Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 5. juli 2022

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2022

Flere store norske nettsteder ble denne måneden utsatt for DDoS-angrep fra grupperingen Killnet. Disse har siden Russlands invasjon av Ukraina stått bak DDoS-angrep mot en rekke vestlige land som har støttet Ukraina i krigen. I det siste har blant annet Litauen og Italia vært mål. Gruppen legger ut målene for angrepene i en egen Telegram-kanal og ber følgerne sine om å angripe lister med mål. Natt til onsdag 29. juni la gruppen ut en liste med en rekke norske mål, som utover dagen ble angrepet. Blant målene som ble angrepet var Politiet, UDI, BankID, ID-porten hos Difi, NAV og flere andre norske nettsider. Flere av nettstedene ble ustabile eller sluttet helt å svare i løpet av dagen. Rundt kl 17 på ettermiddagen ble det lagt ut en melding fra Killnet til sine følgere om å avslutte angrepene.

Typiske DDoS-angrep blir gjennomført ved å sende store mengder "søppeltrafikk" mot nettsteder, mens angrepene fra Killnet ble gjennomført på lag 7 (applikasjonslaget) med full oppkobling av forbindelse mot nettstedet som blir angrepet. Dette gjør at angrepene kan være vanskelig å skille fra vanlig nyttetrafikk. Volummessig er også angrepene veldig små. De oppnår sin virkning ved å binde opp ressurser på selve web-serveren som blir angrepet, ikke ved å fylle opp Internett-linjen til offeret.

Nettstedet Digi.no så på budskapet som ble lagt ut av Killnet i forbindelse med angrepene. Det kan virke som om hovedmotivet for angrepene er norsk nei til transport av russiske varer over Storskog for frakt videre til Svalbard. I dagene etter de første angrepene la Killnet og andre lignende russisk-vennlige grupperinger ut stadig nye lister med mål. Disse påfølgende angrepene hadde enda mindre effekt enn de første. DDoS-angrep har heldigvis ikke noen varig effekt og tjenestene som er rammet begynner å fungere igjen så fort angrepstrafikken opphører eller trafikken blir filtrert vekk.

I over ett år har kunder av Telenor og andre teleoperatører over store deler av verden vært plaget av Flubot, en type malware for Android som sprer seg via SMS og MMS-meldinger. Skadevaren stjal blant annet passord samt bank- og kredittkortinformasjon. Europol meldte 1. juni at nederlandsk politi hadde tatt ned infrastrukturen som ble brukt av Flubot-banden. Dette skjedde etter et samarbeid mellom politimyndigheter fra 11 land. Det pågår fortsatt etterforskning for å avsløre hvem som stod bak operasjonen. I Telenors mobilnettverk har vi ikke sett spor av Flubot-aktivitet etter at aksjonen ble gjennomført.

Google har gitt ut en ny rapport der de har undersøkt bruk av spionvare mot mobiltelefon-brukere i Italia og Kasakhstan. Programvaren som er brukt er produsert av Milan-baserte RCS Lab. RCS har kommentert at deres produkter og tjenester overholder europeisk lovgivning og hjelper myndighetene med å oppklare saker. Google mener at noen av infeksjonene ble gjennomført i samarbeid med mobiloperatørene som målene brukte. Mobiloperatøren slo med vilje av dataforbindelsen til målet og det ble sendt ut en tekst-melding med lenke til en app som måtte lastes ned for å få tilbake forbindelsen. Appen som ble lastet ned var forkledd som en offisiell app fra mobiloperatøren, men var i virkeligheten spionvare. Appene for iOS var gyldige og signerte, men ikke tilgjengelig fra de offisielle app-butikkene.

Den 23. juni ble blokkjede-selskapet Harmony One rammet av et data-angrep. Uvedkommende hadde fått tak i kryptonøkler for å hente ut kryptovaluta som var låst i en bro mellom to blokkjeder, Ethereum og Harmony. Dette ble gjort ved å få tak i de private nøklene til broen, slik at verdiene kunne tas ut. Det er mistanke om den Nord-koreanske stats-støttede grupperingen Lazarus Group står bak tyveriet. De har de siste årene stått bak flere høyprofilerte datainnbrudd der store verdier blir stjålet. De benytter seg både av hacking og sosial manipulering for å nå sine mål.

Secureworks har publisert informasjon om de to statlig tilknyttede APTene (Advanced Persistent Threat) Bronze Riverside og Bronze Starlight. Begge har vært involvert i en koordinert kampanje for å stjele intern informasjon fra bedrifter og stater. Etter å ha kopiert ut informasjonen fra bedriften, har aktørene gjennomført angrep med ransomware mot de samme ofrene for å skjule sporene og den egentlige grunnen til data-innbruddene.

Det russiske botnettet "RSOCKS", som tilbød kundene sine tilgang til et stort utvalg av ulovlige IP-adresser, har blitt stanset av et partnerskap mellom USA, Tyskland, Nederland og Storbritannia. RSOCKS fungerte som en ulovlig proxy-tjeneste som ga kundene tilgang til IP-adresser tilhørende kompromitterte klienter (botnett) slik at trafikk kan gå ut på nettet anonymt. Både myndigheter og kriminelle aktører har brukt tjenesten for anonymisering.

I juni håndterte TSOC 59 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 71 i mai. Denne måneden er det fortsatt mye aktivitet fra kryptovaluta-utvinnere, selv om verdien av kryptovaluta har stupt i det siste. En del Windows-maskiner har fått installert verktøy for fjernadministrering og overvåking, blant annet NJRat. På Android-mobiler har vi sett enheter infisert av både Joker- og Plankton-malware, mens en del Mac-maskiner har vært infisert av Shlayer-malware.

Det var 267 bekreftede DDoS-angrep denne måneden, ned fra 360 i mai. 126 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.80 Gbps og varte i 18 minutter. Det største angrepet observert i denne perioden var på 46.6 Gbps og varte i én time. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Ingen kommentarer:

 
>