Oppsummering av nyhetsbildet innen datasikkerhet for juli 2019

En underleverandør til FSB, en føderal sikkerhetstjeneste i Russland, har blitt hacket av en gruppe kalt 0v1ru$. Hemmelige prosjekter som ble utviklet for etterretningstjenesten ble lekket til russisk media som et resultat av dette. Russiske BBC beskriver hendelsen som muligens "det største databruddet i historien til russiske etterretningstjenester." Prosjektene gikk blant annet ut på å deanonymisere brukere av tjenesten TOR, innsamling av data fra sosiale nettverk og hvordan den russiske delen av Internett kan isoleres fra resten av nettet.

Forskere har oppdaget et av de mest avanserte og fullverdige mobile overvåkningsverktøy som noen gang er oppdaget. Det har fått navnet Monokle, og er sett brukt helt siden mars 2016. Firmaet Lookout har sporet verktøyet tilbake til Special Technology Center, en russisk forsvarskontraktør som var involvert i påvirkning av den amerikanske valgkampen i 2016. Monokle kan kommunisere med bakmennene via vanlig Internett-trafikk, epost, SMS og telefonsamtaler. Det har også alle vanlig overvåkingsfunksjoner, som å ta opp lyd, video, hente ut info osv. Det er ukjent hvordan Monokle blir installert på ofrenes telefoner, men det har ikke blitt funnet i Googles app-butikk.

2. juli i fjor, fikk administrasjonssjefen hos Regjeringsadvokaten en epost som utga seg for å komme fra Fredrik Sejersted. Etter et år med etterforskning har nigeriansk politi pågrepet én mann, og tre andre er etterlyste basert på informasjon fra Oslo-politiet. De fire er siktet for såkalt direktørsvindel for drøyt 12,7 millioner norske kroner. Banden har stått bak 26 bedragerier i Norge og flere hundre tilfeller i Europa. Oslo-politiet avslørte svindlerne ved å kommunisere med dem og få dem til å legge igjen elektroniske spor.

Etter at informasjon om nærmere 380 000 kunder ble stjålet fra juni til september 2018, har British Airways blitt ilagt en bot på nærmere to milliarder kroner. Datatilsynet melder at også nordmenn kan være berørt, siden alle som har bestilt eller endret sine billettbestillinger på BAs nettsider i den aktuelle perioden kan være rammet.

Sikkerhetsforskere har avdekket 11 sårbarheter i VxWorks, et sanntidsoperativsystem utviklet av Wind River. Operativsystemet brukes i forskjellig hardware som industrielle kontrollsystemer, medisinsk utstyr, brannmurer osv. Sårbarhetene, som går under samlebetegnelsen Urgent11, kan føre til eksekvering av vilkårlig kode og det antas at rundt 200 millioner enheter er sårbare. Wind River har allerede gitt ut oppdateringer som forhindrer utnyttelse og anbefaler på det sterkeste å oppdatere til nyeste versjon. Til nå har man ikke funnet noe som tyder på at sårbarhetene har blitt utnyttet i angrep.

Nyhetsbyrået Reuters meldte at hackere stjal finansielle data om 5 millioner bulgarske innbyggere. Det tilsvarer ca. 70 prosent av den totale befolkningen. Angrepet, som ble utført i juni, ser ut til å være av russisk opphav og anses som Bulgarias mest alvorlige datainnbrudd noensinne. Til nå har hackerne lekket 11 GB med data, men hevder at de har stjålet 21 GB og at det vil komme mer senere. Totalt skal 110 databaser tilhørende de Bulgarske skattemyndighetene ha blitt kompromittert i angrepet. Den lekkede informasjonen inneholder blant annet personnummer, samt opplysninger om inntekter og helseforsikringer for innbyggerne. Senere i måneden ble en 20-åring, som tidligere har jobbet for myndighetene i forbindelse med datasikkerhet, arrestert for innbruddet. Den arresterte nekter for å ha noe med saken å gjøre.

Det er funnet flere sårbarheter i de trådløse Unifying-donglene fra Logitech. Sårbarhetene kan brukes til å avlytte tastetrykk og sende egne tastaturkommandoer til maskinene som har dongelen tilkoblet. Det kreves imidlertid at en er fysisk nær dongelen for å kunne utføre avlytting og angrep. Alle USB-donglene som er rammet har en oransje stjerne printet på siden. Logitech jobber med å patche deler av sårbarhetene for øyeblikket. Det anbefales å bruke kablet tastatur og mus til sensitivt arbeid.

En svakhet i Zoom-klienten for Mac lot nettsider aktivere kameraet og filme brukeren uten å be om samtykke. Svakheten utnytter en lokal webtjener som Zoom-applikasjonen installerer. Etter hvert viste det seg at webtjeneren også inneholdt alvorlige svakheter som kunne brukes til å ta over kontroll over PCen. Apple slapp etter hvert en oppdatering som fjernet web serveren på alle Mac-maskiner uten at brukeren merket noe i samarbeid med Zoom.

I juli håndterte vi 69 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 122 i juni. Den kraftige nedgangen skyldes ferieavvikling med mindre aktivitet.

Det var 204 bekreftede DDoS-angrep denne måneden, ned fra 307 i juni. 92 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.39 Gbps og varte typisk i 25 minutter. Det største angrepet observert i denne perioden var på 46.6 Gbps og varte i én time og 5 minutter. Tre av TSOCs bedriftskunder ble utsatt for angrep denne måneden.