Oppsummering av nyhetsbildet innen datasikkerhet for desember 2018

Vi håndterte 131 alvorlige saker relatert til Sikkerhetsovervåking i desember, litt opp fra 127 i november. Det er ingen spesielle hendelser som peker seg ut denne måneden.

Det var 464 bekreftede DDoS-angrep denne måneden, opp fra 400 i november. 178 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.11 Gbps og varte typisk i 21 minutter. Det største angrepet observert i denne perioden var på 41 Gbps og varte i 25 minutter. Tre av TSOC sine bedriftskunder ble utsatt for angrep denne måneden.

PST (Politiets sikkerhetstjeneste) opplyste 5. desember at de henlegger saken rundt datainnbruddet hos Helse Sør-Øst. Dette skjer etter at de har gjennomført en omfattende etterforskning som har vært koordinert med Nasjonal sikkerhetsmyndighet, Etterretningstjenesten og Kripos. Saken blir henlagt på grunn av manglende opplysninger om gjerningsperson. “Vår etterforskning har ikke kunnet avdekke om det er tappet ut informasjon. Vi kan ikke utelukke dette, men vi har ikke sett det”, opplyste PST-sjef Benedicte Bjørnland til TV 2.

PST meldte i 27. desember at de i november hadde startet etterforskning av nettverksangrep mot enkelte fylkesmannsembeter. PST opplyste til NRK at etterforskningen har blitt gjennomført i samarbeid med Nasjonal sikkerhetsmyndighet (NSM), og at de på nåværende tidspunkt ikke ønsker å kommentere saken ytterligere av hensyn til etterforskningen.

Hotellkjeden Mariott International meldte tidlig i desember at de hadde blitt utsatt for et datainnbrudd hvor informasjon om 500 millioner gjester hadde blitt stjålet. Selskapet melder om at for de fleste av kundene gjelder dette informasjon som navn, adresse, telefonnummer, epost-addresse, passnummer, fødselsdato, kjønn samt ankomst- og avreise-informasjon. Fra noen av gjestene er det også stjålet kredittkortinformasjon.

Iranske hackere har omgått 2-faktor-autentisering over SMS for flere tjenester som Yahoo Mail og Gmail ved hjelp av såkalt realtime-phishing. Metoden har de brukt til å kompromittere e-postkontoer tilhørende amerikanske offentlig ansatte, journalister osv. Denne typen angrep utnytter at brukeren selv må skrive inn den andre faktoren (engangskoden), og da gir koden fra seg til angriperne, som videre bruker den til å logge seg inn. Autentisering med vanlig kodebrikke via BankID er også sårbar på samme måten. Bruk av fysisk sikkerhetsnøkler fra f.eks. Yubikey er ikke sårbare for dette angrepet, siden det blir verifisert at den fysiske sikkerhetsnøkkelen er på den samme enheten som innloggingen blir gjort fra.

1. januar 2019 trådte en ny sikkerhetslov i kraft. Den nye loven skal gjøre Norge bedre i stand til å håndtere cyberangrep og digitale trusler. Nåværende sikkerhetslov legger stor vekt på beskyttelse av gradert informasjon. Den nye loven endrer ikke på det, men den vil også kunne omfatte informasjonssystemer, infrastruktur og objekter av sentral betydning for nasjonal sikkerhet.

I 2015 kom Kina og USA til enighet om at Kina skulle slutte med økonomisk cyber-spionasje. Nå hevder USA og allierte at Kina har brutt denne avtalen gjentatte ganger. FBI anklager Kina for å stå bak en bølge av hacking-aktivitet rettet mot mer enn 245 organisasjoner, inkludert NASA og US Navy Networks, og har i den forbindelse siktet to kinesere tilknyttet trusselaktøren APT10 for dette.

I oktober publiserte Bloomberg Businessweek en artikkel der de anklaget firmaet Supermicro for å ha satt inn avlyttingsbrikker på sine hovedkort. Kortene ble solgt til blant annet Apple og Amazon. Selskapet Nardello & Co ble senere rekruttert av Supermicro for å sjekke påstandene til Bloomberg. Etter å ha gått igjennom et utvalg av kort fra både produksjon og eldre versjoner, konkluderer nå Nardello & Co med at påstandene ikke stemmer. De fant ingen form for spionvare i programvare, designfiler eller at signaler ble sendt ut av kortene. Bloomberg står imidlertid på sitt og hevder at de har 17 hemmelige kilder som sier spionvaren eksisterer.

Amerikanske myndigheter har tiltalt to Iranere for data-angrep utført med utpressingsprogrammet (ransomware) SamSam. Gruppen som har brukt dette verktøyet har ikke benyttet seg av phishing-angrep, som de fleste andre. De har derimot utnyttet eksternt eksponerte og dårlig sikrede systemer hos kommuner, sykehus, universiteter osv. De har kryptert mange viktige systemer samtidig, og deretter forlangt løsepenger for å dekryptere systemene igjen. Det er tvilsomt om de to noen gang vil bli stilt for retten, siden de befinner seg i Iran.