Oppsummering av nyhetsbildet innen datasikkerhet for november 2020

En stor samling med hackede databaser ble lagt ut på et russisk hacker-forum i oktober. I samlingen finnes store mengder brukernavn, e-post adresser og passord i klartekst. Den stammer fra nettsiden Cit0Day, som ble tatt ned i midten av september av FBI, og inneholder opp mot 50 GB med data, eller 13 milliarder oppføringer. Passordlistene har siden spredd seg gjennom andre kanaler. Mye av innholdet er gammelt, men det finnes også data fra nylige datainnbrudd i samlingen.

Selskapet Folksam har delt personopplysninger om sine rundt 1 million kunder til teknologi-firmaer som Google, Microsoft, Adobe, Linkedin og Facebook for at disse skulle gi kundene tilpasset reklame. Det er blant annet delt opplysninger som personnummer, forsikringer og fagforeningsmedlemsskap. Opplysningene har blitt brukt til målrettet markedsføring. Forsikringsselskapet har nå avsluttet praksisen og har bedt mottakerne av dataene om å slette dem. 

Den norske rederinæringen bygger opp et internasjonalt senter for å møte den stadig økende cybertrusselen. Bak denne satsingen står Den Norske Krigsforsikring for Skib (DNK) og Norges Rederiforbund. Sammen danner de Norwegian Maritime Cyber Resilience Centre (NORMA Cyber) som blir operativt fra 1. januar 2021.

Ragnar Locker Team er en kriminell gjeng som driver med løsepengevirus. Disse har nå tatt i bruk annonser på Facebook for å skape blest om sine løsepengevirus-angrep. Annonsene de la ut var målrettet mot den italienske bedriften Campari Groups kunder. Etter at Ragnar Locker hadde hacket seg inn hos Campari, stjal de viktig data og krevde penger for å levere data tilbake og låse opp igjen bedriftens servere. Annonsene ble blir altså brukt for å skape oppmerksomhet rundt de lekkede dokumentene og tvinge Campari til å betale. Ragnar Locker betalte heller ikke for annonsene, siden de brukte en hacket Facebook-konto for å legge dem ut.

Den tredje internasjonale hacker-konkurransen kalt Tianfu Cup har blitt avholdt i Chengdu, Kina. Under konferansen ble det demonstrert nye fungerende angrep mot en rekke kjente produkter som Adobe Reader, iPhone 11, CentOS, Docker, Google Chrome, Windows 10, Firefox, Samsung Galaxy S20 og VMware ESXi. Konkurransen er et kinesisk tilsvar på Pwn2Own-konferansen, som kinesere ikke lengre får delta i.

Denne måneden ble en ny svakhet i Intel-CPUer kalt “Platypus” offentliggjort. Intel CPUer har en mulighet for å lese ut nøyaktig internt strømforbruk fra CPU og RAM, kalt RAPL (Intel Running Average Power Limit). I Linux har alle brukere av et system tilgang til disse dataene. Ved hjelp av svakheten kan brukere av systemet lese ut sensitive data fra minnet, for eksempel kryptonøkler og passord. I et simulert angrep lot det seg for eksempel gjøre å hente ut en RSA-krypteringsnøkkel fra Intel SGX (sikret del av CPU) på 100 minutter.

Sikkerhetsforskere har klart å bryte seg inn i en Tesla Model X i løpet av 90 sekunder. Innbruddet ble gjort ved å skrive en ny firmware til bilens nøkkel og krever at nøkkelen er innenfor blåtann-rekkevidde. Angriperne kan deretter hente ut adgangskoder til bilen fra nøkkelen. Svakheten skal delvis skyldes manglende sjekk av om kode har gyldig signatur. Tesla fikser feilen ved hjelp av ny programvare som sendes ut automatisk til bilene.

I november håndterte TSOC 179 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 146 i oktober. Fortsatt er det en del MacOS-maskiner som blir infisert av trojaneren Shlayer. En del Google Chrome-browsere har også vært infisert av ondsinnede utvidelser (extensions), gjerne av typen LNKR.

Det var 431 bekreftede DDoS-angrep denne måneden, ned fra 543 i oktober. 158 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 6 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 336 Gbps og varte i én time. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2020

Mandag 12. oktober 2020 ble Telenor rammet av et betydelig tjenestenektangrep. Angrepet varte i ca. to timer. Noen av tjenestene til Telenor var ustabile eller utilgjengelige i litt under én time. Angrepet rammet ikke Telenors kjernetjenester; alle telefonsamtaler, mobildata, sms og bredbåndsforbindelser fungerte som normalt. Kort tid etter angrepet ble det oppdaget et trusselbrev som informerte Telenor om at dette kun var en forsmak på hva som kunne komme, dersom Telenor ikke betalte rundt 2,5 millioner kroner i løsepenger til angriperne. De siste månedene har flere virksomheter over hele verden blitt utsatt for ransom-DDoS-angrep (rDDoS), der det blir stilt krav om å utbetale løsepenger for å ikke å fortsette angrepene. Målet for angrepet var Telenors autorative DNS-tjenere, var på litt over 400Gbps og bestod av reflektert UDP-trafikk. Angrepstrafikken ble sendt fra feilkonfigurerte servere over hele verden. Telenor betalte selvfølgelig ikke løsepengene og har så langt ikke sett noen nye angrep.

Stortinget varslet om et datainnbrudd i deres e-postsystemer den 24.august 2020. I oktober opplyste regjeringen at det var Russland som stod bak aktiviteten. Det er så langt ikke lagt fram noen beviser, noe som heller ikke er vanlig i slike tilfeller. Dette er første gang Norge går ut med en slik attribusjon etter et dataangrep. Den russiske ambassaden svarte med at beskyldningene var uakseptable og at dette var en alvorlig og bevisst provokasjon fra Norges side.

NKom har lagt fram risikovurdering for ekom-sektoren for 2020. NKom vurderer tilliten til ekomtjenester i Norge som høy. Da Norge stengte ned i mars på grunn av Covid-19, ble det tatt i bruk digitale løsninger. Norge regnes som en av de beste i europa på digitalisering. Elektronisk kommunikasjon er et viktig virkemiddel for etterretnings- og trusselaktivitet i og mot Norge. I årene fremover er det viktig å sikre at Norge har en underliggende kapasitet, funksjonalitet og samtrafikk på internett som sikrer oss også i ekstraordinære situasjoner.

Både US Cyber Command og Microsoft har jobbet med å forstyrre Trickbot-botnettet i oktober. Trickbot er et kjent botnett som brukes både til å stjele sensitiv informasjon, stjele penger, installere løsepengevirus osv. Tilgang til de infiserte maskinene i botnettet blir ofte solgt videre. US Cyber Command sendte falske konfigurasjonsfiler til infiserte maskiner, noe som førte til at de ikke klarte å kontakte sine kontroll-servere. Microsoft fikk en amerikansk domstol til å gi dem kontroll over flere servere som var i bruk av nettverket. Microsoft har også tatt direkte kontakt med ISPer over hele verden for å få dem til å ta ned kontroll-servere. Antall kontrollerte maskiner i botnettet gikk kraftig ned etter aksjonene, men har dessverre økt igjen siden.

Datasystemet til selskapet Vastaamo, et psykoterapisenter med 20 lokasjoner i Finland, ble utsatt for datainnbrudd i 2018 og 2019. Ledelsen i selskapet ble forsøkt presset til å betale 40 Bitcoin for at utpresseren ikke skulle publisere pasientjournalene. Etter at kravet ble avvist, begynte utpresseren å publisere journaler på det mørke nettet samt gjøre utpressing mot enkeltpasienter, blant dem er parlamentarikeren Eeva-Johanna Eloranta.

