Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 3. mai 2019

Oppsummering av nyhetsbildet innen datasikkerhet for april 2019

Antall alvorlige hendelser relatert til tjenesten Sikkerhetsovervåking gikk ned fra 153 i mars til 105 i april. Denne måneden så vi et oppsving i malware på Mac-maskiner grunnet trojaneren Shlayer. Ellers er det fortsatt en del maskiner som blir infisert for å drive med utvinning av kryptovaluta.

Det var 262 bekreftede DDoS-angrep denne måneden, ned fra 356 i mars. 94 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.8 Gbps og varte typisk i 20 minutter. Det største angrepet observert i denne perioden var på 21 Gbps og varte i bare fem minutter. Fem av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Den Indiske IT-gianten Wipro ble rammet av et datainnbrudd denne måneden. Fra Wipros systemer har angriperne beveget seg videre til minst 11 kunder, blant dem CapGemini, Avanade, Cognizant, Infosys og Rackspace. Wipro har bekreftet angrepet. Senere kom det fram at angrepet mest sannsynlig var gjort av en gruppering som i flere år har drevet med svindel innenfor gavekort og fordelsprogrammer, og ikke en statsstøttet aktør som først antatt.

Passord-spraying, eller credential stuffing, er en angrepsform som har økt i omfang i  det siste. Angriperne får tak i lekkede brukernavn og passord fra datainnbrudd og bruker samme brukernavn og passord mot andre tjenester. Veldig mange brukere benytter det samme passordet på flere tjenester, og kontoen kan dermed tas over. En del tjenestetilbydere sjekker brukernes passord opp mot lekkede passord og tvinger i så fall passordbytte. Å tvinge bruk av to-faktor autentisering kan også motvirke denne typen angrep.

Wired har skrevet en artikkel om hvordan den Nord-Koreanske hackergruppen APT-38 aktivt blir brukt til å stjele kryptovaluta for å finansiere nasjonens atomvåpen. I perioden januar 2017 til september 2018 skal gruppen ha stjålet 571 millioner dollar fra fem ulike kryptovaluta-børser i Asia.

Legemiddelfirmaet Bayer opplyste at de har vært utsatt for et dataangrep utført fra Kina. Firmaet oppdaget malware i nettverket sitt tidlig i 2018. De overvåket angrepet fram til mars og har nå fjernet all malware fra nettverket. Firmaet opplyser at ingen data ble stjålet. Sikkerhetseksperter mener angrepet har vært utført av APT-grupperingen Wicked Panda ved hjelp av programvaren WINNTI.

Google lanserte i april en løsning hvor man benytter en Android telefon som fysisk sikkerhetsnøkkel. Dette gjelder Android versjon 7 eller nyere. Ved hjelp av nettleseren Chrome, Bluetooth og en Android telefon får man en fysisk enhet som kan benyttes istedenfor en vanlig fysisk sikkerhetsnøkkel. Denne løsningen er sikrere enn å skrive inn en engangskode via en SMS eller app, siden enheten som det blir logget inn på må kommunisere med telefonen via Bluetooth og dermed sikre at telefonen er fysisk i nærheten.

I mars ble det oppdaget kritiske svakheter i både samhandlingsverktøyet Confluence og Oracle WebLogic. Disse systemene er typisk eksponert mot Internet, og tusenvis av systemer som ikke ble patchet hurtig nok ble kompromittert. Angriperne installerte typisk utpressingsprogramvare (ransomware) eller programvare for å utvinne kryptovaluta på systemene.

Siden 25. mars har ukjente personer lekket detaljer rundt operasjonene til den iranske APT-grupperingen APT34/OilRig. Informasjonen omhandler verktøy, ofre og identiteten til flere av medlemmene og blir lekket via tjenesten Telegram.

