Oppsummering av nyhetsbildet innen datasikkerhet for august 2023

FBI og myndigheter i flere europeiske land har tatt ned Qakbot-nettverket, som har operert siden 2008. Qakbot-nettverket har infisert over 700.000 enheter og det har blitt brukt til ransomware-angrep og svindel. Infiserte maskiner koblet seg jevnlig til kontroll-serverne til Qakbot, som var under full kontroll av bakmennene. Myndighetene beslagla også over $8.6 millioner i kryptovaluta. Før nettverket ble tatt ned, ble det brukt til å sende ut en siste kommando som renset de infiserte maskinene for skadevare. Så langt skal aksjonen være gjennomført direkte mot den tekniske infrastrukturen til Qakbot og ingen har blitt arrestert eller tiltalt. Myndighetene har også inngått et samarbeid med tjenesten HaveIbeenpwned.com, slik at ofre kan sjekke om de er påvirket av Qakbot. Botnettet kan komme til å gjenoppstå dersom bakmennene bygger det opp igjen fra bunnen.

Det amerikanske cybersikkerhetsbyrået CISA har uttrykt bekymring for potensielle sikkerhetssvakheter i Unified Extensible Firmware Interface (UEFI), da det utgjør et attraktivt mål for hackere. Byrået understreker at svakheter i UEFI-kode kan gjøre datasystemer utsatt for skjult skadevare som kan bli værende på systemet over tid. Sårbarhetene ble tydeliggjort gjennom nylige hendelser med skadevaren “BlackLotus”, som infiserer systemer og skjuler seg på maskinen under operativsystemet. Patcher for UEFI-svakheter tar lang tid å distribuere, siden de ofte må installeres manuelt av sluttbrukeren. CISA arbeider nå med Microsoft for å implementere sikrere oppdateringsrutiner.

Det er oppdaget en alvorlig sårbarhet i Intel-prosessorer som har fått navnet “Downfall”. Denne sårbarheten gir angripere mulighet til å få tilgang til og stjele data fra andre brukere på samme datamaskin. Dette kan la skadelige apper stjele sensitiv informasjon som passord og krypteringsnøkler. Svakheten rammer spesielt sky-tjenester og andre virtualiserte miljøer. Problemet stammer fra minneoptimaliseringsfunksjoner i Intel-prosessorer, som utilsiktet eksponerer interne maskinvare-registre. Dette lar prosesser få tilgang til minneområder som tilhører andre prosesser. Noen dager etter ble det også meldt om en lignende svakhet i AMD Zen-CPUer kalt “Inception” som også lar uvedkommende få tilgang til lokale data. Brukere av virtualiserte miljøer bør sette seg inn i begge svakhetene, samt patcher og metoder for å omgå problemstillingen.

Rundt 2000 Citrix Netscaler-enheter har blitt kompromittert i en massiv utnyttelseskampanje. Angriperne har utnyttet sårbarheter i systemet for å skaffe seg uautorisert tilgang til enhetene, etter at en kritisk svakhet ble annonsert 18. juli (CVE-2023-3519). De berørte enhetene har i noen tilfeller blitt brukt som en inngangsport for å få tilgang til bedriftsnettverk og data. Citrix har utgitt sikkerhetsoppdateringer for å tette sårbarhetene, og brukerne blir sterkt oppfordret til å implementere oppdateringene så raskt som mulig, samt å sjekke serverne for kompromittering. Hendelsen understreker viktigheten av å ha gode rutiner for patching, samt overvåking av servere som er eksponert med tjenester direkte mot Internett.

Det rapporteres om en økning i kapring av LinkedIn-kontoer. Angriperne ser ut til å ha benyttet seg av ulike teknikker for å få tilgang til disse kontoene, inkludert phishing, bruk av lekkede passord fra andre tjenester og brute-force gjetting av mye brukte passord. Målet deres har vært å stjele sensitiv informasjon og spre ondsinnet innhold. Saken understreker viktigheten av å opprettholde høy grad av bevissthet rundt e-post sikkerhet, valg av passord og ikke dele sensitiv informasjon med ukjente kilder. Etter å ha tatt kontroll over kontoene endrer angriperne ofte epost-adressene registrert på kontoene for å gjøre det vanskeligere for eieren å få kontroll over kontoen igjen.

