Alvorlige hendelser
I oktober håndterte TSOC 53 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 81 i september.
Denne måneden ble flere av kundene våre rammet av en phishing-kampanje som benyttet seg av QR-koder for å lure brukeren. Avsenderadressen til e-posten blir typisk forfalsket til å virke som om den kommer fra brukerens egen organisasjon, eller et domene som ligner. I e-posten blir offeret ironisk nok oppfordret til å scanne en QR-kode med mobilen for å oppdatere innloggings-sikkerheten på kontoen sin. Svindlerne flytter på denne måten brukeren over på mobilen, siden en mobiltelefon ofte er dårligere sikret enn arbeids-PCen. Mobilen er for eksempel gjerne ikke sikret av bedriftens brannmur eller blokkeringslister mot ondsinnede domener.
Ved å følge lenken i QR-koden, blir offeret koblet opp mot en innloggingsside som etterligner bedriftens egen side. Informasjon som offeret gir fra seg til svindel-siden blir videresendt til bedriftens egentlige nettside, samtidig som svindleren også ser og tar vare på informasjonen. Angriperen setter seg altså inn i kommunikasjonen mellom offeret og bedriftens innloggingsside (proxy). Bruk av engangskoder for innlogging via SMS eller app (2-faktor) vil ikke hjelpe mot denne typen angrep, da angriperen snapper opp både brukernavn, passord, engangskode og selve sesjons-nøkkelen som brukeren får etter innlogging. Angriper kan så benytte sesjonsnøkkelen til å gi seg ut for å være offeret mot bedriftens server.
Hendelser av denne typen kan heldigvis ofte oppdages ved at brukeren logger på fra en ny enhet eller at brukeren har flyttet seg langt geografisk siden forrige pålogging. For å helt avverge denne typen angrep, må en gå over til påloggingsmetoder som er motstandsdyktige mot phishing, som sertifikat-basert innlogging, FIDO2 eller fysiske sikkerhetsnøkler som Yubikeys. Vi er redd at avansert phishing som omgår 2-faktor autentisering vil bli mer vanlig fremover. Denne typen angrep brukes både for spionasje, svindel og for å få et initielt fotfeste i systemet for videre ransomware-angrep.
DDoS-angrep
Det var 169 bekreftede DDoS-angrep denne måneden, ned fra 264 i september. 82 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.7 Gbps og varte i 28 minutter. Det største angrepet observert i denne perioden var på 78 Gbps og varte i 28 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
Nyhetsoppsummering
16. oktober meldte Cisco om en kritisk svakhet i deres IOS XE-programvare (CVE-2023-20198) som kunne tillate angripere å ta full kontroll over sårbare routere. Svakheten lå i web-grensesnittet for å administrere enheten, og dette måtte altså være aktivt og eksponert for at svakheten skulle kunne utnyttes. Svakheten hadde allerede vært under aktiv utnyttelse i noen uker da Cisco annonserte den, og eksponerte enheter måtte regnes som allerede kompromitterte. Etter hvert kom det fram at titusenvis av routere over hele verden hadde fått installert bakdører i form av “webshells” og nyopprettede kontoer. Også i Norge ble mange rammet av svakheten, og Telenor varslet flere av sine kunder om at de hadde sårbare eksponerte routere. Cisco slapp etter hvert patcher for svakheten, samt retningslinjer for hvordan en kunne sjekke om enheten hadde blitt kompromittert. Et generelt råd er å ikke eksponere administrasjons-interface til nettverksutstyr ut på det åpne nettet, men å kun tillate innlogging fra sikrede interne nett. Saken fikk stor oppmerksomhet i media etter at NSM uttalte seg til Dagens Næringsliv.
Okta varslet om at hackere brøt seg inn i deres system for kundestøtte og stjal sensitive data som kan brukes til å gi seg ut for å være gyldige brukere i form av informasjonskapsler (cookies). Ved feilsøking av påloggingsproblemer har flere kunder sendt inn HTTP Archive (HAR)-filer, som har inneholdet sesjonsnøkler som trusselaktøren har stjålet. Selskapet BeyondTrust oppdaget innbrudd i sine systemer med stjålne sesjonsnøkler fra Okta allerede 2. oktober og meldte fra om dette til Okta. Først 19. oktober opplyste Okta at de hadde vært utsatt for en hendelse. CloudFlare og 1Password har også opplevd datainnbrudd etter Okta-hendelsen. Okta satte i verk tiltak for å beskytte kundene, inkludert ugyldiggjøring av lekkede sesjonsnøkler. Okta forsikrer at produksjonssystemene deres ikke ble berørt, og tjenestene fungerer normalt. Også i 2022 ble Okta utsatt for et alvorlig datainnbrudd.
Denne måneden ble det meldt om en ny kritisk svakhet i Citrix Netscaler og ADC (CVE-2023-4966), som kan lekke interne data fra enheten. Denne typen enheter er ofte eksponert direkte mot nettet og svakheten var lett å utnytte. Citrix meldte først at de ikke var kjent med at svakheten ble aktivt utnyttet, men senere i måneden fant sikkerhetsselskapet Mandiant ut at avanserte trusselaktører hadde utnyttet den for tyveri av sesjonsnøkler og konto-hijacking. Mandiant observerte også at angrepene hadde kompromittert infrastruktur tilhørende både offentlige organisasjoner og teknologiselskaper.
Økokrim har siden januar i år etterforsket et stort antall bedragerier begått mot minst 400 nordmenn som er lurt til å oppgi sin egen Bank-ID til svindlere i Romania. Det samlede tapet er sannsynligvis på mange millioner kroner. Tre rumenske menn ble pågrepet i en aksjon i Romania denne måneden. To av dem er begjært utlevert av Økokrim, siktet for grovt bedrageri og ID-tyveri i Norge. Under etterforskningen har Økokrim hatt et godt samarbeid med private aktører, som blant annet BankID og Visma.
