Vår tjeneste Sikkerhetsovervåking oppdaget 115 alvorlige hendelser i februar. Dette var en oppgang fra 91 i januar. I februar måned har vi sett et oppsving i maskiner som har fått installert malware som driver med graving etter digital valuta (mining). Mange bedriftsbrukere blir også lurt til å gjøre dette gjennom sin nettleser ved besøk på forskjellige nettsider.
Det var 352 bekreftede DDoS-angrep i februar. 139 av disse ble mitigert. Et gjennomsnittlig angrep var på 3,26 Gbps og varte typisk 40 minutter. Det største angrepet observert i denne perioden var på 26,1 Gbps og varte i 25 minutter. Fire av TSOCs kunder ble utsatt for angrep denne måneden. Generelt var det et oppsving både i antall og kraft når det gjelder DDoS-angrep i februar.
Memcached, en cache-tjeneste som blant annet blir brukt for å øke responshastigheten til dynamiske web-applikasjoner, ble tatt i bruk for å utføre DDoS angrep i februar. Tjenesten er ikke ment å være installert på Internett-eksponerte systemer, siden den ikke ikke har noen adgangskontroll.
En forespørsel om statistikk sendt til en slik tjeneste kan resultere i svar som har en størrelse på 1500 bytes til flere hundre kilobytes. Disse svarene kan utnyttes til å utføre DDoS angrep ved å sende forespørselen med en falsk avsender-adresse. Akamai melder om at det er rundt 50.000 maskiner som tilbyr denne tjenesten på nettet.
I starten av februar ble det oppdaget en svakhet i Adobe Flash Player som kan gjør ekstern kodeeksekvering mulig. Svakheten ble utnyttet i angrep allerede fra november 2017 mot blant annet Sør-Korea. Angrepet gjennomføres ved at det sendes ut Office-dokumenter med et spesielt utformet Flash-tillegg. Adobe ga ut en fiks for svakheten fem dager etter at den ble offentlig kjent.
Et stort botnet på rundt en halv million maskiner, hoveddelen Windows-servere, har blitt oppdaget. Botnettet får infiserte maskiner til å utvinne kryptovalutaen Monero. Det er antatt at eierne av botnettet har tjent rundt 8900 Monero (mellom 2,8 og 3,5 millioner USD) siden Mai 2017. Botnettet infiserer nye maskiner ved hjelp av EternalBlue-svakheten som ble stjålet fra NSA i april i fjor. De fleste maskiner i botnettet er funnet i Russland, India og Taiwan.
En internasjonal operasjonsstyrke bestående av South West Regional Organised Crime Unit, Engelske National Crime Agency og Europol samt mange andre politi-avdelinger i Europa, Australia og Nord-Amerika har funnet og stoppet kilden til fjerntilgangs hacker-verktøyet Luminosity Link. Verktøyet ble brukt til å sanke data fra systemets filer, kameraet eller tastaturtrykk.
Operasjonsstyrkens arbeid fant et nettverk av individer som distribuerte og brukte Luminosity i 78 land og solgte det til mer enn 8600 kjøpere via nettsider dedikert til hacking og datakriminalitet. Verktøyet ble brukt til alt fra industrispionasje til overvåking av ektefeller.
En artikkel publisert av FireEye viser hvordan angripere kan utføre phishing-angrep som omgår 2-faktor autentisering. Metoden, kalt real-time phising, bruker en falsk innloggingsside som fanger opp brukernavn, passord og engangspassord. Angriperen har deretter et lite tidsrom hvor han kan bruke innloggingsinformasjonen før engangspassordet fornyes. Denne typen angrep har blitt benyttet mot BankID i Norge i år. Dette ble gjort ved hjelp av forfalskede eposter fra Netflix om oppdatering av betalingsinformasjon.
Nettverket til vinter-OL i Pyeongchang ble utsatt for et data-angrep under åpningsseremonien. Dette bekreftet talspersonen for vinterlekene 2018, Sung Baik-you. Angrepet førte til at mange av de interne serverne for arrangementet gikk ned, og ikke var operative igjen før nærmere 12 timer senere. Det har også blitt rapportert at angrepet skapte problemer for det offentlige Wi-Fi-nettverket. Senere i måneden mente amerikanske myndigheter at Russland stod bak angrepet. Angriperne skal også ha lagt igjen falske spor for å få det til å virke som om angrepet kom fra Nord-Korea.
Toppsjefer i flere amerikanske etterretningstjenester, inkl. CIA, FBI og NSA, advarer amerikanere mot å benytte mobil-produkter og tjenester fra de Kina-baserte produsentene Huawei og ZTE. Skepsisen skal bunne i de nevnte produsenters angivelige tette bånd til kinesiske myndigheter og mulighet for overvåking.