AT&T Alien Labs har kartlagt et stort botnett som selges som en del av en proxy-tjeneste. Selgerne av proxy-tjenesten påstår at de som har installert programvaren har godkjent dette, men i realiteten installeres den gjennom piratkopiert programvare og "cracks". Denne typen proxy-tjenester med kompromitterte private brukere benyttes av både kriminelle og statlige aktører for å skjule hvor angrepene kommer fra. En vanlig taktikk er å velge en proxy som ligger i det samme landet som den tjenesten som blir angrepet. Trafikken ser da ut som den kommer fra en vanlig privat bredbåndsbruker fra det samme landet. Aktøren som kompromitterte DSS i sommer (Departementenes sikkerhets- og serviceorganisasjon) benyttet seg for eksempel av denne taktikken.

Denne måneden ble det danske selskapet CloudNordic rammet av et ransomware-angrep. Alle systemer ble kryptert og tjenestene til selskapet gikk ned, inkludert interne systemer og kundenes hjemmesider, epost, data osv. Selskapet opplyser at løsesummen de har blitt bedt om å betale er for høy til at dette er en mulighet. De har heller ikke noen backup og kundenes data er tapt for alltid, dersom de ikke har laget egne backups. Direktør Martin Haslund Johansson uttaler til ComputerWorld at han ikke forventer at selskapet vil overleve angrepet.

I august håndterte TSOC 41 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 6 i juli. Denne måneden har vi sett et oppsving i Mac-maskiner infisert med trojaneren “AdLoad”. Denne skadevaren dukket først opp i 2017 og pakkes typisk sammen med annen legitim programvare som brukeren laster ned. Når den har kommet inn på maskinen kan den laste ned andre moduler med skadevare, i det siste som oftest en modul for å starte en proxy-server på maskinen. Tilgang til infiserte maskiner selges videre som en automatisert proxy-tjeneste til cyber-kriminelle, som kan koble seg via den når de vil kommuniserer anonymt ut på Internett. Denne typen skadevare kan dessverre i enkelte tilfeller føre til problemer for offeret, da den kriminelle aktiviteten kan se ut til å komme fra den infiserte maskinen.

Det var 219 bekreftede DDoS-angrep denne måneden, ned fra 233 i juli. 122 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.2 Gbps og varte i 39 minutter. Det største angrepet observert i denne perioden var på 78 Gbps og varte i én time. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2023

I juli håndterte TSOC kun seks alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 49 i juni. Det er vanlig at antall hendelser i høytider og ferier går ned, siden færre ansatte er på jobb. Dessverre er det også i disse periodene at målrettede og alvorlige hendelser ofte opptrer, noe vi også har sett i nyhetsbildet i sommer.

Det var 233 bekreftede DDoS-angrep denne måneden, opp fra 126 i juni. 124 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5 Gbps og varte i 34 minutter. Det største angrepet observert i denne perioden var på 143 Gbps og varte i 16 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Den store nyheten i sommer var et målrettet innbrudd hos Departementenes sikkerhets- og serviceorganisasjon (DSS) som lot angriperen få tilgang til intern informasjon fra 12 departementer. Innbruddet ble utført ved å utnytte en fersk og ukjent (zero-day) svakhet i Ivanti Endpoint Manager Mobile (EPMM), tidligere kjent som MobileIron Core. Svakheten gjorde det mulig å omgå autentisering i systemet og dermed administrere og hente ut informasjon fra systemet og mobile enheter. Tilgangen ble også brukt for å få tilgang til en intern Exchange-server hos DSS, som ikke var tilgjengelig fra Internett. Svakheten fikk en alvorlighets-score på 10 av 10 poeng (CVSS) og ble først utnyttet i april 2023. NSM ved Nasjonalt cybersikkerhetssenter (NCSC) samarbeidet etter hendelsen med amerikanske Cybersecurity and Infrastructure Security Agency (CISA) om en “Joint Cybersecurity Advisory” som beskriver sårbarhetene og hvordan de ble misbrukt. Angrepet har fått internasjonal oppmerksomhet og EPMM er også i bruk av mange andre store firmaer og statlige virksomheter verden rundt. DSS er så langt den eneste virksomheten som offentlig har bekreftet at de er rammet av svakheten. Hverken DSS eller PST har villet kommentere hvem som kan tenkes å stå bak innbruddet, men mange eksperter mener at det må være en ressurssterk statlig aktør. Aktøren bak innbruddet brukte kompromitterte hjemmeroutere som proxyer for å skjule sin aktivitet, noe som understøtter denne vurderingen.

