Oppsummering av nyhetsbildet for august 2015

August var også en måned med relativt få infiserte maskiner oppdaget gjennom tjenesten Sikkerhetsovervåking. Vi håndterte 50 alvorlige saker, mot 49 i juli. Denne måneden så vi en oppblomstring av infeksjoner forårsaket av nettbank-trojaneren Dyre. Denne blir gjerne distribuert som vedlegg til e-poster pakket i Zip-filer og offeret blir lurt til selv å kjøre malwaren. Vær varsom med å åpne vedlegg i e-post!

Telenor SOC håndterte 233 alvorlige DDoS-angrep, mot 215 i juli. Med alvorlige angrep mener vi angrep som er så store at de blir mitigert eller at eier av sambandet blir varslet. Gjennomsnittlig angrepstørrelse på disse var 4.73Gbps, mens gjennomsnittlig varighet på et angrep var 30 minutter. Det største angrepet denne måneden var på 30Gbps.

I august avslørte sikkerhetsforskere ved Malwarebytes at flere populære nettsider inneholdt annonser som videresendte nettleseren til sider som inneholdt Angler Exploit Kit. Der ble maskinen infisert dersom den hadde eldre versjoner av Flash eller Java installert. Det første nettstedet der annonsene ble avdekket var Yahoo. Senere i måneden ble også Drudge Report og Weather.com rammet. Det er uvisst hvor mange som ble infisert av annonsene, men nettstedene har flere hundre millioner brukere hver måned.

Sikkerhetsselskapet Check Point avslørte i august at over halvparten av alle Android-mobiler er sårbare for svakheter de har kalt “Certifigate”. Dette er en samlebetegnelse på flere sårbarheter i fjernsupport som brukes av de fleste Android-enheter. Programmer for fjernsupport, som TeamViewer og Rsupport, kan lastes ned fra Google Play. Slike verktøy krever ikke utvidet tilgang til systemet for å installere selve appen, men appen får utvidet tilgang ved å autentisere seg mot spesielle biblioteker i operativsystemet. Måten denne autentiseringen gjøres på er dessverre i mange tilfeller mangelfull. Konsekvensen av svakhetene er at vanlige applikasjoner kan få utvidet tilgang til systemet, på lik linje med en applikasjon for fjernsupport (lokal rettighetseskalering). For å utnytte svakheten må en lure en bruker til å installere en skadelig applikasjon. Senere i måneden ble oppdaget at en app i Play Store utnytter Certfigate-svakheten. Appen gjorde dette for å ta opp filmer av ting som skjer på enheten. Det er så langt ingenting som tyder på at svakheten har blitt utnyttet til noe uhederlig, men saken viser at apper i Google Play kan utnytte Certifigate-svakheten uten at Google oppdager dette..

I de siste månedene har det blitt avdekket flere alvorlige svakheter i Android-plattformen, som Certifigate-svakhetene og svakhetene i libStageFright. Som et svar på dette har Google, Samsung og LG sagt at de fra nå av skal slippe månedlige sikkerhetsoppdateringer for sine Android-telefoner. Fram til nå har det tatt flere måneder før oppdateringer når telefonene. Det er tydelig at mobilprodusentene nå har innsett at dette ikke lenger holder mot Apples mye kjappere patching.

En gruppe som Dell Secureworks har kalt "Emissary Panda", jobber med å stjele industrihemmeligheter fra hundrevis av firmaer i bransjer som bil, elektronikk, fly, energi og medisin. Gruppen har kontroll over flere legitime nettsteder med mange besøkende. Etter at gruppen har sett seg ut et offer, vil besøkende til det legitime nettstedet fra den utvalgte bedriften få servert malware. Andre besøkende til nettstedet vil ikke merke noe unormalt. Denne angrepsteknikken kalles vannhullsangrep. Etter at de har fått kontroll over en PC i bedriften de har valgt ut, vil de så hacke seg videre i nettverket for å få kontroll over domeneservere og filservere og begynne å hente ut relevant informasjon.

FireEye skrev en bloggpost om malwaren Hammertoss. De mener at det er russere som står bak malwaren og har kalt grupperingen APT29. Hammertoss kommuniserer med sin kontrollserver via Twitter og Github. Kommandoene som blir lastet ned fra Github ligger gjemt i bildefiler ved hjelp av stegonografi. Etter at en maskin har blitt undersøkt for interessant informasjon, blir dataene sendt ut av nettverk ved hjelp av kjente skytjenester for lagring. Bruken av kjente tjenester for all kommunikasjon gjør oppdagelse av malwaren svært vanskelig. Å bruke skytjenester i denne typen operasjoner vil trolig bli vanligere framover.

RSA publiserte en rapport om en kinesisk VPN-tilbyder som de har kalt Terracotta. VPN-tjenesten selger tilgang til nettet via hackede servere i forskjellige land, blant annet 572 servere i USA. Forskjellige kinesiske APT-grupperinger har benyttet seg av tjenesten for å skjule hvor de egentlig opererer fra. De hackede serverne var alle direkte eksponert mot Internett og ble kompromittert gjennom å gjette seg fram til administrator-passordet.