Alvorlige hendelser
I mars håndterte TSOC 22 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 24 i februar. Denne måneden så vi blant annet at brukere blir lurt til å laste ned skadelig programvare etter å ha foretatt Google-søk etter legitim programvare. De øverste treffene i søkemotorene er ofte sponsede søkeresultater, altså annonser knyttet opp mot bestemte søkeord. Disse resultatene fører ofte til nettsider som er kopier av de ekte sidene. Når brukeren laster ned programvaren, er den pakket sammen med malware. Ved installasjon av programvaren, blir malware installert sammen med programvaren som brukeren har søkt etter. Installasjonen ble i dette tilfellet heldigvis oppdaget av sikkerhetsprogramvare på PCen som ble rammet og rapportert, slik at PCen raskt ble ryddet. Vi anbefaler at PCer konfigureres slik at brukerne kun kan installere forhåndsgodkjent programvare. Risikoen er ellers stor for at PCer kan rammes av malware som informasjonsstjelere, ransomware, programvare for krypto-utvinning osv.
DDoS-angrep
Det var 130 bekreftede DDoS-angrep denne måneden, opp fra 127 i februar. 87 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 4.2 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 72 Gbps og varte i 11 minutter. Syv av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
Nyhetsoppsummering
Den største saken denne måneden var et avansert forsyningskjede-angrep, som fikk mye oppmerksomhet gjennom påsken. En trusselaktør har i over to år jobbet målrettet med å få lagt til en bakdør i Linux-distribusjoner, gjennom et komprimeringsbibliotek kalt “xz”. Aktøren manipulerte til seg kontrollen over kildekoden til biblioteket og la til kode for å implementere en avansert og godt skjult bakdør. Denne gjorde det mulig å logge inn via ssh (fjerninnlogging) på sårbare systemer, ved å benytte seg av en spesiell krypteringsnøkkel. Operasjonen ble heldigvis oppdaget av en Microsoft-ansatt på grunn av at login noen ganger feilet, samt at den tok rundt et halvt sekund mer tid enn vanlig. Så langt ser det ikke ut til at bakdøren kom inn i noen mye brukte Linux-varianter, men det var bare snakk om uker før de store Linux-distribusjonene hadde oppdatert til en versjon med bakdøren inkludert. Aktøren har også manipulert andre prosjekter for å gjøre det vanskeligere å oppdage bakdøren. Mange prosjekter basert på åpen kildekode foretar nå gjennomganger for å se etter lignende operasjoner.
Microsoft meldte i januar at hackere med tilknytning til Russland (Midnight Blizzard/Nobelium/APT-29) hadde klart å oppnå tilgang til deres interne systemer og kundedata ved hjelp av en service-konto uten MFA (Multi-Faktor Autentisering) aktivert. Fredag 8. mars, opplyste Microsoft at angriperne fikk tak i tilgangsnøkler, passord og andre hemmeligheter i forbindelse med innbruddet. Noen av disse ble delt i eposter mellom Microsoft og kunder, og har siden blitt eksfiltrert av trusselaktøren i angrepene. Tilgangsnøklene har videre blitt brukt for å få tilgang til intern kildekode, interne systemer og også kundedata. Angriperne har fortsatt sine angrep, med blant annet forsøk på å gjette riktige passord til kontoer. Microsoft opplyser at ingen systemer som brukes av deres kunder så langt har blitt kompromittert. Selskapet har også tatt kontakt med kunder som har blitt kompromittert i forbindelse med angrepene.
Biden-administrasjonen melder at de vil vurdere trusler mot nasjonal sikkerhet på grunn av sensorer i stadig mer avanserte biler. Biler produsert i utlandet kan brukes til å spore kundene, kartlegge sensitive objekter, ta opp lyd/film osv. Noen biler har også LIDAR-teknologi som kan lage detaljerte 3D-kart av områder de kjører i. Administrasjonen ser også på trusler rundt at bilene kan slås av for å lamme trafikken. Det har tidligere blitt meldt at amerikanske Tesla-biler ikke tillates i nærheten av mange statlige kinesiske kontorer.
NCSC (National Cyber Security Centre) i Sveits har sluppet en rapport etter at leverandøren Xplain ble utsatt for et ransomware-angrep fra gruppen "Play" i mai 2023. I juni 2023 ble det sluppet store mengder informasjon som var stjålet fra leverandøren, etter at løsepenger ikke ble betalt. Av rundt 1.3 millioner lekkede filer var omtrent 65.000 dokumenter tilhørende en rekke myndighetsorganer. Rundt 5000 av dokumentene inneholdt sensitiv informasjon som personopplysninger, tekniske opplysninger, gradert informasjon osv.
Et forholdsvis nytt phishing-verktøy kalt "Tycoon 2FA" har i den siste tiden blitt mer populært. Verktøyet leveres som en tjeneste av utgiverne, og det krever dermed lite teknisk kunnskap å bruke det. Verktøyet benytter seg av en falsk web-server som står mellom offeret og tjenesten det egentlig blir forsøkt logget inn på, såkalt MitM-angrep (Machine in the Middle). Dette gjør at sesjonsnøkler (cookies) og engangskoder brukt i forbindelse med MFA, kan kopieres ut av angriperne. Det beste tiltaket for å forsvare seg mot denne typen angrep er å implementere phishing-resistent autentisering, som Yubikeys, passnøkler, sertifikater osv. Det kan også hjelpe å stramme inn på reglene for “conditional access” for innlogging.
Google sin Chrome nettleser har lenge hatt innebygget beskyttelse mot phishing, svindel og skadevare gjennom "Safe Browsing"-systemet. Dette fungerer ved at nettleseren en til to ganger i timen laster ned en ny liste over "blokkerte" sider fra Google. Nå vil Google lansere en forbedret versjon, der spørringene gjøres i sanntid, i motsetning til dagens periodiske oppdateringer. Dette tvinger seg frem, siden phishing-sidene får kortere og kortere levetid for å unngå blokkering. Systemet skal være implementert på en slik måte at Google ikke har mulighet til å knytte spørringene mot enkeltpersoner, ved hjelp av hashing og miksing av spørringer.
Sikkerhetsforskere har oppdaget en svakhet de kaller "Unsaflok" i låser brukt i over 3 millioner hotelldører i 131 land. Svakheten ligger i låsesystemet “Saflok” som igjen brukes av mange leverandører. Svakheten lar seg utnytte ved å lage et spesielt utformet nøkkelkort, som vil fungere som en universal-nøkkel. Berørte hoteller begynte å oppgradere låser i 2023, men fortsatt er det mange som ikke oppgradert. Forskerne bak oppdagelsen har gitt ut en app til iOS og Android som i visse tilfeller kan påvise et nøkkelkort som er programmert til å brukes mot en sårbar lås.
