook.com) epost-kontoene til flere høytstående myndighetspersoner og firmaer i USA. Blant annet ble den amerikanske ambassadøren i Kina og en ansatt i utenriksdepartementet med ansvar for øst-asia rammet. Dette skjedde like før flere amerikanske politikere skulle på diplomatisk besøk til Kina. Microsoft har tilskrevet aktiviteten til en trusselaktør de kaller Storm-0558, kjent for å rette seg inn mot myndigheter i vestlige land for å drive med spionasje. Det viste seg at trusselaktøren hadde hatt tilgang til systemene helt siden 15. mai ved hjelp av en intern Microsoft signeringsnøkkel. Det er så langt ukjent hvordan aktøren fikk tilgang til nøkkelen, men alle tilgangene som ble oppnådd ved hjelp av den er nå trukket tilbake. Etter hendelsen har Microsoft begynt å tilby mer detaljerte sikkerhetslogger fra deres skytjenester til kunder, uten å ta ekstra betalt. Microsoft opplyser at de etter hendelsen har økt sikkerheten på systemer som utsteder nye signeringsnøkler, samt økt graden av logging og overvåking. Hendelsen illustrerer problematikken med at innbrudd hos leverandører av sky-tjenester kan få vidtrekkende konsekvenser for flere av kundene samtidig.

Sikkerhetsforskere har funnet flere svakheter i TETRA-standarden som er brukt i radioer over hele verden, blant annet i det norske Nødnettet. Det er firmaet Midnight Blue som avdekket svakhetene kalt TETRA:BURST allerede i 2021, men informasjon rundt dem har ikke blitt offentliggjort før nå. TETRA-standarden bruker forskjellige proprietære algoritmer og systemer og det har derfor vært lite tilgjengelig informasjon. Den mest alvorlige svakheten ligger i krypterings-algoritmen TEA1, som gjør at den effektive nøkkel-lengden brukt for kryptering av kommunikasjonen effektivt blir på kun 32 bits. Dette gjør det mulig å gjette seg fram til krypterings-nøkler i løpet av minutter med en vanlig PC. Denne svakheten kan ha blitt innført med vilje for å gjøre det mulig å selge utstyret uten å bli hindret av eksport-restriksjoner. Statlige nødnett, politi osv. bruker normalt en kraftigere krypterings-algoritme.

Søndag 16. juli oppdaget resirkuleringsselskapet Tomra at de hadde vært utsatt for et omfattende dataangrep. Angrepet ble kjent gjennom en børsmelding fra selskapet 17. juli. Tomra koblet umiddelbart ut enkelte av sine systemer for å minimere skadeomfanget av angrepet. Tomra opplyste at noen av deres kunde-systemer kunne være trege eller ustabile, men at arbeidet med å få opp igjen alle systemer hadde høyeste prioritet. Noen av firmaets kontorer ble stengt etter angrepet og ansatte ble bedt om å jobbe hjemmefra. Tomra opplyste også at noen eldre systemer for innlevering av flasker ikke ville fungere i en periode. Det er så langt ukjent hvem som står bak angrepet.

Cyberkriminelle har lenge installert programvare for å utvinne kryptovaluta fra kompromitterte PCer og servere. De kan så tjene penger på å utføre CPU- eller GPU-krevende operasjoner. Angripere har nå også begynt å installere proxy-programvare som betaler brukeren på maskiner de får kontroll over. Dette fungerer ved at flere firmaer betaler noen få dollar i måneden for å få brukere til å installere en proxy på PCen og få sende trafikk ut via den. Programvare for å utvinne kryptovaluta vil ofte få PCen til å gå varm og lage mye støy, mens proxy-programvare ikke er like lett å oppdage.