Oppsummering av nyhetsbildet innen datasikkerhet for februar 2019

Vi håndterte 112 alvorlige saker relatert til Sikkerhetsovervåking i februar, ned fra 173 i januar. Også denne måneden var det et høyt antall maskiner som ble misbrukt til å utvinne kryptovaluta. Ellers er det mange infiseringer av diverse trojanere, der Glupteba har vært spesielt aktiv denne måneden.

Det var 305 bekreftede DDoS-angrep denne måneden, ned fra 487 i januar. 116 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.2 Gbps og varte typisk i 20 minutter. Det største angrepet observert i denne perioden var på 22.3 Gbps og varte i 11 minutter. Fire av TSOC sine bedriftskunder ble utsatt for angrep denne måneden.

Reuters meldte i februar at norske Visma hadde blitt hacket i forbindelse med Cloudhopper-kampanjen utført av den kinesiske aktøren APT10. Angrepet har antagelig blitt gjennomført for å hacke seg videre inn hos Vismas kunder for å stjele forretningshemmeligheter. Visma har gått ut offentlig med informasjonen for å gjøre folk oppmerksomme på denne kampanjen. De mener at angriperne var for kort tid i nettet deres til å ha rukket å hacke seg inn hos noen av kundene. HP, IBM og flere andre leverandører skal være rammet i den samme kampanjen. Etter offentliggjøringen mente analytikere fra Microsoft at angrepet mest sannsynlig kom fra en annen gruppe kjent som APT31. Begge grupperingene skal ha knytninger mot kinesiske myndigheter, men APT31 er mindre kjent.

PST la fram sin trusselvurdering for 2019. De legger stor vekt på fremmede staters nettverksoperasjoner mot Norge. Statlig styrte datanettverksoperasjoner representerer en vedvarende trussel mot norske verdier. Slike operasjoner er billige, effektive og i konstant utvikling, og angriperne finner stadig nye sårbarheter de kan utnytte. Russland og Kina trekkes fram som de mest aktive i forhold til disse operasjonene.

E-tjenesten la også fram sin årlige offentlige trusselvurdering “Fokus” og trekker fram fremmed etterretning som den største trusselen mot Norge. Fremmede statsmakter som Kina og Russland prøver å påvirke Norges politiske prosesser. I 2018 har nettverksoperasjoner for å innhente informasjon vært rettet mot norske styresmakter og kommersielle selskaper innenfor en rekke sektorer. E-tjenesten omtaler også gjentatte tilfeller av GPS-jamming i Finnmark utført av Russland.

USAs utenriksminister Mike Pompeo hintet i en pressekonferanse 11. februar at USA vil kunne avslutte sitt samarbeid med selskaper som er tungt investert i utstyr levert av Huawei. Pompeo sa at utstyr levert av Huawei plassert på samme sted som viktig utstyr levert av Amerikanske produsenter vil gjøre et samarbeid vanskelig. USA har nylig innført et forbud mot bruk av utstyr levert av Huawei i offentlige institusjoner, og hos telekom-selskaper som mottar statsstøtte.

Russiske myndigheter introduserte en ny lov i Desember 2018 som sier at ISPer i landet skal kunne håndtere en frakobling fra det globale Internettet uten at landets interne tjenester går ned. I lovforslaget står det også at ISPer skal kunne rute trafikk gjennom myndighetsstyrte overvåkningspunkter. En test for å sjekke at en frakobling vil fungere etter planen skal gjennomføres innen 1. april.

Brian Krebs har skrevet en lengre bloggpost om DNS-angrepene som har pågått de siste månedene. De fleste mener nå at det er Iran som står bak bølgen med angrep. Han identifiserer flere av landene som har blitt rammet, hovedsakelig i midtøsten. Det svenske firmaet Netnod Internet Exchange har også blitt hacket. Firmaet kontrollerer blant annet én av de 13 root-DNS tjenerne på nettet. New York Times skriver også om saken i dag.

Microsoft’s Threat Intelligence Center (MSTIC) og Digital Crimes Unit (DCU) melder om økt aktivitet fra russiske hacker-grupper mot Europa. I løpet av siste kvartal ble det observert innbrudd i 104 kontoer knyttet til blant annet journalister, tenketanker og andre organisasjoner i Europa. Mesteparten av disse angrepene hevdes å komme fra gruppen Strontium, også kjent som Fancy Bear.

Over 617 millioner kontoer, samlet fra 16 hackerangrep mot websider er nå til salgs på det mørke nettet. Disse kommer fra angrep på Dubsmash (162 mil), MyFitnessPal (151 mil), MyHeritage (92 mil), ShareThis, HauteLook , Animoto , EyeEm, 8fit, Whitepages, Fotolog, 500px, Armor Games, BookMate, CoffeeMeetsBagel, Artsy, og DataCamp. Flere av innbruddene er av nyere dato.

Mange aktører bruker Apples enterprise-sertifikater for å omgå App Store. Sertifikatene er egentlig ment brukt for apper internt i organisasjoner. Disse blir imidlertid brukt i stor stil for piratkopiering og spredning av apper som Apple ikke godtar i App Store. Via denne typen apper er det også mulig å bli utsatt for malware.