Det svenske firmaet Gunnebo ble utsatt for datainnbrudd i august. Totalt ble 19 gigabyte med informasjon stjålet. Blant innholdet var plantegninger av bygg, dokumentasjon av alarmsystemer og plasseringer av kamera og annet overvåkingsutstyr. Flere banker og Riksdagen er blant kundene som har fått sine data lekket.

Det amerikanske justisdepartementet kunngjorde i oktober en tiltale mot seks russiske GRU-offiserer som er siktet for å ha deltatt i en rekke operasjoner for å angripe andre lands infrastruktur, valg og andre handlinger designet for å fremme Russlands interesser. I tiltalen er blant annet følgende innbrudd nevnt: Regjering/infrastruktur i Ukraina, valg i frankrike, Notpetya og etterforskningen etter Novichok-angrepene i 2018.

I september ble en bedrift rammet av Ryuk ransomware og fikk nettverket kryptert på kun 29 timer. Angrepet begynte via en e-post som inneholdt en malware-loader kjent som Bazar. Etter å ha brukt en mengde metoder for å undersøke det interne nettverket, satte Ryuk-gruppen i gang med å ta over en domenekontroller og spre seg i nettverket. 29 timer etter initiell infeksjon, ble kryptering av infiserte klienter og servere startet. Gruppen forlangte deretter 600 Bitcoin i betaling. FBI anslår at Ryuk-gruppen har mottatt over 61 millioner dollar i løsepengeutbetalinger fram til og med februar i år.

Det amerikanske finansdepartementet har lagt ut et dokument som advarer mot at betaling av løsepenger etter angrep av løsepengevirus, kan føre til at en bryter amerikanske sanksjoner mot land eller firmaer. Ofte vet ikke firmaene som betaler hvor pengene ender opp. Dersom en kommer i skade for å bryte sanksjonene, kan dette føre til reaksjoner fra USA. Dette er altså enda et argument for ikke å betale løsepenger til kriminelle etter dataangrep.

I oktober håndterte TSOC 146 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 164 i august. Fortsatt er det mange klienter som er infisert av skadevaren Shlayer. En del maskiner blir også kompromittert og brukt til å utvinne kryptovaluta.

Det var 543 bekreftede DDoS-angrep denne måneden, opp fra 443 i september. 144  av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.27 Gbps og varte gjennomsnittlig i 21 minutter. Det største angrepet observert i denne perioden var på 411 Gbps og varte i omtrent to timer. Dette var angrepet mot Telenors DNS-tjenere som har blitt omtalt i media. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for september 2020

Mange kommunalt ansatte i 10 kommuner i Innlandet fikk tilsendt phishing-epost i september. Epostene har tilsynelatende kommet fra kolleger og har inneholdt skadelige vedlegg. Det viste seg snart at det var skadevaren Emotet som stod bak utsendelsen. Denne er svært effektiv, siden den henter ut reelle eposter fra innboksen til ofrene og sender disse inn til bakmennene. Deretter blir det automatisk generert nye eposter som sendes ut for å kompromittere nye ofre. Som oftest blir skadevaren sendt som en makro i et Office-dokument som mottakeren blir lurt til å kjøre.

Et mindre antall stortingsrepresentanter fikk epost-kontoene sine hos Stortinget kompromittert. NSM bistår Stortinget i kartlegging og innføring av mitigerende tiltak. PST sa til NRK at en av hypotesene deres er at en statlig aktør står bak IT-angrepet mot Stortinget. De sier at det er mulig det ikke bare er et digitalt angrep, men at det kan være en del av en etteretningsoperasjon mot Norge. Etter angrepet har NSM (NCSC) kommet med råd om å beskytte Exchange og Office 365 ved å slå av gamle måter å logge seg inn på som ikke støtter multifaktorautentisering (MFA), som ActiveSync. Angrepet sees ikke i sammenheng med angrepet mot kommuner i Innlandet omtalt i forrige avsnitt.

Siden midten av August har det pågått en global kampanje der en eller flere grupperinger truer finansinstitusjoner og ISPer med DDoS-angrep, dersom de ikke får betalt løsepenger. I trussel-epostene gir angriperne seg gjerne ut for å være den kjente APT-gruppen Fancy Bear, mest sannsynlig for å skremme ofrene. For å stoppe angrepene forlanges det løsepenger i form av 10-20 Bitcoins, altså rundt 1-2 millioner kroner. Tidligere har denne typen trusler ofte vært tomme, det har altså ikke kommet noen angrep i etterkant, men i denne omgangen har truslene typisk vært fulgt opp med store angrep. Også bedrifter i Norge har mottatt trusler. Vi anbefaler å ikke betale løsepenger for å prøve å unngå angrep. Sørg for å ha gode rutiner på plass i tilfelle trusler eller angrep.

Shlayer er en type skadevare (adware) som har relativt stor spredning på Mac-maskiner. Malwaren sprer seg ved å gi seg ut for å være en oppdatering til Flash-player. Normalt skal Apples Gatekeeper for OS X stoppe denne typen malware fra å bli installert, men nyere varianter av Shlayer slipper forbi. Nyheten sammenfaller godt med at vi på TSOC har har sett et oppsving i maskiner som har vært infisert av Shlayer i september.

Microsoft bekreftet at aktører fra Kina, Iran og Russland har forsøkt å hacke seg inn på e-postkontoer som tilhører personer som er knyttet til valgkampen i USA. De russiske aktørene retter seg mot Biden-kampanjen og er linket til gruppen Fancy Bear/APT28. Mesteparten av angrepene ble oppdaget og blokkert, ifølge Tom Burt, konserndirektør for kundesikkerhet og tillit hos Microsoft.

USA offentliggjorde at den kinesiske statsstøttede hackergruppen APT41 orkestrerte inntrengninger hos mer enn 100 selskaper over hele verden, alt fra programvareleverandører, videospillfirmaer, telekom-selskaper og mer. Selskapene befinner seg i land som USA, Australia, Brasil, Chile, Hong Kong, India, Indonesia, Japan, Malaysia, Pakistan, Singapore, Sør-Korea, Taiwan, Thailand og Vietnam. Alle de fem APT41-medlemmene er på frifot, og navnene deres er lagt til FBIs Cyber Most Wanted List.

Det første dødsfallet i forbindelse med angrep med løsepengevirus har blitt rapportert. En pasient ble omdirigert til et nærliggende sykehus etter at Düsseldorf universitetssykehus ble rammet av løsepengevirus på mer enn 30 servere. Pasienten, som trengte akutt behandling, døde etter omveien på mer en 30 km.

Apple og Google lanserte en oppdatert versjon av innebygget programvare i iOS og Android for smittesporing. Systemet blir helt innebygd i iOS, mens det i Android trengs en automatisk generert app i tillegg. iOS fikk støtte for systemet i versjon 13.7. Android fikk støtte i slutten av måneden. Systemet skal ikke identifisere enkelt-brukere overfor myndigheter, dersom ikke brukeren selv godkjenner dette. Norske myndigheter har nå besluttet å bruke systemet i den kommende nye versjonen av Smittestopp-appen som skal utvikles fra bunnen av.

I september håndterte TSOC 164 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 175 i august. Fortsatt er det mange klienter som er infisert av skadevarene LNKR og Shlayer.

