Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

onsdag 5. august 2015

Oppsummering av nyhetsbildet for juni 2015


I forbindelse med tjenesten Sikkerhetsovervåking for bedriftskunder håndterte vi 78 alvorlige hendelser i juni, mot 137 i mai.

I løpet av juni har vi håndtert 307 DDoS-angrep, en økning på 74 angrep sammenlignet med forrige måned. Igjen er det reflection-angrep av type SSDP, NTP og CHARGEN som er de mest brukte angrepsmetodene. Ikke uventet er UDP-protokollen benyttet i 2/3 av alle angrep vi ser. Et typisk angrep er på 3-4Gbps og varer i rundt 30 minutter. Det største angrepet var på 28.68 Gbps. Som vanlig er det vanlige private sluttbrukere fra Telenor som blir mest angrepet.

Den største saken denne måneden internasjonalt har vært datainnbruddet hos Office of Personnel Management i USA. OPM driver med HR-relaterte oppgaver for offentlig ansatte i USA. De har også ansvaret for å utføre bakgrunnssjekk på personell i forbindelse med sikkerhetsklareringer. Angriperne kom seg unna med store mengder personlig og sensitiv informasjon om millioner av amerikanere. Informasjon fra sikkerhetsklareringer skal også være på avveie. Det er ukjent hvem som står bak, men dette er data som er gull verdt for andre etterretningsorganisasjoner. Innbruddet ble oppdaget i april og det er ukjent hvor lenge uvedkommende har vært inne i systemene.

Nasjonal Sikkerhetsmyndighet gikk i juni ut med et varsel om at bedrifter i Norge blir utsatt for utpressing. Bedrifter i ble først utsatt for et kraftig, men kortvarig DDoS-angrep og ble så krevet for penger for å unngå nye og mer langvarige angrep. TSOC kan bekrefte at dette stemmer. Vi bidro med å håndtere og stoppe et angrep av denne typen denne uken mot en norsk bedrift.

I juni kom det fram at Kripos stanset et storangrep mot DNB ved å ta ned et botnett på rundt 2000 norske datamaskiner som var infisert av trojaneren Gozi-03. Kripos nøytraliserte botnettet ved å utgi seg for å være en kontrollserver som signaliserte den ondsinnede programvaren på de infiserte maskinene om å ikke starte opp neste gang maskinen ble slått på. Dette sendte trojaneren i dvale. En 35 år gammel mann fra Estland er tiltalt i forbinnelse med saken. Dette er første gangen et botnett er tatt ned på denne måten i Norge.

Kaspersky Labs oppdaget tidligere i år at de at de hadde blitt utsatt for et cyber-angrep. Angripere hadde vært aktive i nettet i lengre tid og hadde infisert flere maskiner. Kaspersky døpte malwaren Duqu 2.0, siden den deler mye kode med den opprinnelige Duqu. Malwaren er svært avansert og har benyttet seg av flere 0-dags svakheter og etterlot seg ikke spor på harddisken, kun i minnet. Microsoft patchet én av disse svakhetene i denne månedenes oppdateringer for Windows. Deler av malwaren var også signert med et gyldig sertifikat stjålet fra den store produsenten Foxconn. Det antas at en nasjonalstat står bak angrepet og Israel er så langt hovedmistenkt. Kaspersky og Symantec har også oppdaget andre som har blitt rammet av Duqu 2.0, blant annet har den blitt brukt til overvåking i forbindelse med forhandlinger rundt en atomavtale med Iran.

Det ble avdekket en alvorlig svakhet i alle nyere Samsung-telfoner. Svakheten ligger i tastaturapplikasjonen som er laget av SwiftKey. Applikasjonen sjekker ikke integriteten til programfilen som lastes ned ved oppdatering og dermed kan en angriper bytte denne ut i et "man-in-the-middle" angrep. Slike angrep er relativt lette å gjennomføre mot brukere av åpne trådløse nettverk. Avanserte angripere, som statlige aktører, kan også bruke denne svakheten til å ta kontroll over telefoner dersom de har tilgang til relevant Internett-trafikk. Den 23. juni lanserte Samsung en oppdatering for svakheten. Oppdateringen fungerer bare for telefoner levert med Knox og blir installert automatisk. Samsung skal etter hvert patche alle sine telfoner gjennom å oppdatere selve operativsystemet.

USA vil ha regler for omsetning av exploitkode inn under Wassenaar-avtalen. Dette er en er en omfattende handelsavtale for omsetning av våpen. Dette vil kunne medføre strenge regler for eksport og import av slik kode og teknologi, og har utløst heftige debatter i sikkerhetskretser. 

Ingen kommentarer:

 
>