I juli håndterte TSOC kun seks alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 49 i juni. Det er vanlig at antall hendelser i høytider og ferier går ned, siden færre ansatte er på jobb. Dessverre er det også i disse periodene at målrettede og alvorlige hendelser ofte opptrer, noe vi også har sett i nyhetsbildet i sommer.
Det var 233 bekreftede DDoS-angrep denne måneden, opp fra 126 i juni. 124 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5 Gbps og varte i 34 minutter. Det største angrepet observert i denne perioden var på 143 Gbps og varte i 16 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
Den store nyheten i sommer var et målrettet innbrudd hos Departementenes sikkerhets- og serviceorganisasjon (DSS) som lot angriperen få tilgang til intern informasjon fra 12 departementer. Innbruddet ble utført ved å utnytte en fersk og ukjent (zero-day) svakhet i Ivanti Endpoint Manager Mobile (EPMM), tidligere kjent som MobileIron Core. Svakheten gjorde det mulig å omgå autentisering i systemet og dermed administrere og hente ut informasjon fra systemet og mobile enheter. Tilgangen ble også brukt for å få tilgang til en intern Exchange-server hos DSS, som ikke var tilgjengelig fra Internett. Svakheten fikk en alvorlighets-score på 10 av 10 poeng (CVSS) og ble først utnyttet i april 2023. NSM ved Nasjonalt cybersikkerhetssenter (NCSC) samarbeidet etter hendelsen med amerikanske Cybersecurity and Infrastructure Security Agency (CISA) om en “Joint Cybersecurity Advisory” som beskriver sårbarhetene og hvordan de ble misbrukt. Angrepet har fått internasjonal oppmerksomhet og EPMM er også i bruk av mange andre store firmaer og statlige virksomheter verden rundt. DSS er så langt den eneste virksomheten som offentlig har bekreftet at de er rammet av svakheten. Hverken DSS eller PST har villet kommentere hvem som kan tenkes å stå bak innbruddet, men mange eksperter mener at det må være en ressurssterk statlig aktør. Aktøren bak innbruddet brukte kompromitterte hjemmeroutere som proxyer for å skjule sin aktivitet, noe som understøtter denne vurderingen.
18. juli varslet Citrix om kritiske svakheter i NetScaler ADC og NetScaler Gateway, tidligere Citrix ADC/Citrix Gateway. Den alvorligste av svakhetene gjorde det mulig å kjøre kommandoer på en sårbar enhet og var svært enkel å utnytte (CVSS-score på 9.8 av 10 mulige.) Allerede 20. juli ble svakheten utnyttet i aktive angrep, så vinduet for å få patchet var svært lite. Også mange norske virksomheter har dessverre blitt rammet av denne svakheten. Virksomheter som benytter seg av denne typen utstyr bør vurdere å sjekke utstyret for kompromittering, selv om de var kjappe til å installere patcher. Flere av systemene som har blitt kompromittert har fått installert bakdører i form av “web-shells”, som trusselaktører kan benytte for fjerninnlogging på et senere tidspunkt. ShadowServer Foundation har gitt ut en guide der de går igjennom tegn på kompromittering. Per 5. august har de observert nesten 7000 systemer på nettet som fortsatt ikke er patchet,
I juli kom det fram at kinesiske hackere hadde fått tilgang til de skybaserte (Exchange Online og Outlook.com) epost-kontoene til flere høytstående myndighetspersoner og firmaer i USA. Blant annet ble den amerikanske ambassadøren i Kina og en ansatt i utenriksdepartementet med ansvar for øst-asia rammet. Dette skjedde like før flere amerikanske politikere skulle på diplomatisk besøk til Kina. Microsoft har tilskrevet aktiviteten til en trusselaktør de kaller Storm-0558, kjent for å rette seg inn mot myndigheter i vestlige land for å drive med spionasje. Det viste seg at trusselaktøren hadde hatt tilgang til systemene helt siden 15. mai ved hjelp av en intern Microsoft signeringsnøkkel. Det er så langt ukjent hvordan aktøren fikk tilgang til nøkkelen, men alle tilgangene som ble oppnådd ved hjelp av den er nå trukket tilbake. Etter hendelsen har Microsoft begynt å tilby mer detaljerte sikkerhetslogger fra deres skytjenester til kunder, uten å ta ekstra betalt. Microsoft opplyser at de etter hendelsen har økt sikkerheten på systemer som utsteder nye signeringsnøkler, samt økt graden av logging og overvåking. Hendelsen illustrerer problematikken med at innbrudd hos leverandører av sky-tjenester kan få vidtrekkende konsekvenser for flere av kundene samtidig.
Sikkerhetsforskere har funnet flere svakheter i TETRA-standarden som er brukt i radioer over hele verden, blant annet i det norske Nødnettet. Det er firmaet Midnight Blue som avdekket svakhetene kalt TETRA:BURST allerede i 2021, men informasjon rundt dem har ikke blitt offentliggjort før nå. TETRA-standarden bruker forskjellige proprietære algoritmer og systemer og det har derfor vært lite tilgjengelig informasjon. Den mest alvorlige svakheten ligger i krypterings-algoritmen TEA1, som gjør at den effektive nøkkel-lengden brukt for kryptering av kommunikasjonen effektivt blir på kun 32 bits. Dette gjør det mulig å gjette seg fram til krypterings-nøkler i løpet av minutter med en vanlig PC. Denne svakheten kan ha blitt innført med vilje for å gjøre det mulig å selge utstyret uten å bli hindret av eksport-restriksjoner. Statlige nødnett, politi osv. bruker normalt en kraftigere krypterings-algoritme.
Søndag 16. juli oppdaget resirkuleringsselskapet Tomra at de hadde vært utsatt for et omfattende dataangrep. Angrepet ble kjent gjennom en børsmelding fra selskapet 17. juli. Tomra koblet umiddelbart ut enkelte av sine systemer for å minimere skadeomfanget av angrepet. Tomra opplyste at noen av deres kunde-systemer kunne være trege eller ustabile, men at arbeidet med å få opp igjen alle systemer hadde høyeste prioritet. Noen av firmaets kontorer ble stengt etter angrepet og ansatte ble bedt om å jobbe hjemmefra. Tomra opplyste også at noen eldre systemer for innlevering av flasker ikke ville fungere i en periode. Det er så langt ukjent hvem som står bak angrepet.
Cyberkriminelle har lenge installert programvare for å utvinne kryptovaluta fra kompromitterte PCer og servere. De kan så tjene penger på å utføre CPU- eller GPU-krevende operasjoner. Angripere har nå også begynt å installere proxy-programvare som betaler brukeren på maskiner de får kontroll over. Dette fungerer ved at flere firmaer betaler noen få dollar i måneden for å få brukere til å installere en proxy på PCen og få sende trafikk ut via den. Programvare for å utvinne kryptovaluta vil ofte få PCen til å gå varm og lage mye støy, mens proxy-programvare ikke er like lett å oppdage.