Britiske, amerikanske og australske myndigheter beskyldte denne måneden offentlig Russland for å ha stått bak ransomware-angrepet "NotPetya". Angrepet fra juni 2017 var rettet mot Ukraina, men også andre land ble hardt rammet.
Ny forskning viser at 90% av alle eksterne kodeeksekveringsangrep nå brukes for å legge inn kode for å utnytte den angrepne maskinene til å utvinne krypto-valuta. Dette er en økning fra ca 55% i september 2017. Bruken av ransomware har gått ned.
torsdag 8. mars 2018
Oppsummering av nyhetsbildet innen datasikkerhet for februar 2018
mandag 5. februar 2018
Oppsummering av nyhetsbildet innen datasikkerhet for januar 2018
Vår tjeneste Sikkerhetsovervåking oppdaget 91 alvorlige hendelser i januar. Dette var en oppgang fra 61 i desember. Hendelsene er en blanding av scanning etter sårbarheter, forsøk på innlogging med store mengder brukernavn og passord, maskiner infisert av adware og en del trojaner-infiseringer.
Det var 403 bekreftede DDoS-angrep i januar. 93 av disse ble mitigert. Et gjennomsnittlig angrep var på 1,49 Gbps og varte typisk 24 minutter. Det største angrepet observert i denne perioden var på 18.1 Gbps og varte i 25 minutter. Fire av TSOCs kunder ble utsatt for angrep denne måneden.
Den 4. januar ble svakhetene kalt Spectre og Meltdown offentliggjort. Dette dreier seg om svakheter i teknikker som CPUer bruker for å øke hastigheten ved kjøring av kode, såkalt spekulativ eksekvering. Feilen gjør at upriviligerte programmer på en datamaskin/mobil kan få tilgang til å lese dataene til andre programmer eller selve operativsystemet. Problemet gjelder CPUer fra Intel, AMD og ARM, Intel er imidlertid hardest rammet. Feilen rammer virtualiserte miljøer med flere brukere hardest, for eksempel skyleverandører. I slike miljøer er det ofte mange forskjellige brukere på delt hardware. Disse kan få tilgang til å lese hverandres data eller også data fra operativsystemet. Gjennom svakheten Spectre kan også én nettleserfane i teorien lese data fra andre nettleserfaner, eller nettleseren selv, ved hjelp av spesielt utformet Javascript.
Utover i januar begynte leverandører av programvare å slippe patcher for Meltdown- og Spectre-svakhetene. Det viste seg at patchene i mange tilfeller kunne føre til ytelsestap, spesielt for litt eldre CPUer. Ytelsestapet varierer avhengig av typen last på CPUen, men kan typisk bli på 5-30 prosent. Nettleserprodusentene fikset Spectre-svakheten ved å sørge for at javascript på nettsider fikk tilgang til mindre nøyaktig tid, samt bedre isolering mellom faner i nettleseren. Sistnevnte fiks fører til at nettlesere kan bruke vesentlig mer minne enn tidligere.
Meltdown-svakheten lot seg patche kun ved å oppdatere programvare i operativsystemet. Spectre-svakheten krever at både mikrokoden i CPUen og operativsystemet patches. Den 22. januar meldte Intel at flere kunder hadde opplevd ustabile PCer og servere etter at patcher for både CPU og OS var installert, uten at noen var sikre på grunnen til dette. Den 29. januar deaktiverte Microsoft patcher for Spectre-svakheten i Windows, etter mange meldinger om ustabilitet. Foreløpig er det usikkert når det kommer en fullt fungerende patch for Intel-CPUer for Spectre. Enda har det ikke blitt rapportert om at svakhetene har blitt utnyttet i relle angrep.
Mandag 8. januar ble det oppdaget at en ukjent aktør hadde brutt seg inn datasystemene til Helse Sør-Øst. Angriperne hadde hatt tilgang til flere servere og hadde allerede hatt tilgang i noe tid. Det er så langt ikke konkludert hvem som står bak, men angrepet var avansert og det kan være en nasjonalstat som står bak. Nasjonal sikkerhetsmyndighet, Etterretningstjenesten, PST og Kripos jobber sammen i denne saken med hendelseshåndtering, teknisk analyse og aktøranalyse. Det er fortsatt uklart hva slags data angriperne kom seg unna med og det kan være at de fikk med seg pasientinformasjon.
En anonym ansatt hos NSA har uttalt seg til Yahoo Finance angående lekkasjene fra grupperingen The Shadow Brokers. Disse slapp blant annet verktøyene som ble brukt til å spre ransomware i to omganger i fjor (WannaCry og NotPetya) ved hjelp av en kritisk svakhet i Windows.
