Oppsummering av nyhetsbildet innen datasikkerhet for november 2021

Den amerikanske regjeringen har bestemt seg for å sanksjonere NSO Group, Candiru, Positive Technologies og Computer Security Initiative Consultancy på grunnlag at de selger og utvikler spionvare og andre hacker-verktøy. Det er kjent at flere av firmaene har solgt avanserte verktøy, som Pegasus som har vært brukt i angrep mot iPhone-telefoner, til myndigheter over hele verden. Myndighetene har siden blant annet brukt dem til å overvåke journalister, politikere og regimekritikere. Senere i måneden saksøkte Apple NSO-gruppen for å ha spionert på deres brukere. Apple vil også gi 10 millioner dollar i støtte til cybersikkerhets-forskere og forkjempere av personvern. Ansatte ved “Citizen Lab” oppdaget i september en “zero-day zero-click”-svakhet som ble brukt av NSO til å installere Pegasus på iPhone-telefoner.

Danske Vestas meldte 22. november at de hadde vært utsatt for et datainnbrudd med løsepengevirus fredag 19. november. Det interne nettverket ble kompromittert og data ble også kopiert ut av nettverket. Det er ingen indikasjoner på at innbruddet har gått ut over tredjeparter eller forsyningskjeder. I slutten av november uttalte Henrik Andersen, President and Chief Executive Officer, at hendelsen heldigvis ikke hadde gått ut over vindturbin-operasjoner og at nesten alle IT-systemene var oppe igjen.

En sikkerhetsforsker har sluppet detaljer om en svakhet i alle nyere versjoner av Windows. Svakheten lar en vanlig bruker eskalere rettighetene sine til administrator-tilgang. Exploit-kode for å utnytte svakheten ble offentliggjort sammen med informasjon om feilen. Den nye svakheten ble oppdaget etter undersøkelser av patchen til en svakhet som ble patchet i Microsoft sin november-oppdatering, CVE-2021-41379 "Windows Installer Elevation of Privilege Vulnerability. Sikkerhetsforskeren bak oppdagelsen offentliggjorde detaljene rundt svakheten for å protestere mot Microsofts stadig lavere belønning for å rapportere inn sikkerhets-svakheter til selskapet.

I starten av måneden sendte Google ut en ny versjon av nettleseren Chrome for Windows, Mac og Linux for å fikse to nulldagssårbarheter som angripere allerede var i gang med å utnytte aktivt til målrettede angrep (CVE-2021-38000 & CVE-2021-38003). Google slapp ingen informasjon om hvem som hadde brukt svakhetene, eller hvem målene var. Med denne oppdateringen har Google rettet 15 Chrome zero-day-sårbarheter siden begynnelsen av 2021.

Den årlige hacke-konkurransen som arrangeres av Zero Day Initiative er over. I løpet av fire dager med hacking ble det totalt avdekket 61 nulldagssårbarheter som resulterte i en total premieutbetaling på 1,081,250 amerikanske dollar, som tilsvarer 9,259,500 norske kroner i dagens kurs. Blant enheter som ble hacket var mobiltelefoner, NAS-enheter (lagringsenheter), printere, routere og smart-høyttalere.

Rumensk politi har arrestert to personer som er mistenkt å ha vært tilknyttet løsepengevirus-banden Sodinokibi/REvil. De to skal ha stått bak over 5000 infiseringer med ransomware og har fått inn minst en halv million Euro i løsepenger. Også fem andre personer tilknyttet Revil og CandCrab er arrestert i løpet av året. Disse personene jobbet som affiliates/partnere til løsepengevirus-gruppene. Det vil si at de tok ansvaret for å bryte seg inn hos ofre og installere malware på ofrenes maskiner. Etterforskningen og arrestasjonene har vært organisert av Europol, har kodenavn “GoldDust” og har involvert 17 land.

USA innfører sanksjoner mot kryptobørsen Chatex grunnet at de har hjulpet løsepengevirus-grupper med å unngå sanksjoner og med tilrettelegging for løsepengetransaksjoner. Ved å sanksjonerer Chatex, ønsker regjeringen i USA å ta ned en viktig kanal som er brukt av løsepengevirus-grupper til å innhente utbetalinger fra ofre. Dette er andre gangen en kryptobørs blir sanksjonert av USA. Den første var den Russisk-tilknyttede børsen Suex i september.

Hackergruppen MosesStaff retter seg kun mot selskaper i Israel. MosesStaff utfører målrettede angrep mot israelske selskaper, lekker dataene deres og krypterer nettverkene. Det er ingen krav om løsepenger og ingen mulighet for dekryptering; motivene deres er rent politiske. Innledende tilgang til ofrenes nettverk oppnås antagelig gjennom å utnytte kjente sårbarheter i eksponert infrastruktur som Microsoft Exchange-servere. MosesStaff bruker “DiskCryptor” til å utføre volumkryptering og låse ofrenes datamaskiner med en bootloader som ikke lar maskinene starte opp uten riktig passord. Det er ukjent hvem som står bak de destruktive angrepene.

I november håndterte TSOC 175 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 102 i september. Nok en gang er det PCer som utvinner kryptovaluta som dominerer tallene. Ellers blir det oppdaget mye uønsket programvare (adware/spyware) både på Windows, Mac og Android-enheter. Det er også oppdaget en del tjenester som er feilaktig eksponert mot Internett, samt tjenester som på grunn av konfigurasjonsfeil overfører brukernavn og passord i klartekst, altså ukryptert.

Det var 279 bekreftede DDoS-angrep denne måneden, opp fra 266 i oktober. 135 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 7.27 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 107 Gbps og varte i 35 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2021

Politi-myndigheter fra flere land har gjennomført ransakinger på flere adresser tilknyttet 12 organiserte digitale kriminelle i Ukraina. Kripos har deltatt i etterforskningen og aksjonen etter dataangrepet mot Hydro i 2019. Etterforskningsgruppen mener de 12 personene har hatt forskjellige roller i et nettverk av kriminelle som står bak alvorlige dataangrep rettet mot over 1.800 ofre i 71 land, inkludert dataangrepet mot Hydro i mars 2019. Gruppen har systematisk angrepet store selskap, og lammet virksomheten deres med skadevare.

Mer enn 30 land deltok på møte som USA holdt for å styrke forsvaret mot løsepengevirus og danne alliansen “Counter-Ransomware Initiative”. Det ble diskutert hvordan de kunne forstyrre løsepengevirus-aktører sin infrastruktur, styrke forsvaret mot løsepengevirus, bruken av kryptovaluta til å hvitvaske pengene og legge press på land som gir løsepengevirus-aktører muligheten til å operere derfra. Det viktigste tiltaket vil i første omgang bli å forstyrre betalingskanalene som aktørene bruker, ved å få børser for kryptovaluta til å identifisere alle kundene sine (AML). Russland og Kina fikk ikke være med på møtet og blir sett på som land som ikke slår hardt nok ned på denne typen angrep. USA og den nye alliansen mot løsepengevirus ønsker å legge press på dem slik at aktører ikke kan operere trygt fra disse landene lenger.

Selskapet Syniverse er en kritisk del av den globale telekommunikasjons infrastrukturen som brukes av AT&T, T-Mobile, Verizon og flere andre rundt om i verden som Vodafone og China Mobile, avslørte at hackere har vært inne i systemene deres i flere år. Mobiltelefonbrukere over hele verden kan være påvirket. Ifølge en anonym kilde kan hackerne hatt tilgang til metadata som lengde og kostnad, innringerens og mottakerens nummer, fysisk plasseringen av partene i samtalen, samt innholdet i tekstmeldinger.

