Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 6. desember 2022

Oppsummering av nyhetsbildet innen datasikkerhet for november 2022

Microsoft har sluppet ny "Digital Defense Report" for 2022 med fokus på krigen i Ukraina, hvor det kommer frem at det generelt har vært en økning av aggressive angrep på nett fra land med autoritære ledere. Det siste året har angrep mot kritisk infrastruktur fra nasjonalstater økt fra 20% av alle angrep til 40%, noe som i stor grad skyldes Russlands stadige angrep mot Ukraina. Iran har også utført flere dristige angrep mot EU-stater og Israel etter overgangen til ny president. Nord-Korea, som inntok sin mest aggressive periode med missiltesting i første halvår av 2022, har stått bak tyveri fra luftfarts og forsknings-miljøer over hele verden. Kina økte sin spionasje og datatyverier som et forsøk på å øke sin regionale innflytelse i Sørøst-Asia og motvirke økende interesse fra USA. Mange av angrepene fra Kina er utført med helt ferske og ukjente svakheter, såkalte 0-day angrep. Borgere i Kina som oppdager nye svakheter i programvare er nå pålagt å melde fra om disse til myndighetene først.

Et angrep på en underleverandør av IT-systemer til DSB (Danske Statsbaner) førte til at nesten alle tog i Danmark måtte stanse i flere timer og flere tog var forsinket helt til neste dag. Leverandøren Supeo hadde blitt rammet av et løsepengevirus og slo av serverne sine. Dette førte til at en kritisk app for togførere ikke lengre fungerte og togene måtte stoppes av sikkerhetshensyn. Appen gir vanligvis informasjon om fartsgrenser, arbeid på linjene osv.

Australia har i de siste ukene vært utsatt for flere alvorlige cyber-angrep som også har involvert løsepenger. Medibank og Optus er blant firmaene som har blitt rammet, noe som har resultert i at store mengder personlig informasjon for kunder og ansatte er på avveie. Australske myndigheter vurderer nå å forby betaling av løsepenger, for å forsøke å få hackere til å holde seg unna landet. Det har også blitt opprettet en cyber-politi-enhet som skal kjempe tilbake mot angriperne. Enheten har medlemmer både fra det føderale politiet (AFP) og utenlandsetteretningen (ASD). Gruppen skal ha tillatelse til å utføre cyber-angrep mot kriminelle.

Nettstedet "ispoof", som har blitt brukt for å selge tjenester relatert til spoofing/forfalskning av bedrifters telefonnummer, har blitt tatt ned av politimyndigheter fra Europa, Australia og USA. Nettstedet skal ha tjent over 3,7 millioner euro i løpet av 16 måneder, samt forårsaket et estimert tap på 115 millioner euro globalt i forbindelse med svindel. 142 personer har blitt arrestert, inkludert administratoren av nettstedet.

Interpol kunngjorde også denne måneden at de hadde beslaglagt $130 millioner i virtuell valuta etter en global aksjon mot finansiell kriminalitet og hvitvasking av midler. Aksjonen har fått navnet HAECHI-III, har pågått siden juni i år og har ført til arrestasjon av 975 personer. Sakene omfatter blant annet pyramidespill og call-center aktivitet relatert til svindel.

Cloud9 er et nytt botnet som kommer i form av en nettleser-utvidelse. Skadevaren oppfører seg som en fjern-tilgang trojaner og har flere funksjoner, blant annet lagring av tastetrykk, cookie-stjeling og mulighet for å få en infisert PC til å delta i DDoS-angrep. Frem til nå har skadevaren kun blitt spredd via falske eksekverbare filer og skadelige nettsider kamuflert som Flash Player-oppdateringer. Det er ikke funnet spor av at den spres via nettleseres innebygde nedlastings-tjenester for utvidelser.

Flere nyere phishing-kampanjer har lagret skadevare, opprettet phising-infrastruktur og gjennomført andre angrep som har benyttet seg av lagring av data hos InterPlanetary Filesystem (IPFS) . IPFS er ett peer-to-peer nettverk som replikerer data på tvers av flere noder. Nettverket er laget for høy tilgjengelighet og å være motstandsdyktig mot sensur. Dette gjør at nettverket dessverre er velegnet for kriminell virksomhet, sammen med andre legitime bruksområder.

Et lenge nedlagt undergrunnsmarked for narkotika på det mørke nettet kalt the Silk Road, har vist seg å være en gullgruve for amerikanske myndigheter. I går annonserte US Department of Justice at de har siktet en mann fra Georgia for å ha stjålet over 50.000 bitcoin fra Silk Road i 2012, verdt over 3 milliarder dollar. James Zhong har allerede innrømmet saken. Nøklene til verdiene var lagret i en liten datamaskin, gjemt i en Popcorn-boks som igjen var gjemt under gulvplankene på badet.

I november håndterte TSOC 124 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 113 i oktober. Denne måneden er det nok en gang en del maskiner som har blitt infisert av malwaren Banload, som typisk laster ned enda mer malware til en rammet maskin. Vi ser også informasjons-stjeleren Red Line og diverse malware som utvinner kryptovaluta på infiserte maskiner.

Det var 176 bekreftede DDoS-angrep denne måneden, ned fra 263 i oktober. 74 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.13 Gbps og varte i 27 minutter. Det største angrepet observert i denne perioden var på 67 Gbps og varte i 24 timer. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

mandag 7. november 2022

Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2022

Albania har vært rammet av flere bølger av cyber-angrep fra Iran, etter vedvarende konflikt mellom de to landene. Etter en bølge med angrep i juli, ble landet tvunget til å slå av mange offentlige tjenester, noe som skapte store forsinkelser i betalinger og utstedelse av dokumenter for innbyggerne. Denne måneden kom det fram at Albania vurderte å utløse NATOs artikkel 5 i forbindelse med angrepene, men valgte til slutt å ikke gjøre det da ingen mennesker ble direkte fysisk skadet.

2.4TB med data som omhandler Microsofts kunder har vært åpent tilgjengelig på nettet i flere år, siden dataene ved en feil var lagret i en åpen Azure lagrings-instans. Informasjonen som var tilgjengelig var blant annet signerte fakturaer, kontrakter, kontaktinformasjon og epost-adresser til 65,000 kunder i løpet av fem år. Microsoft har fått kritikk i forbindelse med hvordan de har håndtert den nylige sikkerhetsglippen etter mangelfull informasjon og ufarliggjøring av hendelsen.

Lazarus-gruppen er den siste i en rekke av grupper som har utnyttet teknikken kalt BYOVD (Bring Your Own Vulnerable Driver). Gjennom å installere en gammel sårbar driver signert av Dell, klarte angriperne å slå av all virusbeskyttelse i Windows. Initiell tilgang til maskinen ble oppnådd gjennom Word-dokumenter som inneholdt fiendtlige makroer. Etter å ha slått av virusbeskyttelsen kunne angriperne installere en bakdør. Fortsatt finnes det mange sårbare drivere som kan utnyttes på denne måten for å få utvidet tilgang til Windows-systemer. Microsoft har en liste over drivere som Windows automatisk skal blokkere, men det viser seg at noen versjoner av Windows ikke har mottatt oppdaterte versjoner av listen.

Avisen Daily Mail hevder at telefonen til eks-statsminister Liz Truss var kompromittert av agenter fra Kremlin, mens hun var utenriksminister. Hackingen av mobilen kan ha tilgjengeliggjort sensitiv informasjon for angriperne. Etter at operasjonen ble oppdaget, ble telefonen plassert i en låst safe for å unngå videre lekkasje av informasjon. Flere forlanger nå en offisiell gransking av den påståtte hendelsen.

Microsoft har lagt til en ny “group policy” som låser kontoer i 10 minutter etter 10 feilede innloggingsforsøk mot en Windows-bruker. Dette gjelder både for standard-brukere og administrator-brukere. Funksjonen er automatisk slått på for nye installasjoner av Windows 11, men kan også skrus på for eksisterende installasjoner eller Windows 10. Denne nye standard-innstillingen vil gjøre det vanskeligere å gjennomføre angrep mot Windows-maskiner på innsiden av bedriftsnettverk ved hjelp av gjetting av passord.

En av Australias største leverandører av privat helseforsikring, Medibank Private Limited, gikk denne måneden ut med informasjon om at de hadde blitt utsatt for datainnbrudd. Angriperne hevder at de har fått tilgang til 200 GB med sensitiv informasjon om 9.7 millioner kunder, inkludert helseopplysninger, og truer nå med å selge denne informasjonen dersom Medibank ikke betaler et større beløp. Videre truer angriperne med å kontakte de 1000 mest prominente kundene og vise dem deres egne opplysninger. Dette som en "advarsel" til Medibank, som har sagt at det ikke blir aktuelt å betale løsepenger.