Det var 443 bekreftede DDoS-angrep denne måneden, opp fra 295 i august. 96 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.80 Gbps og varte gjennomsnittlig i 21 minutter. Det største angrepet observert i denne perioden var på 71.9 Gbps og varte i 10 minutter. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for august 2020

Denne måneden bestemte EU seg for å innføre sanksjoner mot individer som var ansvarlige for eller involvert i forskjellige cyber-angrep. Dette gjelder angrepene mot OPCW (Organisation for the Prohibition of Chemical Weapons), samt NotPetya og Wannacry-angrepene. Personene og organisasjonene som rammes kommer fra Russland, Kina og Nord-Korea. Sanksjonene medfører reiseforbud og frysing av eiendeler.

I starten av august la Cyberkriminelle ut en liste med data fra hackede Pulse Secure VPN-servere. Listen inneholdt 900 passord, brukernavn, IP-adresser, SSH nøkler, admin-brukere og sesjonsnøkler i klartekst. Alle serverne i listen kjørte gammel programvare som ikke var beskyttet mot en svakhet som ble offentliggjort i 2019. Pulse Secure VPN servere brukes ofte for fjern-tilkobling av ansatte, dermed vil en angriper få full tilgang til organisasjonens nettverk dersom en VPN-server blir kompromittert.

Femte august sendte Norges Handelshøyskole (NHH) ut en melding om at de var rammet av et datainnbrudd, og ba alle ansatte om å bytte passord. Innbruddet skjedde gjennom en sårbar Pulse VPN-server som omtalt over. Skolen ble klar over innbruddet ved at det ble sendt ut en melding med informasjon om saken fra en ansatt sin epost-konto. Den ansatte hadde imidlertid blitt hacket og hadde ikke selv sendt noen epost. Brukernavn og passord til over 300 studenter og ansatte er på avveie.

22. august ble det avdekket av Sykehuspartner HF at en hittil ukjent trusselaktør hadde gjennomført et angrep mot enkelte tjenester som er eksponert mot internett. Tjenestene driftes av Sykehuset Innlandet HF. Det antas at trusselaktøren benyttet seg av SQL-injection for å få tilgang, og kan ha hentet ut personsensitiv informasjon fra disse tjenestene. Sykehuset Innlandet har satt i gang flere tiltak for å begrense skadeomfanget og har isolert og tatt ned de berørte tjenestene.

HTTPS-trafikk som bruker TLS versjon 1.3 og ESNI (Encrypted Server Name Indication) har siden slutten av juli blitt blokkert i Kinas brannmur mot resten av Internet. Den siste versjonen av TLS åpner for at domenet som nettleseren besøker blir kryptert. I noen tilfeller kan også det ukrypterte domenenavnet være noe helt annet enn det kryperte navnet. Dette kan oppnås ved å bruke en ny teknikk kalt Domain Hiding.

Etter Twitter-innbruddet i juli har flere selskaper blitt rammet av samme angrepsteknikk som ble benyttet mot selskapet, nemlig vanlige telefonsamtaler der intern informasjon blir lurt ut av ansatte. Selskapet ZeroFox melder at det tilsynelatende stort sett er yngre personer, uten tilknytning til organiserte kriminelle grupper, som står bak angrepene. Disse selger tilgangen de oppnår til større firmaer videre til høystbydende. Angriperne ringer i noen tilfeller til hundrevis av ansatte for å prøve å lure ut intern informasjon og få tilgang.

I august håndterte TSOC 175 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 33 i juli. Oppsvinget skyldtes blant annet mange Mac-maskiner som har vært infisert av skadevaren “Shlayer”, som normalt ikke er veldig alvorlig, men viser og bytter ut annonser på nettsider. Det har også vært en del Android-mobiler som har hatt malware/adware installert. En del PCer har vært infisert og har blitt brukt til å utvinne kryptovaluta. Mange nettlesere har også vært infisert med nettleserutvidelsen LNKR.

Det var 295 bekreftede DDoS-angrep denne måneden, opp fra 282 i juli. 65 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.59 Gbps og varte typisk i 17 minutter. Det største angrepet observert i denne perioden var på 65.9 Gbps og varte i 15 minutter. Fire av TSOCs bedriftskunder med DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2020

I samarbeid med flere europeiske land har norsk politi fått tilgang på meldinger sendt mellom kriminelle i et stort kryptert nettverk. Nettverket består av telefoner fra EncroChat, som er skreddersydd for å tilby sikker kommunikasjon. Telefonene er modifiserte Android-enheter hvor komponenter som for eksempel GPS og kamera er fjernet og som inneholder spesiell programvare for kryptert kommunikasjon. Telefonene er ofte brukt av kriminelle. Det var fransk politi som hacket telefonene og installert verktøyet som gjorde det mulig å avlese meldinger, og etterforskningen har pågått siden 2017. I Norge er det i stor grad snakk om narkotikakriminalitet som har blitt avdekket etter aksjonen. Flere omfattende etterforskninger har blitt satt i gang på bakgrunn av informasjonen.

Hackere har brukt profilerte personers Twitter-kontoer til å svindle til seg over $100.000 i Bitcoin. Elon Musk, Bill Gates, Jeff Bezos og Joe Biden var blant de som fikk kontoen sin misbrukt. Twitter sier hackerne brukte sosial manipulasjon til å lure til seg innloggingsdetaljer fra ansatte med tilgang på interne verktøy i et koordinert angrep. De personlige meldingene (Direct Messages) til flere av brukerne ble også lastet ned. Amerikanske myndigheter har nå startet etterforskning av Twitter, og de risikerer å måtte betale en bot for manglende sikkerhet. Mot slutten av måneden siktet FBI en 17-åring fra Florida for angrepet. Han ble sporet opp ved hjelp av uforsiktig bruk av IP-adresser og Bitcoin-betalinger.

Nasjonal Sikkerhetsmyndighet melder til NTB at de foreløpig ikke har noen planer om å se nærmere på videodelingsappen Tiktok, som nettopp har passert 2 milliarder nedlastinger. Selv om Tiktok har blitt en av verdens mest populære apper, stiger skepsisen rundt hvor personlige data havner, ettersom appen er eid av kinesiske Byte Dance som kan tvinges til å overlevere data til kinesiske myndigheter. India er et av landene som allerede har innført forbud mot appen, mens USA og flere EU land har startet etterforskning rundt den. Datatilsynet melder at de følger med på EUs personvernråd, som har nedsatt en egen arbeidsgruppe for å granske personvernet i appen.

Storbritannia, USA og Canada har sammen lagt frem en kunngjøring hvor de beskylder russisk etterretning for å forsøke å stjele informasjon om forskning på vaksiner fra flere akademiske institusjoner og legemiddelfirmaer. NCSC, et statlig senter for datasikkerhet i Storbritannia, sier de har indikasjoner på at det er hackergruppen APT 29, eller Cozy Bear, som står bak.

Den 23. juli gikk flere av Garmins tjenester ned etter at de ble rammet av ransomware-angrep som krypterte Garmin sitt interne nettverk og flere produksjonssystemer. Angrepet påvirket også flyGarmin som er en tjeneste som understøtter Garmins navigasjonsutstyr for fly. Dette har ført til at piloter ikke har kunnet lastet ned nyeste navigasjonsdatabaser, noe som er et krav for å kunne fly. Systemene kom opp igjen etter noen dager, angivelig etter at Garmin betalte flere millioner dollar i løsepenger til angriperne Evil Corp, som utførte angrepet ved hjelp av WastedLocker.

Datatilsynet har vedtatt et overtredelsesgebyr på 500 000 kroner til Rælingen kommune.

Helseopplysninger om barn på tilrettelagt avdeling ble behandlet i den digitale Showbie og det viste seg at applikasjonen ikke hadde et sikkerhetsnivå som var tilpasset risikoen. Applikasjonen ble benyttet til å kommunisere helserelaterte personopplysninger mellom skole og hjem, og omfatter 15 elever. Mangelfull sikkerhet ved innlogging har blant annet gjort det mulig å få tilgang til kontoene til andre elever i gruppa.