En kriminell organisasjon, som er mistenkt for å ha bygget programvare brukt i Colonial Pipeline-angrepet, rekrutterer nå personer gjennom legitime bedrifts-fronter. Den falske bedriften går under navnet Bastion Secure og utga seg for å selge sikkerhetstjenester. Gruppen som står bak bedriften er egentlig kjent som Fin7/Carbanak, en russisk finansielt motivert bande som i hovedsak angriper Amerikanske bedrifter. Personer som blir "ansatt" blir bedt om å bryte seg inn i bedrifters nettverk, mange uten å vite at de prøver å bryte seg inn hos bedrifter uten tillatelse..

Den årlige hacker-konkurransen i Tianfu, Kina har blitt avholdt. I år kunne kinesiske sikkerhetsforskere ta med seg hjem premier verdt 1.88 millioner dollar etter å ha hacket noe av verdens mest prestisjetunge programvare på landets største hacker-konkurranse. Det var to hacks som skilte seg ut i år. Den første var en ekstern kjøring av kode mot iPhone 13 med det nyeste operativsystemet iOS 15 installert. Den andre var en enkel totrinns-kjede for kjøring av ekstern kode mot Google Chrome, noe som ikke har blitt sett i en hacker-konkurranse på flere år. Blant andre mål som også ble utnyttet kan vi nevne Windows 10, Ubuntu, Safari og VMWare. Konkurransen viser nok en gang at nesten hva som helst kan hackes, dersom angriperne har de riktige insentivene.

Eberspächer er et tysk firma som lager bildeler. Søndag 24. oktober ble selskapet rammet av et løsepengevirus-angrep og mange av fabrikkene deres ble stengt. Over 1000 ansatte i Tyskland får nå penger fra myndighetene mens de venter på at fabrikkene skal åpne igjen. Firmaet har totalt over 10.000 ansatte. Også produksjonen i en fabrikk i Sverige er rammet av angrepet.

I oktober håndterte TSOC 102 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 116 i september. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt. Som oftest indikere dette at en PC har blitt infisert av malware, men vi ser også noen med viten og vilje installerer denne typen programvare for å tjene virtuell valuta.

Det var 266 bekreftede DDoS-angrep denne måneden, opp fra 216 i september. 107 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.25 Gbps og varte i 18 minutter. Det største angrepet observert i denne perioden var på 78 Gbps og varte i 6 minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for september 2021

Microsoft meldte i starten av september at de nylig har rettet en feil i Azure Container Instances (ACI), Feilen kunne gjøre det mulig for kunder å hente ut informasjon fra andre kunders containere i tjenesten. Det var ansatte hos firmaet Palo Alto som oppdaget og meldte fra om svakheten. De opplyser at de klarte å bryte seg ut av den virtuelle containeren og ta full kontroll over hele clusteret. Dette skyldtes at Microsoft ikke hadde patchet en kjent svakhet i programvaren som ble benyttet. Feilen har nå blitt rettet og Microsoft har advart kunder som hadde containere på det samme clusteret som forskerne benyttet.

Microsoft advarte 7. september om en aktivt utnyttet null-dagers sårbarhet. Sårbarheten blir brukt til å ta kontroll over Windows-systemer ved å lure brukeren til å åpne spesielt utformede Office-dokumenter. Svakheten ligger i MSHTML (Trident), en komponent som brukes av Windows til å vise HTML-innhold og som også benyttes av Microsoft Office. Svakheten ble senere i måneden brukt av flere ransomware-bander og også i målrettede angrep mot innenriksdepartementet og flere forsvarsleverandører i Russland. Svakheten ble patchet senere i måneden.

En av Russlands mest prominente IT-gründere og CEO for Group IB, Ilya Konstantinovich Sachkov (35), ble tirsdag pågrepet i Moskva og varetektsfengslet i to måneder. Han er siktet for forræderi ved FSB-domstolen og det beryktede høyrisikofengselet Lefortovo. Det russiske nyhetsbyrået Tass siterer en ikke-navngitt sikkerhetskilde på at Sachkov er anklaget for å ha samarbeidet med utenlandsk etterretning og statsforræderi. Den siktede benekter begge anklagene, skriver Reuters. I Russland går det rykter om at arrestasjonen skyldes at firmaet Group IB har nektet å samarbeide uoffisielt med FSB.

En gratis dekrypterings-verktøy for REvils løsepengevirus-operasjon har blitt utgitt. Denne lar alle ofrene gjenopprette filene sine fra tidligere angrep gratis. “REvil master-decrypter” er laget av cybersikkerhetsfirmaet Bitdefender i samarbeid med politiet. Bitdefender vil ikke dele detaljer om hvordan de fikk tak i dekrypteringsnøkkelen.

Det ble denne måneden mulig å fjerne passordet sitt fra Microsoft-kontoen sin og erstatte det med Microsoft Authenticator App, Windows Hello eller fysiske sikkerhetsnøkler. Microsoft anbefaler dette for å redusere antall passord man bruker og fordi passord er ofte lettere å kompromittere. Dette fjerner imidlertid faktoren “noe du vet” fra innloggingen og kan også slå uheldig ut for sikkerheten, for eksempel dersom en mister en fysisk sikkerhetsnøkkel.

Apple har sluppet sikkerhetsoppdatering som fikser to nulldagssårbarheter brukt til å angripe både Mac og iPhones. Det er kjent at en av svakhetene har blitt brukt til å installere Pegasus spionprogramvare på iPhones. Denne svakheten lar en angriper ta kontroll over en iPhone uten at brukeren foretar seg noe, en såkalt “zero-click” svakhet. Pegasus selges kun til myndigheter, men det er kjent at både journalister, menneskerettighetsforkjempere og politikere har blitt overvåket ved hjelp av programvaren.

Det amerikanske finansdepartementet kunngjorde tirsdag tiltak mot bruk av digitale valutaer i ransomware-angrep og andre økonomiske forbrytelser, inkludert de første sanksjonene noensinne mot en børs for kryptovaluta. Departementet opplyste at om lag 40 prosent av transaksjonene på den sanksjonerte kryptovaluta-børsen som opererer i Russland - Suex - involverte ulovlige aktiviteter. De nye sanksjonene vil blokkere alle handler som involverer Suex og amerikanske personer og firmaer. Finansdepartementet i USA planlegger også å identifisere andre børser knyttet til ulovlige aktiviteter.

Denne måneden har det blitt kjent at det nye botnettet “Meris” har stått bak flere rekordstore DDoS-angrep i det siste. Det russiske firmaet Yandex opplyste at de ble utsatt for rekordstore angrep i august og september på opp mot 22 millioner RPS (Forespørsler per sekund), noe som skal være det største angrepet i Internetts historie. Cloudflare ble også utsatt for et stort angrep fra det samme botnettet tidligere i sommer. Meris består for det meste av hackede MikroTik routere som blir fjernstyrt av angriperne til å sende ut store mengder trafikk mot målene.

I september håndterte TSOC 116 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og  Logganalyse, opp fra 70 i august. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt. Det er også en del Android-mobiler med diverse uønsket programvare (adware) på noen nettverk.

Det var 216 bekreftede DDoS-angrep denne måneden, ned fra 253 i august. 89 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.55 Gbps og varte i 20 minutter. Det største angrepet observert i denne perioden var på 62.5 Gbps og varte i 15 minutter. Syv av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for august 2021

Hackere blokkerte Italias system for å bestille time for Corona-vaksinering. Angrepet var et ransomware-angrep, og flere servere ble kryptert. Ingen personlige data skal ha blitt stjålet i forbindelse med angrepet. Myndighetene i Italia kaller angrepet det alvorligste noen sinne mot italienske myndigheter.