18. juli varslet Citrix om kritiske svakheter i NetScaler ADC og NetScaler Gateway, tidligere Citrix ADC/Citrix Gateway. Den alvorligste av svakhetene gjorde det mulig å kjøre kommandoer på en sårbar enhet og var svært enkel å utnytte (CVSS-score på 9.8 av 10 mulige.) Allerede 20. juli ble svakheten utnyttet i aktive angrep, så vinduet for å få patchet var svært lite. Også mange norske virksomheter har dessverre blitt rammet av denne svakheten. Virksomheter som benytter seg av denne typen utstyr bør vurdere å sjekke utstyret for kompromittering, selv om de var kjappe til å installere patcher. Flere av systemene som har blitt kompromittert har fått installert bakdører i form av “web-shells”, som trusselaktører kan benytte for fjerninnlogging på et senere tidspunkt. ShadowServer Foundation har gitt ut en guide der de går igjennom tegn på kompromittering. Per 5. august har de observert nesten 7000 systemer på nettet som fortsatt ikke er patchet,

I juli kom det fram at kinesiske hackere hadde fått tilgang til de skybaserte (Exchange Online og Outlook.com) epost-kontoene til flere høytstående myndighetspersoner og firmaer i USA. Blant annet ble den amerikanske ambassadøren i Kina og en ansatt i utenriksdepartementet med ansvar for øst-asia rammet. Dette skjedde like før flere amerikanske politikere skulle på diplomatisk besøk til Kina. Microsoft har tilskrevet aktiviteten til en trusselaktør de kaller Storm-0558, kjent for å rette seg inn mot myndigheter i vestlige land for å drive med spionasje. Det viste seg at trusselaktøren hadde hatt tilgang til systemene helt siden 15. mai ved hjelp av en intern Microsoft signeringsnøkkel. Det er så langt ukjent hvordan aktøren fikk tilgang til nøkkelen, men alle tilgangene som ble oppnådd ved hjelp av den er nå trukket tilbake. Etter hendelsen har Microsoft begynt å tilby mer detaljerte sikkerhetslogger fra deres skytjenester til kunder, uten å ta ekstra betalt. Microsoft opplyser at de etter hendelsen har økt sikkerheten på systemer som utsteder nye signeringsnøkler, samt økt graden av logging og overvåking. Hendelsen illustrerer problematikken med at innbrudd hos leverandører av sky-tjenester kan få vidtrekkende konsekvenser for flere av kundene samtidig.

Sikkerhetsforskere har funnet flere svakheter i TETRA-standarden som er brukt i radioer over hele verden, blant annet i det norske Nødnettet. Det er firmaet Midnight Blue som avdekket svakhetene kalt TETRA:BURST allerede i 2021, men informasjon rundt dem har ikke blitt offentliggjort før nå. TETRA-standarden bruker forskjellige proprietære algoritmer og systemer og det har derfor vært lite tilgjengelig informasjon. Den mest alvorlige svakheten ligger i krypterings-algoritmen TEA1, som gjør at den effektive nøkkel-lengden brukt for kryptering av kommunikasjonen effektivt blir på kun 32 bits. Dette gjør det mulig å gjette seg fram til krypterings-nøkler i løpet av minutter med en vanlig PC. Denne svakheten kan ha blitt innført med vilje for å gjøre det mulig å selge utstyret uten å bli hindret av eksport-restriksjoner. Statlige nødnett, politi osv. bruker normalt en kraftigere krypterings-algoritme.

Søndag 16. juli oppdaget resirkuleringsselskapet Tomra at de hadde vært utsatt for et omfattende dataangrep. Angrepet ble kjent gjennom en børsmelding fra selskapet 17. juli. Tomra koblet umiddelbart ut enkelte av sine systemer for å minimere skadeomfanget av angrepet. Tomra opplyste at noen av deres kunde-systemer kunne være trege eller ustabile, men at arbeidet med å få opp igjen alle systemer hadde høyeste prioritet. Noen av firmaets kontorer ble stengt etter angrepet og ansatte ble bedt om å jobbe hjemmefra. Tomra opplyste også at noen eldre systemer for innlevering av flasker ikke ville fungere i en periode. Det er så langt ukjent hvem som står bak angrepet.

