Alvorlige hendelser
I juli håndterte TSOC 8 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 19 i juni. Det er vanlig at antallet hendelser reduseres under sommerferien, ettersom færre ansatte er på jobb og det skjer mindre hos kundene våre.
Sommermåneden juli forløp relativt rolig på Telenor SOC. Den 11. juli ble imidlertid noen av Telenors nettsteder rammet av et relativt kraftig DDoS-angrep, noe som førte til treghet for kundene som brukte nettsidene. En kjent russisk hacktivist-gruppe tok på seg ansvaret for angrepet mot Telenor, samt noen andre norske nettsteder, i deres Telegram-kanal. Motivet for angrepet var Norges støtte til Ukraina. Angrepstrafikken ble raskt filtrert bort og nettsidene ble tilgjengelige igjen.
Denne typen politisk motiverte angrep fra forskjellige grupperinger har etter hvert blitt vanlig. Det er mange aktive grupper, og målene for angrepene endres ofte. De fleste større selskaper har heldigvis fått på plass effektive systemer eller tjenester for å raskt filtrere bort angrepstrafikken.
DDoS-angrep
Det var 110 bekreftede DDoS-angrep denne måneden, ned fra 115 i juni. 51 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 6.3 Gbps og varte i én time. Det største angrepet observert i denne perioden var på 91 Gbps og varte i 11 minutter. To av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
Nyhetsoppsummering
Den største hendelsen innenfor cybersikkerhet i juli var ikke forårsaket av en trusselaktør, men av en leverandør av sikkerhetsprogramvare. En feilaktig oppdatering fra cybersikkerhetsselskapet CrowdStrike levert fredag 19. juli, førte til at Windows-maskiner over hele verden krasjet. Dette skyldtes en feil i en kjerne-driver i produktet, levert gjennom en automatisk deteksjons-oppdatering. De påvirkede maskinene ble stående fast i en “Blue Screen of Death”-feilmelding, og måtte startes opp i “Safe Mode” for å fikses. Dette er en manuell prosess som må gjøres på hver enkelt maskin, og mange maskiner måtte også ha en spesiell BitLocker gjenopprettingsnøkkel. Det ble rapportert om tekniske problemer fra en rekke sektorer, inkludert flyselskaper, banker og mediehus over hele verden. Microsoft anslo at 8.5 millioner Windows-systemer ble påvirket av den feilaktige oppdateringen fra CrowdStrike.
Microsoft poengterte etter hendelsen at restriksjoner pålagt av EU-kommisjonen kan ha forsterket problemene med Windows-systemene. Selskapet peker på en avtale fra 2009 som krevde at Microsoft gir sikkerhetsleverandører samme tilgang til Windows som selskapet selv har. Denne avtalen, som skulle fremme konkurranse, kan gjøre det enklere for tredjepartsleverandører å forstyrre systemer ved en feil, siden de har full tilgang til kjernen i systemet.
I en gjennomgang etter hendelsen, avslørte CrowdStrike at det var en feil i et system for å teste programvareoppdateringer som var årsaken. Selskapet har lovet å forbedre sine rutiner og gjøre mer fullstendige tester før oppdateringer. Utrulling av oppdateringer skal også gjøres puljevis i framtiden. Etter hendelsen estimerte forsikringsselskapet Paramtrix at amerikanske firmaer hadde tapt $5.4 milliarder. Flere firmaer forbereder nå søksmål mot sikkerhetsfirmaet.
Fredag 12. juli avslørte AT&T at de hadde blitt rammet av et datainnbrudd i april 2024. Innbruddet har blitt knyttet til en amerikansk hacker bosatt i Tyrkia, som angivelig har fått 370.000 dollar i løsepenger for å sikre at den stjålne informasjonen ble slettet. Informasjon fra samtlige av AT&T sine kunder ble stjålet, og dataene inkluderte blant annet oversikt over samtaler og tekstmeldinger fra mai 2022 til januar 2023. Selskapet opplyste at ingen sensitive personopplysninger, som innholdet av samtaler eller tekstmeldinger, ble kompromittert. AT&T sine data ble stjålet fra en tredjeparts skyplattform. Mest sannsynlig dreier det seg om en kompromittert kundekonto hos selskapet Snowflake, som brukes av mange firmaer for å analysere interne data. Hackere har i de siste månedene brutt seg inn i Snowflake-kontoer tilhørende en rekke teknologi-selskaper.
TeamViewer ble utsatt for et datainnbrudd fra den russiske aktøren APT-29, også kjent som Cozy Bear og Midnight Blizzard. Aktøren forbindes med den russiske militære etterretningstjenesten SVR. Innbruddet ble gjort ved å logge seg inn med brukernavn og passord tilhørende en vanlig ansatt. Det er ukjent hvordan trusselaktøren fikk tak i denne informasjonen. Firmaet opplyser at angrepet ble stoppet i deres interne nettverk og ikke spredde seg til produksjonsnettverket.
Det legitime sikkerhetsverktøyet Cobalt Strike brukes ofte av kriminelle aktører for å bryte seg inn i bedrifter, samt å beholde tilgang til nettverket. Verktøyet er egentlig laget for legitim bruk i forbindelse med sikkerhetstester, men det blir ofte misbrukt i piratkopierte utgaver. I forbindelse med en aksjon, kjent som "Operation MORPHEUS", har Europol sørget for å ta ned 593 Cobalt Strike-servere i 27 land. Europol har blant annet samarbeidet med BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch og The Shadowserver Foundation i forbindelse med aksjonen. Europol vil nå følge med på denne typen misbruk framover og aksjonere etter hvert som det trengs.
En alvorlig sårbarhet kalt PKfail har blitt oppdaget i Secure Boot-funksjonen til PCer, som lar angripere installere UEFI-skadevare på hundrevis av enheter fra ti forskjellige produsenter. Denne svakheten skyldes bruk av testnøkler i stedet for sikre plattformnøkler, noe som undergraver hele sikkerhetskjeden fra firmware til operativsystemet. Berørte produsenter inkluderer Acer, Dell, HP, Intel, Lenovo og Supermicro. Brukere anbefales å oppdatere til siste firmware når fikset versjon er tilgjengelig for å beskytte sine enheter.
En sikkerhetsforsker ved eSentire har skrevet om nedgraderingsangrep mot passkey-autentisering i forbindelse med AitM (Adversary In The Middle)-angrep. Mange tjenester tilbyr nå login ved hjelp hardware eller software-baserte FIDO2-kompatible sikkerhetsnøkler, eller passkeys. Disse gjør i teorien phishing-angrep umulig å gjennomføre. Ved hjelp av phishing-sider som benytter seg av AitM-teknikker, kan imidlertid innloggings-sidene skrives om i sanntid, til kun å tilby usikre innloggingsmetoder. Bloggposten demonstrerer disse teknikkene og tar for seg forskjellige metoder for å motvirke angrepene, samt hvordan best å håndtere mistede sikkerhetsnøkler. Vi anbefaler en gjennomlesning her.