T-Mobile har en pågående etterforskning etter at en trusselaktør hevder å ha kommret seg inn på T-mobile sine servere. Innbruddet skjedde etter at en intern server ved en feil hadde blitt eksponert mot Internet. Hackerne kopierte personopplysninger til rundt 9 millioner aktive kunder, samt 40 millioner tidligere eller potensielle kunder. Opplysningene som er på avveie er navn, fødselsdato, personnummer samt ID/førerkort-informasjon. Ingen passord, PIN-koder eller finansiell informasjon er på avveie. De personlige dataene ble forsøkt solgt for 6 Bitcoins.

Backend-databasen til cybersikkerhetsprosjektet Atlas har blitt lagt ut for salg på et forum for cyberkriminelle. Atlas er en nettside laget av europakommisjonen for å forenkle sikkerhetssamarbeid mellom medlemsland og inneholder offentlig tilgjengelig informasjon om cybersikkerhetseksperter, universiteter, forskningssentre og myndighetsorganisasjoner. Nyhetssiden The Record bekreftet at informasjonen som lå ute for salg var hentet fra backend-løsningen til nettsiden, og det er uvisst hvordan noen har kommet seg inn i databasen. Nettsiden ble tatt ned og satt i vedlikeholdsmodus etter hendelsen.

US Cybersecurity and Infrastructure Security Agency (CISA) har sluppet en fire-siders guide til hvordan organisasjoner kan unngå å bli utsatt for ransomware-angrep, samt gjøre skaden minst mulig dersom et angrep likevel skulle inntreffe. De foreslår blant annet:

• Sørg for offline-backups som blir testet jevnlig.
• Opprett, vedlikehold og tren på planer for å svare på et angrep og gjenopprette driften etter en krise.
• Patch og sørg for riktig konfigurasjon av tjenester som er åpne mot Internet.
• Bruk effektive spam-filtre for å unngå phishing-eposter
• Bruk anti-malware programmer, applikasjons-hvitelisting, begrens admin-tilgang og bruk to-faktor-autentisering.

Microsoft advarte tusenvis av sine Azure Cloud-kunder, inkludert noen av verdens største selskaper, om at inntrengere kan ha hatt tilgang til deres databaser i skyen. Sikkerhetshullet har vært til stede i flere måneder, men ble fikset 14. august. Problemet lå i Cosmos-databasen og kunne utnyttes ved å få tilgang til databasen fra en vilkårlig Azure-bruker via en tjeneste kalt “Jupyter Notebook”. De som fant svakheten har fått utbetalt $40.000 for oppdagelsen.

Forskere fra Dolos Group har klart å få tilgang til en bedrifts nettverk, etter fysisk tilgang til en maskin med tilgang til nettverket, selv om maskinen er kryptert med Bitlocker for ekstra sikkerhet. Dette gjøres ved å forbigå trusted platform module (TPM) for å få tilgang til maskinen. Angrepet blir gjennomført ved å hente ut dataene som går mellom CMOS-chippen og CPUen i maskinen, som er ukrypterte og lett tilgjengelige. Etter å ha koblet til en “Salea Logic analyzer” klarte forskerne å hente ut nøkkelen til TPM. Videre brukte forskerne den allerede konfigurerte Palo Alto VPNen for å få tilgang til bedriftens nettverk. Til slutt hadde forskerne mulighet til å starte maskinen og kunne deretter infisere klienten og benytte seg av den for å nå andre interne ressurser.

Internettinfrastrukturselskapet Cloudflare avslørte i at de håndterte det største volumetriske distribuerte tjenestenekt-angrepet (DDoS) som er registrert til dags dato. Trusselaktøren brukte et botnett med mer enn 20.000 infiserte enheter for å sende HTTP-forespørsler mot kundens nettverk for å konsumere serverressurser, for dermed å forhindre legitime brukere i å bruke nettstedet. Angrepet nådde 17,2 millioner HTTP-forespørsler/sekund (RPS), et tall som Cloudflare beskrev som nesten tre ganger større enn noen andre angrep som er offentlig kjent.

I august håndterte TSOC 70 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og  Logganalyse, opp fra 40 i juli. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt.

Det var 253 bekreftede DDoS-angrep denne måneden, opp fra 233 i juli. 109 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.8 Gbps og varte i 28 minutter. Det største angrepet observert i denne perioden var på 35 Gbps og varte i én time. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2021

Kaseya VSA er et produkt som vanligvis blir brukt av MSPer (Managed Service Providers) for å drifte og overvåke sine kunders IT-miljøer. Programvaren ble fredag 2. juli utnyttet i et forsyningskjede-angrep for å levere REvil løsepengevirus til tusenvis av organisasjoner. Angrepene har vært rettet mot over 40 tjenesteleverandører og kunder av Kaseya. Dette har påvirket over 1000 bedrifter i 17 forskjellige land. Den svenske Coop-kjeden måtte for eksempel holde over 800 butikker stengt i flere dager, etter at leverandøren av kasse-løsningen gikk ned på grunn av angrepet. Angrepet ble gjennomført ved å utnytte en zero-day svakhet i Kaseya VSA-servere som var direkte eksponert mot Internet. Tilgangen ble deretter brukt til å spre løsepengevirus til alle klientene som serveren kontrollerte. Zero-day svakheten som ble brukt av angriperne var allerede fikset av Kaseya og patchen skulle snarlig sendes ut til kundene. REvil var dessverre raskere med å utnytte svakheten. REvil fremsatte et krav på $70 millioner for å låse opp igjen alle de rammede systemene etter angrepet. Den 13. juli forsvant REvil sine nettsider fra nettet, og de har ikke dukket opp igjen siden. Den 22. juli ble det meldt at Kaseya hadde fått tak i en dekrypteringsnøkkel som kunne brukes av alle de rammede kundene. Det er uklart hvordan Kaseya fikk tak i nøkkelen.

29. juni la et sikkerhetsfirma ut en demonstrasjon på Twitter som viste hvordan en feil i Windows Print Spooler kunne utnyttes. Microsoft hadde patchet en feil i denne Windows-komponenten tidligere i juni (CVE-2021-1675), og mange trodde først at det var en exploit mot denne svakheten som ble demonstrert. Sikkerhetshullet kan brukes av lokale brukere, samt autentiserte brukere over nettet, til å ta full kontroll over en Windows-server. Det viste seg snart at svakheten som ble demonstrert ikke ble patchet av Microsoft sin juni-oppdatering og Microsoft allokerte et nytt CVE-nummer til den: CVE-2021-34527. Det ble også bekreftet at svakheten fungerte mot alle versjoner av Windows. Den 6. juli ga Microsoft ut en haste-oppdatering for svakheten, men det viste seg snart at denne ikke dekket alle varianter. Angripere kunne fortsatt utnytte svakheten lokalt, og også via nettverket på noen konfigurasjoner av Windows.

15. juli ble det sluppet detaljer om enda en svakhet i Windows Print Spooler. Denne svakheten gir en lokal bruker mulighet til å oppnå system-rettigheter og har fått benevnelsen CVE-2021-34481. Foreløpig finnes det ingen patch for denne, men svakheten kan midlertidig unngås ved å slå av Print Spooler Service.

NSA, CISA, FBI og NCSC har delt informasjon om at det russiske militæret (FRU) er ansvarlige for flere store brute-force angrep (gjetting av brukernavn og passord) mot nettsky-leverandører. Angrepene har vært pågående siden minst midten av 2019. Aktøren er omtalt som APT28 og Fancy Bear og brukte et Kubernetes-kluster for å angripe epost-tjenere innenfor offentlige og private sektorer i flere land. De benyttet seg av kompromitterte brukerkontoer og svakheter i Microsoft Exchange server kjent som CVE-2020-0688 og CVE-2020-17144. For å skjule angrepene benyttet aktøren seg av Tor-nettverket og flere kommersielle VPNer.