Cyberkriminelle har lenge installert programvare for å utvinne kryptovaluta fra kompromitterte PCer og servere. De kan så tjene penger på å utføre CPU- eller GPU-krevende operasjoner. Angripere har nå også begynt å installere proxy-programvare som betaler brukeren på maskiner de får kontroll over. Dette fungerer ved at flere firmaer betaler noen få dollar i måneden for å få brukere til å installere en proxy på PCen og få sende trafikk ut via den. Programvare for å utvinne kryptovaluta vil ofte få PCen til å gå varm og lage mye støy, mens proxy-programvare ikke er like lett å oppdage.

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2023

I juni håndterte TSOC 49 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 53 i mai. Denne måneden hadde vi et eksempel på at uvedkommende logget på en PC hos en av våre kunder fra en TOR-node. TOR står for “The Onion Router”, og er en del av Internet som ofte omtales som “det mørke nettet” på norsk. Denne delen av Internet er kryptert og anonymisert. TOR har imidlertid rundt 2000 såkalte “exit-noder”, som gjør at trafikk fra det mørke nettet kan sendes ut på det vanlige åpne nettet. Trafikk som kommer ut fra disse nodene bærer dessverre ofte preg av kriminell virksomhet, så også i dette tilfellet. Heldigvis flagget sikkerhetssystemet innloggingen som mistenkelig, siden den stammet fra TOR-nettet. Bruker-kontoen ble derfor sperret inntil et nytt passord var satt. Det er uvisst hvordan passordet kom på avveie.

Det var 126 bekreftede DDoS-angrep denne måneden, ned fra 161 i mai. 52 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 6.3 Gbps og varte i 32 minutter. Det største angrepet observert i denne perioden var på 216 Gbps og varte i 11 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Flere hundre norske bilverksteder ble rammet etter at IT-leverandøren Helios Auto i Verdal i Trøndelag ble utsatt for et angrep med løsepengevirus. Angriperne krypterte servere hos bedriften og kom med krav om løsepenger for å låse opp igjen systemene. Bilverksteder over hele landet måtte gå tilbake til manuelle rutiner, siden de nå manglet informasjon om kunder, biler, deler og priser. Helios jobbet i rundt én uke med å få systemene fullt operative igjen. Heldigvis hadde en de fersk backup av sine systemer, og ingen data gikk dermed tapt. Angriperne lyktes heller ikke i å stjele informasjon om kundene for bruk i utpressing.

MOVEit er et filoverføringssystem som brukes av større virksomheter for å kopiere store mengder data. Systemet er dessverre i mange tilfeller eksponert direkte ut mot Internett, og er dermed ekstra utsatt dersom det finnes svakheter i det. Løsepengevirus-aktøren Cl0p oppdaget en svakhet i systemet og kunne dermed utnytte denne direkte mot alle MOVEit-servere som var tilgjengelig på nettet. Tilgangen ble brukt til å laste ned store mengder data fra hundrevis av ofre. Siden svakheten var helt ny, var det ingen som oppdaget aksjonen før det var for sent. Denne gangen ble ingen data kryptert, det ble kun truet med å offentliggjøre interne stjålne data. Blant ofrene er flere departementer og offentlige etater i USA, Schneider Electric, Siemens Energy, BBC, British Airways osv. Heldigvis virker det som om MOVEit hadde få brukere i Norge. Mot slutten av måneden utlovet det amerikanske utenriksdepartementet en dusør på USD 10 millioner for informasjon som kunne knytte ransomware-aktøren Cl0p, eller lignende trusselaktører, til en utenlandsk regjering.

Russlands FSB beskylder USA for å ha hacket tusenvis av Apple-enheter tilhørende diplomater og ansatte i stats-adminstrasjonen. Det russiske cybersikkerhetsfirmaet Kaspersky ga også ut en rapport der de analyserer iOS-malwaren som har rammet deres ansatte. Malwaren infiserer mobilene uten at brukeren trenger å foreta seg noe, såkalt zero-click. Kaspersky har døpt operasjonen "Operation Triangulation". FSB påstår også at Apple samarbeider med NSA om å infisere mobilene. En talsmann for Apple har kommentert at de aldri har jobbet med noen regjering for å legge inn bakdører i Apple-produkter og at de heller aldri kommer til å gjøre det. Senere i måneden ga Apple ut sikkerhetsoppdateringer som patchet de tre svakhetene som operasjonen benyttet seg av.