Google har gitt ut sin årlige sikkerhetsrapport for Android og Google Play. Antallet potensielt skadelige apper installert fra Google Play doblet seg i fjor, men dette skyldes hovedsakelig at apper som driver med click fraud i bakgrunnen nå har blitt definert som skadelige. Google advarer også mot at en del “billig”-leverandører inkluderer skadelige apper på håndsettene sine. Telefoner fra leverandøren BLU var utsatt for dette i fjor.

mandag 1. april 2019

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2019

Antall alvorlige hendelser relatert til tjenesten sikkerhetsovervåking gikk noe opp fra 112 i februar til 153 denne måneden. Hendelsen var en blanding av forskjellige trojanere, ulovlig utvinning av kryptovaluta og diverse annen uønsket programvare.

Det var 356 bekreftede DDoS-angrep denne måneden, opp fra 305 i februar. 142 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.4 Gbps og varte typisk i 19 minutter. Det største angrepet observert i denne perioden var på 58 Gbps og varte i litt over én time. To av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Hydro ble natt til tirsdag 19. mars utsatt for et større cyber-angrep i form av løsepengevirus. Målet kan ha vært å presse Hydro for penger, men det egentlige målet kan også ha vært å sabotere bedriften. Hydro måtte bytte over til manuelle rutiner i produksjonsprosessene der dette var mulig. Det var malwaren LockerGoga som brukt, en relativt enkel malware som ikke har nettverkskommunikasjon. Den må derfor manuelt kopieres til klienter og servere i bedriften som angripes. I Hydros tilfelle ble dette gjort ved at angriperne fikk tilgang til deres Active Directory server. Herfra hadde angriperne full kontroll over nettverket. Det er usikkert hvem som står bak angrepet. Mot slutten av måneden opplyste Hydro at cyberangrepet kan komme til å koste dem opp mot 350 millioner kroner.

Den Taiwan-baserte teknologigiganten ASUS antas å ha eksponert hundretusener av kunder for malware gjennom sitt automatiske programvareoppdateringsverktøy. Angripere kompromitterte selskapets oppdateringsserver og brukte den til å sende ut malware til nøye utvalgte maskiner. Det er antakelig en avansert aktør som står bak angrepet. Oppdateringsverkøyet sjekket maskinene for spesifikke MAC-adresser før selve malwaren ble lastet ned. Dette var altså et svært målrettet angrep mot et fåtall maskiner. Det tok lang tid før operasjonen ble oppdaget.

WebAuthn er et grensesnitt brukt av webapplikasjoner for autentisering ved hjelp av offentlige, og private nøkler. For å autentisere seg, kan brukeren benytte både fysiske sikkerhetsnøkler og biometri. W3C og FIDO annonserte nylig at WebAuthn blir den offisielle webstandarden for passordfri innlogging.

I mars kom det fram at komprimeringsverktøyet WinRar hadde en alvorlig svakhet som hadde eksistert i 19 år. Svakheten ble fikset i versjon 5.70 som ble lansert 26. februar. Siden har svakheten blitt utnyttet i flere kampanjer av avanserte aktører.

Citrix ble informert av FBI 6. mars at uautoriserte brukere har vært på deres interne nettverk. Citrix jobber fortsatt med å kartlegge omfanget, men melder så langt at bedriftsdokumenter er lekket, uten at det er klart hva slags dokumenter dette dreier seg om. Det er foreløpig ingen tegn på at tjenestene de tilbyr videre har blitt kompromittert. Det ukjente sikkerhetsselskapet Resecurity hevder det er Iranske hackere som står bak angrepet.

Tidlig denne måneden ble det meldt om to nye svakheter i henholdsvis Google Chrome og Windows 7. APT-grupperingene SandCat og FruityArmor utnyttet disse i aktive angrep. Svakheten i Windows brukes til å få kernel-tilgang etter først ha fått tilgang til en PC via Google Chrome. Google patchet først Google Chrome, mens Microsoft patchet Windows i sin månedlige sikkerhetsoppdatering.

I følge en rapport fra Trend Micro er norske bedrifter spesielt attraktive for IT-angrep via direktørsvindel. Norge står for 1,9% av alle registrerte forsøk på verdensbasis og dette plasserer Norge på en femteplass i verden over land utsatt for direktørsvindel.