Et samarbeid mellom flere mediehus og Amnesty International har avslørt at spionprogrammet Pegasus har blitt brukt til å avlytte telefonene til en mengde journalister og aktivister. Pegasus er utviklet og eid av det Israelske selskapet NSO group som selv sier at programmet kun skal brukes til å overvåke terrorister og kriminelle. Fransk etterretning har senere bekreftet at spionvaren var installert på telefonene til minst tre franske journalister. Antakelig blir Pegasus installert på iPhone-enheter ved hjelp av en svakhet som infiserer telefonen, uten at brukeren ser noe tegn til unormal aktivitet. Det kan være at svakheten ble patchet i iOS versjon 14.7.1, men dette er ikke helt avklart enda og Apple har ikke kommentert svakheten.

I juli håndterte TSOC 40 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og  Logganalyse, ned fra 80 i juni. Nedgangen skyldes antageligvis mindre aktivitet grunnet fellesferien. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt. Denne måneden har det også vært flere PCer infisert av trojaneren Torpig/Sinowal.

Det var 233 bekreftede DDoS-angrep denne måneden, opp fra 214 i juni. 78 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.5 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 67 Gbps og varte i 13 minutter. To av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2021

I starten av måneden ble det multinasjonale selskapet JBS Foods rammet av ransomware. Firmaet produserer 20% av kjøttet i USA og produksjonen ble rammet. Etter kort tid valgte firmaet å betale $11 millioner til utpresserne i et forsøk for å få produksjonen i gang igjen så fort som mulig. Ransomware-angrepet ble utført av den russiske grupperingen REvil. USAs president, Joe Biden, uttalte etter angrepet at ansvarlige nasjoner burde straffeforfølge grupperinger som REvil. Dette med klar adresse til Russland sin manglende oppfølging av russiske grupperinger som i stor stil angriper og utpresser firmaer i vesten.

Justisdepartementet i USA prioriterer nå etterforskning av løsepengevirus på samme nivå som terrorisme etter angrepet på Colonial Pipeline 6. mai 2021, samt andre høyprofilerte angrep i det siste. Det er også opprettet en egen "task force" i Washington for å koordinere etterforskning av angrepene.

President Biden har utvidet sanksjonene mot kinesiske selskaper, som først ble innført av Trump. Listen over firmaer som ikke kan motta investeringer fra USA økes fra 31 til 59. Biden fordømmer også Kinas bruk av overvåkingsprogramvare for å kontrollere befolkningen. Firmaer som allerede har gjort investeringer vil ha ett år på seg til å avslutte forholdene.

Ukrainsk politi arresterte kriminelle assosiert med ransomware-gjengen Clop. De stengte også ned infrastrukturen til grupperingen, som har vært aktive siden 2019. De arresterte skal først og fremst ha drevet med hvitvasking av penger, mens bakmennene i banden fortsatt er på frifot i Russland. 

SITA, en internasjonal leverandør av IT-tjenester til rundt 90% av flybransjen, ble i mars utsatt for et datainnbrudd. Sikkerhetsselskapet Group-IB skriver at dette førte til et forsyningskjedeangrep som rammet flere store flyselskap og millioner av passasjerer er rammet. Sikkerhetsselskapet mistenker at den kinesiske aktøren APT41 står bak. Motivasjonen bak angrepet er mest sannsynlig å følge reisene til personer av interesse. Flyselskaper blir bedt om å sjekke systemene sine etter tegn til innbrudd etter kampanjen.

Datasystemene til halvparten av bibliotekene over hele landet gikk ned 22. juni etter et dataangrep. Angriperne krevde løsepenger. Det er Axiell Norge AS som levere datatjenestene og de gikk ikke med på kravet om å betale løsepenger. Ingen persondata skal være på avveie, og selskapet hadde sikkerhetskopier av all data angriperne hadde kryptert. Angrepet er meldt til politiet i Norge, Sverige og Finland. Den 28. juni lyktes selskapet i å delvis få opp igjen systemene sine.

I juli avslørte politi fra flere land den tre år lange operasjonen “Operation Ironside. Politiet hadde i flere år drevet den krypterte meldingsplattformen “ANOM”. Plattformen bestod av spesielt sikret mobilutstyr og en kryptert meldingsapp. Millioner av meldinger ble avlyttet av politiet, noe som førte til over 800 arrestasjoner, beslag av 40 tonn narkotika, 250 skytevåpen, 55 luksusbiler osv. I Norge ble ni personer pågrepet etter operasjonen. I Norge var det en stund uklart om bevisene som ble innhentet kunne brukes i en norsk rett, men høyesterett kom 23. juni fram til at dette ikke strider mot grunnleggende norske verdier.

En gruppe som kaller seg Fancy Lazarus driver nå en målrettet DDoS utpressingskampanje mot større bedrifter. Sikkerhetsselskapet Proofpoint skriver at bedrifter i mange ulike sektorer har blitt kontaktet av gruppen. Kontakten skjer per e-post, hvor gruppen forlanger en utbetaling på 2 Bitcoin (ca. 600 000 NOK) for at bedriften ikke skal bli utsatt for et større DDoS-angrep. Om bedriften ikke betaler innen en gitt tidsfrist dobles summen, og deretter øker den med én Bitcoin hver dag. Det er ikke alltid at gruppen gjennomfører truslene, men flere bedrifter har blitt utsatt for DDoS-angrep (demo-angrep) etter at de har blitt kontaktet. I løpet av de siste ukene har også noen norske bedrifter mottatt trusler med tilhørende demo-angrep fra denne grupperingen.

Statsforvalteren i Oslo og Viken var ett av statsforvalterembetene som ble direkte rammet av angrepet mot flere statsforvalterembeter i 2018. PSTs Hanne Blomberg opplyser at de nå har etterretning som peker mot Kina. "Vi har i denne konkrete saken etterretningsinformasjon som peker i en tydelig retning mot at det er aktøren APT31 som står bak operasjonen mot statsforvaltningsembetene", opplyste hun til NRK.

Det store spillselskapet Electronic Arts ble denne måneden frastjålet kildekode til flere spill. En representant for hackerne som stod bak angrepet, avslørte at angrepet ble utført ved hjelp av en informasjonskapsel kjøpt for $10. Netkapselen ble kjøpt fra undergrunnsmarkedet “Genesis Market” og gav hackerne tilgang til EA sin interne Slack-chat. Informasjonskapsler stjeles fra store mengder hackede PCer og legges ut for salg på denne typen illegale markeder. Angriperne klarte via chatten å lure EA sin IT-support til å gi dem tilgang til resten av nettverket, under påskudd av å ha glemt et passord.

I juni håndterte TSOC 80 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 86 i april. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt. En del klienter har også fått installert ondsinnede nettleserutvidelser.

Det var 214 bekreftede DDoS-angrep denne måneden, ned fra 402 i mai. 113 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5 Gbps og varte i 36 minutter. Det største angrepet observert i denne perioden var på 71 Gbps og varte i 31 minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2021

Syvende mai 2021 rammet ransomware selskapet Colonial Pipeline, som driver USAs største rørledning for å frakte olje og drivstoff. Selve kontrollsystemene ble ikke rammet, men selskapets støttesystemer gikk ned og hindret dermed videre drift. USAs regjering vedtok hastelover for å få fraktet oljen med tankbiler. I mange delstater oppsto det tendenser til panikk med hamstring av bensin og tomme bensinstasjoner. Etter nesten en uke ble transporten gjenopptatt, etter at selskapet betalte over $5 millioner til utpresserne. Hendelsen førte nesten til stengte flyplasser og bensinmangel i flere delstater i USA.