Etter at Trump ga CIA større handlingsrom til å bedrive cyberoperasjoner utenlands i 2018 har CIA utført minst et dusin operasjoner over hele verden. Reportere i Yahoo mener at CIA kan knyttes til flere hack-og-dump hendelser fra 2019. APT34, en iransk hackergruppe, og det russiske etterretningsbyrået FSB skal være blant de utsatte.

I juli håndterte TSOC 33 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 69 i juni.

Det var 282 bekreftede DDoS-angrep denne måneden, ned fra 428 i juni. 76 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.1 Gbps og varte typisk i 21 minutter. Det største angrepet observert i denne perioden var på 5.7 Gbps og varte i én time. To av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2020

Det norske verftet Vard ble rammet av ransomware natt til andre pinsedag. Det norske verftets italienske morselskap, Fincantieri, har bekreftet til Bloomberg at det har skjedd et hackerangrep på det norske selskapet, som blant annet har E-tjenesten på kundelisten.

En av verdens største bilprodusenter Honda, ble også rammet av ransomware, i dette tilfellet varianten "Snake". Dette førte til en nesten komplett stans av Hondas globale operasjoner. Honda informerte på Twitter at både kundeservice og finansielle tjenester var nede på grunn av angrepet. Mye av produksjonen gikk ned mandag 8. juni, men konsernet var nesten tilbake til normal produksjon mot slutten av uka.

En ransomware-gruppe kalt REvil har annonsert auksjon av data fra et offer av gruppen. Auksjonen er etter sigende resultat av at offeret ikke var villige til å betale gruppen. Dataene som auksjoneres bort skal tilhøre et kanadisk selskap, og det er snakk om over 22000 filer og 3 databaser som er lagt ut for salg. Auksjon av eksfiltrerte data er ventet å bli en ny trend blant grupperinger som driver med utpressing av firmaer ved hjelp av ransomware.

Twitter slettet i juni 32 000 kontoer som de har linket til propaganda fra Kina, Russland og Tyrkia. Kina stod bak mesteparten av de falske kontoene. Twitter skriver at disse 32 000 kontoene har blitt "boostet" av over 150 000 andre bot-kontoer i et forsøk på å spre feilinformasjonen mest mulig.

19 sårbarheter er avdekket i et utbredt bibliotek brukt i IoT-enheter. Biblioteket implementerer en lettvekts TCP/IP-stack. Sårbarhetene går under navnet Ripple20, og fire av sårbarhetene har blitt tildelt særlig høy CVSSv3-score av Homeland Security: CVE-2020-11896, -11897, -11898 og -11899. Flere av sårbarhetene kan potensielt brukes til å ta kontroll over sårbare enheter via nettverket. Blant rammet utstyr kan det være smart-hjem enheter, utstyr for kontroll av kraft og industri, helsesystemer, printere, routere osv. Foreløpig har US CERT listet opp 46 leverandører som er rammet av svakhetene.

FHI stoppet 15. juni midlertidig å samle data fra appen Smittestopp og slettet data allerede samlet inn, etter at de fikk advarsel og forbud fra Datatilsynet. Tilsynet ser på innsamlingen av data som mer inngripende enn det som er nødvendig. FHI har fram til 23. juli på å gjøre nødvendige endringer i hvordan de samler inn data.

Første juni ble Universitetet i California angrepet av Netwalker-gjengen, som er kjent for løsepengevirus-angrep mot flere universiteter. Angrepet førte til at universitetet i California betalte 1,14 millioner dollar for å dekryptere filene sine. Dette ble avslørt av BBC, som fikk tilgang til kommunikasjonen mellom utpresserne og universitetet.

Siste uken i juni ble det offentliggjort detaljer rundt to nye rekordstore DDoS-angrep. Det ene angrepet ble fanget opp av AWS Shield og var på 2.3Tbps. Akamai registrerte også et angrep rettet mot en europeisk bank på 809 millioner pakker per sekund. Det er fortsatt lett å finne tjenester for å forsterke angrepene og botnettene som brukes for å generere dem øker også i størrelse.

En ny APT-kampanje stjeler informasjon fra utenlandske selskaper som operer i Kina. Malwaren Goldenspy ble oppdaget ved at en britisk bedrift sin betalingsløsning for en kinesisk bank skal ha blitt kompromittert. Selskapet Trustwave, som oppdaget APT-kampanjen, sier at de som står bak ikke er ute etter finansiell vekst men heller målrettet informasjonsinnhenting. Trustwave fant også ut at bakdøren angriperne brukte, var integrert i den kinesiske skatteapplikasjonen de var nødt til å bruke, for å gjøre handel med Kina.

Sign in With Apple er en funksjon som lar brukere logge på tredjepartstjenester ved hjelp av en AppleID. En bug i funksjonen gjorde at man kunne hente ut en brukers e-postadresse og deretter bruke denne for å oppnå gyldig login-respons fra Apple sine servere. Dette kunne lede til at en angriper kunne få full kontroll over en konto. Apple ble informert om feilen og har utbedret problemet. Apple slapp også iOS versjon 13.5.1 i juni for å stoppe jailbreak-exploiten kalt “Unc0ver”.

I juni håndterte TSOC 69 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 44 i mai.

Det var 428 bekreftede DDoS-angrep denne måneden, ned fra 970 i mai. 65 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.82 Gbps og varte typisk i 24 minutter. Det største angrepet observert i denne perioden var på 49 Gbps og varte i 8 minutter. Seks av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2020

Norske Norfund ble svindlet for 100 millioner kroner. Angriperne fikk først kontroll over kontoer eid av Norfund og brukte disse til å overvåke kommunikasjonen med eksterne lånemottakere. Det ble satt opp egne domener for å gjøre svindelen vanskeligere å oppdage. Ved å manipulere og forfalske informasjon mellom Norfund og lånemottakere, klarte svindlerne å få overført 100 millioner til deres konto. Det tok rundt seks uker fra svindelen ble gjennomført før den ble oppdaget. Politiet mener det er lite sannsynlig at de kommer til å få pengene tilbake.

Helseselskapet Fresenius, som har over 300 000 ansatte i over 100 land og som er Europas største driver av private sykehus, har blitt rammet av ransomwaren Snake. Selskapet klarte å fortsette operativ drift, men uttalte at ransomwaren påvirket alle deler av selskapet verden over. Dette angrepet er en del av en større bølge angrep utført av Snake i det siste.

Sikkerhetsforskere fra Check Point har funnet en ny variant av malwaren Cerberus som har blitt brukt i et angrep mot et stort multinasjonalt selskap. Malwaren ble spredd innad i selskapet via Mobile Device Manager (MDM) serveren og har infisert over 75% av enhetene i selskapet. Når den ondsinnede programvaren er installert kan den samle store mengder sensitive data fra bedriftens mobiler og sende disse til en server kontrollert av angriperne.

SaltStack patchet denne måneden en kritisk svakhet i Salt. Salt er et open-source remote-management-rammeverk som er mye brukt i datasentre og cloud-systemer. Sårbarhetene gjør at angripere kan forbigå all autentisering for så å kjøre vilkårlig kode på systemet. NSM NCSC opplyste at de var kjent med aktiv utnyttelse av sårbarhetene Norge. Svakhetene ble fikset i Salt 2019.2.4 og 3000.2.