I domstolsdokumenter som ble utgitt 29. mars, kom det fram at Microsoft har hatt en pågående kamp mot en aktør som blir støttet av Iranske myndigheter. Microsoft fikk gjennomslag for å ta over flere av domenene til gruppen, som er kjent som APT35, Phosphorus, Charming Kitten eller Ajax Security Domain. Domene som Microsoft tok over har blitt brukt til målrettet phishing mot brukere i hele verden. Noen av domene etterlignet eksisterende Microsoft-tjenester.

onsdag 6. mars 2019

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2019

Vi håndterte 112 alvorlige saker relatert til Sikkerhetsovervåking i februar, ned fra 173 i januar. Også denne måneden var det et høyt antall maskiner som ble misbrukt til å utvinne kryptovaluta. Ellers er det mange infiseringer av diverse trojanere, der Glupteba har vært spesielt aktiv denne måneden.

Det var 305 bekreftede DDoS-angrep denne måneden, ned fra 487 i januar. 116 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.2 Gbps og varte typisk i 20 minutter. Det største angrepet observert i denne perioden var på 22.3 Gbps og varte i 11 minutter. Fire av TSOC sine bedriftskunder ble utsatt for angrep denne måneden.

Reuters meldte i februar at norske Visma hadde blitt hacket i forbindelse med Cloudhopper-kampanjen utført av den kinesiske aktøren APT10. Angrepet har antagelig blitt gjennomført for å hacke seg videre inn hos Vismas kunder for å stjele forretningshemmeligheter. Visma har gått ut offentlig med informasjonen for å gjøre folk oppmerksomme på denne kampanjen. De mener at angriperne var for kort tid i nettet deres til å ha rukket å hacke seg inn hos noen av kundene. HP, IBM og flere andre leverandører skal være rammet i den samme kampanjen. Etter offentliggjøringen mente analytikere fra Microsoft at angrepet mest sannsynlig kom fra en annen gruppe kjent som APT31. Begge grupperingene skal ha knytninger mot kinesiske myndigheter, men APT31 er mindre kjent.

PST la fram sin trusselvurdering for 2019. De legger stor vekt på fremmede staters nettverksoperasjoner mot Norge. Statlig styrte datanettverksoperasjoner representerer en vedvarende trussel mot norske verdier. Slike operasjoner er billige, effektive og i konstant utvikling, og angriperne finner stadig nye sårbarheter de kan utnytte. Russland og Kina trekkes fram som de mest aktive i forhold til disse operasjonene.

E-tjenesten la også fram sin årlige offentlige trusselvurdering “Fokus” og trekker fram fremmed etterretning som den største trusselen mot Norge. Fremmede statsmakter som Kina og Russland prøver å påvirke Norges politiske prosesser. I 2018 har nettverksoperasjoner for å innhente informasjon vært rettet mot norske styresmakter og kommersielle selskaper innenfor en rekke sektorer. E-tjenesten omtaler også gjentatte tilfeller av GPS-jamming i Finnmark utført av Russland.

USAs utenriksminister Mike Pompeo hintet i en pressekonferanse 11. februar at USA vil kunne avslutte sitt samarbeid med selskaper som er tungt investert i utstyr levert av Huawei. Pompeo sa at utstyr levert av Huawei plassert på samme sted som viktig utstyr levert av Amerikanske produsenter vil gjøre et samarbeid vanskelig. USA har nylig innført et forbud mot bruk av utstyr levert av Huawei i offentlige institusjoner, og hos telekom-selskaper som mottar statsstøtte.

Russiske myndigheter introduserte en ny lov i Desember 2018 som sier at ISPer i landet skal kunne håndtere en frakobling fra det globale Internettet uten at landets interne tjenester går ned. I lovforslaget står det også at ISPer skal kunne rute trafikk gjennom myndighetsstyrte overvåkningspunkter. En test for å sjekke at en frakobling vil fungere etter planen skal gjennomføres innen 1. april.