Etter angrepet mot Colonial Pipeline beklaget grupperingen som stod bak, DarkSide, at angrepet hadde fått så store konsekvenser og at det ikke lå noe politisk bak aksjonen. En del mistenker etter hvert at at alle angrepene i det siste kan være en del av en statsstøttet kampanje fra Russland. Senere i måneden forsvant DarkSides nettsider, og grupperingen skal ha mistet tilgang til store deler av løsepengene de har mottatt. Det spekuleres i om gruppen selv prøver å slette sporene, eller om myndigheter har tatt beslag i utstyr og verdier. Flere hacker-forum har etter angrepet lagt ned forbud mot innlegg og reklame som omhandler ransomware.

I slutten av mai 2021 rammet løsepengevirus det Irske helsevesenet. Store deler av datasystemene og helsejournalene ble tatt ned. En minister uttalte til pressen at dette var det største dataangrepet mot Irland noensinne. I løpet av hendelsen avviste flere sykehus alle pasienter, bortsett fra de som trengte øyeblikkelig hjelp. Helsevesenet opplyste at det var helt utelukket å betale de $20 millionene i løsepenger som angriperne forlangte. Etter hvert ga angriperne fra seg verktøyet for å låse opp igjen filene, men de truet fortsatt med å offentliggjøre informasjon de hadde stjålet, dersom løsepengene ikke ble betalt.

I mai ble også det norske IT-selskapet Volue (tidligere Powel) ASA utsatt for et angrep med ransomware. Angrepet krypterte ned en del filer, databaser og applikasjoner. Inntrengerne i nettverket  ble tidlig oppdaget og videre spredning forhindret. Kunder av selskapet skal ikke være berørt, men de oppfordres uansett til å endre passord på sine kontoer. Etter angrepet har selskapet fått skryt for sin åpne håndtering av prosessen med å få alle systemene opp igjen gjennom daglige åpne webcasts.

I april 2021 ble politiet i Washington DC rammet av ransomware. Angriperne stjal interne data og personnel-filer til ansatte. Gruppen bak angrepet, Babuk, la først ut detaljerte personell-filer som omhandlet 20 politimenn. Etter at politiet nektet å betale, la banden i mai ut 250GB med informasjon, blant annet en gjeng-database, detaljert informasjon om alle ansatte og informasjon om politiets informanter.

Bloomberg meldte at forsikringsgiganten CNA Financial betalte 40 millioner USD til angriperne i løsepenger for å få kontroll på nettverket deres etter et løsepengevirus-angrep. Dette er større enn noen andre utbetalinger som har blitt offentliggjort. Den gjennomsnittlige summen på offfentlig kjente betalinger av løsepenger etter ransomware lå på rundt 312 000 USD i 2020 ifølge Palo Alto Networks.

Både Volexity og Microsoft sitt Threat Intelligence Center varslet om en større pågående phishing-kampanje fra aktøren kjent som Nobelium/APT29. Aktøren skal ha forbindelse med den russiske utenlands-etterretningen (SVR) og stod bak Solarwinds-operasjonen. Microsoft har fulgt denne kampanjen siden januar 2021 og melder om et større phishing-angrep via epost som startet 25. mai. Epostene henviser til informasjon om valget i USA i 2020, og fikk derfor ekstra oppmerksomhet i USA. Angrepet er rettet mot mange forsknings-, statlige- og store internasjonale organisasjoner både i USA og i Europa.

CryptoCore er navnet på en angrepskampanje mot kryptobørser som selskapet ClearSky har undersøkt. Denne nettkriminalitetskampanjen er hovedsakelig fokusert på tyveri av kryptovaluta og ClearSky anslår at angriperne allerede har fått tak i verdier for hundrevis av millioner dollar. ClearSky-forskerne mener det er medium til høy sannsynlighet for at Lazarus-gruppen står bak angrepene. Dette er en nordkoreansk statssponset APT-gruppe som særlig går etter økonomiske mål over hele verden. Tidligere var det øst-europeiske kriminelle som var mistenkt for å stå bak. 

Mer enn 200 organisasjoner, inkludert belgiske styresmakter, ble overveldet av et stort DDoS-angrep 4. mai. Målet med angrepet var den statlig eide Internett-leverandøren Belnet. Angrepet var avansert og teknikkene bak det endret seg i løpet av angrepet. Det er ukjent hvem som står bak.

I mai håndterte TSOC 86 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 118 i april. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt, sammen med Mac OS X-maskiner infisert av Shlayer-trojaneren.

Det var 402 bekreftede DDoS-angrep denne måneden, opp fra 355 i april. 169 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.47 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 129 Gbps og varte i 23 minutter. Seks av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for april 2021

Den nylig opprettede Ransomware Task Force (RTF) er organisert av “Institute for Security and Technology” i samarbeid med representanter fra teknologi- og sikkerhetsbedrifter, regjeringer, politi og internasjonale organisasjoner. Ransomware-bølgen har etter hvert økt i omfang til å bli en fare for samfunnet, med flere eksempler på ødeleggende angrep mot sykehus, kommuner, politi og offentlig infrastruktur. RTF mener at det må et internasjonalt samarbeid til for å stoppe bølgen. De har akkurat gitt ut sin første rapport med anbefalinger. Disse går blant annet ut på å få politiet til å prioritere denne typen saker, pålegge organisasjoner å informere myndighetene om betalinger av løsepenger og å få kryptobørser til å vite hvem kundene er og overvåke transaksjoner.

Bedriften ClickStudios la ut en melding om at de hadde vært utsatt for et sikkerhetsbrudd mellom 20. og 22. april. Bedriften lager et produkt kalt Passwordstate, som brukes av større organisasjoner for å holde orden på passord og automatisere innlogginger. Denne programvaren ble kompromittert og en bakdør ble lagt inn. Versjonen av Passwordstate med bakdøren var tilgjengelig for nedlasting i 28 timer. Clickstudios har sluppet informasjon om hvordan en kan sjekke om den kompromitterte utgaven av Passwordstate er installert.

Noen av de store løsepengegruppene har begynt å presse bedrifter til å betale løsepenger ved å sende eposter direkte til både kunder og partnere av offeret. I epostene står det at sensitive data om dem som kunder/brukere vil bli lekket, dersom offeret ikke betaler. Mottakerne oppfordres videre til å legge press på offeret for å ordne betaling.

Den store nyheten i mars var Exchange-svakheten “ProxyLogon” som ble benyttet til å plassere bakdører på servere over hele verden. FBI i USA benyttet denne måneden den samme Exchange-bakdøren til å slette den opprinnelige bakdøren som ble lagt inn. Eierne av serverne som ble berørt ble ikke kontaktet først og det diskuteres i sikkerhetsmiljøet om dette var en lovlig og etisk  teknikk eller ikke.

NSA, FBI og Cybersecurity and Information Security Agency sier at  Russland stod bak supply-chain angrepet mot Solarwinds. Angrepet førte til at en bakdør ble sendt ut til over 18 000 kunder via oppdateringer. USA har nå lagt sanksjoner mot Russland og seks russiske selskaper som støttet Russland i å utføre dette angrepet. Amerikanske myndigheter advarer videre om at russisk etterretning fortsetter angrepene sine ved å utnytte kjente sårbarheter i populære produkter fra leverandører som Fortinet, Pulse Secure, Citrix og VMWare.

I april ble det meldt om en kritisk svakhet i Pulse Secure VPN-enheter som lar angripere omgå autentisering. Svakheten er svært enkel å utnytte og FireEye meldte raskt at flere trusselaktører allerede utnyttet svakheten til å installere forskjellige typer malware. Blant annet er flere amerikanske forsvars-underleverandører rammet. Kinesisk-støttede aktører skal hovedsakelig stå bak angrepene.

