Alvorlige hendelser
I september håndterte TSOC 28 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 24 i august.
Denne måneden ble Telenor og flere av våre kunder utsatt for et relativt avansert phishing-angrep. Phishing-epostene ble sendt ut fra kompromitterte kontoer hos norske firmaer, typisk firmaer som har med økonomi og regnskap å gjøre. Mottakeren ble bedt om å trykke på en lenke i eposten for å laste ned fakturaen.I stedet for å få opp en faktura, dukker det opp en phishing-side som ber offeret om å logge inn med sin Microsoft-konto. Phishing-siden er egentlig en proxy, den gjenspeiler altså en ekte innloggings-side hos Microsoft, men manipulerer og lagrer det som blir sendt igjennom den. Bakmennene kan derfor snappe opp både brukernavn, passord, engangspassord og innloggings-nøkkel (cookie).
Det som skiller denne kampanjen fra tidligere kampanjer, er at svindlerne etter å ha fått tak i innloggings-detaljene, forsøker å logge på Microsofts skytjenester fra en norsk IP-adresse. Normalt har Microsoft logikk for å sjekke om en innlogging kommer fra omtrent den samme lokasjonen som den forrige innloggingen til brukeren.Dersom brukeren i løpet av kort tid logger på fra en helt annen del av verden, vil påloggingen bli stoppet eller brukeren må oppgi ekstra detaljer for å få logget inn. Ved å benytte seg av en VPN-node i Norge klarer angriperne å omgå denne logikken.
Siden angriperne omgikk både tofaktor-autentisering og sjekk på hvor brukeren logget på fra geografisk, var kampanjen uvanlig effektiv. Flere norske firmaer ble rammet ved at én eller flere brukere ble kompromittert.
Motivet til bakmennene kan variere i forbindelse med denne typen phishing-kampanjer. Ofte vil de ha tak i kontoer for å spre svindelen videre, ved å sende ut flere phishing-eposter. Noen ganger kartlegger de epost-korrespondansen til offeret og bruker dette til å sende ut falske fakturaer for å lure til seg penger. Andre ganger kan de stjele sensitiv informasjon for deretter å presse bedriften for penger. Mange av kampanjene benytter seg av en kommersiell phishing-tjeneste med ferdige maler og infrastruktur, noe som gjør det hele svært enkelt å gjennomføre.
For å motvirke denne typen angrep bør virksomheter innføre phishingresistent autentisering eller kun tillate pålogging fra innrullerte enheter.
DDoS-angrep
Det var 136 bekreftede DDoS-angrep denne måneden, opp fra 124 i august. 68 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 7.85 Gbps og varte i 27 minutter. Det største angrepet observert i denne perioden var på 90 Gbps og varte i to timer. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
Nyhetsoppsummering
Trusselaktøren "Salt Typhoon", med antatte forbindelser til den kinesiske regjeringen, har i følge amerikanske myndigheter nylig brutt seg inn hos flere amerikanske ISPer som Verizon og AT&T. Kampanjen har som mål å stjele sensitiv informasjon, og er en del av en større trend med kinesiske angrep rettet mot kritisk infrastruktur i USA. Trusselaktøren skal blant annet ha fått tilgang til de interne systemene for å overvåke brukere i forbindelse med pålegg fra domstoler. Det er også avdekket et nettverk med over 200 000 enheter, inkludert rutere, kameraer og andre internett-tilkoblede enheter som ble brukt av en annen kinesisk trusselaktør kalt Flax Typhoon. FBI-direktør Christopher Wray har advart om Kinas kapabiliteter, og amerikanske myndigheter har gjentatte ganger advart om kinesiske datainnbrudd. I følge dem er dette sannsynligvis bare «toppen av isfjellet» på grunn av trusselaktørenes sofistikerte angrepsmetodikker. Kinesiske myndigheter har benektet anklagene om angrep.
I august satte angripere opp en målrettet kampanje mot ansatte i firmaet Lowe's, for å høste inn brukernavn og passord. Angriperne kjøpte annonser fra Google i forbindelse med treff på søkeordet "MyLowesLife", som er navnet på firmaets interne portal. Dersom en ansatt trykket på de sponsede resultatene, ble vedkommende sendt til en phishing-side som var lik den vanlige portal-innloggingen til firmaet. Phishing-siden samlet inn brukernes brukernavn, passord og svar på sikkerhetsspørsmål før de ble videresendt til den faktiske MyLowesLife-nettsiden. Saken viser nok en gang hvor viktig det er med phishing-resistent autentisering.
En internasjonal politioperasjon har slått til mot et forbryternettverk som siden 2018 har spesialisert seg på å låse opp stjålne mobiltelefoner. Banden har kontrollert et automatisk phishing-system med en mengde sider som ga seg ut for å være forskjellige mobiltjenester. Tjenesten ble brukt av tyver via mellommenn for å låse opp mobiltelefoner etter at de var stjålet, ved å lure de egentlige eierne av mobilene til å gi fra seg personlig informasjon og passord.
En internasjonal koalisjon ledet av Europol og Eurojust har lykkes i å ta ned en kryptert kommunikasjonsplattform kalt "Ghost", som ble brukt av organiserte kriminelle nettverk verden over. Plattformen muliggjorde sikker kommunikasjon for kriminelle aktiviteter som narkotikahandel, hvitvasking og voldelige handlinger. Operasjonen involverte ni land og resulterte i 51 arrestasjoner, beslag av over 1 million euro i kontanter, samt våpen og narkotika. Aksjonen avslører et fragmentert landskap for kryptert kommunikasjon, der kriminelle aktører stadig søker nye tekniske løsninger for å unngå overvåkning.
Justisdepartementet i USA har beslaglagt 32 internettdomener som ble brukt i en russisk statssponset påvirkningskampanje kalt "Doppelganger". Operasjonen, styrt av den russiske presidentadministrasjonen, spredte propaganda for å redusere støtten til Ukraina, fremme pro-russiske interesser og påvirke velgere i USA og andre land. Kampanjen benyttet seg av metoder som betaling til Youtube-profiler for å lage innhold, AI-generert innhold, betalte annonser på sosiale medier og falske profiler for å spre desinformasjon. Som en del av aksjonen har det amerikanske finansdepartementet også innført sanksjoner mot 10 personer og 2 enheter involvert i påvirkningsoperasjonen. CNN melder at den russiske operasjonen finansierte et amerikansk firma kalt "Tenet Media" i USA, som igjen betalte flere amerikanske Youtube-kommentatorer for å støtte russiske interesser.
Ingen kommentarer:
Legg inn en kommentar