Sikkerhetsforskere annonserte denne uken at de har oppdaget en ny sårbarhet i logiske kontrollere (PLC) fra Siemens. Denne typen kontrollere brukes til styringssystemer i OT (Operasjonell Teknologi). Ved hjelp av sårbarheten kan man hente ut hardkodede kryptografiske nøkler fra enhetene. Disse nøklene gjør det mulig å komme seg forbi alle de fire nivåene av tilgangs-beskyttelse og utføre avanserte angrep. Siemens har publisert oppdateringer for å fikse sårbarheten og poengterer at produktet ble laget for nesten 10 år siden. Sikkerhetsløsningene som ble valgt den gangen er ikke lengre tilstrekkelige, men mange produksjonssystemer bruker dessverre gammelt utstyr.

Norske mobiloperatører går sammen om å sette en stopper for muligheten til å utgi seg for å ringe fra  faste telefonnumre tilhørende norske bedrifter og etater, kjent som “spoofing”. Fra før har spoofing av mobilnumre vært sperret, men nå sperres også oppringninger fra fasttelefonnumre. Tiltaket er koordinert gjennom ITAKT – Internet og telekombransjens anti-kriminalitets tiltak.

I oktober håndterte TSOC 113 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 125 i september. Denne måneden er det nok en gang nettleserutvidelser med uærlige hensikter som dominerer. Vi har også sett noen tilfeller av Windows-maskiner som har blitt infisert av malware av typen Banload og Glupteba. Til tross for økt beredskap og årvåkenhet i forbindelse med den spente sikkerhetssituasjonen ble det ikke observert noen hendelser utenom det vanlige.

Det var 263 bekreftede DDoS-angrep denne måneden, ned fra 267 i september. 70 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 35 Gbps og varte i 21 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

torsdag 6. oktober 2022

Oppsummering av nyhetsbildet innen datasikkerhet for september 2022

Denne måneden ble flere bedrifter kompromittert ved hjelp av angrep som benyttet seg av sosial manipulering. Den første bedriften som ble tatt var Uber. Hackeren delte skjermbilder på sosiale medier som viste tilgang til flere interne systemer. Den initielle tilgangen til nettet ble kjøpt på det mørke nettet. En ansatt hos Uber hadde fått kompromittert sin private PC, og VPN-innloggingen til Ubers bedriftsnettverk ble på denne måten kompromittert. Uber benyttet seg av to-trinns bekreftelse ved hjelp av godkjennelse av innloggingen via mobiltelefon, men hackeren ringte opp offeret og overbeviste vedkommende om å godta innloggingen.

Senere i måneden ble også Rockstar Games rammet av datainnbrudd. Inntrengerne lastet ned store mengder kildekode, bilder og videofiler. Noe av dette ble offentliggjort på nettet, blant annet videofiler av en uferdig utgave av det kommende storspillet GTA 6. Mot slutten av måneden opplyste politi i London som jobber med cyberkriminalitet at de hadde foretatt en pågripelse i forbindelse med innbruddene mot Uber og Rockstar Games. Den pågrepne er 17 år og skal ha forbindelser til Lapsus$-gruppen, som har stått bak en rekke datainnbrudd tidligere i år, mange gjennomført ved hjelp av sosial manipulering.

Cyber sikkerhetsfirmaet GTSC fra Vietnam informerte mot slutten av måneden om to nye sårbarheter i Microsoft Exchange Server, som de opplyste at hadde blitt utnyttet siden august. Sårbarhetene minner om ProxyShell-svakheten som rammet Exchange i 2021, men denne svakheten krever en autentisert bruker for å bli utnyttet. Microsoft kom raskt med informasjon om svakheten og forslag til hvordan den kan uskadeliggjøres mens de jobber med en patch.

Forskere ved Mandiant har gjennomført analyse av en ny type skadevare som angriper VMware ESXi Hypervisor. Skadevaren krever at angriperen allerede har fått tilgang til serveren for å installeres. ESXi-servere har ofte ikke installert EDR (Endpoint Detection and Response) og det kan derfor ofte være vanskelig å avsløre skadevare på denne typen utstyr. Den nye skadevaren har flere metoder for å beholde administrator-tilgang, kan sende kommandoer som blir eksekvert på gjeste-VMer, filoverføring mellom hypervisor og VMer, manipulering av logger og kjøring av vilkårlige kommandoer mellom VMer på samme hypervisor. VMware har også gitt ut en veiledning med råd om hvordan en kan beskytte seg mot denne nye trusselen.

Amerikanske myndigheter offentliggjorde en liste med sanksjoner, siktelser og dusører knyttet til en gruppe iranske statsborgere. Disse er anklaget for å samarbeide med Iranske myndigheter for å utføre løsepenge-angrep mot hundrevis av amerikanske sykehus, statlige organisasjoner, ideelle organisasjoner og bedrifter. Amerikanerne sier de har vært aktive siden 2020. Det blir utlovet dusør på opp til $10 millioner for informasjon om tre navngitte personer, som også identifiseres med bilder. Gruppen har skannet Fortinet FortiOS og Microsoft Exchange Servere for sårbarheter siden tidlig 2021 for å oppnå tilgang til systemer. Hovedsakelig er det organisasjoner fra USA, Storbritannia og Australia som har vært mål. Både kryptering av systemene og trusler om å lekke interne data har blitt brukt for å få utbetalt løsepenger.

Den Iranske aktøren TA453 har sendt ut eposter til potensielle ofre med flere av aktørens egne epost-adresser på CC. Deretter gjennomfører de en falsk e-postutveksling mellom de falske e-postkontoene for å bygge troverdighet. I løpet av utvekslingen har de også sendt lenker til OneDrive-kontoer hvor offeret blir forsøkt lurt til å laste ned en ondsinnet fil. Angrepsmetoden har fått navnet "Multi-persona impersonation" (MPI) av etterforskere hos Proofpoint, som først oppdaget den nye teknikken.

Google melder at tidligere medlemmer av ransomware-gruppen Conti har bygget om mange av verktøyene sine for å utføre målrettede angrep mot Ukrainske organisasjoner. Trusselaktøren UAC-0098 har historisk gjennomført ransomware-angrep med trojaneren IceID. Aktøren har nå gått over til hovedsakelig å angripe mål i Ukraina og også noen andre europeiske mål relatert til krigen. Google mener at aktøren retter seg mer mot Ukraina for å understøtte Russlands krigføring mot landet. UAC-0098 har gjennomført en rekke phishing-kampanjer mot statlige og private organisasjoner i Ukraina. Blant annet sendte de ut en e-post som tilsynelatende så ut som at den kom fra representanter for Elon Musk. Den inneholdt imidlertid ondsinnede lenker som skulle se ut som en software-oppdatering for StarLink-satellitter.

Microsofts Detection and Response Team (DART) har gjennomført en etterforskning etter cyber-angrepene mot Albania i midten av juli. Angrepene forstyrret myndighetenes nettsider og offentlige tjenester og ble gjennomført av en iransk gruppe. Samtidig som angrepene skjedde, var det en annen iransk gruppe som lekket data som hadde blitt eksfiltrert i et angrep gjennomført tidligere i år. Etter angrepene har Albania kuttet alle diplomatiske forbindelser med Iran og har bedt alt ambassadepersonell om å forlate landet.

Mandiant har navngitt en ny trusselaktør, APT42. Mandiant slår fast at dette er en cyberspionasje-gren i Irans revolusjonsgarde, som blant annet har truet med å drepe amerikanske statsborgere. Gruppen benytter seg av spear-phishing mot både privatpersoner og bedrifter. Operasjonene kan foregå over lang tid og benytter seg av sosial manipulasjon. Målet er å stjele innloggingsinformasjon og ofte installere Android spyware på ofrenes telefoner. APT42 retter seg mot minst 14 land, deriblant USA, Australia, flere europeiske land og land i midtøsten. Gjennom APT42 prøver Iran å hente inn informasjon som er relevant for landet og holde kontroll over dissidenter i utlandet.

Tidligere i år stjal nordkoreanske hackere kryptovaluta for rundt $600 millioner fra kryptoplattformen Ronin Network, som brukes av spillet Axie Infinity. Analyse-firmaet Chainalysis har nå hjulpet amerikanske myndigheter med å få tilbake $30 millioner av verdiene. Så langt er det ukjent hvordan dette har skjedd i praksis, men ofte skjer denne typen beslag når verdiene befinner seg på sentraliserte kryptobørser.

