Oppsummering av nyhetsbildet innen datasikkerhet for mars 2020

Detaljer om en kritisk svakhet i SMBv3 (Microsoft Server Message Block) protokollen ble lekket på Internet like i forkant av denne månedens sikkerhetsoppdatering fra Microsoft. Svakheten, med betegnelsen CVE-2020-0796, ble ikke utbedret av mars-oppdateringen. Det blir antatt at svakheten kan utnyttes til å lage automatisk spredende ormer. Microsoft slapp heldigvis en haste-patch for svakheten i løpet av få dager og de fleste bør nå ha installert den.

Den 23. mars ble det meldt om en kritisk zero-day svakhet i Windows og at den allerede ble utnyttet av avanserte angripere. Svakheten ligger i Adobe Type Manager Library, en komponent i Windows. Hackere kan ta kontroll over systemet ved å lure en bruker til å åpne et spesielt utformet dokument. Svakheten er mest alvorlig for Windows 7, siden Windows 10 allerede har mitigeringer for svakheten. Microsoft har offentliggjort råd for å delvis uskadeliggjøre problemet, og forventer å slippe en fiks i sin månedlige oppdatering for april.

Reuters melder at stats-sponsede hackere har prøvd å få tilgang til interne kontoer hos WHO, World Health Organisation. Angriperne satte opp et falskt nettsted som ga seg ut for å være innloggings-siden til organisasjonen. WHO kommenterte etter saken at de hadde sett en økning av angrep mot organisasjonen i det siste. Flere mener at det er grupperingen Dark Hotel som står bak aksjonen mot WHO, og også flere andre operasjoner mot andre organisasjoner i helsesektoren i det siste.

FireEye rapporterer at den kinesiske trusselaktøren APT41 har vært svært aktiv i løpet av årets første kvartal. Det er observert forsøk på innbrudd hos 75 av firmaets kunder. Angrepene skjer blant annet ved hjelp av svakheter i Citrix Netscaler, Cisco routere og Zoho ManageEngine. Disse svakhetene er alle relativt ferske. Angrepene fordeler seg over en rekke selskaper og sektorer, så det er uklart hva som er motivet.

I mars ble det avdekket et datainnbrudd i de administrative IT-systemene til den europeiske samarbeidsorganisasjonen for systemansvarlige nettselskaper, ENTSO-E. Statnett, som er medlem i ENTSO-E, arbeider med å få oversikt over hendelsen og stanse eventuell spredning. Angrepet skal ikke ha berørt kritiske kontrollsystemer.

Google avslørte at en hackergruppe har brukt ikke mindre enn fem 0-dagssvakheter i en phishing- og spionasje-kampanje mot Nord-Korea i fjor. Kaspersky skal ha knyttet aktiviteten til en gruppe kjent som DarkHotel, som har vist interesse for Nord-Korea tidligere. Flere mener at Sør-Korea skal stå bak gruppen og operasjonen.

Et amerikansk selskap opplevde en sjelden form for BadUSB-angrep, altså et angrep med en spesielt utformet USB-enhet forkledd som en minnepinne. Selskapet mottok et brev i posten med et forfalsket gavekort fra BestBuy og en minnepinne som angivelig skulle inneholde en liste over varer de kunne benytte gavekortet på. Da USB-enheten ble plugget inn i en isolert maskin oppdaget de at den fungerte som et tastatur og emulerte diverse tastetrykk for å laste ned skadevare på enheten. I etterkant har det kommet fram at flere bedrifter har blitt angrepet på denne måten.

Et vannhullsangrep, oppdaget 10 januar 2020, utnyttet flere svakheter i forskjellige versjoner av iOS til å fjerninstallere overvåkningsrammeverket LightSpy. Lenken til vannhullet virker hovedsakelig å være spredt ved hjelp av ulike sosiale plattformer og skal ha vært rettet mot innbyggere i Hong Kong. Det spekuleres om aksjonen kan knyttes til APT-gruppen Spring Dragon/Lotus Blossom/Billbug.

Corona-krisen utnyttes i phishing-kampanjer, hvor mottakere lures til å åpne falske vedlegg som inneholder informasjon om Covid-19. I tillegg har det blitt oppdaget at en rekke aktører og malware også gjemmer seg bak påstått informasjon om viruset, inkludert Trickbot, Lokibot og Agent Tesla. Trusselaktører utnytter også situasjonen ved å bruke merkevarer som assosieres med U.S. Center for Disease Control and Prevention (CDC) og Verdens Helse Organisasjon (WHO), i tillegg til lands-spesifikke helseorganisasjoner. I Norge har det så langt ikke vært observert noen økning i data-angrep og det er heller ikke mange kampanjer som bruker Corona-tematikk.

I denne månedens Android-patcher fikset Google et kritisk sikkerhetshull i Bluetooth-systemet. Sikkerhetshullet gjorde det mulig for en angriper å ta kontroll over mobilen uten noen brukerinteraksjon. Dette åpnet også for selvspredende Bluetooth-ormer. For å utnytte svakheten må mobilen søke aktivt etter andre Bluetooth-enheter. Mobilen kan ikke tas over dersom den kjører Android versjon 10 og nyere, men mobilen kan fortsatt krasje.

Europol har i samarbeid med Spansk og Rumensk politi arrestert 26 personer i forbindelse med SIM-swap svindel. Banden har stjålet €3.5 million fra ofrenes bankkontoer ved å få tilgang til mobilabonnementer og deretter stjele engangskoder tilsendt via SMS.

I mars håndterte vi 80 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 145 i februar. Det lave antall hendelser kan skyldes senket aktivitet generelt grunnet Corona-krisen.

Det var 569 bekreftede DDoS-angrep denne måneden, opp fra 401 i januar. 155 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.70 Gbps og varte typisk i 23 minutter. Det største angrepet observert i denne perioden var på 113 Gbps og varte i 13 minutter. Fem av TSOCs bedriftskunder ble utsatt for angrep denne måneden. Oppgangen i angrep er særlig mot privat-brukere. Denne økningen kan skyldes en økning i dataspillrelaterte angrep. Spillaktiviteten har økt, siden flere nå er hjemme og innendørs