Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2019

Demant, en av verdens største produsenter av høreapparater, ble i slutten av september rammet av et cyberangrep. Dansk presse har beskrevet angrepet som løsepengevirus, uten at selskapet har bekreftet dette. Selskapet anslår et inntektstap på over 800 millioner NOK. Det gjør angrepet til et av de dyreste som er kjent, inkludert cyberangrepet mot Norsk Hydro tidligere i år. Demant opplyste etter angrepet at de forventet at alle forretningskritiske systemer skulle være gjenopprettet i løpet av to til tre uker.

Pilz, en tysk gigant innen industriautomasjon med kontorer i over 70 land, har også blitt truffet hardt av et løsepengevirus. 13. oktober så de seg nødt til å ta ned alle servere, arbeidsstasjoner og hele nettverket for å unngå spredning og ytterligere skade. Deler av tjenestene deres, inkludert e-post, ble skrudd på igjen 21. oktober.

Senere i måneden ble også Pitney Bowes rammet av løsepengevirus. Selskapet hevdet at angrepet ikke berørte kundedata, men flere av deres tjenester ble utilgjengelige. Også flere sykehus i USA og Australia ble rammet av løsepengevirus og ble nødt til å avlyse operasjoner, fordi viktige systemer var rammet. Denne måneden var dessverre altså preget av en mengde utpressingsangrep, og det ser ikke ut til at denne trenden kommer til å endre seg med det første.

Crowdstrike har gitt ut en interessant rapport om en avansert og langvarig industrispionasje-operasjon mot produsenter og leverandører til flysektoren over hele verden. Operasjonen skal være iscenesatt av Kinas Ministry of State Security, og formålet skal ha vært å gjøre Kina i stand til å bygge sitt eget fly, C919, uten ekstern hjelp. Operasjonen skal ha pågått siden 2010.

17. oktober ble Dagbladets nettsider tatt ned i over tre timer etter at noen skaffet seg tilgang til nettsiden og publiserte uønsket innhold. Senere identifiserte politiet en antatt gjerningsperson i saken som viste seg å være en ungdom bosatt utenfor Oslo. Rune Skjold, seksjonssjef for finans- og spesialetterretning i Oslo politidistrikt sier i en uttalelse til NRK at politiet har gjort beslag av ungdommens datautstyr og vil etterforske saken videre. Politiet mistenker at den mistenkte skal ha fått tilgang til nettsidene ved at kritiske passord har havnet på avveie.

FireEye melder at hackere ofte bruker falske meldinger om oppdateringer for nettlesere for å infisere større bedrifter. Meldingene dukker opp som pop-ups i nettleseren og påstår at den må oppdateres. Dersom brukeren blir lurt til å laste ned den falske oppdateringen, installeres forskjellig malware. Dersom PCen står i en større bedrift, tar også angriperne noen ganger manuell kontroll for å installere ransomware på flere av maskinene i det interne nettverket ved hjelp av Windows-kommandoen PSExec.

En  gruppering har fått tilgang til sikkerhetsselskapet Avast sin interne infrastruktur gjennom en kompromittert ansatt-konto på deres VPN. Dette er andre gangen noen har kompromittert Avast for å manipulere CCleaner som et ledd i et forsyningskjedeangrep. Kina mistenkes for å stå bak begge angrepene. CCleaner er et forholdsvis mye brukt program, og blir brukt av angriperne som et brohode inn i forskjellige organisasjoner.

Microsoft opplyste at Gruppen Phosphorus, med antatt iransk tilknytning, i perioden august til september har gjort forsøk på å skaffe seg tilgang til private Microsoft sky-kontoer tilhørende journalister, valgmedarbeidere og eksil-iranere. Kontoene ble overtatt ved å få tak i flest mulig opplysninger om ofrene og resette passordene ved hjelp av passord-spørsmål. Målet med kampanjen er sannsynligvis politisk påvirkning.

NSA og GCHQ melder at den russiske APTen Turla (del av den russiske militære utenlandsetterretningen GRU) har tatt i bruk infrastrukturen til en annen gruppe, APT34/Oilrig/Crambus, som er knyttet til Iran. Oilrig sine C2 servere ser ut til å ha blitt kompromittert av Turla, og leverer nå deres malware til infiserte klienter. 35 land skal ha blitt rammet av operasjonen. Ved å bruke Iransk infrastruktur, kan Russland lettere benekte kjennskap til operasjonene.

Facebook har levert et søksmål mot det israelske firmaet NSO Group etter deres bruk av en null-dags sårbarhet i WhatsApp for å overvåke 1400 advokater, journalister, diplomater og politiske dissidenter på vegne av en nasjonalstat. Dagen etter at søksmålet ble levert, slettet Facebook kontoene til ansatte i det israelske selskapet.

I oktober håndterte vi 261 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 452 i september. I september påvirket en mengde PCer med programvare PremierOpinion statistikken. Denne måneden har denne aktiviteten avtatt, men til gjengjeld har en mengde installasjoner av den ondsinnede nettleser-utvidelsen “Lnkr Adware” tatt over.

Det var 306 bekreftede DDoS-angrep denne måneden, opp fra 202 i september. 134 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.67 Gbps og varte typisk i 20 minutter. Det største angrepet observert i denne perioden var på 45 Gbps og varte i 19 minutter. Fire av TSOCs bedriftskunder ble utsatt for angrep denne måneden.