Den kjente malware gruppen BazarLoader jobber med tvilsomme call-center for å lure ofrene til å laste ned et infisert dokument. Phishing-epostene ber personer om å ringe et nummer for å oppgradere et abonnement eller lignende. Når personene ringer nummeret, blir de guidet til å laste ned et Office-dokument og deretter slå av sikkerhetsfunksjoner i Office for å tillate makroer å kjøre. Makroen laster deretter ned malware og infiserer maskinen.

Mot slutten av april mottok mange nordmenn tekstmeldinger på engelsk om å hente en tilsendt pakke. Dersom en lar seg lure og følger lenken fra en Android-mobil, leder den til en nedlastingsside for malware. For å installere malwaren må brukeren slå på muligheten for å installere apper fra ukjente kilder og svare ja til flere sikkerhetsadvarsler. Det er malwaren Flubot som blir installert, og denne vil laste ned personlige detaljer og prøve å lure brukeren til å gi fra seg nettbank-detaljer. Flubot vil også fortsette å sende SMS-meldingene videre til brukerens kontakter. Hittil har heldigvis Flubot hatt begrenset spredning i Norge, muligens fordi få benytter seg av tredjeparts app-butikker i Norge.

I løpet av årets Pwn2Own konkurranse ble det utbetalt over $1.2 millioner kroner i premier til deltakerne. I løpet av konkurransen ble helt nye måter å hacke Safari, Chrome, Edge, Windows 10, Ubuntu, Microsoft Teams, Zoom og Exchange vist fram. Alle teknikkene ble demonstrert og detaljer rundt disse deretter overlevert til arrangørene og leverandørene. Nok en gang viser det seg at alle større softwareprodukter er forholdsvis enkle å utnytte, bare en er motivert nok.

I april håndterte TSOC 118 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 140 i mars. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt, sammen med Mac OS X-maskiner infisert av Shlayer-trojaneren.

Det var 355 bekreftede DDoS-angrep denne måneden, ned fra 415 i mars. 137 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.63 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 37.5 Gbps og varte i 23 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2021

Den store nyheten denne måneden var kompromitteringen av titusenvis av Exchange-servere over hele verden. Microsoft meldte 2. mars om at avanserte angripere brukte fire nye og til da ukjente svakheter til å kompromittere Exchange-servere som var eksponert mot Internet. Exchange-tjenester hostet hos Microsoft var ikke rammet. Angrepene startet egentlig så tidlig som 6. januar og i begynnelsen var det den kinesiske APT-gruppen Hafnium som stod bak angrepene, som for det meste rammet mål i USA. Det er trolig spionasje som var formålet med operasjonen. Microsoft ga raskt ut patcher for svakhetene som ble utnyttet, men i de påfølgende dagene fikk flere trusselaktører tak i verktøyene for å utnytte svakhetene. Exchange-servere som ikke hadde blitt patchet ble kompromittert og disse ble brukt som brohode inn i mange bedrifter for å stjele data, installere programvare for å utvinne kryptovaluta eller å ta ned hele bedriften ved hjelp av ransomware.

I forbindelse med angrepet mot Exchange-serverne ble Stortinget kompromittert for andre gang i løpet av få måneder. Angrepet er under etterforskning og det er bekreftet at data fra eposter har blitt hentet ut. Etter at angrepet ble kjent gikk Stortinget ut og opplyste om at alle sikringstiltakene som ble vedtatt gjennomført etter det forrige angrepet nå har blitt gjennomført.

Google har oppdaget en hackergruppe som har utnyttet minst 11 forskjellige 0-dagssvakheter i deres ni måneder lange operasjon som ble gjennomført i 2020. Operasjonen har blitt omtalt tidligere, men Google slipper nå flere detaljer. Ofrene ble lurt inn på spesielt utformede nettsider og både Android, iOS og Windows brukere ble utnyttet. Svakhetene ble utnyttet etter hverandre, slik at angriperne til slutt kunne få tilgang til det underliggende operativsystemet, med permanent tilgang til enheten. Etter hvert ble det klart at operasjonen var en del av en vestlig stats anti-terror operasjon. Det har i etterkant vært diskusjoner om det er riktig å ta ned denne typen operasjoner eller ikke.

Sikkerhetsfirmaet Qualys har blitt frastjålet data via et vellykket angrep mot sine Accellion FTA-servere. Dette var del av en større kampanje som startet i desember 2020. I mars slapp Clop ransomware-gjengen skjermdumper som viser at de har fått tak i filer som tilhører Qualys. Dette inkluderer bestillinger, fakturaer, skatte-dokumentasjon og rapporter fra skanninger.

OVH er et hosting-selskap som tilbyr kapasitet i datasentre på forskjellige steder. Natt til 10. mars begynte deres datasenter SBG2 å brenne. SBG1, 2, 3 og 4 ble også stengt ned som følge av brannen. SBG2 ble helt ødelagt etter brannen og OVH ber kundene om å følge sine kriseplaner. Brannen viser hvor viktig det er å ha kopi av sine data på flere fysiske steder.

I desember ble Hurtigruten utsatt for et datainnbrudd. Det er nå funnet at personlige opplysninger om ansatte er på avveie på det mørke nettet, blant annet fødselsnumre og sykemeldinger. Ransomware-gjenger slipper gjerne slike opplysninger på det mørke nettet for å tvinge bedrifter til å betale. Senere i måneden ble også data fra angrepet mot Østre Toten kommune gjort tilgjengelig på det mørke nettet.

Oppdrettsleverandøren Akva Group ble rammet av et løsepengevirus i januar 2021. Selskapet anslår at de direkte kostnadene som følge av angrepet vil havne et sted mellom 40 og 50 millioner kroner. Da systemene ble rammet ble også alle sikkerhetskopier kryptert. Akva Group har ikke kommet med noen uttalelse om de har betalt løsepenger for å dekryptere filene. De melder at ingen data har gått tapt som følge av angrepet.

Telenor har lansert et nytt system for å redusere telefonsvindel. Systemet vil avdekke om mobilen med nummeret det ringes fra, er en mobil som faktisk befinner seg i Norge. Dersom den gjør det, men oppringingen skjer fra utlandet, vil det flagges som svindelforsøk og vises for mottaker som skjult nummer. Dette vil gjøre det lettere å identifisere svindel for mottakeren og spoofede nummer som benyttes til svindel vil ikke bli utsatt for store mengder anrop.

I mars håndterte TSOC 140 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 82 i januar. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt, sammen med Mac OS X-maskiner infisert av Shlayer-trojaneren.

Det var 415 bekreftede DDoS-angrep denne måneden, ned fra 349 i februar. 137 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.1 Gbps og varte i én time. Det største angrepet observert i denne perioden var på 32.2 Gbps og varte i 8 minutter. Syv av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2021

 Mandag 22. februar kveld fikk TietoEvry problemer med tjenester som ble levert til 25 av sine kunder. Dette skyldes et løsepengevirus som krypterte flere servere hos bedriften. NSM og Kripos er varslet og bistår selskapet med håndteringen av saken videre. Selskapet har opplyst at det ikke er noe som tyder på at personopplysninger er lekket. Så langt har det heller ikke blitt lekket data ut på det mørke nettet fra angrepet, noe som etter hvert har blitt vanlig ved denne typen angrep.

Nettkriminaliteten øker, men politiet henger ikke med, mener Riksrevisjonen. “– Kriminaliteten har flyttet seg fra gata til data. Det har dessverre ikke politiet”, uttalte riksrevisor Per-Kristian Foss i en pressemelding. I Riksrevisjonens rapport går det fram at politiet mangler oversikt over kriminaliteten som foregår digitalt og også mangler kompetanse og kapasitet til å etterforske den. Det er for lite samordning mellom politidistriktene, og internasjonalt samarbeid er vanskelig. Politidirektoratet og Justis- og beredskapsdepartementet har ikke prioritert dette høyt nok, heter det.