Apple og Google samarbeider om å utvikle et felles system (API) som myndigheter kan benytte seg av for å spore smitte mellom nærkontakter. Systemet skal kun bruke blåtann til sporing og skal være anonymt, helt til smitte eventuelt påvises hos en person. Nå kommer det fram at apper som vil bruke det nye systemet ikke kan bruke nøyaktig posisjonssporing samtidig. Dette er for å beskytte personvernet til brukerne. En av appene som samler inn begge disse typene data i dag er norske Smittestopp.

NRK publiserte en serie artikler om hvordan apper samler inn posisjonsdata uten at brukeren er klar over det og selger dataene til tredjeparter. NRK kunne for eksempel kjøpe detaljerte posisjonsdata til tusenvis av mobiltelefoner i Norge. Ved hjelp av de detaljerte dataene kunne de for eksempel identifisere og følge bevegelsene til politikere og forsvarspersonell. For å motvirke dette bør en kun bruke apper fra kjente leverandører, avinstaller apper en ikke bruker og ikke gi appene tilgang til posisjonen til mobilen uten at det er strengt nødvendig for tjenesten som appen tilbyr.

Grupperingen bak ransomwaren "Ragnar Locker" benytter seg av en ny metode for å kunne kjøre ransomware uhindret. De laster ned og installerer virtuelle maskiner på kompromitterte systemer, kjører ransomware i den virtuelle maskinen for å deretter å kryptere alle diskene som er tilkoblet systemet. Prosesser som kjører i virtuelle-maskiner er utenfor rekkevidde for sikkerhetsprogramvare på host-systemet, så ransomwareprosessen kan kjøre helt uhindret.

Zerodium, som driver med kjøpe og salg av svakheter for flere plattformer, sier at de midlertidig vil slutte å ta imot flere typer svakheter for iOS siden de nå har nok av dem. Spesifikt vil de slutte å ta imot svakheter som går på rettighetseskalering i iOS, fjerneksekvering i nettleseren Safari, og verktøy for å bryte ut av virtuelle miljøer. I mai ble det også offentliggjort en ny jailbreak-svakhet for iOS som gjør det mulig for brukeren eller en angriper å ta full kontroll over telefonen. Denne svakheten fungerte mot alle versjoner av iOS.

En nylig avdekket Android spionvare, forkledd bl.a. som en kryptovaluta-lommebok samt en rekke andre tilsynelatende legitime apper, har ligget uoppdaget på Google Play i fire år. Skadevaren, kalt Mandrake, lot operatøren se alt som brukeren foretar seg på den infiserte enheten. Bitdefender opplyser at personene bak malwaren kommer fra Russia eller Kazakhstan. Operatørene har trolig brukt sosial manipulasjon for å få ofrene til å installere appene.

Videokonferanse firmaet Zoom har vært mye i vinden i det siste med tanke på sikkerheten i applikasjonen og personvern. De har nå kjøpt opp det lille sikkerhetsfirmaet Keybase, som spesialiserer seg på kryptering. Planen er nå å forbedre sikkerhetsarkitekturen ved å implementere ende-til-ende kryptering. I stedet for at Zooms servere skal håndtere krypteringen, vil det nå ligge hos klienten som vil bestemme hvem som kan motta nøkkelen.

I mai håndterte TSOC 44 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 51 i april.

Det var 970 bekreftede DDoS-angrep denne måneden, opp fra 563 i april. 136 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.33 Gbps og varte typisk i 25 minutter. Det største angrepet observert i denne perioden var på 54.5 Gbps og varte i 12 minutter. Fem av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for april 2020

Personvernet og sikkerheten i Zoom, en tjeneste for videosamtaler, har vekket bekymring og har vært diskutert mye i april. Problemene har blant annet gått på manglende ende-til-ende kryptering, deling av data med Facebook, svak kryptering av samtalene, dårlige standardinnstillinger for møtesikkerhet, svak personvernerklæring, videresending av data via servere i Kina og mulighet for møteverter til i noen grad å overvåke møtedeltakere. Zoom har hatt en voldsom vekst i forbindelse med Corona-krisen og de innrømmer selv at de ikke har klart å følge med sikkerhetsmessig. I starten av april kunngjorde de derfor en 90-dagers plan for å fikse sikkerheten og personvernet i tjenesten. De leide også inn Alex Stamos, som har vært sikkerhetssjef hos Facebook, for å se på problemene.

Teknologigigantene Apple og Google samarbeider om å tilby teknologi til kontaktsporing til myndigheter og folkehelseorganisasjoner. Begge selskapene vil gjøre endringer i sine mobiloperativsystemer for bedre å støtte funksjonaliteten. Det blir lagt stor vekt på personvern under utviklingen, og data sendes ikke inn sentralt før en person blir bekreftet smittet. Systemet med tilhørende apper skal være klart i løpet av mai. Posisjonen til brukeren skal ikke logges, kun nærhet til andre brukere av systemet.

Microsoft har rullet ut en oppdatering til Microsoft Teams som fikser en svakhet som gjorde det mulig å ta kontroll over en Microsoft-konto ved å dele et bilde fra et “teams.microsoft.com”-domene under angripers kontroll. Svakheten i Teams, sammen med en subdomain-takover av et dårlig sikret subdomene under “teams.microsoft.com”, gjorde det mulig å få tilsendt autentiseringsheadere som kunne gjenbrukes. Microsoft fikset svakheten ved å legge begrensinger i Teams-applikasjonen, samt fikse de dårlig sikrede domenene under “teams.microsoft.com”.

Gjennom de siste to månedene med endrede rutiner i forbindelse med Covid-19, har antall bruteforce-angrep mot MS Remote Desktop mer enn 6-doblet seg. Dmitry Galov i Kaspersky Labs uttaler at den globale nedstengingen av samfunnet og den økte aktiviteten på hjemmekontor har vist et markant fokusskifte der dårlig sikrede RDP-maskiner er en populær angrepsvektor.
Han uttaler videre at det er forholdsvis enkelt å sikre seg mot dette ved å bruke sterkere passord og multifaktor-autentisering. RDP-tjenester bør også legges bak VPN dersom de brukes av bedrifter.

1. april ble trafikken til 200 av verdens største CDN-er (Content Delivery Networks) og skyleverandører omdirigert gjennom det russiske selskapet Rostelecom. Hendelsen påvirket mer enn 8800 trafikk-ruter fra 200 forskjellige nettverk og varte i omtrent 1 time. Hijackingen ble utført med en såkalt BGP-hijack, som utnytter Border Gateway Protocol som er en viktig del av dagens Internet. Hvem som helst kan lyve ved å si at de har f. eks. Google sine servere i nettverket sitt, og all trafikk vil gå dit i god tro, og kan dermed avlyttes og manipuleres. Rostelecom som utførte angrepet er en kjent aktør innenfor BGP-hijacking sammen med China Telecom.

Mot slutten av måneden sendte Cognizant ut eposter til sine kunder der de innrømmet at de var utsatt for et data-angrep av Maze ransomware. Angrepet førte til forstyrrelser i tjenestene de gir til flere av kundene sine. Cognizant delte også detaljer rundt angrepet (IoC) til kundene sine, slik at de kunne sjekke egne systemer for tegn på innbrudd.

Gruppen bak Windows ransomware-varianten DoppelPaymer har lekket en rekke konfidensielle dokumenter etter at infiserte ofre nektet å betale løsepengesummen. Blant de rammede er Boeing, Lockheed Martin og SpaceX. Dokumentene ble stjålet fra Visser Precision, et entreprenørfirma som i stor grad utfører oppdrag for kunder innen luftfart-, romfart- og bilindustrien. Dette er ikke første gang DoppelPaymer har lekket informasjon på grunn av manglende betaling.