Brian Krebs har skrevet en lengre bloggpost om DNS-angrepene som har pågått de siste månedene. De fleste mener nå at det er Iran som står bak bølgen med angrep. Han identifiserer flere av landene som har blitt rammet, hovedsakelig i midtøsten. Det svenske firmaet Netnod Internet Exchange har også blitt hacket. Firmaet kontrollerer blant annet én av de 13 root-DNS tjenerne på nettet. New York Times skriver også om saken i dag.

Microsoft’s Threat Intelligence Center (MSTIC) og Digital Crimes Unit (DCU) melder om økt aktivitet fra russiske hacker-grupper mot Europa. I løpet av siste kvartal ble det observert innbrudd i 104 kontoer knyttet til blant annet journalister, tenketanker og andre organisasjoner i Europa. Mesteparten av disse angrepene hevdes å komme fra gruppen Strontium, også kjent som Fancy Bear.

Over 617 millioner kontoer, samlet fra 16 hackerangrep mot websider er nå til salgs på det mørke nettet. Disse kommer fra angrep på Dubsmash (162 mil), MyFitnessPal (151 mil), MyHeritage (92 mil), ShareThis, HauteLook , Animoto , EyeEm, 8fit, Whitepages, Fotolog, 500px, Armor Games, BookMate, CoffeeMeetsBagel, Artsy, og DataCamp. Flere av innbruddene er av nyere dato.

Mange aktører bruker Apples enterprise-sertifikater for å omgå App Store. Sertifikatene er egentlig ment brukt for apper internt i organisasjoner. Disse blir imidlertid brukt i stor stil for piratkopiering og spredning av apper som Apple ikke godtar i App Store. Via denne typen apper er det også mulig å bli utsatt for malware.

tirsdag 5. februar 2019

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2019

Vi håndterte 173 alvorlige saker relatert til Sikkerhetsovervåking i januar, opp fra 131 i desember i fjor. Denne måneden så vi et oppsving i klienter som ble infisert av diverse programvare for å utvinne kryptovaluta.

Det var 487 bekreftede DDoS-angrep denne måneden, opp fra 464 i desember i fjor. 169 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3 Gbps og varte typisk i 18 minutter. Det største angrepet observert i denne perioden var på 257 Gbps og varte i 13 minutter. Dette angrepet var rettet mot en av våre avdelinger i Asia og bestod av fragmenterte UDP-pakker, DNS- og LDAP-trafikk. Syv av TSOC sine bedriftskunder ble utsatt for angrep denne måneden.

Zerodium har økt sine priser for 0-day svakheter som kan brukes til å kompromittere iPhones og andre meldingstjenester. En zero-click jailbreak-svakhet for iPhone er nå verdt 2 millioner dollar. Det gis 1 million dollar i belønning for svakheter som kan ta over iMessage og WhatsApp. Økningen i utbetalinger kan tyde på at sikkerheten i disse systemene blir stadig bedre.

Norske myndigheter vurder tiltak for å nekte kinesiske Huawei å bygge infrastruktur for 5G-nettet i Norge. Dette på grunn av frykt for spionasje. Norge vil dermed kunne innføre samme restriksjoner som f.eks USA og andre vestlige land.

En ny lov i USA fører til at det blir forbudt for amerikanske selskaper å eksportere til selskaper som bryter amerikanske sanksjoner. Dette har tidligere skjedd med ZTE, men ble trukket tilbake av president Trump. I januar kom det også fram at Huawei, to datterselskaper og finansdirektøren er tiltalt for å ha stjålet forretningshemmeligheter fra T-Mobile og andre amerikanske firmaer.