I februar ble det avslørt en skadevare-kampanje mot sårbare Centreon-systemer. Centreon er et fransk firma som produserer programvare for system- og nettverksmonitorering. Frankrikes Cyber-Security enhet knytter kampanjen mot Sandworm, som igjen knyttes til russlands militære etterretning GRU. Kampanjen skal ha pågått i årevis frem til 2020, hvor de første ofrene ble kompromittert allerede i 2017. Sikkerhetseksperter mener at denne kampanjen ikke er et forsyningskjede-angrep, men heller opportunistisk utnyttelse av sårbarheter i eksponerte systemer.

Appen Barcode Scanner av LAVABIRD LTD, som kunne lastes ned fra Google Play, gikk fra å være en legitim scanner-app til å inneholde malware/adware etter siste oppdatering. Appen vil etter oppdateringen åpne nettleseren og en rekke ondsinnede nettsider og annonser. Google Play har fjernet appen, men enheter med appen installert kan fortsatt bli rammet dersom appen har blitt oppdatert. Appen hadde over 10 millioner nedlastinger før den ble fjernet. Saken belyser et økende problem, nemlig at apper og nettleser-tillegg kjøpes opp og fylles med malware. For kriminelle er dette en forholdsvis billig måte å kjøpe seg eksponering mot millioner av brukere.

En sikkerhetsforsker har klart å få kontroll over interne systemer hos over 35 store IT-selskaper, inkludert Microsoft, Apple, PayPal, Netflix, Tesla og Uber, ved å laste opp ondsinnet kode til forskjellige kildekodelager på internett. Forskeren kom seg inn ved å laste opp editerte oppgraderingspakker til programvare med et høyere versjonsnummer, som deretter hentes ned automatisk av systemene hos selskapene. Det er dermed viktig at det blir verifisert hvilke kildelager som er tatt i bruk for henting av programmer hos alle systemer og om det er et internt eller eksternt lager som skal brukes. Dette angrepet er en variant av forsyningskjedeangrep.

Etter etterforskningssamarbeid mellom FBI, CISA, og the Department of Treasury, blir tre nordkoreanske hackere tiltalt for å ha stjålet over 1.2 milliarder dollar fra organisasjoner rundt om i verden. Hackerne skal tilhøre det nordkoreanske Reconnaissance General Bureau (RGB) som gjennom kampanjen "AppleJeus" har utført målrettede angrep mot firmaer som utfører transaksjoner med kryptovaluta og også tradisjonelle finansinstitusjoner.

Politi fra USA, UK, Belgia, Malta og Canada har arrestert 10 personer i USA, Malta og Belgia. Personene er mistenkt for en mengde SIM-swap angrep mot kjendiser, Internett-influensere og innhavere av store mengder krypto-valuta. Ved å ta kontroll over SIM-kortene til ofrene sine, skal da ha fått tak i verdier for over 100 millioner dollar.

Google Project Zero melder om at rundt 25% av 0-dagssvakhetene som ble utnyttet i fjor er nære slektninger av 0-dagssvakheter som ble publisert tidligere. Disse svakhetene mener Project Zero at kunne vært unngått om det ble gjort bedre undersøkelser samt hatt bedre forståelse for hva som faktisk var feilen før man prøvde å fikse 0-dagssvakheten. Oppdateringene som leverandørene gir ut er ofte for spesifikke, og det skal bare en liten endring i angrepskoden til for å få den til å virke igjen.

Med det økende behovet for fjernaksess, øker også trenden for å tilegne seg og videreselge tilgang til nettverk. Firmaet Digital Shadows melder at RDP-tilganger i snitt går for 9765 dollar, og det er ofte ransomware-aktører som kjøper disse tilgangene. RDP og andre tjenester for fjerntilgang bør alltid gjemmes bak en trygg VPN-forbindelse med to-faktor autentisering.

I februar håndterte TSOC 82 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 83 i januar. Fortsatt er det klienter og servere infisert av malware som utvinner kryptovaluta som dominerer hendelsene.

Det var 349 bekreftede DDoS-angrep denne måneden, ned fra 457 i januar. 120 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.44 Gbps og varte i 14 minutter. Det største angrepet observert i denne perioden var på 395 Gbps og varte i 32 minutter. Ti av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2021

Den kjente sikkerhetsleverandøren Malwarebytes har blitt kompromittert av den samme trusselaktøren som stod bak SolarWinds-angrepet. Amerikanske tjenestemenn kaller aktøren UNC2452 / Dark Halo, og mener at den kan knyttes til russisk etterretning. Malwarebytes opplyser at innbruddet ikke er gjort via SolarWinds supply-chain hendelsen som skjdde tidligere i 2020. Innbruddet ble derimot gjort via en svakhet i et produkt for epost-sikkerhet, som var installert i deres Office 365-instans.Etter en undersøkelse av hendelsen, har Malwarebytes kommet frem til at angriperne kun hadde fått tilgang til ett fåtall av bedriftens interne eposter.

Hackerne som stod bak SolarWinds-innbruddet var i stand til å bryte seg inn i Microsoft Corporation og få tilgang til noe av selskapets kildekode, opplyste Microsoft på nyttårsaften. SolarWinds-saken er blant de mest ambisiøse cyber-operasjonene som noensinne er avslørt, og har kompromittert flere føderale etater og større firmaer. Microsoft opplyser at angriperne ikke har hatt tilgang til å gjøre endringer i kildekoden. Å lese kildekoden skal heller ikke gjøre det enklere å oppdage svakheter, i henhold til Microsoft.

En gruppe bestående av FBI, CISA, ODNI og NSA kalt Cyber Unified Coordination Group (UCG) jobber med å undersøke og håndtere angrepet gjennomført ved hjelp av SolarWinds Orion. De la i januar fram en pressemelding om arbeidet så langt. Her kunne de opplyse at over 18.000 kunder av SolarWindows fikk bakdøren installert, men kun et titall av disse ble utsatt for videre angrep. Gruppen mener også at det trolig er en russisk APT som står bak, hvor formålet er etterretning.

Natt til 9. januar ble det gjennomført et løsepengevirus-angrep mot Østre Toten kommune. Angriperne har ifølge kommunen kommet seg bak brannmuren og slettet sikkerhetskopier, og deretter kryptert alle datasystemer de har fått tilgang til. Kommunen måtte i flere dager delvis gå over til manuelle rutiner. Oppbygging av systemene har i ettertid tatt flere uker. Det er så langt ukjent hvordan angriperne fikk tilgang til det interne nettverket til kommunen.

Mandag 11. januar meldte også oppdrettsleverandøren Akva Group at de hadde mottatt krav om  løsepenger etter et dataangrep. Angrepet satte deler av deres systemer ut av spill. Teknologiselskapet leverer utstyr og tjenester til oppdrettsnæringen, og omsetter for rundt tre milliarder kroner i året.

Ciaran Martin, som var sjef for National Cyber Security Centre i UK til august i fjor, mener at ransomware-angrep er i ferd med å komme ut av kontroll. Han mener at forsikringsselskapene bidrar til problemet, siden det enkleste og billigste for firmaer med forsikring ofte er å betale løsepengene.

Googles trusselanalysegruppe (TAG) publiserte en blogg-post hvor de informerer om at det har blitt identifisert en pågående kampanje mot sikkerhetsforskere som jobber med sårbarhetsforskning og utvikling hos forskjellige selskaper. Angriperne bruker flere sosiale medieplattformer og epost til å levere ondsinnet kode og bakdører til spesifikke personer. Angriperne har blant annet satt opp et nettsted med reelle artikler om relevante svakheter som ble brukt til vannhullsangrep. Angrepskode på denne bloggen skal ha kompromittert fullt patchede Chrome-nettlesere. I andre tilfeller fikk ofrene oversendt Visual Studio-prosjekter med bakdører. Det antas at myndighetene i Nord-Korea står bak og at målet er å samle inn informasjon om nye svakheter for å bruke dem i videre operasjoner.