En svakhet i MIME-biblioteket i iOS har ført til at angripere kan kjøre tilfeldig kode ved å sende spesielt utformede e-poster til iOS-enheter. Svakheten kan trigges selv før hele e-posten er nedlastet fra mailserveren. For iOS brukeren er det veldig vanskelig å oppdage at man har blitt kompromittert. For iOS 12-brukere kan e-post-applikasjonen krasje eller bli tregere. For iOS 13 merker man kun en svak treghet i e-post-applikasjonen. Zec-ops som har oppdaget svakheten sier at den fungerer på alle versjoner av iOS siden 2012. Svakheten er fikset i siste beta-utgave av iOS, versjon 13.5. Apple meldte dagen etterpå at de ikke kunne se at den hadde blitt utnyttet i reelle angrep, og at den var vanskelig å utnytte i praksis.

En kjede på tre svakheter gjorde det mulig å lure Apple-enheter til å tro at en ondsinnet nettside faktisk var en nettside man kunne stole på, for så å kjøre JavaScript-kode som fikk tilgang til kameraet til offeret uten å måtte spørre om tilgang. Apple tildelte sikkerhetsforskeren 75.000 dollar for å ha funnet svakheten i kategorien "Network Attack without User Interaction: Zero-Click Unauthorized Access to Sensitive Data". Apple fikset svakhetene i Safari 13.1.

I april håndterte TSOC 51 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 80 i mars. Det lave antall hendelser kan skyldes senket aktivitet generelt grunnet Corona-krisen.

Det var 563 bekreftede DDoS-angrep denne måneden, såvidt ned fra 569 i mars. 120 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3 Gbps og varte typisk i 38 minutter. Det største angrepet observert i denne perioden var på 198 Gbps og varte i 24 minutter. Tre av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2020

Detaljer om en kritisk svakhet i SMBv3 (Microsoft Server Message Block) protokollen ble lekket på Internet like i forkant av denne månedens sikkerhetsoppdatering fra Microsoft. Svakheten, med betegnelsen CVE-2020-0796, ble ikke utbedret av mars-oppdateringen. Det blir antatt at svakheten kan utnyttes til å lage automatisk spredende ormer. Microsoft slapp heldigvis en haste-patch for svakheten i løpet av få dager og de fleste bør nå ha installert den.

Den 23. mars ble det meldt om en kritisk zero-day svakhet i Windows og at den allerede ble utnyttet av avanserte angripere. Svakheten ligger i Adobe Type Manager Library, en komponent i Windows. Hackere kan ta kontroll over systemet ved å lure en bruker til å åpne et spesielt utformet dokument. Svakheten er mest alvorlig for Windows 7, siden Windows 10 allerede har mitigeringer for svakheten. Microsoft har offentliggjort råd for å delvis uskadeliggjøre problemet, og forventer å slippe en fiks i sin månedlige oppdatering for april.

Reuters melder at stats-sponsede hackere har prøvd å få tilgang til interne kontoer hos WHO, World Health Organisation. Angriperne satte opp et falskt nettsted som ga seg ut for å være innloggings-siden til organisasjonen. WHO kommenterte etter saken at de hadde sett en økning av angrep mot organisasjonen i det siste. Flere mener at det er grupperingen Dark Hotel som står bak aksjonen mot WHO, og også flere andre operasjoner mot andre organisasjoner i helsesektoren i det siste.

FireEye rapporterer at den kinesiske trusselaktøren APT41 har vært svært aktiv i løpet av årets første kvartal. Det er observert forsøk på innbrudd hos 75 av firmaets kunder. Angrepene skjer blant annet ved hjelp av svakheter i Citrix Netscaler, Cisco routere og Zoho ManageEngine. Disse svakhetene er alle relativt ferske. Angrepene fordeler seg over en rekke selskaper og sektorer, så det er uklart hva som er motivet.

I mars ble det avdekket et datainnbrudd i de administrative IT-systemene til den europeiske samarbeidsorganisasjonen for systemansvarlige nettselskaper, ENTSO-E. Statnett, som er medlem i ENTSO-E, arbeider med å få oversikt over hendelsen og stanse eventuell spredning. Angrepet skal ikke ha berørt kritiske kontrollsystemer.

Google avslørte at en hackergruppe har brukt ikke mindre enn fem 0-dagssvakheter i en phishing- og spionasje-kampanje mot Nord-Korea i fjor. Kaspersky skal ha knyttet aktiviteten til en gruppe kjent som DarkHotel, som har vist interesse for Nord-Korea tidligere. Flere mener at Sør-Korea skal stå bak gruppen og operasjonen.

Et amerikansk selskap opplevde en sjelden form for BadUSB-angrep, altså et angrep med en spesielt utformet USB-enhet forkledd som en minnepinne. Selskapet mottok et brev i posten med et forfalsket gavekort fra BestBuy og en minnepinne som angivelig skulle inneholde en liste over varer de kunne benytte gavekortet på. Da USB-enheten ble plugget inn i en isolert maskin oppdaget de at den fungerte som et tastatur og emulerte diverse tastetrykk for å laste ned skadevare på enheten. I etterkant har det kommet fram at flere bedrifter har blitt angrepet på denne måten.

Et vannhullsangrep, oppdaget 10 januar 2020, utnyttet flere svakheter i forskjellige versjoner av iOS til å fjerninstallere overvåkningsrammeverket LightSpy. Lenken til vannhullet virker hovedsakelig å være spredt ved hjelp av ulike sosiale plattformer og skal ha vært rettet mot innbyggere i Hong Kong. Det spekuleres om aksjonen kan knyttes til APT-gruppen Spring Dragon/Lotus Blossom/Billbug.

Corona-krisen utnyttes i phishing-kampanjer, hvor mottakere lures til å åpne falske vedlegg som inneholder informasjon om Covid-19. I tillegg har det blitt oppdaget at en rekke aktører og malware også gjemmer seg bak påstått informasjon om viruset, inkludert Trickbot, Lokibot og Agent Tesla. Trusselaktører utnytter også situasjonen ved å bruke merkevarer som assosieres med U.S. Center for Disease Control and Prevention (CDC) og Verdens Helse Organisasjon (WHO), i tillegg til lands-spesifikke helseorganisasjoner. I Norge har det så langt ikke vært observert noen økning i data-angrep og det er heller ikke mange kampanjer som bruker Corona-tematikk.

I denne månedens Android-patcher fikset Google et kritisk sikkerhetshull i Bluetooth-systemet. Sikkerhetshullet gjorde det mulig for en angriper å ta kontroll over mobilen uten noen brukerinteraksjon. Dette åpnet også for selvspredende Bluetooth-ormer. For å utnytte svakheten må mobilen søke aktivt etter andre Bluetooth-enheter. Mobilen kan ikke tas over dersom den kjører Android versjon 10 og nyere, men mobilen kan fortsatt krasje.

Europol har i samarbeid med Spansk og Rumensk politi arrestert 26 personer i forbindelse med SIM-swap svindel. Banden har stjålet €3.5 million fra ofrenes bankkontoer ved å få tilgang til mobilabonnementer og deretter stjele engangskoder tilsendt via SMS.

I mars håndterte vi 80 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 145 i februar. Det lave antall hendelser kan skyldes senket aktivitet generelt grunnet Corona-krisen.