PST er fortsatt forsiktige med hva de sier om cyberangrepene mot fylkesmenn som ble kjent i romjulen, men sier at det trolig er en statlig aktør som står bak. Flere fylkesmenn ble utsatt for disse angrepene. Det har også kommet fram at ingen av fylkesmennene hadde fått installert en sensor fra NSM for å avdekke angrep mot samfunnskritisk digital infrastruktur. Penger til å installere dette hos samtlige fylkesmenn er nå bevilget.

FireEye slapp en rapport om en bølge med DNS-kapring som har påvirket domener tilhørende myndigheter, telekommunikasjon og internett infrastruktur. FireEye mener at angrepene kan ha iransk opphav. Angriperne fikk først tilgang til login-detaljer hos ofrenes DNS-tilbydere. Formålet med aksjonen var å redirigere nett-trafikk for å stjele enda flere påloggingsdetaljer til forskjellige systemer. Senere i måneden slapp også DHS US-CERT en sikkerhetsbulletin der amerikanske myndigheter ble pålagt å gjennomgå en firepunkts sikkerhetssjekk med bakgrunn i denne hendelsen, innen 10 arbeidsdager.

I desember ble ti ansatte ved Universitetet i Oslo utsatt for et målrettet data­angrep. Fra og med 2019 har regjeringen tildelt Direktoratet for IKT og fellestjenester i høyere utdanning, som også eier Uninett, 70 millioner kroner over fire år for å styrke arbeidet med informasjonssikkerhet ved UH-sektoren.

Et nytt verktøy utviklet av en polsk sikkerhetsforsker, kan ved hjelp av realtime-phishing enkelt forbigå tofaktor-innlogging. Verktøyet fungerer som en proxy mellom offeret og den virkelige siden. I en publisert video blir det vist et eksempel der dette kan bli brukt mot en Google-konto. Verktøyet tar også vare på passord som brukeren skriver inn. For å motvirke denne teknikken er en avhengig av fysiske sikkerhetsnøkler, som beviser overfor tjenesten at brukeren er på den samme PCen som den fysiske sikkerhetsnøkkelen er tilkoblet.

Google fikk nylig en bot på 50 millioner euro, rundt 490 millioner kroner, for brudd på GDPR. Boten ble gitt av det franske byrået CNIL, som tilsvarer Datatilsynet i landet. CNIL begrunner boten med at Google gjør det for vanskelig for brukere å få tak i essensiell informasjon, som for eksempel hensikten med datainnsamlingen, hvor lenge data lagres og hvordan de brukes, samt hvilke personlige data som brukes til målrettet annonsering. Facebook undersøkes også for lignende brudd på GDPR.

Europol har sammen med nederlandsk og engelsk politi tatt ned en stor markedsplass for kjøp av DDoS-angrep. Markedsplassen skal ha hatt omlag 150.000 registrerte brukere, og blant kjøperne av slike angrep skal det også befinne seg flere nordmenn, derav flere mindreårige. Informasjon om disse er oversendt Kripos for videre oppfølging.

fredag 4. januar 2019

Oppsummering av nyhetsbildet innen datasikkerhet for desember 2018

Vi håndterte 131 alvorlige saker relatert til Sikkerhetsovervåking i desember, litt opp fra 127 i november. Det er ingen spesielle hendelser som peker seg ut denne måneden.

Det var 464 bekreftede DDoS-angrep denne måneden, opp fra 400 i november. 178 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.11 Gbps og varte typisk i 21 minutter. Det største angrepet observert i denne perioden var på 41 Gbps og varte i 25 minutter. Tre av TSOC sine bedriftskunder ble utsatt for angrep denne måneden.

PST (Politiets sikkerhetstjeneste) opplyste 5. desember at de henlegger saken rundt datainnbruddet hos Helse Sør-Øst. Dette skjer etter at de har gjennomført en omfattende etterforskning som har vært koordinert med Nasjonal sikkerhetsmyndighet, Etterretningstjenesten og Kripos. Saken blir henlagt på grunn av manglende opplysninger om gjerningsperson. “Vår etterforskning har ikke kunnet avdekke om det er tappet ut informasjon. Vi kan ikke utelukke dette, men vi har ikke sett det”, opplyste PST-sjef Benedicte Bjørnland til TV 2.