Fortinet ga ut en oppdatering for sine SSL-VPN produkter som fikser en kritisk RCE (Remote Code Execution) sårbarhet. Sårbarheten tillater en ekstern aktør å koble seg opp mot med enheten over VPN uten å autentisere seg, selv med MFA (Multi Faktor Autentisering) skrudd på. Rundt tre uker etter at oppdateringen ble gjort tilgjengelig, var det fortsatt mer enn 300 000 sårbare enheter eksponert mot Internett, tross flere oppfordringer om patching fra Fortinet.

ThreatFabric rapporterer at Android-brukere fra minst fem land har blitt utsatt for en malware-kampanje, der falske apper fra Google Play Store brukes for å hente ut bankinformasjon. Den første falske appen ble oppdaget i mars 2023 der appen utga seg for å være en PDF-leser. Totalt har det blitt funnet fem lignende apper. Ved hjelp av grafiske elementer som legger seg over andre apper, kan skadevaren (kalt Anatsa)  stjele sensitiv informasjon som brukernavn/passord, kredittkort, kontobalanse og betalingsinformasjon. Dette kan så brukes av trusselaktørene for å initiere falske bankoverførsler i offeret sitt navn. Det er så langt ikke meldt om ofre i Norge.

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2023

Myndigheter fra USA og allierte land offentliggjorde denne måneden at de har gjennomført en aksjon mot Snake-malwaren. Det er den russiske aktøren Turla (FSB) som har benyttet malwaren i stadig nyere varianter de siste 20 årene. Snake brukes for spionasje og er designet for å ikke bli oppdaget. USA har imidlertid klart å avsløre nettverket og har dekodet kommandoene som brukes av kontroll-serverne. Dette har blitt brukt til å sende en kommando til infiserte servere som har uskadeliggjort malwaren. I forbindelse med aksjonen har det blitt gitt ut en detaljert gjennomgang av malwaren og hvordan en beskytter seg mot den.

Barracuda advarte i mai om en kritisk sårbarhet som allerede var i bruk mot deres Email Security Gateway (ESG). Svakheten ligger i en modul som utfører scanning av vedlegg i innkommende e-poster, og kan dermed utnyttes ved å sende en spesielt utformet epost gjennom enheten. En patch ble sendt ut 20. mai, men noen enheter var da allerede kompromittert. Enheter som ble rammet skal ha fått et varsel om dette i bruker-interfacet med instruksjoner om hva de skal gjøre videre. Firmaets skytjenester (Saas) skal ikke være rammet. Etter hvert viste det seg at svakheten hadde vært utnyttet i det stille helt siden november 2022. Det viser seg dessverre litt for ofte at enheter som er ment å gjøre nettverket sikrere i stedet har store sikkerhetssvakheter.

Microsoft har sluppet den fjerde utgaven av Cyber Signals. Her skriver de om en økning i svindel gjort ved hjelp av BEC - Business Email Compromise. Ved denne svindelmetoden bruker angriperne forskjellige metoder via e-post, telefon-oppringninger og sosiale medier, typisk for å lure til seg penger fra bedrifter. Microsoft anbefaler sikre e-post-løsninger, å beskytte identiteter ved hjelp av to-faktor innlogging, opplæring av ansatte og å bruke en sikret betalingsplattform for å motvirke svindel-forsøkene. Alle større utbetalinger bør også kontrolleres av flere ansatte og bør verifiseres via minst to kommunikasjonsmetoder. Mange norske bedrifter og offentlige institusjoner har blitt rammet av denne typen svindel de siste årene.

Det amerikanske Justisdepartementet har beslaglagt domenene til 13 tjenester som har solgt DDoS-angrep. Tilbyderne av disse ulovlige tjenestene beskriver dem som "booter"- eller "stressor"-tjenester, som lar nettstedeiere teste robustheten og stabiliteten til infrastrukturen deres. Disse tjenestene blir imidlertid som oftest benyttet av personer som ønsker å hevne seg på nettsteder, medspillere i online-spill eller for å drive utpressing ved å ta ned Internett-forbindelsen deres.

Trusselaktører benytter seg i økende grad av Google-annonser for å få tilgang på innsiden av bedriftsnettverk. Annonsene gir seg ut for å være legitime populære applikasjoner som brukere ofte laster ned til sine PCer, men offeret blir egentlig lurt til å laste ned en bakdør sammen med applikasjonen. Denne typen annonser havner over de vanlige søkeresultatene, og mange lar seg derfor lure. Tilgangene blir typisk solgt videre på markedsplasser og brukt til spionasje eller utpressing. For å motvirke denne typen angrep bør ikke ansatte ha mulighet til å installere tilfeldig programvare fra nettet.

