Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 10. august 2021

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2021

Kaseya VSA er et produkt som vanligvis blir brukt av MSPer (Managed Service Providers) for å drifte og overvåke sine kunders IT-miljøer. Programvaren ble fredag 2. juli utnyttet i et forsyningskjede-angrep for å levere REvil løsepengevirus til tusenvis av organisasjoner. Angrepene har vært rettet mot over 40 tjenesteleverandører og kunder av Kaseya. Dette har påvirket over 1000 bedrifter i 17 forskjellige land. Den svenske Coop-kjeden måtte for eksempel holde over 800 butikker stengt i flere dager, etter at leverandøren av kasse-løsningen gikk ned på grunn av angrepet. Angrepet ble gjennomført ved å utnytte en zero-day svakhet i Kaseya VSA-servere som var direkte eksponert mot Internet. Tilgangen ble deretter brukt til å spre løsepengevirus til alle klientene som serveren kontrollerte. Zero-day svakheten som ble brukt av angriperne var allerede fikset av Kaseya og patchen skulle snarlig sendes ut til kundene. REvil var dessverre raskere med å utnytte svakheten. REvil fremsatte et krav på $70 millioner for å låse opp igjen alle de rammede systemene etter angrepet. Den 13. juli forsvant REvil sine nettsider fra nettet, og de har ikke dukket opp igjen siden. Den 22. juli ble det meldt at Kaseya hadde fått tak i en dekrypteringsnøkkel som kunne brukes av alle de rammede kundene. Det er uklart hvordan Kaseya fikk tak i nøkkelen.

29. juni la et sikkerhetsfirma ut en demonstrasjon på Twitter som viste hvordan en feil i Windows Print Spooler kunne utnyttes. Microsoft hadde patchet en feil i denne Windows-komponenten tidligere i juni (CVE-2021-1675), og mange trodde først at det var en exploit mot denne svakheten som ble demonstrert. Sikkerhetshullet kan brukes av lokale brukere, samt autentiserte brukere over nettet, til å ta full kontroll over en Windows-server. Det viste seg snart at svakheten som ble demonstrert ikke ble patchet av Microsoft sin juni-oppdatering og Microsoft allokerte et nytt CVE-nummer til den: CVE-2021-34527. Det ble også bekreftet at svakheten fungerte mot alle versjoner av Windows. Den 6. juli ga Microsoft ut en haste-oppdatering for svakheten, men det viste seg snart at denne ikke dekket alle varianter. Angripere kunne fortsatt utnytte svakheten lokalt, og også via nettverket på noen konfigurasjoner av Windows.

15. juli ble det sluppet detaljer om enda en svakhet i Windows Print Spooler. Denne svakheten gir en lokal bruker mulighet til å oppnå system-rettigheter og har fått benevnelsen CVE-2021-34481. Foreløpig finnes det ingen patch for denne, men svakheten kan midlertidig unngås ved å slå av Print Spooler Service.

NSA, CISA, FBI og NCSC har delt informasjon om at det russiske militæret (FRU) er ansvarlige for flere store brute-force angrep (gjetting av brukernavn og passord) mot nettsky-leverandører. Angrepene har vært pågående siden minst midten av 2019. Aktøren er omtalt som APT28 og Fancy Bear og brukte et Kubernetes-kluster for å angripe epost-tjenere innenfor offentlige og private sektorer i flere land. De benyttet seg av kompromitterte brukerkontoer og svakheter i Microsoft Exchange server kjent som CVE-2020-0688 og CVE-2020-17144. For å skjule angrepene benyttet aktøren seg av Tor-nettverket og flere kommersielle VPNer.

Et samarbeid mellom flere mediehus og Amnesty International har avslørt at spionprogrammet Pegasus har blitt brukt til å avlytte telefonene til en mengde journalister og aktivister. Pegasus er utviklet og eid av det Israelske selskapet NSO group som selv sier at programmet kun skal brukes til å overvåke terrorister og kriminelle. Fransk etterretning har senere bekreftet at spionvaren var installert på telefonene til minst tre franske journalister. Antakelig blir Pegasus installert på iPhone-enheter ved hjelp av en svakhet som infiserer telefonen, uten at brukeren ser noe tegn til unormal aktivitet. Det kan være at svakheten ble patchet i iOS versjon 14.7.1, men dette er ikke helt avklart enda og Apple har ikke kommentert svakheten.

I juli håndterte TSOC 40 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og  Logganalyse, ned fra 80 i juni. Nedgangen skyldes antageligvis mindre aktivitet grunnet fellesferien. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt. Denne måneden har det også vært flere PCer infisert av trojaneren Torpig/Sinowal.

Det var 233 bekreftede DDoS-angrep denne måneden, opp fra 214 i juni. 78 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.5 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 67 Gbps og varte i 13 minutter. To av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

 
>