Det var 569 bekreftede DDoS-angrep denne måneden, opp fra 401 i januar. 155 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.70 Gbps og varte typisk i 23 minutter. Det største angrepet observert i denne perioden var på 113 Gbps og varte i 13 minutter. Fem av TSOCs bedriftskunder ble utsatt for angrep denne måneden. Oppgangen i angrep er særlig mot privat-brukere. Denne økningen kan skyldes en økning i dataspillrelaterte angrep. Spillaktiviteten har økt, siden flere nå er hjemme og innendørs

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2020

Ransomware-varianten som kalles DoppelPaymer eksfiltrerer (sender ut en kopi av) offerets data før de krypteres. De truer så med å selge eller publisere dataene som er blitt eksfiltrert hvis offeret ikke betaler. Gruppen som står bak skadevaren skal ha sagt at de tidligere har solgt data fra kompromitterte systemer når offeret ikke har betalt.

FBI opplyser at de etterforsker over 1000 tilfeller av kinesisk industrispionasje mot amerikanske bedrifter og institusjoner. De kom med opplysningene på en konferanse om kinesisk industrispionasje mot amerikanske teknologibedrifter. Bedriftene blir advart mot spionasje og får råd om hvordan de kan hindre og oppdage virksomheten. Myndighetene sier at aksjonene er beordret direkte fra myndighetene i Kina. Senere i måneden sikter USA kinesiske Huawei for å ha forsøkt å tilegne seg forretningshemmeligheter fra seks ulike amerikanske selskaper. Den nye siktelsen anklager Huawei for å tilby bonuser til ansatte for å stjele forretningshemmeligheter fra konkurrenter.

I februar ble det avslørt 12 svakheter i Bluetooth Low Energy-enheter fra syv forskjellige leverandører. Svakhetene kan bl.a. tillate en angriper å krasje, fryse, re-starte eller få tilgang til å lese/skrive funksjoner i enheten. Enheter som er verifisert til å være sårbare er bl.a. Fitbit Inspire smartwatch, Eve Energy smart plug, August Smart Lock eGee Touch TSA Lock og CubiTag item tracking tag.

Sikkerhetsfirmaet Clearsky har publisert en rapport som omhandler operasjoner utført av den Iranske aktøren kjent som Fox Kitten. Ett av funnene i rapporten er at aktøren prioriterer å utnytte kjente svakheter i forskjellige VPN- og RDP (Remote Desktop)-løsninger så fort de blir kjent. Dette gjøres for å tilegne seg og beholde tilgang til målenes infrastruktur over tid. Svakheter som er identifisert brukt av aktøren ligger blant annet i Pulse Secure, Fortinet FortiOS og Palo Alto Networks VPN.

Amerikanske myndigheter har gått ut med beskyldninger mot den russiske militære etterretningstjenesten GRU etter lang tids etterforskning. I uttalelsen beskyldes GRU for aktivt å forstyrre georgiske private og statlige interesser med angrep som har pågått over lengre tid. Russlands GRU er aktive i flere av de gamle sovjetstatene, og har blitt knyttet til aktivitet fra APT-grupperingen Sandworm. Sandworm har blitt identifisert som hovedaktøren bak bl.a. NotPetya-ormen og Olympic Destroyer skadevaren. NotPetya-ormen ble designet for å ta ned og forstyrre Ukrainske interesser, og den spredte seg globalt på svært kort tid og tok ned nettverket til store selskaper, blant annet Maersk. Olympic Destroyer skapte store forstyrrelser under OL i Pyongyang.

Microsoft har sluppet flere kritiske oppdateringer til Windows og andre produkter i februar. Totalt ga Microsoft ut hele 99 oppdateringer! Av de mest kritiske nevnes en zero-day svakhet i Internet Explorer som kan utnyttes ved hjelp av en spesiallaget nettside (CVE-2020-0674). Denne svakheten ble offentliggjort i januar og har allerede vært aktivt utnyttet i målrettede angrep.

Et system driftet av Defense Information Systems Agency (DISA), som er en del av Department of Defence, har sendt ut varsler til en rekke personer om at personlig informasjon er på avveie. DISA har blant annet ansvaret for sikker kommunikasjon for presidenten, secret service, deler av militæret m.m. DISA har rundt 8000 militære og sivile ansatte, men behandler også data fra flere kontraktører. Det spekuleres i at en nasjonalstat står bak innbruddet.

En nylig avdekket Emotet-variant har muligheten til å spre seg til usikre WiFi-nettverk som ligger i nærheten til en infisert enhet. Den allerede etablerte og utbredte Emotet-skadevaren, har siden tilbakekomsten i september brukt flere nye taktikker for å stjele innloggingsdetaljer og spre trojaneren. Den nye varianten ble oppdaget 23. januar, men selve programfilen har et tidsstempel fra 4/16/2018. Forskere anbefaler å blokkere denne nye Emotet-teknikken ved bruk av sterke passord for å sikre trådløse nettverk slik at de ikke enkelt kan gjettes av skadevaren.

Det rapporteres at en ransomware-type, som blant annet kalles EKANS, har en liste med prosesser den vil forsøke å stoppe. På denne listen står blant annet flere komponenter som brukes i forbindelse med ulike industrielle kontrollsystemer. Dette er den første kjente ransomware-varianten som er delvis rettet mot kontrollsystemer.

En gruppe forskere hos Check Point har avdekket muligheten for å misbruke en sårbar lyspære for å angripe Philips Hue Bridge. Via enda en sårbarhet i Hue Bridge kan så resten av nettverket angripes. Informasjonen ble gitt til leverandøren for 3 måneder siden, og en oppdatering ble utgitt i januar 2020. Sårbarhetene skal allerede ha blitt automatisk patchet på utstyr som er i bruk.

I februar håndterte vi 145 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 204 i januar. Denne måneden har det vært en økning i antall maskiner som har vært infisert av trojaneren Glupteba.

Det var 401 bekreftede DDoS-angrep denne måneden, ned fra 438 i januar. 137 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.47 Gbps og varte typisk i 36 minutter. Det største angrepet observert i denne perioden var på 92.3 Gbps og varte i én time. Åtte av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2020

Sikkerhetsforskere advarte tidlig i januar om aktive skanninger etter et kritisk sikkerhetshull i Citrix-servere. Sårbarheten (CVE-2019-19781) ble avslørt i desember og påvirker Citrix Application Delivery Controller - også kjent som NetScaler ADC og Citrix Gateway. Svakheten gjør det mulig for en angriper å utføre ekstern kjøring av kode uten å autentisere seg. Senere i måneden ble det publisert fungerende PoC (Proof of Concept)-kode som demonstrerte svakheten, uten at det enda var noen patcher tilgjengelig fra Citrix. Citrix publiserte etter hvert instruksjoner for hvordan utstyret kunne settes opp på en måte som hindret svakheten i å bli utnyttet. Utover måneden ble etter hvert tusenvis av sårbare systemer kompromittert. Mot slutten av måneden slapp Citrix endelig patcher for svakheten.

Microsoft utbedret 49 svakheter i Windows og relaterte produkter i januar i sin månedlige oppdatering. Det ble spesielt mye oppmerksomhet rundt en svakhet som ble meldt inn av NSA i USA. Denne svakheten fikk navnet CVE-2020-0601 og befinner seg i Windows CryptoAPI (Crypt32.dll), og er en alvorlig svakhet relatert til verifisering av kryptografiske sertifikater. Svakheten kan utnyttes til å signere filer ved hjelp av forfalskede sertifikater slik at de fremstår som signert av en troverdig kilde. Svakheten kan også utnyttes til å utføre man-in-the-middle angrep og dekryptere kryptert kommunikasjon. Den ble demonstrert i simulerte angrep kort tid etter at patchen ble offentlig, men er så langt kjent ikke brukt i reelle angrep.

