Oppsummering av nyhetsbildet innen datasikkerhet for april 2017

April var en uvanlig stille måned når det gjelder tjenesten Sikkerhetsovervåking. Vi hadde kun 59 alvorlige hendelser, noe som var en nedgang fra 98 i mars. Det var heldigvis ingen kampanjer med større spredning av malware.

I april var det 452 bekreftede DDoS-angrep i våre nett, mot 984 i mars. Et gjennomsnittlig angrep var på 1.06 Gbps og varte i 25 minutter. Det største angrepet observert i denne perioden var på 12.5 Gbps og varte 15 minutter. Flere av våre kunder som abonnerer på DDoS-beskyttelse ble angrepet.

På langfredag i påsken offentliggjorde gruppen ShadowBrokers flere exploit-verktøy som opprinnelig stammer fra NSA. Sikkerhetsmiljøet trodde først at flere av svakhetene ville fungere mot fullt oppdaterte Windows-installasjoner, men det viste seg snart at Microsoft hadde patchet svakhetene tidligere. Noen ble adressert for flere år siden, andre så nylig som i mars. Den mest kritiske sårbarheten kunne kompromittere Windows-maskiner som var direkte eksponert mot Internett via tjenesten SMB. Etter hvert som hackere fikk tilgang til verktøyene, ble over 100.000 maskiner infisert av NSA-bakdøren DoublePulsar via denne svakheten. Også flere norske virksomheter ble rammet.

Googles Project Zero meldte på sin blogg at de hadde funnet en svakhet i Broadcoms WiFi-brikker som blir brukt i Nexus-telefoner, flaggskipene til Samsung og alle iPhoner siden iPhone 4, samt mange rutere. Svakheten utnytter TDSL-standarden, som brukes til å kommunisere med andre enheter innen WiFi-rekkevidde uten å involvere operativsystemet eller rutere. Dette kan potensielt føre til at angriperen kan kjøre vilkårlig kode på enheten, få økte privilegier og bruke dette til å angripe selve operativsystemet. Både Apple og Google lanserte patcher like etter at svakheten ble offentliggjort.

I en presentasjon på Kasperskys Security Analyst Summit demonstrerer Mark Dowd hvor vanskelig det er å utnytte svakheter i operativsystemer og applikasjoner for tiden. Moderne operativsystemer har innebygde teknologier for å motvirke korrupsjon av minneområder. Dette, kombinert med isolerte "sandkasser" i nettleserne, gjør at en ofte må må utnytte mange separate svakheter i kjeder. Dette kan være en av grunnene til at phishing-angrep, som utnytter brukeren i stedet for programvare, blir mer og mer populært.

PWC ga ut en rapport om den kinesisk-tilknyttede trusselaktøren APT10, også kjent som Red Apollo, menuPass Team eller Stone Panda. I rapporten fremgår det at aktøren gikk over fra Poison Ivy til PlugX som foretrukket verktøy etter FireEyes rapport om dem i 2013. Blant aktørens taktikker nevnes infiltrering av målets eksterne IT-leverandører. Japan fremheves som hovedmål, men også Norge nevnes som et interessant mål for aktøren.

Breakdev viste frem et prosjekt kalt Evilginx på sin nettside. Dette er en ny måte å lage phising-angrep på, som kan hente ut gyldige brukernavn, passord og tokens som angriperen kan bruke til å logge inn på offerets kontoer uten videre autentisering. Offeret blir sendt til en tilsynelatende ekte Google innloggings-side, logger inn på vanlig måte og blir deretter sendt videre uten å vite at all innloggingsinformasjon har blitt logget hos angriperen. I virkeligheten er det angriperen som får informasjonen først, men den blir så videresendt til Google i bakgrunnen.

Det amerikanske justisdepartementet kunngjorde i går hvilke tiltak de har gjort for å gjøre ende på det omfattende Kelihos botnettet. Botnettet har stått for utsendelse av millioner av e-poster forbundet med bedrageri, tyveri av kontolegitimasjon og spredning av ransomware. I hovedsak bestod tiltakene av å blokkere domener tilknyttet botnettet. Forespørsler mot domenene vil bli redirigert til servere der IP-adressen til kilden for forespørselen blir notert. Dette vil kunne føre til at infiserte maskiner blir oppdaget, og kan få riktig behandling.