I september håndterte TSOC 125 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 64 i august. Denne måneden skyldes de fleste hendelsene malware som tar kontroll over nettleseren og serverer annonser og videresender brukeren til uønskede sider. Vi har også sett noen tilfeller av at maskiner har blitt infisert av “RedLine Stealer”. Dette er en type skadevare som laster ned lagrede brukernavn, passord og cookies fra en infisert PC. Disse blir så typisk solgt i ferdige “pakker” på det mørke nettet til høystbydende. Kjøperen kan da få tilgang til mange tjenester som brukeren av PCen var logget inn på.

Det var 267 bekreftede DDoS-angrep denne måneden, ned fra 309 i august. 121 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.67 Gbps og varte i 38 minutter. Det største angrepet observert i denne perioden var på 54 Gbps og varte i 13 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

mandag 5. september 2022

Oppsummering av nyhetsbildet innen datasikkerhet for august 2022

 Cisco ble 24. mai 2022 kjent med at de kanskje hadde blitt kompromittert. Siden har Cisco Security Incident Response (CSIRT) og Cisco Talos arbeidet med analyse og opprydding. Innloggingsdetaljer tilhørende en ansatt ble kompromittert, etter at en angriper fikk tilgang til den private Google-kontoen til vedkommende, og innloggingsdetaljer lagret i nettleseren ble hentet ut. Ved bruk av phishing klarte angriperne å få den ansatte til å akseptere multifaktor-autentisering iverksatt av angriper, som ga VPN-tilgang inn i Ciscos nettverk under den ansattes navn. Cisco tror så langt at angriperen ikke har fått tilgang til kritiske interne systemer. Angriperen ble etter hvert kastet ut av systemene, men gjorde i ukene etter gjentatte forsøk på å få tilbake tilgangene uten hell. Cisco Talos opplyser at det er høy sannsynlighet for at angriperen kan ha tilknytning til en trusselaktør som tidligere har solgt tilganger til grupperingene UNC2447, Lapsus$ og Yanluowang.

Twilio, et amerikansk sky-kommunikasjonsfirma, bekreftet at kundedata var på avveie etter et SMS-phishing angrep. Angriperene utga seg for å være Twilio sin IT-avdeling via SMS og ba de ansatte om å tilbakestille passordet sitt. Nettsiden de lenket til skal ha sett identisk ut som den ekte siden. CloudFlare ble også utsatt for samme type angrep fra den samme aktøren. Tre av de ansatte ble lurt, men angriperne fikk ikke tilgang til interne systemer, da CloudFlare benytter seg av hardware-nøkler for innlogging. Denne typen nøkler gjør at innlogging er umulig å gjøre fra andre maskiner enn der nøkkelen er fysisk satt inn.

Meldingstjenesten Signal brukte Twilio for å levere SMS-meldinger for å autentisere Signal-brukere. Angrepet mot Twilio førte til at angriperen fikk tilgang til 1900 mobiltelefonnumre som var knyttet til Signal-kontoer, og deretter kunne omregistrere Signal-kontoer over til nye mobiltelefoner. Flere kontoer ble omregistrert, og aktøren kunne dermed gi seg ut for å være disse brukerne. Meldingshistorikk og kontakter blir ikke overført av Signal ved bytte av mobil. Signal oppfordrer etter hendelsen alle deres brukere til å skru på registrerings-lås på Signal-kontoen. Dette gjør at en angriper ikke uten videre kan ta over kontoen din, selv om de får tilgang til tekstmeldingen for å flytte kontoen.

Firmaet Okta bekreftet mot slutten av måneden at også de var et av ofrene etter angrepet mot Twilio. Informasjon om brukere, telefonnummer og engangspassord ble hentet ut fra Twilio og brukt mot Okta i en større phishing-kampanje. Informasjonen som ble hentet ut ble så brukt i datainnbrudd mot over 130 organisasjoner i hele verden. Så langt ser det ikke ut til at norske firmaer er rammet. Aktøren bak denne phishing-angrepsbølgen har fått navnet “0ktapus” og det er ukjent hvem som står bak.

Twitter bekreftet i starten av august at informasjon knyttet til 5.4 millioner brukere ble stjålet i januar. Dette ble oppdaget etter at telefonnumre og epost-adresser tilhørende diverse Twitter-kontoer ble laget ut for salg på "Breach Forums". Informasjonen ble stjålet ved hjelp av et sikkerhetshull som gjorde det mulig å finne ut hvilken Twitter-konto et telefonnummer eller mailadresse tilhører ved å skrive det inn under innlogging. Twitter har fikset sikkerhetshullet, men anbefaler folk som har pseudonyme kontoer på Twitter om å fjerne epost-adresser og telefonnumre fra kontoen for å redusere framtidig risiko for å bli de-anonymisert. Senere i måneden gikk også Twitters forhenværende sikkerhetssjef Peiter "Mudge" Zatko offentlig ut med opplysninger om at Twitter har alvorlige mangler i deres forsvar mot data-angrep og dårlig håndtering av spam og falske kontoer.

Amerikanske myndigheter har utlovet en dusør på inntil 10 millioner dollar for informasjon som kan medføre arrestasjon av de fem lederne i Conti. Sammen med dusøren har myndighetene utgitt et bilde av "Target" som er en av lederne. De er også interessert i informasjon om de fire andre personene kjent som "Tramp", "Dandis", "Professor" og "Reshaev" som nå deltar i flere andre løsepengevirus-grupper etter at Conti ble oppløst. Det statlige programmet “The Rewards of Justice” står bak dusøren og er kjent for å utgi belønninger for informasjon om trusselaktører som kan påvirke nasjonale sikkerhet.

USA sanksjonerte i august Tornado Cash, som er en tjeneste for å anonymisere kryptovaluta-transaksjoner. Tjenesten har legitime bruksområder for anonymitet, men blir ofte misbrukt for ulovlig aktivitet som hvitvasking av penger. Finansdepartementet i USA anslår at Tornado Cash har blitt brukt til hvitvasking av over 6 milliarder USD i kryptovaluta siden 2019. Tornado Cash har ikke innført tilfredsstillende rutiner for å kontrollere og hindre ulovlig bruk, noe som har ført til at transaksjons-mikseren nå er svartelistet av USA. GitHub-kontoen som ble brukt til å vedlikeholde kildekoden til tjenesten er også slettet. Én av utviklerne av tjenesten ble også arrestert i Nederland og sitter fortsatt fengslet.

Samtlige 7-Eleven kiosker i Danmark ble rammet av data-angrep mandag 8. august. Kasseapparatene fungerte ikke lengre, noe som førte til at de ansatte ikke kunne ta imot betaling fra kunder. Det tok flere dager før kioskene gradvis begynte å åpne igjen. 7-Eleven drives i Danmark av "Reitan Convenience Denmark" som også eier Rema 1000 i Norge.

I august håndterte TSOC 64 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 9 i juli. Denne måneden skyldes de fleste hendelsene malware som tar kontroll over nettleseren og serverer annonser og videresender brukeren til uønskede sider. Etter sommeren ser vi også at en del maskiner har blitt infisert av skadevare som utvinner kryptovaluta.

Det var 309 bekreftede DDoS-angrep denne måneden, opp fra 198 i juli. 161 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.64 Gbps og varte i 23 minutter. Det største angrepet observert i denne perioden var på 104 Gbps og varte i 42 minutter. Én av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

tirsdag 9. august 2022

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2022

Mandag 4. juli ble nettsiden til NSM (Nasjonal Sikkerhetsmyndighet) utsatt for et tjenestenektangrep, sammen med en del  transport-firmaer som Bastø Fosen og Boreal. Angrepet minner om angrepsbølgen som traff flere norske nettsteder i slutten av juni, der grupperingen Killnet stod bak. Denne gangen var det den russisk-vennlige grupperingen "NoName057" som tok på seg ansvaret. Nedetiden for tjenestene var ikke langvarig.

Google har skrevet en blogg-post om hacker-grupper som bedrifter og privatpersoner kan leie tjenester fra på timebasis. Disse gruppene blir gjerne brukt i angrep mot politiske aktivister, advokater og journalister. De kan også leies inn til å utføre industrispionasje. Reuters har også skrevet en spesial-rapport om en indisk gruppering som har spesialisert seg i å hacke advokatkontorer. I forbindelse med rettssaker kan det ha svært stor verdi å få tak i motpartens saksdokumenter.

Project Zero, et team av sikkerhetsanalytikere ansatt hos Google, rapporterer at 18 nulldagssårbarheter har blitt oppdaget og utnyttet så langt i 2022. Minst ni av svakhetene er varianter av tidligere sårbarheter fra 2021, der flere lett kunne blitt unngått med grundigere analyse og patching av sårbarheten. Nulldagssårbarhetene påvirker produkter som Windows, iOS og Chromium. 

