Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

onsdag 6. januar 2021

Oppsummering av nyhetsbildet innen datasikkerhet for desember 2020

Datainnbruddet som Stortinget ble rammet av i august ble ferdig etterforsket av PST i desember. Etterforskningen viste at nettverksoperasjonen var en del av en større kampanje nasjonalt og internasjonalt, og har pågått ihvertfall siden 2019. Analysene viser at det mest sannsynlig dreier seg om aktøren som omtales som APT28/Fancy Bear. Denne aktøren knyttes til Russlands militære etterretningstjeneste GRU, mer spesifikt deres 85. hovedsenter for spesielle tjenester. Påtalemyndigheten har besluttet å avslutte etterforskningen på bakgrunn av at det til nå ikke er frembrakt tilstrekkelige opplysninger til at det kan utferdiges en tiltale for brudd på straffeloven (§121).

Det finske parlamentet opplyste 29. desember at de også var utsatt for et data-angrep høsten 2020. E-post-kontoene til flere politikere ble angrepet og innhold i e-postene lest av uvedkommende. Angrepet skjedde i samme periode som angrepet mot det norske Stortinget, og det er antakeligvis en sammenheng.

8. desember meldte FireEye om et målrettet angrep mot firmaet. Angriperne fikk blant annet tak i deres interne angreps-verktøy for Red Team-oppdrag. FireEye slapp derfor signaturer for å oppdage bruk av disse verktøyene, i tilfelle angriperne ville bruke disse verktøyene mot andre mål for videre innbrudd. Washington Post meldte at det var mistanke om at det var den russiske grupperingen APT-29/Cozy Bear som stod bak angrepet, som regnes som å være underlagt den russiske utenlandske etterretningen.

13. desember kom det fram at angrepet mot FireEye også hadde rammet andre organisasjoner og firmaer. Blant ofrene er DHS (Department of Homeland Security), flere andre viktige departementer i USA, Microsoft samt “National Nuclear Security Administration”. Hos Microsoft fikk angriperne blant annet tilgang til kildekoden til Windows operativsystemet. Angrepet ble utført ved å kompromittere interne systemer hos programvareleverandøren Solarwinds. Gjennom disse systemene ble kildekoden til programvaren “Orion” endret til å inneholde en bakdør. Orion er et verktøy som brukes av svært mange større organisasjoner for å holde orden på og patche interne datasystemer. Dette dreide seg altså om et avansert forsyningskjede-angrep.

De manipulerte utgavene av Orion-programmet ble lagt ut på Solarwinds sine sider for nedlasting i mars 2020, og har deretter blitt lastet ned og installert av rundt 18000 organisasjoner. Selv om angriperne i realiteten har hatt tilgang til alle disse, er det bare et mindretall ofre som har blitt valgt ut for videre innbrudd, noe som antakeligvis skyldes at de ville holde en lav profil for å minimere muligheten for å bli avslørt. Dersom et mål ble utvalgt for videre målrettet innbrudd, ble en bakdør kalt “Sunburst” lastet ned til systemet og angriperne fikk kontroll over systemet. Hele operasjonen bærer preg av langvarig planlegging og mye innsats for å ikke bli avslørt.

Russisk statsstøttede hackere har i et separat angrep forsøkt å kompromittere Microsoft Azure-kunder og stjele e-poster fra minst én bedrift fra den private sektoren, sikkerhetsfirmaet CrowdStrike. Innbruddsforsøket skjedde gjennom en tredjepart som håndterer lisenser for Microsoft, og den har dermed tilgang til lisensnøkler og kundedata. Saken retter oppmerksomheten mot hvem som egentlig har tilgang til kunders data i skytjenester. CrowdStrike har etter hendelsen laget et gratis verktøy for å gi Microsoft-kunder bedre oversikt over hvem som har tilgang til dataene deres i skyen.

Operasjonen First Light, koordinert av INTERPOL, har ført til mer enn 20 000 arrestasjoner i 35 land spredt over alle kontinenter. I over ett år har det blitt samlet inn informasjon om aktører innen telefoni- og Internett-svindel, med avslutning i en mengde samtidige arrestasjoner. Dette er den første operasjonen hvor lokale politimyndigheter har utført en koordinert, global operasjon i samarbeid med INTERPOL. Nøkkeltall for operasjonen: 10 380 lokasjoner raidet, 21 549 arrestasjoner, 310 bankkontoer frosset, 154 millioner amerikanske dollar beslaglagt.

En Google-forsker har brukt karantenetiden til å oppdage og utforske en kritisk svakhet i kjernen til iOS. Svakheten gjorde det mulig å få full kontroll over alle iPhones som befant seg innenfor WiFi-rekkevidde. Offeret merket ingenting av innbruddet eller at data ble hentet ut fra enheten. Forskeren har skrevet en svært detaljert gjennomgang av hvordan han gikk fram. Apple lanserte en patch for svakheten med iOS 13.5, som ble utgitt i mai 2020. Svakheten var også "ormbar", noe som betyr at den kunne ha blitt brukt til å få malware til å spre seg fra én iPhone til alle andre iPhones innenfor radio-rekkevidde osv.

I desember håndterte TSOC 112 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 179 i november. Fortsatt er det en del MacOS-maskiner som blir infisert av trojaneren Shlayer. Mange maskiner blir også infisert av trojanere som driver med utvinning av krypto-valuta, ved å utnytte ledige prosesseringskapasitet på maskinen.

Det var 360 bekreftede DDoS-angrep denne måneden, ned fra 431 i november. 116 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3 Gbps og varte i 26 minutter. Det største angrepet observert i denne perioden var på 47 Gbps og varte i åtte minutter. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

 
>