Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 9. januar 2024

Situasjonsrapport fra Telenor SOC - desember 2023

Alvorlige hendelser
I desember håndterte TSOC 32 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 79 i november.

Mange fryktet at det skulle bli et oppsving i angrep med løsepengevirus i løpet av jule- og nyttårshelgen, noe som ofte skjer i høytider. Trusselaktørene benytter seg noen ganger av disse rolige periodene, i håp om at det er færre på jobb til å oppdage sikkerhetshendelser. Det viste seg heldigvis at det heller ble færre hendelser enn vanlig over nyttårshelgen. Starten av desember var også relativt rolig på vårt sikkerhetssenter.

DDoS-angrep
Det var 144 bekreftede DDoS-angrep denne måneden, ned fra 188 i november. 103 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 6.8 Gbps og varte i 30 minutter. Det største angrepet observert i denne perioden var på 86 Gbps og varte i 20 minutter. To av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
Tirsdag 12. desember ble den ukrainske teleoperatøren Kyivstar rammet av et større cyber-angrep. Både tale- og data-trafikk gikk ned og det tok flere dager før tjenestene var operative igjen. Store mengder interne systemer og kjernenettet ble slettet av angriperne ved hjelp av såkalt “wiper”-malware. Selskapet tok også selv ned flere interne systemer etter å ha oppdaget angrepet, for å unngå videre ødeleggelser mens omfanget av ødeleggelsene ble kartlagt. Angriperne hadde antagelig vært inne i nettverket siden mai 2023. Det er så langt uvisst hva som var angrepsvektoren, men det er gruppen “Sandworm” fra den russiske militære etterretningen GRU som mistenkes å stå bak. Angrepet førte blant annet til at varsling av flyangrep gikk ned i deler av Kyiv. Noen minibanker sluttet også å virke. Ukrainske myndigheter har opplyst at nedetiden ikke skal ha gått ut over militære operasjoner.

Volt Typhoon er en trusselaktør som har kartlagt blant annet amerikansk kritisk infrastruktur. Aktøren benytter seg av et eget botnet bestående av utdaterte hjemmeroutere fra blant annet Cisco, Netgear og Fortinet. Enhetene har typisk flere sårbarheter eller svake passord, og det leveres ikke lengre oppdatert programvare for dem. Trusselaktøren benytter disse enhetene for å skjule sin kommunikasjon og få det til å virke som om datatrafikken går til enheter som er geografisk i nærheten av målet som angripes. Dette gjør at innbruddsdeteksjon som tar hensyn til hvor i verden brukeren logger inn fra kan feile, noe som spesielt kan gå ut over deteksjon av vellykkede phishing-angrep.

En ny samling sårbarheter i UEFI-firmware (Unified Extensible Firmware Interface) kalt “LogoFail”, tillater angripere å levere skadelig kode som omgår sikker oppstart på PCer fra mange leverandører. UEFI er en standard for å starte opp PCen, før selve operativsystemet lastes. LogoFail utnytter forskjellige sårbarheter i biblioteker for å dekode bilder i Firmware, og påvirker enheter fra Intel, Acer, og Lenovo. Svakhetene kan brukes til å plante skadelig kode som lastes inn før operativsystemet, og dermed er vanskelig å oppdage.

Kjente trusselaktører med forbindelser til Nord-Korea har nylig brukt den to år gamle Log4Shell-sårbarheten til å angripe organisasjoner med tre nye trojanere for fjernstyring (RAT). Fortsatt bruker rundt 1/3 av applikasjoner som benytter seg av Log4j-biblioteket en gammel og sårbar versjon. Trusselaktørene har nylig skiftet taktikk ved å bruke sårbarheten til å installere skadelig programvare og utfører kommandoer for å samle blant annet systeminformasjon og passord. Det er primært eksponerte VMware Horizon-servere som har blitt kompromittert.

Den amerikanske senatoren Ron Wyden har avslørt at Apple og Google gir regjeringer i flere land tilgang til push-varslene som kommer opp på telefoner. Disse varslene behandles ofte av Apple og Google før de dukker opp på mobilene. Varslene kan inneholde tekst som kan avsløre bruk av spesifikke apper og noen ganger også utdrag med tekst fra ellers krypterte apper. Google gir allerede detaljert informasjon rundt pålegg om å utlevere denne typen informasjon i jevnlige innsynsrapporter, mens Apple skal begynne å ta med dette i sine rapporter fra nå av.

Interpol melder at de har beslaglagt over 300 millioner USD og arrestert 3500 mistenkte i en global operasjon kalt "HAECHI IV". Aksjonen har pågått i seks måneder i 34 land og har rettet seg mot syv typer svindel-operasjoner: voice phishing, dating-svindel, sex-utpressing, investerings-svindel, hvitvasking i forbindelse med pengespill, BEC (business email compromise)-svindel og falske nettbutikker.

Sikkerhetsforskere ved EURECOM har avdekket et nytt angrep mot Bluetooth-chipset som åpner for å ta over sesjoner mellom allerede sammenkoblede enheter. Angrepet fungerer ved at en spoofer de to enhetene, setter seg i midten av kommunikasjonen og får til en nedgradering av krypteringen som er brukt mellom enhetene. Flere leverandører jobber med en fiks for svakheten. Foreløpig anbefales det at produsenter av utstyr får utstyret til å avvise forbindelser med svak kryptering.

Ingen kommentarer:

 
>