Apple har sluppet en testversjon av en ny funksjon for iOS som heter "Lockdown Mode" hvor de fleste typer vedlegg og forhåndsvising av web-linker vil bli blokkert. Lockdown mode vil også skru av kablede forbindelser til PCer og tilbehør. Den nye modusen kan enkelt skrus av og på av brukeren. Funksjonen er ment brukt av personer som har høy risiko for å bli utsatt for målrettede angrep med kommersiell spionprogramvare, f.eks. fra NSO Group.

Nye versjoner av Windows 11 kommer nå med "Account Lockout Policy" skrudd på som standard. Dette fører til at bruker- og admin-kontoer blir automatisk låst i ti minutter etter ti mislykkede forsøk på innlogging. Microsoft sin VP David Weston skriver at å prøve å logge inn gjentatte ganger automatisk (brute-force) er en populær teknikk for å bryte seg inn i Windows-miljøer via Remote Desktop Protocol (RDP). Microsoft har også planer om å sakte men sikkert blokkere andre populære angrepsvektorer som brukes i forbindelse med løsepengevirus og innbrudd i Windows-miljøer.

Den 8. juli oppdaget sikkerhetfirmaet CrowdStrike Intelligence en callback phishing-kampanje, hvor angriperne utgir seg for å være fra CrowdStrike og andre store cybersikkerhetsfirmaer. I e-postene som blir sendt ut, skriver de at mottakerens firma har blitt utsatt for hackerangrep og ber dem ringe nummeret i e-posten for å avtale analyse av mottakerens PC. CrowdStrike forventer at angriperne vil prøve å lure mottakerne til å installere RAT-programvare på PCen når de ringer nummeret. Formålet med den nye teknikken er mest sannsynlig å installerer ransomware i bedriftenes datasystemer med påfølgende utpressing.

I juli håndterte TSOC 9 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 59 i juni. Sommeren er som vanlig preget av et stort fall i antall alvorlige hendelser. Dette skyldes at de fleste hendelser blir utløst av menneskelige handlinger, som åpning av vedlegg, besøk på ondsinnede nettsider, flytting av PCer fra eksternt til interne nett osv. Aktiviteten hos våre kunder er lavere i ferietiden, og da gjenspeiles dette også i antall alvorlige hendelser.

Det var 198 bekreftede DDoS-angrep denne måneden, ned fra 267 i juni 85 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.64 Gbps og varte i 27 minutter. Det største angrepet observert i denne perioden var på 78.3 Gbps og varte i 12 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

tirsdag 5. juli 2022

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2022

Flere store norske nettsteder ble denne måneden utsatt for DDoS-angrep fra grupperingen Killnet. Disse har siden Russlands invasjon av Ukraina stått bak DDoS-angrep mot en rekke vestlige land som har støttet Ukraina i krigen. I det siste har blant annet Litauen og Italia vært mål. Gruppen legger ut målene for angrepene i en egen Telegram-kanal og ber følgerne sine om å angripe lister med mål. Natt til onsdag 29. juni la gruppen ut en liste med en rekke norske mål, som utover dagen ble angrepet. Blant målene som ble angrepet var Politiet, UDI, BankID, ID-porten hos Difi, NAV og flere andre norske nettsider. Flere av nettstedene ble ustabile eller sluttet helt å svare i løpet av dagen. Rundt kl 17 på ettermiddagen ble det lagt ut en melding fra Killnet til sine følgere om å avslutte angrepene.

Typiske DDoS-angrep blir gjennomført ved å sende store mengder "søppeltrafikk" mot nettsteder, mens angrepene fra Killnet ble gjennomført på lag 7 (applikasjonslaget) med full oppkobling av forbindelse mot nettstedet som blir angrepet. Dette gjør at angrepene kan være vanskelig å skille fra vanlig nyttetrafikk. Volummessig er også angrepene veldig små. De oppnår sin virkning ved å binde opp ressurser på selve web-serveren som blir angrepet, ikke ved å fylle opp Internett-linjen til offeret.

Nettstedet Digi.no så på budskapet som ble lagt ut av Killnet i forbindelse med angrepene. Det kan virke som om hovedmotivet for angrepene er norsk nei til transport av russiske varer over Storskog for frakt videre til Svalbard. I dagene etter de første angrepene la Killnet og andre lignende russisk-vennlige grupperinger ut stadig nye lister med mål. Disse påfølgende angrepene hadde enda mindre effekt enn de første. DDoS-angrep har heldigvis ikke noen varig effekt og tjenestene som er rammet begynner å fungere igjen så fort angrepstrafikken opphører eller trafikken blir filtrert vekk.

I over ett år har kunder av Telenor og andre teleoperatører over store deler av verden vært plaget av Flubot, en type malware for Android som sprer seg via SMS og MMS-meldinger. Skadevaren stjal blant annet passord samt bank- og kredittkortinformasjon. Europol meldte 1. juni at nederlandsk politi hadde tatt ned infrastrukturen som ble brukt av Flubot-banden. Dette skjedde etter et samarbeid mellom politimyndigheter fra 11 land. Det pågår fortsatt etterforskning for å avsløre hvem som stod bak operasjonen. I Telenors mobilnettverk har vi ikke sett spor av Flubot-aktivitet etter at aksjonen ble gjennomført.

Google har gitt ut en ny rapport der de har undersøkt bruk av spionvare mot mobiltelefon-brukere i Italia og Kasakhstan. Programvaren som er brukt er produsert av Milan-baserte RCS Lab. RCS har kommentert at deres produkter og tjenester overholder europeisk lovgivning og hjelper myndighetene med å oppklare saker. Google mener at noen av infeksjonene ble gjennomført i samarbeid med mobiloperatørene som målene brukte. Mobiloperatøren slo med vilje av dataforbindelsen til målet og det ble sendt ut en tekst-melding med lenke til en app som måtte lastes ned for å få tilbake forbindelsen. Appen som ble lastet ned var forkledd som en offisiell app fra mobiloperatøren, men var i virkeligheten spionvare. Appene for iOS var gyldige og signerte, men ikke tilgjengelig fra de offisielle app-butikkene.

Den 23. juni ble blokkjede-selskapet Harmony One rammet av et data-angrep. Uvedkommende hadde fått tak i kryptonøkler for å hente ut kryptovaluta som var låst i en bro mellom to blokkjeder, Ethereum og Harmony. Dette ble gjort ved å få tak i de private nøklene til broen, slik at verdiene kunne tas ut. Det er mistanke om den Nord-koreanske stats-støttede grupperingen Lazarus Group står bak tyveriet. De har de siste årene stått bak flere høyprofilerte datainnbrudd der store verdier blir stjålet. De benytter seg både av hacking og sosial manipulering for å nå sine mål.

Secureworks har publisert informasjon om de to statlig tilknyttede APTene (Advanced Persistent Threat) Bronze Riverside og Bronze Starlight. Begge har vært involvert i en koordinert kampanje for å stjele intern informasjon fra bedrifter og stater. Etter å ha kopiert ut informasjonen fra bedriften, har aktørene gjennomført angrep med ransomware mot de samme ofrene for å skjule sporene og den egentlige grunnen til data-innbruddene.

Det russiske botnettet "RSOCKS", som tilbød kundene sine tilgang til et stort utvalg av ulovlige IP-adresser, har blitt stanset av et partnerskap mellom USA, Tyskland, Nederland og Storbritannia. RSOCKS fungerte som en ulovlig proxy-tjeneste som ga kundene tilgang til IP-adresser tilhørende kompromitterte klienter (botnett) slik at trafikk kan gå ut på nettet anonymt. Både myndigheter og kriminelle aktører har brukt tjenesten for anonymisering.

I juni håndterte TSOC 59 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 71 i mai. Denne måneden er det fortsatt mye aktivitet fra kryptovaluta-utvinnere, selv om verdien av kryptovaluta har stupt i det siste. En del Windows-maskiner har fått installert verktøy for fjernadministrering og overvåking, blant annet NJRat. På Android-mobiler har vi sett enheter infisert av både Joker- og Plankton-malware, mens en del Mac-maskiner har vært infisert av Shlayer-malware.

Det var 267 bekreftede DDoS-angrep denne måneden, ned fra 360 i mai. 126 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.80 Gbps og varte i 18 minutter. Det største angrepet observert i denne perioden var på 46.6 Gbps og varte i én time. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

onsdag 8. juni 2022

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2022

Tirsdag 10. mai varslet Norkart om at de hadde vært utsatt for et dataangrep mot deres tjenester for eiendomsinformasjon. NRK har estimert at det har blitt lekket informasjon for inntil 3.3 millioner innbyggere i Norge. Informasjonen som er har vært tilgjengelig fra Norkarts IT-systemer inneholder navn, adresse og fødselsnummer. Personer berørt av angrepet er alle som eier eller har eid norsk eiendom. Angrepet er meldt til Datatilsynet og politiet, men det er per nå ukjent hvem som står bak angrepet eller nøyaktig hvor mye informasjon som har blitt hentet ut. Sårbarheten skyldtes en feil i konfigurasjonen av brannmur for søketjenesten, noe som ga uautorisert tilgang til tjenesten, skriver Norkart. I etterkant av innbruddet var det stor pågang for å reservere seg mot kredittopplysninger hos norske leverandører av kredittopplysninger. Mange har vært nervøse for at enkel tilgang til fødselsnummer skal kunne gjøre det enklere å ta opp lån i deres navn.