Ondsinnede aktører har en tendens til å utnytte populære fenomener og tjenester i sitt virke, og den mye omtalte chatboten ChatGPT er intet unntak, viser det seg. I løpet av de siste månedene har Facebook etterforsket og gått til aksjon mot flere typer skadevare som utnytter folks interesse for OpenAIs ChatGPT for å lure dem til å installere skadevare som utgir seg for å ha AI-funksjonalitet. Ofte er det nettleser-tillegg som brukes for å infisere brukerne. Vi har også sett flere tilfeller av dette på SOC. Ansatte bør kun ha mulighet til å installere forhåndsgodkjente nettleserutvidelser for å unngå denne angrepsvektoren.

En hengelås på en nettside var for noen år siden en sterk indikasjon på at nettsiden var trygg, siden sider med svindel og skadevare svært sjelden var sikret med SSL/TLS-kryptering. Etter hvert ble imidlertid også forbindelsen til svindel-nettsteder rutinemessig kryptert. Hengelåsen blir fortsatt misforstått av mange til å indikere at nettsiden er sikker, noe Google nå vil gjøre noe med. I løpet av de neste månedene vil hengelåsen bli byttet ut med et ikon for innstillinger i nettleseren Chrome, og beslektede nettlesere. Google mener at en sikker forbindelse til en nettside nå bør være en selvfølge og at hengelåsen derfor er unødvendig. Ved å trykke på ikonet kan brukeren se status på kryptering, nettsidens tilgang til mikrofon, kamera, lokasjon osv.

I mai håndterte TSOC 53 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 54 i april. Vi ser at phishing-eposter stadig er effektive. Ofte blir det først oppdaget at brukeren har blitt frastjålet passordet sitt, ved at uvedkommende prøver å logge på kontoen. Heldigvis blir dette ofte avverget ved at sikkerhetssystemer fanger opp at brukeren logger på fra en uvanlig fysisk lokasjon, gjerne i kombinasjon med at innloggingen gjøres fra en ukjent PC. To-faktor autentisering avverger også mange av denne typen angrep. Denne måneden hadde vi også noen tilfeller av maskiner som ble infisert av malwaren “SocGolish”. Trusselaktøren bak, TA569, legger inn Java-script-kode på sårbare nettsteder som viser pop-ups til brukerne om at de må oppdatere nettleseren sin. Mange lar seg dessverre lure, og resultatet kan bli uthenting av informasjon fra PCen, eller i siste instans ransomware og kryptering av data i hele nettverket.

Det var 161 bekreftede DDoS-angrep denne måneden, ned fra 200 i april. 60 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3 Gbps og varte i 35 minutter. Det største angrepet observert i denne perioden var på 48 Gbps og varte i ni minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for april 2023

VoIP-firmaet 3CX ble tidligere i år rammet av et forsyningskjede-angrep der deres programvare for Windows og macOS fikk injisert en bakdør. Oppdateringer av programvaren, med denne bakdøren inkludert, ble deretter automatisk sendt ut til 3CX sine kunder. Det var nord-koreanske hackere som stod bak angrepet, og målet var å stjele krypto-valuta. Det viser seg etter hvert at det initielle innbruddet hos 3CX skjedde på grunn av et forsyningskjede-angrep. Sikkerhetsselskapet Mandiant meldte at en PC tilhørende en ansatt i 3CX ble hacket gjennom et forsyningskjede-angrep mot programvaren til finans-firmaet Trading Technologies. Angrepet ble gjennomført av den samme nord-koreanske gruppen som kompromitterte 3CX. Dette er antagelig det første eksempelet på et dobbelt forsyningskjede-angrep.