Med denne månedens patchedag for Microsoft-produkter er det nå End-of-Life for patcher til Windows 7. Det finnes fortsatt millioner av maskiner som ikke er oppgradert og som dermed vil være sårbare for sikkerhetssvakheter som fikses i nyere Windows-versjoner fremover. Det anbefales å jobbe mot å oppdatere til Windows 10 så snart som mulig, selv om det er mulig for bedrifter å kjøpe utvidet Windows 7 sikkerhetsstøtte en stund fremover.

Denne måneden ble det avslørt at Avast selger sensitive data om sine kunders Internett-bruk gjennom et datterselskap kalt Jumpshot. De reklamerte med at kundene kan få tilgang til hvert klikk, søk og kjøp som kundene gjør. Dataene samles inn gjennom Avast Antivirus og krever samtykke fra kundene, men ikke alle kundene er enig i at de faktisk har gitt samtykke selv om data samles inn. Det er gjort forsøk på å anonymisere dataene, men mange brukere kan antakeligvis de-anonymiseres. Senere i måneden forsvant nettsidene til Jumpshot etter at de ble nedlagt.

Fem Elasticsearch-databaser, som inneholdt 250 millioner support-hendelser fra Microsoft kundesupport fra 2005 til nå, lå åpent på internett i minst to dager mot slutten av 2019. Microsoft sikret databasene i slutten av desember 2019. Det er usikkert hvor mye data som har blitt kopiert ut og Microsoft jobber med å varsle de som er rammet.

Kostnader ved utpressingsangrep doblet seg i siste kvartal i 2019 ifølge forskere ved Coveware. Dette skyldes at angripere sikter seg inn på større bedrifter og konsern, og at nedetiden som følge av angrep har økt betraktelig til i snitt 16 dager. Gjennomsnittlig utbetaling til angriperne har også økt til $84.116.

Det har vært mye strid omkring hvorvidt Huawei skal få levere utstyr i forbindelse med utrullingen av 5G-mobilnett rundt om i Europa. Nå har Huawei fått innpass i Storbritannias utvikling av 5G nettet i begrenset omfang. Trump-administrasjonen er skuffet.

I januar håndterte vi 204 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 261 i desember. Denne måneden er det igjen forskjellige ondsinnede utvidelser til nettlesere samt graving etter kryptovaluta som dominerer hendelsene.

Det var 438 bekreftede DDoS-angrep denne måneden, opp fra 367 i desember. 193 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.26 Gbps og varte typisk i 27 minutter. Det største angrepet observert i denne perioden var på 41.3 Gbps og varte i 27 minutter. Ni av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for desember 2019

Byen Pensacola i delstaten Florida ble i løpet av den første helgen i desember rammet av et cyberangrep. Flere delstater har nylig blitt offer for diverse ransomware-angrep, men borgermesteren i Pensacola ønsker ikke å uttale seg om de har mottatt noe løsepengekrav. IT-avdelingen i byen så seg nødt til å koble ut en rekke systemer etter angrepet, noe som gjorde at blant annet e-post ikke var tilgjengelig. Pensacola ble rammet av ransomware-varianten Maze, som også laster opp data til angriperne før krypteringen av dataene blir gjennomført. I slutten av måneden lastet angriperne opp 2GB med data fra kommunen som bevis for at angrepet hadde vært vellykket. Totalt skal 32GB med data ha blitt stjålet.

Maze er en form for ransomware som nylig har vært brukt i flere cyberangrep. Nå har en av aktørene bak angrepene opprettet en nettside hvor de oppgir navnet på flere bedrifter som angivelig har blitt rammet, men som har nektet å betale løsepenger. Angriperne opplyser at dersom bedriftene ikke samarbeider, kommer de til å lekke informasjonen som de hentet ut før de krypterte innholdet. KrebsOnSecurity har verifisert at minst ett av selskapene som står oppført på nettsiden, nylig har vært offer for et Maze ransomware-angrep. Sikkerhetseksperter sier at aktører i lang tid har kommet med denne typen trusler, men at de aldri faktisk har publisert informasjonen. Dersom informasjonen skulle publiseres, blir selskaper fremover nødt til å behandle ransomware-angrep på lik linje som andre former for data-lekkasje.

Forsvarsdepartementet i USA utgir nå en dusør på 5 millioner amerikanske dollar for informasjon som kan lede til arrestasjon av Maksim Yakubets. Yakubets, som er den antatte lederen bak Evil Corp, skal ha vært med å spre bank-trojaneren Dridex. De to personene som står bak spredningen av trojaneren skal ha stjålet over 100 millioner amerikanske dollar i løpet av en 10-års periode. Det antas også at Yakubets står bak Zeus-trojaneren som brle brukt til å stjele til sammen 70 millioner amerikanske dollar.

Informasjon om over 15 millioner individer har blitt eksponert som følge av et ransomware angrep mot LifeLabs, Canadas største medisinske lab. LifeLabs sier i en uttalelse til sine kunder at blant annet navn, adresser, e-post, fødselsdato, brukernavn, passord og test-resultater har kommet på avveie. Firmaet opplyser ikke hvor mye de var nødt til å betale eller hvem som mottok betalingen.

Facebook og Twitter har deaktivert hundrevis av falske profiler som la ut positive meldinger om Trump og skjulte sporene sine med AI-genererte bilder slik at de ble unike og vanskelige å avsløre. Profilene som teknologi-gigantene tok ned tilhørte BL, som er en mediabedrift i USA som jobber for at Trump skal bli gjenvalgt til President.

RuNet har gjennomført vellykkede tester med deres lands-lokale internett. Russland har i lengre tid jobbet med å gjøre deres innenlands-nett uavhengig av resten av Internet. Dette skal hjelpe de russiske myndighetene med å ha kontroll over hva deres borgere gjør på Internet og gjøre det enkelt å koble RuNet fra resten av Internet.

BMW oppdaget våren 2019 at deres nettverk var kompromittert ved at Cobalt Strike ble funnet på en intern datamaskin. BMW lot angriperen være aktiv en stund etter de ble oppdaget for å prøve å få innblikk i hvem de var, deres mål, og hva de hadde fått tilgang til. BMW tror at målet var bedriftshemmeligheter, og at de trolig ikke fikk tak i det de ville ha. Gruppen OceanLotus mistenkes for å stå bak innbruddet og settes i sammenheng med Vietnam. Hyundai og Toyota skal også ha vært utsatt for innbrudd fra den samme grupperingen tidligere.

Reddit opplyste at de mistenker at Russland står bak en lekkasje av dokumenter via Reddit-plattformen i forbindelse med Brexit-forhandlingene. De har bannlyst 61 kontoer de mistenker står bak aksjonen. Lekkasjen skal være gjort som et ledd i politisk påvirkning i UK.

En ny svakhet som har fått navnet Plundervolt, gjør det mulig å få tilgang til data som ligger lagret i Intel Software Guard eXtensions (SGX) ved å regulere spenningen og frekvensen på prosessorer. Intel SGX benyttes til å lagre data som skal være utilgjengelig for andre applikasjoner som kjører på operativsystemet. Intel har gitt ut Microcode og BIOS-oppdateringer som gjør det mulig å deaktivere spenning- og frekvensregulering. Plundervolt krever fysisk tilgang til maskinen for å kunne utnyttes.

I desember håndterte vi 261 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 204 i november. Denne måneden er det igjen forskjellige ondsinnede utvidelser til Chrome-nettleseren samt graving etter kryptovaluta som dominerer hendelsene.

Det var 367 bekreftede DDoS-angrep denne måneden, ned fra 388 i november. 150 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.62 Gbps og varte typisk i 24 minutter. Det største angrepet observert i denne perioden var på 37.8 Gbps og varte i 16 minutter. Fem av TSOCs bedriftskunder ble utsatt for angrep denne måneden.