Et Word-dokument som ble latest opp til Virustotal fra en IP-adresse i Belarus i slutten av mai, har vist seg å kunne utnytte en til nå ukjent sårbarhet i Office. Svakheten lar seg utnytte, selv uten at makroer er aktivert i Word og har fått navnet “Follina”. Dokumenter som utnytter svakheten, bruker en funksjon for tilgang til eksterne maler til å laste ned den ondsinnede HTML-filen. Deretter brukes Microsoft-supportverktøyet “ms-msdt” til å laste inn koden og å kjøre denne i PowerShell. Svakheten fungerer mot både Office 2013, 2016 og 2021. Siste versjon av Office 365 skal ikke være sårbar. Svakheten ble utnyttet allerede i april, uten at noen da var klar over problemet. Microsoft har postet informasjon om svakheten og hvordan en kan hindre utnyttelse, men enda ikke noen fullverdig patch.

For å feire "verdens passord-dag" 5. mai, lanserte de tre store operativsystem-leverandørene Apple, Google og Microsoft et samarbeid om å bevege seg vekk fra tekstbaserte passord. De ønsker å implementere et system der brukeren benytter seg av allerede innloggede enheter for å logge inn på nye, istedet for et tekstbasert passord. Utviklerne av systemet (FIDO) sier: "Disse nye funksjonene forventes å bli tilgjengelige på tvers av Apple-, Google- og Microsoft-plattformer i løpet av det kommende året." Det nye systemet vil motvirke phishing, siden det kreves at enheten du logger inn på, og enheten du bekrefter innloggingen fra, er fysisk i nærheten av hverandre. Det er dermed ingen engangspassord som kan snappes opp av angripere.

Den nyvalgte presidenten av Costa Rica, Rodrigo Chaves, har erklært nasjonal nødsituasjon etter en bølge av Conti-ransomware-angrep som har vært rettet mot flere offentlige etater i landet. Nyhetsnettstedet BleepingComputer erfarer at Conti har lekket 97% av en 672GB datadump som angivelig inneholder data stjålet fra offentlige etater i Costa Rica. Conti har tidligere krevd $10 millioner dollar fra finansdepartementet, som de har nektet å betale. Senere i måneden ble også helsevesenet i landet angrepet av ransomware-gruppen Hive, men mange spekulerer i at det er Conti-gruppen som står bak også dette angrepet. President Chaves har hevdet at Conti-gruppen har personer på innsiden av offentlige etater i landet.

Både statsministeren Pedro Sanchez og sikkerhetsministeren Margarita Robles har blitt overvåket ved hjelp av spion-programvaren Pegasus. Telefonene ble infisert i mars og juni 2021 og det har blitt bekreftet at data har blitt eksfiltrert. Spanske myndigheter har startet etterforskning for å sjekke om flere av deres ansatte har fått Pegasus på mobilen. Pegasus utvikles av det Israelske sikkerhetsselskapet NSO group, som hevder at de kun selger programvaren til statlige aktører for å overvåke kriminelle og terrorister. Denne hendelsen føyer seg inn i en rekke lignende hendelser fra det siste året.

Google TAG (Threat Analysis Group) publiserte en gjennomgang av flere målrettede angrep mot Android-brukere som benyttet seg av zero-day svakheter i 2021. Alle svakhetene ble skaffet til veie av selskapet Cytrox, som solgte dem videre til flere aktører tilknyttet myndigheter i flere land. Google mener at landene Egypt, Armenia, Hellas, Madagaskar, Elfenbenskysten, Serbia, Spania og Indonesia har vært kunder. Svakhetene brukes for å installere overvåkingsprogramvare på mobilene, og retter seg som oftest bare mot et fåtall ofre. Google sin TAG-gruppe følger for tiden over 30 selskaper som driver med salg og kjøp av denne typen svakheter og overvåkingsprogramvare.

I en ny målrettet phishing-kampanje benytter APT-29, også kjent som Cozy Bear/Nobelium, seg av legitime epost-adresser i målrettede angrep mot diplomater og myndigheter. Adressene som brukes for å sende ut epostene er legitime kompromitterte adresser fra flere forskjellige ambassader. Innholdet i epostene utgir seg for å være politiske oppdateringer, men har vedlegg som eksekverer ondsinnet kode dersom de åpnes. Dersom en klient blir infisert, vil APT 29 ta over brukeren og forsøke å eskalere rettigheter, typisk innen 12 timer. Skadevaren benytter seg av Atlassian Trello for kommunikasjon med kontrollserverne sine, som er en legitim skytjeneste.

24. februar rapporterte sikkerhetsforskeren med pseudonymet "satya0x" en kritisk feil i Wormhole sin kontrakt på blokkjeden Ethereum til Immunefi. Dersom buggen hadde blitt utnyttet, kunne dette ført til at verdiene til Wormhole sine brukere kunne ha blitt låst for alltid. Samme dagen som buggen ble rapportert, fikset Wormhole svakheten. Vedkommende som meldte fra om svakheten har nå fått utbetalt 10 millioner dollar i finnerlønn, noe som er er ny rekord.

I mai håndterte TSOC 71 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 65 i april. Denne måneden så vi blant annet en del Android-mobiler med Joker-malware og Mac-maskiner med Shlayer-trojaneren. Vi avdekket også en Windows-maskin som var infisert av informasjons-stjeleren Red Line. Denne malwaren stjeler brukernavn, passord, kredittkortinfo og alt av informasjonskapsler (cookies) som er lagret på PCen.

Det var 360 bekreftede DDoS-angrep denne måneden, opp fra 293 i april. 124 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.47 Gbps og varte i 15 minutter. Det største angrepet observert i denne perioden var på 22.2 Gbps og varte i 18 minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.


tirsdag 3. mai 2022

Oppsummering av nyhetsbildet innen datasikkerhet for april 2022

Det er blitt oppdaget en ny versjon av Industroyer, som er kjent fra 2016 da Sandworm APT-gruppen kuttet strømmen til deler av Ukraina i et kortere tidsrom. Den nye versjonen av Industroyer er gitt navnet Industroyer2. Industroyer2 ble forsøkt benyttet mot høyspennings-nettet i Ukraina. Det ble også funnet bruk av annen malware som CaddyWiper og flere andre typer wiper-malware, altså programvare som har som formål å ødelegge datautstyr ved å slette data. Ukrainske myndigheter melder at angrepet denne gangen ble stoppet før det fikk gjort noen skade.

Citizen Lab har funnet nye tilfeller av bruk av overvåkingsprogramvare mot mobiltelefoner for spionasje og overvåking. Den britiske regjeringen har vært utsatt for overvåking ved hjelp av Pegasus fra NSO i 2020 og 2021. Både statsministerens kontor og utenriksdepartementet ble rammet. Myndighetene ble advart om saken. Det skal være De forente arabiske emirater som står bak denne aksjonen. Citizen Lab melder også at 65 katalanske offentlige personer ble rammet av overvåking ved hjelp av verktøyene Pegasus og Candiru. Flere av mobiltelefonene har blitt infisert ved hjelp av en til nå ukjent svakhet i iPhone kalt HOMAGE. Svakheten ble patchet i iOS versjon 13.2.

Svakere multifaktor-autentisering (MFA), som engangs-passord gjennom SMS eller push varslinger der man er nødt til å trykke en knapp etter push varslingen for å eskalere multifaktor-autentiseringen, har flere ganger blitt utnyttet av Lapsus$ og SolarWinds-hackerne. Lapsus$ har brukt denne metoden til å forbigå autentiseringen hos både Microsoft, Okta og Nvidia de siste månedene. Dette gjelder metoder som å oversvømme målet med push eller link forespørsler over lang tid. Mange innloggingsløsninger har ikke noen begrensning på hvor mange forespørsler som kan sendes, og offeret går til slutt lei og godtar forespørselen eller trykker feil.