Selskapet Mimecast, som lager sikkerhetsprodukter for epost, sier i en uttalelse at de har vært utsatt for en avansert trusselaktør som har klart å kompromittere sertifikatene som benyttes for å kryptere kommunikasjonen mellom selskapets produkter og Microsoft sine skytjenester. Mimecast ble varslet om forholdet av Microsoft. Uavhengige sikkerhetseksperter spekulerer i om dette angrepet kan ha blitt utført av samme trusselaktør som stod bak angrepet mot SolarWinds. Angrepet kan ha gjort det mulig å lese eposter og andre data i kundenes Microsoft 365-kontoer.

Sønstebyprisen er en pris som tildeles de som i krigshelt Gunnar Sønsteby sin ånd, forsvarer demokratiske verdier i Norge. I år gikk prisen til en rekke organisasjoner som har en sentral rolle i å forsvare verdens mest digitale folkeslag mot digitale trusler. Med andre ord, prisen ble tildelt landets cyberforsvarere. Virksomhetene som mottar prisen er FSH/Cyberingeniørskolen, Etterretningstjenesten, Kripos NC3, Telenor Norge, Næringslivets Sikkerhetsråd, Politiets sikkerhetstjeneste (PST), NTNU, Nasjonal sikkerhetsmyndighet (NSM), Norsk Senter for Informasjonssikring – NorSIS, CSS og Norwegian Maritime Cyber Resilience Centre (Norma Cyber).

I januar håndterte TSOC 83 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 112 i desember i fjor. I januar ble de fleste kompromitterte maskinene brukt til å utvinne kryptovaluta.

Det var 457 bekreftede DDoS-angrep denne måneden, opp fra 361 i desember i fjor. 128 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.9 Gbps og varte i 16 minutter. Det største angrepet observert i denne perioden var på 269 Gbps og varte i fire timer. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for desember 2020

Datainnbruddet som Stortinget ble rammet av i august ble ferdig etterforsket av PST i desember. Etterforskningen viste at nettverksoperasjonen var en del av en større kampanje nasjonalt og internasjonalt, og har pågått ihvertfall siden 2019. Analysene viser at det mest sannsynlig dreier seg om aktøren som omtales som APT28/Fancy Bear. Denne aktøren knyttes til Russlands militære etterretningstjeneste GRU, mer spesifikt deres 85. hovedsenter for spesielle tjenester. Påtalemyndigheten har besluttet å avslutte etterforskningen på bakgrunn av at det til nå ikke er frembrakt tilstrekkelige opplysninger til at det kan utferdiges en tiltale for brudd på straffeloven (§121).

Det finske parlamentet opplyste 29. desember at de også var utsatt for et data-angrep høsten 2020. E-post-kontoene til flere politikere ble angrepet og innhold i e-postene lest av uvedkommende. Angrepet skjedde i samme periode som angrepet mot det norske Stortinget, og det er antakeligvis en sammenheng.

8. desember meldte FireEye om et målrettet angrep mot firmaet. Angriperne fikk blant annet tak i deres interne angreps-verktøy for Red Team-oppdrag. FireEye slapp derfor signaturer for å oppdage bruk av disse verktøyene, i tilfelle angriperne ville bruke disse verktøyene mot andre mål for videre innbrudd. Washington Post meldte at det var mistanke om at det var den russiske grupperingen APT-29/Cozy Bear som stod bak angrepet, som regnes som å være underlagt den russiske utenlandske etterretningen.

13. desember kom det fram at angrepet mot FireEye også hadde rammet andre organisasjoner og firmaer. Blant ofrene er DHS (Department of Homeland Security), flere andre viktige departementer i USA, Microsoft samt “National Nuclear Security Administration”. Hos Microsoft fikk angriperne blant annet tilgang til kildekoden til Windows operativsystemet. Angrepet ble utført ved å kompromittere interne systemer hos programvareleverandøren Solarwinds. Gjennom disse systemene ble kildekoden til programvaren “Orion” endret til å inneholde en bakdør. Orion er et verktøy som brukes av svært mange større organisasjoner for å holde orden på og patche interne datasystemer. Dette dreide seg altså om et avansert forsyningskjede-angrep.

De manipulerte utgavene av Orion-programmet ble lagt ut på Solarwinds sine sider for nedlasting i mars 2020, og har deretter blitt lastet ned og installert av rundt 18000 organisasjoner. Selv om angriperne i realiteten har hatt tilgang til alle disse, er det bare et mindretall ofre som har blitt valgt ut for videre innbrudd, noe som antakeligvis skyldes at de ville holde en lav profil for å minimere muligheten for å bli avslørt. Dersom et mål ble utvalgt for videre målrettet innbrudd, ble en bakdør kalt “Sunburst” lastet ned til systemet og angriperne fikk kontroll over systemet. Hele operasjonen bærer preg av langvarig planlegging og mye innsats for å ikke bli avslørt.

Russisk statsstøttede hackere har i et separat angrep forsøkt å kompromittere Microsoft Azure-kunder og stjele e-poster fra minst én bedrift fra den private sektoren, sikkerhetsfirmaet CrowdStrike. Innbruddsforsøket skjedde gjennom en tredjepart som håndterer lisenser for Microsoft, og den har dermed tilgang til lisensnøkler og kundedata. Saken retter oppmerksomheten mot hvem som egentlig har tilgang til kunders data i skytjenester. CrowdStrike har etter hendelsen laget et gratis verktøy for å gi Microsoft-kunder bedre oversikt over hvem som har tilgang til dataene deres i skyen.

Operasjonen First Light, koordinert av INTERPOL, har ført til mer enn 20 000 arrestasjoner i 35 land spredt over alle kontinenter. I over ett år har det blitt samlet inn informasjon om aktører innen telefoni- og Internett-svindel, med avslutning i en mengde samtidige arrestasjoner. Dette er den første operasjonen hvor lokale politimyndigheter har utført en koordinert, global operasjon i samarbeid med INTERPOL. Nøkkeltall for operasjonen: 10 380 lokasjoner raidet, 21 549 arrestasjoner, 310 bankkontoer frosset, 154 millioner amerikanske dollar beslaglagt.

En Google-forsker har brukt karantenetiden til å oppdage og utforske en kritisk svakhet i kjernen til iOS. Svakheten gjorde det mulig å få full kontroll over alle iPhones som befant seg innenfor WiFi-rekkevidde. Offeret merket ingenting av innbruddet eller at data ble hentet ut fra enheten. Forskeren har skrevet en svært detaljert gjennomgang av hvordan han gikk fram. Apple lanserte en patch for svakheten med iOS 13.5, som ble utgitt i mai 2020. Svakheten var også "ormbar", noe som betyr at den kunne ha blitt brukt til å få malware til å spre seg fra én iPhone til alle andre iPhones innenfor radio-rekkevidde osv.

I desember håndterte TSOC 112 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 179 i november. Fortsatt er det en del MacOS-maskiner som blir infisert av trojaneren Shlayer. Mange maskiner blir også infisert av trojanere som driver med utvinning av krypto-valuta, ved å utnytte ledige prosesseringskapasitet på maskinen.

Det var 360 bekreftede DDoS-angrep denne måneden, ned fra 431 i november. 116 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3 Gbps og varte i 26 minutter. Det største angrepet observert i denne perioden var på 47 Gbps og varte i åtte minutter. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.