Mange DDoS-angrep blir utført ved å forsterke angrepstrafikken via sårbare tjenester som er tilgjengelig på nettet. Angriper sender en liten pakke med trafikk, forfalsket til å se ut som om den blir sendt fra målet for angrepet, til en sårbar tjeneste. Tjenesten som blir kontaktet, sender deretter svaret på forespørselen til målet, men svaret er mye større enn forespørselen. Angriperen oppnår dermed både å forsterke angrepet sitt og skjule hvor angrepet kommer fra. Det har nå blitt oppdaget en ny tjeneste som kan utnyttes til å gjennomføre denne typen angrep. Tjenesten kalles SLP (Service Location Protocol) og ble laget av Sun Microsystems tilbake i 1997. Tjenesten ble brukt for å registrere tilgjengelige lokale ressurser på det interne nettverket, men var aldri ment å være tilgjengelig utenfor lokalnettet. 35.000 servere eksponerer dessverre tjenesten ut på nettet og kan potensielt sett misbrukes i angrep. Ved å manipulere listen over tilgjengelige enheter før angrepet startes, kan angrepstrafikken forsterkes hele 2200 ganger! Telenors tjeneste for DDoS-beskyttelse håndterer denne typen angrep godt.

Etter at Microsoft har begynt å blokkere makroer fra å kjøre i Office-dokumenter lastet ned fra nettet, har vedlegg i OneNote blitt en populær måte å distribuere malware på. Mottakeren av dokumentet blir lurt til å åpne de vedlagte filene, og maskinen blir infisert. OneNote har så langt ikke hatt en sperre mot å legge ved eksekverbare filer og scripts, men dette blir det nå en endring på. I løpet av de nærmeste ukene vil Microsoft sperre farlige filtyper i alle varianter av OneNote.

CitizenLab har gitt ut en ny rapport som tar for seg tre forskjellige zero-click exploit-kjeder brukt mot iOS av overvåkningsfirmaet NSO-group i 2022. Svakhetene har blant annet blitt brukt mot menneskerettighetsforkjempere og journalister. Både iOS 15 og iOS 16 har vært rammet. Dette dreier seg altså om svakheter som det ikke fantes patcher for på det tidspunktet de ble brukt og som infiserte brukerne uten at de var klar over det. Firmaer som selger denne typen programvare påstår ofte at de kun selger til regjeringer og politi, men mange land misbruker dessverre programvaren til tvilsomme aktiviteter.

Genesis Market ble tatt ned av FBI tirsdag i påskeuken. Markedsplassen har vært kjent for storstilt omsetning av stjålne brukernavn, passord og innloggings-sesjonsnøkler (cookies). I etterkant av aksjonen rapporterte FBI at rundt 120 personer har blitt arrestert i flere land. Innloggingsdetaljene fra markedsplassen har vært brukt både for å plante ransomware, stjele intern informasjon og tyveri fra enkeltpersoner. Etter aksjonen har FBI delt en liste over alle kompromitterte brukere med tjenesten "Have I been Pwned", slik at berørte brukere har fått beskjed om at deres informasjon er på avveie.

QuaDreams er et firma som leverer overvåkingsprogramvare for mobiltelefoner. Firmaet konkurrerer med firmaer som israelske NSO. Denne typen firmaer leverer typisk programvaren sin til myndigheter i forskjellige land. CitizenLab og Microsoft har sett nærmere på firmaet og deres programvare-plattform kalt "Reign", som inkluderer utnyttelseskode og overvåkingsprogramvare for Android og iOS-mobiler. Microsoft har dokumentert at Reign, og spesielt malwaren "KingsPawn", har blitt brukt til å kompromittere og overvåke iPhones tilhørende journalister og personer involvert i politikk i flere land. Det er også tegn på at Android-mobiler er rammet. Etter all oppmerksomheten opplyste firmaet at de er i ferd med å stenge ned virksomheten sin.

I april håndterte TSOC 54 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 111 i februar. Kriminelle tilpasser ofte sine malware-kampanjer og svindelforsøk med temaer som er aktuelle i nyhetsbildet. Dette viste seg ved en alvorlig hendelse som ble avdekket ved hjelp av tjenesten Logganalyse denne måneden. En ansatt ble lurt til å laste ned et falskt tillegg til Chrome-nettleseren, som skulle berike søkeresultater med informasjon fra ChatGPT. I tillegg til dette, stjal imidlertid akkurat denne utvidelsen også login-info som var lagret i nettleseren og sendte dette ut til bakmennene. Vi satte klienten i karantene og kundens driftsorganisasjon ba brukeren om å bytte passord til tjenester som var benyttet fra PCen, samt få reinstallert operativsystemet.

Det var 200 bekreftede DDoS-angrep denne måneden, ned fra 212 i mars. 94 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 4.26 Gbps og varte i 38 minutter. Det største angrepet observert i denne perioden var på 140 Gbps og varte i litt over én time. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.