Private meldinger fra Telegram-kanalen til LAPSUS$ viser at de flere ganger brøt seg inn i systemene til T-Mobile fram til mars 2022. Her stjal de data fra flere forskjellige prosjekter, men skal ikke ha fått tak i informasjon tilhørende myndigheter eller kundene til T-Mobile. KrebsOnSecurity har nylig fått tak i logger fra LAPSUS$ sin private Telegram-kanal. Her kommer det fram at gruppen ofte fikk initiell tilgang til systemene ved å kjøpe brukernavn og passord (eller cookies) gjennom russiske markeder. 

I mars 2022 autoriserte justisdepartementet i USA en operasjon for å delvis ta ned botnettet Cyclops Blink. Det er grupperingen Sandworm, som knyttes til den russiske etterretningstjenesten GRU, som står bak botnettet. Cyclops Blink og den tidligere utgaven VPNFilter, brukes av hemmelige russiske tjenester som et privat VPN for å skjule angrep. Botnettet består av tusenvis av enheter fra produsentene Watchguard og Asus. Under operasjonen ble infiserte enheter logget inn på, malwaren fjernet og administrasjons-porten mot internett lukket. Det ble kun ryddet opp i enheter som befant seg i USA.

CISA, FBI og NSA advarer mot et nytt malwareverktøysett, kjent som Pipedream. Dette er kanskje det mest allsidige verktøyet som noen gang er laget for å målrette angrep mot kritisk infrastruktur som strømnett og oljeraffinerier. Pipedream gjør det mulig for angriperen å kapre enheter, forstyrre eller forhindre adgang for operatører, sette enhetene permanent ut av spill, eller bruke enhetene til å angripe andre deler av kontrollsystemnettverket. Det mistenkes at Russland står bak Pipedream.

Sikkerhetsforskere fra ESET har oppdaget tre sårbarheter som påvirker flere ulike modeller av Lenovo-maskiner beregnet på forbrukermarkedet. To av disse påvirker maskinvare-drivere i UEFI, som kun skulle vært aktivert når maskinene ble produsert, men som ikke har blitt fjernet. Dermed kan angripere med administrator-rettigheter på maskinen bruke disse driverne til å deaktivere SPI flash protection eller UEFI Secure Boot. Svakhetene kan brukes til å legge inn bakdører som nesten ikke lar seg oppdage og er svært vanskelige å slette. Én av driverne heter til og med SecureBackDoor.

Tysk politi har tatt ned russiskspråklige Hydra, verdens største handelssted på det mørke nettet for å hvitvaske penger og selge narkotika. Det estimeres at Hydra hadde økonomisk aktivitet på over 1 milliard dollar i 2020. Tysk politi konfiskerte serverne som ble brukt og beslagla også kryptovaluta verdt over $25 millioner.

I april håndterte TSOC 65 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 128 i mars. Denne måneden er det mange av de vanlige hendelsene som går igjen, infeksjon av forskjellige typer adware på mobiler/PCer, utvinning av kryptovaluta på infiserte PCer samt en del mobiler med Joker-trojaneren installert.

Det var 293 bekreftede DDoS-angrep denne måneden, opp fra 212 i mars. 88 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.35 Gbps og varte i 23 minutter. Det største angrepet observert i denne perioden var på 50.8 Gbps og varte i 18 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

tirsdag 5. april 2022

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2022

Det ukrainske cyberpolitiet, som nå engasjerer seg i cyberkrigføring, hevder at flere viktige russiske nettsteder og statlige nettportaler har blitt tatt ned av angrep. Etter invasjonen fra Russland bestemte Ukrainske embetsmenn seg for å danne en spesiell "IT-hær" som består av frivillige hackere fra hele verden. Medlemmer av styrken har siden invasjonen angrepet nettressursene til Russland og Hviterussland. Flere russiske nettsteder tilhørende myndigheter og banker har gått ned og data fra flere offentlige nettsteder har blitt lekket. Gruppen oppdaterer en liste med mål som deles offentlig. På den andre siden melder Google om flere målrettede angrep mot ukrainske myndighetspersoner, blant annet fra den kjente grupperingen Fancy Bear/APT-28.

Det amerikanske satellitt-firmaet Viasat Inc har etterforsket et cyberangrep etter delvis utfall for bredbåndstjenester via KA-SAT-nettverk for Ukraina og andre europeiske land. Utfallet i tjenesten sammenfalt med Russlands invasjon av Ukraina. Etterforskningen viste at uvedkommende hadde fått tilgang til driftsnettverket til Viasat, lastet opp destruktiv malware (wiper) kalt “AcidRain” til over 10.000 modemer og deretter sendt en kommando til alle modemene for å få dem til å slette seg selv. Dette er det mest alvorlige cyberangrepet så langt i forbindelse med Russlands invasjon av Ukraina.

Denne måneden har hacker-gjengen Lapsus$ herjet på Internett. Den kjente hardware-leverandøren Nvidia ble hacket, og persondata til mer enn 71.000 ansatte ble lekket. Senere i måneden ble Microsoft rammet, og kildekode til Cortana og Bing ble lagt ut offentlig. Sertifikater for å signere kode ble også stjålet fra både Nvidia og Microsoft og brukt til å signere malware, for å gjøre det lettere å bryte seg inn hos andre mål. Samsung ble også offer for banden, og det ble lagt ut 190GB med kildekode, blant annet algoritmene til deres biometriske ID-system, kildekode fra Qualcomm og all kildekode for autentisering og verifisering av Samsung-brukere

Lapsus$ bryter seg for det meste inn hos sine ofre ved hjelp av sosial manipulering. De prøver også å rekruttere innsidere til å gi dem tilgang til interne nettverk hos store bedrifter. Etter å ha fått tak i intern informasjon, driver de med utpressing mot bedriftene for å la være å offentliggjøre stjålen informasjon. Mot slutten av måneden ble to britiske tenåringer tiltalt for å være medlemmer av Lapsus$-banden. Det har imidlertid i ettertid fortsatt kommet kommunikasjon fra gruppen, og den har antakelig flere medlemmer i flere land.

Verdens største bilprodusent, Toyota, så seg nødt til å stoppe all produksjon av nye biler i Japan i over ett døgn i starten av mars. Dette skjer etter at Toyotas underleverandør Kojima Industries ble kompromittert. Toyota har selv flere ganger blitt kompromittert av hackere de siste årene. I 2019 ble 3.1 millioner brukerdata kompromittert, samt at de ble rammet av en større svindelsak som kostet Toyota 37 millioner USD.

Natt til torsdag 17. mars ble IT-systemene til bilforhandler-kjeden Mobile utsatt for et angrep som resulterte i at minst 30 bilbutikker ikke hadde fungerende IT-systemer. Angrepet skal stamme fra Russland, og det har så langt ikke ikke kommet frem om kundedata er lekket. Mot slutten av måneden hadde Mobile fortsatt ikke fått opp igjen alle sine datasystemer, blant annet fungerte ikke epost som det skal.

Apple og Meta har ved flere tilfeller gitt ut brukerinformasjon til hackere som ga seg ut for å være politietterforskere fra forskjellige land, forteller tre personer som har kunnskap om saken til Bloomberg. Brukerinformasjonen som ble gitt ut var informasjon som adresse, telefonnummer og IP-adresse. Hackerne hadde først kompromittert e-post-kontoene til politietterforskerne, før de sendte henvendelsene. Det var derfor vanskelig for mottakerne å avsløre svindelen.

Nordkoreanske hackere har utnyttet en ukjent (zero-day) svakhet i Chrome i opptil en måned før en sikkerhetsoppdatering ble tilgjengelig 14. februar. Angrepene var rettet mot nyhetsmedier, IT-selskaper, kryptobørser og selskaper som står for bankløsninger. Den skadelige koden ble levert både via eposter, falske nettsteder og kompromitterte legitime nettsider. Nord-Korea er ofte ute etter å stjele penger eller kryptovaluta i sine angrep, for å omgå sanksjonene som er rettet mot dem.

Etter en PST-etterforskning viser det seg at hackere tok seg målrettet inn i e-posten til en rekke nordområde-forskere i 2020. PST, Etterretningstjenesten, og Nasjonal sikkerhetsmyndighet har trukket fram Russland som en betydelig trusselaktør i sine siste trusselvurderinger. NRK skriver at de har opplysninger som tyder på at det er Russland som står bak angrepet. Myndighetene har ikke klart å finne konkrete personer som står bak, og dermed henlegges saken.

Ukjente tyver har kommet seg unna med Ethereum og USDC (kryptovaluta) verdt over 5 milliarder kroner fra blokkjede-plattformen Ronin Network. Tyveriet skjedde 23. mars, men ble ikke oppdaget før 6 dager senere. Angrepet rettet seg mer spesifikt mot Ronin Bridge, som er en bro-tjeneste for å overføre verdier mellom ETH- og Ronin-blokkjeden. Ronin brukes primært av det populære blokkjede-baserte spillet Axie Infinity.