PST meldte i 27. desember at de i november hadde startet etterforskning av nettverksangrep mot enkelte fylkesmannsembeter. PST opplyste til NRK at etterforskningen har blitt gjennomført i samarbeid med Nasjonal sikkerhetsmyndighet (NSM), og at de på nåværende tidspunkt ikke ønsker å kommentere saken ytterligere av hensyn til etterforskningen.

Hotellkjeden Mariott International meldte tidlig i desember at de hadde blitt utsatt for et datainnbrudd hvor informasjon om 500 millioner gjester hadde blitt stjålet. Selskapet melder om at for de fleste av kundene gjelder dette informasjon som navn, adresse, telefonnummer, epost-addresse, passnummer, fødselsdato, kjønn samt ankomst- og avreise-informasjon. Fra noen av gjestene er det også stjålet kredittkortinformasjon.

Iranske hackere har omgått 2-faktor-autentisering over SMS for flere tjenester som Yahoo Mail og Gmail ved hjelp av såkalt realtime-phishing. Metoden har de brukt til å kompromittere e-postkontoer tilhørende amerikanske offentlig ansatte, journalister osv. Denne typen angrep utnytter at brukeren selv må skrive inn den andre faktoren (engangskoden), og da gir koden fra seg til angriperne, som videre bruker den til å logge seg inn. Autentisering med vanlig kodebrikke via BankID er også sårbar på samme måten. Bruk av fysisk sikkerhetsnøkler fra f.eks. Yubikey er ikke sårbare for dette angrepet, siden det blir verifisert at den fysiske sikkerhetsnøkkelen er på den samme enheten som innloggingen blir gjort fra.

1. januar 2019 trådte en ny sikkerhetslov i kraft. Den nye loven skal gjøre Norge bedre i stand til å håndtere cyberangrep og digitale trusler. Nåværende sikkerhetslov legger stor vekt på beskyttelse av gradert informasjon. Den nye loven endrer ikke på det, men den vil også kunne omfatte informasjonssystemer, infrastruktur og objekter av sentral betydning for nasjonal sikkerhet.

I 2015 kom Kina og USA til enighet om at Kina skulle slutte med økonomisk cyber-spionasje. Nå hevder USA og allierte at Kina har brutt denne avtalen gjentatte ganger. FBI anklager Kina for å stå bak en bølge av hacking-aktivitet rettet mot mer enn 245 organisasjoner, inkludert NASA og US Navy Networks, og har i den forbindelse siktet to kinesere tilknyttet trusselaktøren APT10 for dette.

I oktober publiserte Bloomberg Businessweek en artikkel der de anklaget firmaet Supermicro for å ha satt inn avlyttingsbrikker på sine hovedkort. Kortene ble solgt til blant annet Apple og Amazon. Selskapet Nardello & Co ble senere rekruttert av Supermicro for å sjekke påstandene til Bloomberg. Etter å ha gått igjennom et utvalg av kort fra både produksjon og eldre versjoner, konkluderer nå Nardello & Co med at påstandene ikke stemmer. De fant ingen form for spionvare i programvare, designfiler eller at signaler ble sendt ut av kortene. Bloomberg står imidlertid på sitt og hevder at de har 17 hemmelige kilder som sier spionvaren eksisterer.

Amerikanske myndigheter har tiltalt to Iranere for data-angrep utført med utpressingsprogrammet (ransomware) SamSam. Gruppen som har brukt dette verktøyet har ikke benyttet seg av phishing-angrep, som de fleste andre. De har derimot utnyttet eksternt eksponerte og dårlig sikrede systemer hos kommuner, sykehus, universiteter osv. De har kryptert mange viktige systemer samtidig, og deretter forlangt løsepenger for å dekryptere systemene igjen. Det er tvilsomt om de to noen gang vil bli stilt for retten, siden de befinner seg i Iran.

 
>