I mars håndterte TSOC 128 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 67 i februar. Denne måneden var det mange Android-mobiler som var infisert av malwaren TangleBot. Denne malwaren kan få full tilgang til mobilen og hente ut personlige data som meldinger, bilder og spore posisjonen til brukeren. Malwaren blir typisk installert på mobilen av brukeren selv, etter at vedkommende har blitt lurt til å trykke på en lenke i en nettside eller SMS.

Det var 212 bekreftede DDoS-angrep denne måneden, opp fra 141 i februar. 18 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.4 Gbps og varte i 29 minutter. Det største angrepet observert i denne perioden var på 48.9 Gbps og varte i 7 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.


fredag 4. mars 2022

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2022

Allerede 16. februar ble det meldt om flere bølger med DDoS-angrep mot nettsidene til myndigheter og banker i Ukraina. Blant annet ble forsvarsdepartementet og bankene PrivatBank and Oschadbank rammet. Like før Russland invaderte Ukraina, meldte ESET og Symantec fra om flere typer wiper-malware, altså malware som sletter systemene de kjører på, rettet mot myndighetsorganer i landet. Malwaren spredte seg kun internt i nettene som ble rammet, og det har så langt ikke vært spredning eller store hendelser på utsiden av Ukraina. I forbindelse med invasjonen ble det også opprettet flere falske nettsider som ga seg ut for å være styrt av ukrainske myndigheter, men som i virkeligheten infiserte besøkende med malware og spredte desinformasjon.

Dagen etter invasjonen ga NCSC i Norge (Nasjonalt Cybersikkerhetssenter) ut et oppdatert situasjonsbilde med tilhørende anbefalinger. Med bakgrunn i den svært uoversiktlig situasjonen og observasjoner av skadevare i Ukraina, vurderte de risikonivået for norske virksomheter som forhøyet. De ga også ut en liste over prioriterte tiltak som virksomheter kan iverksette i en skjerpet sikkerhetssituasjon som den vi nå er i.

Etter invasjonen spurte det ukrainske cyber-politiet om hjelp til å angripe utvalgte russiske statlige mål. Enkeltpersoner og hacktivist-grupper fra hele verden meldte seg snart til tjeneste, og flere russiske nettaviser og myndighetssider gikk ned eller fikk byttet ut innholdet med anti-krigs-informasjon. Den kjente russiske ransomware-gruppen Conti meldte på sin side at alle cyber-angrep mot Russland ville bli møtt med hevn fra deres side. Et medlem av Conti-gruppen reagerte imidlertid sterkt på uttalelsen, og slapp store mengder interne chatte-logger og verktøy som hevn. Sikkerhetseksperter har i etterkant fått mye nyttig informasjon ved studere disse loggene.

Swissport er et firma som tilbyr forskjellige tjenester innenfor luftfart på 310 flyplasser. De ble angrepet tidligere i februar, noe som førte til kansellerte og forsinkede fly, samt andre driftsforstyrrelser. Den nye ransomware-gruppen BlackCat (ALPHV) har siden tatt på seg ansvaret for angrepet og har lagt ut en mindre mengde interne data. Aktøren påstår ha kopiert ut 1.6TB data som de truer med å offentliggjøre, dersom ikke løsepengene blir betalt. Det amerikanske frakt og logistikk-firmaet Expeditors International ble også rammet av cyber-angrep i februar og måtte stenge ned deler av virksomheten.

Microsoft skal om kort tid blokkere Visual Basic for Applications (VBA) makroer som standard på en rekke Office-produkter. Endringen vil gjelde Office-filer som er lastet ned fra Internett og som inneholder denne typen makroer. Dette vil føre til at brukere ikke lengre kan kjøre makroer med et enkelt tastetrykk. Dette gjøres for å demme opp av bølgen av eposter som fører til nedlasting av malware til PCer ved hjelp av makroer i i falske dokumenter. Dette har lenge vært en av de mest populære måtene å infisere Windows-PCer på, og trusselaktørene vil måtte finne seg nye metoder for å oppnå tilgang.

Natt til 8. februar gikk en stor del av kundetjenestene til Vodafone Portugal offline over natten etter et bevisst og ondsinnet nettangrep. Tjenester for mobildata, tale og TV gikk ned. Selskapet gjenopprettet dagen etter mobil tale og datatjenester over 3G-nettet i nesten hele landet, mens andre tjenester tok flere døgn å gjenopprette. Vodafone får hjelp både lokalt og internasjonalt i det som for øyeblikket er den største cybersikkerhetshendelsen selskapet noen gang har håndtert. Selskapet samarbeider med myndighetene og basert på nåværende opplysninger ser det ikke ut til at kundedata er kompromittert.

I 2021 fortsatte Mandiant Threat Intelligence å observere ransomware-operatører som forsøkte å presse tusenvis av ofre ved å analysere flere terabyte med stjålet informasjon. Operatørene legger ofte ut denne typen informasjon på egne "lekkasje-nettsider". Dette påvirket over 1300 organisasjoner fra kritisk infrastruktur og industriell produksjonssektor på bare ett år. I ett av syv tilfeller med lekkasje av interne data, befant det seg informasjon om kritiske prosesstyringsystemer blant dataene. Dette er informasjon som avanserte aktører kan komme til å bruke til spesielt skadelige angrep senere.

Angrepet på kryptobørsen Bitfinex i 2016 ble oppklart denne måneden! Amerikanske myndigheter beslagla rundt 3,6 milliarder dollar i Bitcoin etter et gjennombrudd i saken. Dette er det største økonomiske beslaget noensinne og to personer ble arrestert, siktet for hvitvasking av penger. De to personene hadde lagret de kryptografiske nøklene til alle verdiene på en skytjeneste, som myndighetene enkelt fikk tilgang til.

I februar håndterte TSOC 67 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 138 i januar. Maskiner som utvinner kryptovaluta er fortsatt dominerende. Denne måneden har vi også hatt noen tilfeller av Android mobiler infisert av TangleBot, som gir angriperen full tilgang til å overvåke mobiltelefonen. 

Det var 141 bekreftede DDoS-angrep denne måneden, ned fra 203 i januar. 64 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 8.45 Gbps og varte i 30 minutter. Det største angrepet observert i denne perioden var på 288 Gbps og varte i én time. Én av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

tirsdag 8. februar 2022

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2022

Den 14. januar rammet et stort dataangrep hjemmesidene til den ukrainske regjeringen, samt flere departementer. Innholdet på nettsidene til rundt 70 offentlige nettsteder ble byttet ut, og det ble lagt ut trusler om at personlig informasjon vil bli spredd, samt tekster av typen “være redd og vent på det verst tenkelige”. Alle sidene skal ha brukt en utdatert versjon av CMS-systemet "October", som inneholdt en svakhet. Ukraina meldte senere at de trodde at UNC1151, som knyttes til hviterussisk etterretning, stod bak angrepet. Senere i måneden oppdaget også Microsofts Threat Intelligence Center flere tilfeller av bruk av destruktive virus (wiper) mot Ukrainske organisasjoner, forkledd som løsepengevirus. De berørte systemene tilhører statlige organisasjoner, ideelle virksomheter, og IT-selskaper. 


Høsten 2020 ble Stortinget utsatt for datainnbrudd med ikke-autorisert tilgang e-poster som resultat. Regjeringen beskyldte etter angrepet Russland for å stå bak. Datatilsynet varsler nå et overtredelsesgebyr på 2 millioner kroner til Stortingets administrasjon, for ikke å ha gjennomført egnede tekniske og organisatoriske tiltak for å oppnå et tilstrekkelig sikkerhetsnivå. Angrepet kunne trolig vært forhindret, eller gjort vanskeligere å gjennomføre, dersom 2-faktor innlogging hadde vært implementert.


Myndighetene i Finland har meddelt at flere av deres diplomater i utlandet hadde blitt infisert av NSO sin Pegasus spionvare. Både diplomatenes Android- og iPhone-enheter har blitt infisert i løpet av 2021, noe som ble oppdaget på høsten. Videre sier finske myndigheter at informasjonen som ble kompromittert kun er av laveste sikkerhetsklassifisering. Det er så langt uvisst hvem som står bak angrepet, men det skal gjennomføres en grundig etterforskning. Et talsperson hos NSO har sagt at de ikke kjente til hendelsen, men ville bistå med hjelp for å finne ut om noen hadde misbrukt produktet deres. Pegasus er spion-programvare som er utviklet av den israelske teknologigruppen NSO. De selger overvåkingsverktøy til myndigheter i flere land. Blant annet har USA, Polen og Ungarn benyttet seg av disse verktøyene.


NRK har sett på løsepengevirus-angrep og kostnader relatert til dette i Norge. NRK har identifisert 29 angrep med denne typen skadevare de siste tre årene. Til sammen har bedriftene tapt minst én milliard kroner på hendelsene. Det er imidlertid ingen definert måte å beregne utgiftene på, og mange angrep av denne typen blir aldri offentlig kjent.


Den nordkoreanske finans-orienterte hackergruppen BlueNoroff (en undergruppe av Lazarus) har blitt koblet til flere nettangrep rettet mot små til mellomstore bedrifter. Formålet med angrepene er å stjele kryptovaluta. Angrepene er rettet mot FinTech (finansteknologi) selskaper i Kina, Hong Kong, India, Polen, Russland, Singapore, Slovenia, Tsjekkia, U.A.E., USA, Ukraina og Vietnam. Blokkjede-analyseselskapet Chainalysis anslår at nordkoreanske hackere kom seg unna med nesten 400 millioner USD i fjor. Aktiviteten brukes i stor grad for å omgå strenge reaksjoner som rammer landet.


Federal Bureau of Investigation (FBI) advarte amerikanske selskaper i et nylig oppdatert flash-varsel om at den økonomisk motiverte kriminelle gruppen FIN7 nå går målrettet mot den amerikanske forsvarsindustrien. Angrepene utføres ved å sende pakker i posten som inneholder ondsinnede USB-enheter for å installere løsepengevirus. USB-enhetene fremstår først som en lagringsenhet og presenterer brukeren med flere filer. Etter noe tid registrerer den seg imdlertid som et tastatur for enheten den er plugget inn i og injiserer tastetrykk for å laste ned malware for fjernstyring.


Den internasjonale Røde Kors-komiteen (ICRC) har bekreftet at personlig data for over 515 000 personer har blitt stjålet, tilhørende folk på flukt, savnede, fengslede osv. Røde kors har foreløpig uttalt at innbruddet egentlig ble utført mot et sveitsisk selskap som lagret dataene deres, men at de fremdeles ikke vet hvem som står bak angrepet. Røde Kors har bedt de som står bak angrepet om ikke å offentliggjøre dataene.


EU vil opprette sin egen DNS-infrastruktur med innebygde filtre. Tjenesten vil få navnet DNS4EU og skal være en gratis DNS-tjeneste for både det offentlige og institusjoner i EU. En av grunnen til at EU vil opprette tjenesten er for å unngå nedetid eller store problemer dersom en av de nåværende DNS-leverandørene får problemer. Tjenesten skal også ha innebygd filtrering som blokkerer forespørsler til ondsinnede domener og domener som er bestemt sperret av domstoler. Ondsinnede domener vil rapporteres inn av CERTer fra flere nasjoner. Det er så langt usikkert om det vil være krav til myndigheter om å benytte seg av denne DNS tjenesten når den lanseres.


I januar håndterte TSOC 138 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 119 i desember. Denne måneden har mange maskiner vært infisert med trojanerene Shlayer og Torpig. Fortsatt observerer vi også stadig maskiner som utvinner kryptovaluta, noe som blir varslet i tilfelle dette skyldes malware. Vi har også oppdaget noen Android-mobiler som var infisert med skadevare av typen “Joker” og “TangleBot”.


Det var 203 bekreftede DDoS-angrep denne måneden, ned fra 222 i desember. 105 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 7.82 Gbps og varte i 23 minutter. Det største angrepet observert i denne perioden var på 160 Gbps og varte i 8 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.


fredag 7. januar 2022

Oppsummering av nyhetsbildet innen datasikkerhet for desember 2021

Den 9. desember publiserte kinesiske Alibaba sitt sikkerhetsteam en bloggpost med detaljer rundt en 0-dags sårbarhet de hadde oppdaget i loggeverktøyet Log4j, som gis ut av Apache Software Foundation. Log4j er et populært Java-basert rammeverk for logging. Sårbarheten i systemet gjorde det mulig for en angriper å kjøre egen kode på en sårbar web-server over Internet. Log4j er i igjen brukt av mange andre systemer og rammeverk. Det viste seg snart at Internett-giganter som IBM, Cisco, Apple og Google hadde tjenester som var sårbare for svakheten. Det ble etter kort tid sluppet en oppdatert versjon av Log4j, men denne og også senere versjoner viste seg også å ha nye sårbarheter. Resten av desember har mange organisasjoner jobbet hardt med å kartlegge og patche sårbare systemer. Internasjonalt er det meldt om flere tilfeller med kompromitterte systemer etter Log4j-angrep, men i Norge har det heldigvis vært svært begrenset utnyttelse av svakheten. Selv om svakheten i prinsippet er lett å utnytte, viser det seg at de fleste systemer trenger spesialtilpasning av angrepskoden for at den skal fungere. Det finnes også flere mitigerende tiltak, som for eksempel å hindre at web-servere kan koble seg opp mot eksterne adresser på nettet og hente ned angrepskode. Det pågår fortsatt storstilt scanning på nettet etter tjenester som er sårbare for svakheten og både opportunistiske angripere og nasjonalstater prøver å utnytte den.

Hotellkjeden Nordic Choice Hotels ble rammet av et ransomware-angrep i starten av desember. Systemet for inn- og utsjekking gikk blant annet ned, og hotellene måtte i flere dager gjøre dette manuelt. Etter hvert som hotellkjeden ikke betalte løsepengene, la banden bak angrepet ut personlig informasjon tilhørende tusenvis av ansatte i kjeden ut på det mørke nettet. Dette dreier seg om data som personnummer, lønn, bankkontonummer osv. I slutten av måneden var Choice tilbake igjen i tilnærmet normal drift. Det er så langt ikke noe som tyder på at kunders passord eller kredittkortopplysninger er på avveie.

I ukene før nyttår ble enda to norske virksomheter utsatt for løsepengevirus. Nortura ble rammet like før jul og måtte stenge sine IT-systemer etter angrepet. Nortura måtte begrense produksjonen etter angrepet, og flere bønder opplevde å ikke få levert dyrene sine til slakting. Mediekonsernet Amedia ble rammet av tilsvarende angrep i romjulen. Angrepet gikk ut over flere sentrale datasystemer og onsdag 29. desember og neste dag var det flere lokalaviser som ikke kom ut. En talsmann for selskapet opplyser også at det er mulig at informasjon om ansatte kan være på avveie.

Forrige måned ble det kjent at amerikanske myndigheter innfører sanksjoner mot det israelske selskapet NSO Group, som er kjent for å selge programvare for overvåking til myndigheter. Apple saksøkte også firmaet for å ha hacket telefonene til kundenes deres. Nå har det kommet fram at også minst 11 ansatte i det amerikanske utenriksdepartementet har blitt hacket ved hjelp av Pegasus-programvare fra NSO. De ansattes telefoner av typen iPhone har blitt hacket ved bruk av en svakhet i iOS som har gjort det mulig for ukjente angripere å overvåke mobilene. Dette skjedde mens de ansatte oppholdt seg i utlandet.

Facebook opplyste at de i desember har lukket kontoer relatert til syv overvåkingsselskaper. Disse selskapene skal, i tillegg til overvåking, ha utført phishing-forsøk mot brukere for å få tak i innloggingsinformasjon og infisere PCene til brukerne med malware. Disse selskapene skal ha solgt tjenestene til de som var villige til å betale, ikke bare myndighetsorganer. Facebook har nå begynt å varsle de over 50.000 Facebook-brukerne i over 100 land som har vært utsatt for overvåking.

En handelsplattform for kryptovaluta, BitMart, ble rammet av et stort sikkerhetsbrudd lørdag 1. desember. Det var blockchain-sikkerhets- og dataanalyseselskapet PeckShield som først oppdaget sikkerhetsbruddet lørdag kveld, og de estimerer tapene til å være opp mot 200 millioner dollar – over 1,8 milliarder kroner. BitMart lovet noen dager etter angrepet at kundene skulle få tilbake alle verdier som var stjålet. Angrepet skjedde etter at noen klarte å stjele en en privat nøkkel til to av deres krypto-baserte kontoer.

I desember håndterte TSOC 119 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 171 i november. Denne måneden varslet vi flere kunder om at de hadde servere som antageligvis var sårbare for den mye omtalte Log4j-svakheten, etter at vi så at serverne kontaktet kjente “callback”-adresser. Vi har heldigvis ikke hatt noen kunder som har blitt kompromittert av svakheten. Ellers er det maskiner som driver med utvinning av kryptovaluta og er infisert av diverse trojanere som dominerer tallene.

Det var 222 bekreftede DDoS-angrep denne måneden, ned fra 279 i november. 88 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.38 Gbps og varte i 23 minutter. Det største angrepet observert i denne perioden var på 57.8 Gbps og varte i 14 minutter. To av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

 
>