Den NSA-ansatte mener at The Shadow Brokers fikk tilgang til NSAs interne verktøy ved hjelp av antivirus-programvare fra Kaspersky Labs. Programvaren fra Kaspersky Labs ble installert på en PC til en ansatt som hadde tatt med seg verktøyene hjem uten tillatelse.
NSM NorCERT og Kripos jobber med flere saker hvor ansatte i norske bedrifter har blitt utsatt for e-postsvindel. Svindlerne aktiverer automatisk videresending fra kompromitterte e-postkontoer. Slik videresending kan bli stående på i lang tid før det oppdages. Videre blir e-postkontoen brukt til å sende ut falske fakturaer og meldinger om å endre kontonummer på tidligere fakturaer.
onsdag 10. januar 2018
Oppsummering av nyhetsbildet innen datasikkerhet for desember 2017
Desember var en rolig måned når det gjelder tjenesten Sikkerhetsovervåking. Vi håndterte kun 61 alvorlige hendelser, ned fra 157 i desember. Dette er et uvanlig lavt tall og skyldes nok lav aktivitet i fridagene i forbindelse med jul og nyttår.
Det var 496 bekreftede DDoS-angrep i november. 145 av disse ble mitigert. Et gjennomsnittlig angrep var på 1,82 Gbps og varte typisk en halv time. Det største angrepet observert i denne perioden var på 21.5 Gbps og varte i 17 minutter. To av TSOCs kunder ble utsatt for angrep denne måneden.
To menn er dømt til fengsel i 4-5 måneder i Eidsivating lagmannsrett for en serie tjenestenektangrep (DDoS) utført våren 2015. Dette er den strengeste avgjørelsen hittil i saker hvor tjenestenektangrep er benyttet for å sette datasystemer ut av spill. Mennene ble i tillegg dømt til å betale 320.000,- kr i erstatning for tjenestenektangrepene og inndragning av over en halv million kroner.
Etterforskere har avslørt en spionvare-kampanje som siktet seg inn mot etiopiske regimekritikere i USA, Storbritannia og andre land. Operasjonen pågikk i over 14 måneder og ble utført ved hjelp av programvare fra et israelsk firma. Operasjonen ble kjent etter at loggfiler fra den ble funnet åpent på Internett etter en konfigurasjonsfeil.
Hackere kom seg unna med over 60 millioner dollar i Bitcoin etter et angrep mot mining-plattformen NiceHash. NiceHash har uttalt at de "etterforsker hendelsens natur". NiceHash har ikke selv spesifisert hvor mye Bitcoin som har blitt stjålet, men brukere av plattformen har pekt på en lommebok tilhørende plattformen til en verdi av 68 millioner dollar, som plutselig har blitt tømt. Nicehash er nå oppe igjen, og de påstår at brukerne skal få etterbetalt det de har mistet.
I september annonserte Department of Homeland Security at den amerikanske regjeringen ikke lenger skulle bruke Kasperskys produkter, på grunn av deres tilknytning til Russland. Kaspersky Lab stengte i desember ned deres kontor i D.C på grunn av at det ikke lenger er levedyktig. Etter stengningen, har selskapet opprettet et søksmål mot amerikanske myndigheter. Kaspersky har blitt beskyldt for å hjelpe russiske etterretningstjenester med spionasje, men firmaet nekter for dette.
En russisk hacker ved navn Konstantin Kozlovsky har innrømmet overfor en russisk domstol at han hacket demokoratene etter ordre fra FSB. Han skal allerede i august i fjor ha fortalt byretten i Moskva at han ble beordret av FSB-agenter til å hacke Democratic National Comittee (DNC). Informasjonen skal stamme fra Facebook-kontoen til Kozlovsky, hvor det har blitt lagt ut dokumenter og lydopptak fra rettshøringen. Dette har blitt bekreftet av to personer, blant annet en som var tilstede under høringen. Dersom samarbeidet mellom Kozlovsky og FSB blir bekreftet, vil det ifølge Business Insider kunne bidra til å undergrave de russiske myndighetenes påstander om at de ikke hadde noe å gjøre med hacker-angrepet mot Demokratene.
Det har vært flere høyprofilerte sikkerhetsbrudd hos populære nettsider og online-tjenester de siste årene. Sikkerhetsforskere hos 4iQ bruker mye av sin tid på å lete på the dark web og fant nylig en 41 gigabyte stor fil med 1.4 milliarder brukernavn- og passord-kombinasjoner i klartekst. Dataene har ikke kommet fra en enkelt hendelse, men er hentet fra flere forskjellige datainnbrudd. Dataene er hentet fra blant annet nettsider som Netflix, MySpace, LinkedIn og populære spill som Minecraft og Runescape. TSOC fikk tilgang til passordfilen og varslet sine kunder om eventuelle lekkede brukernavn og passord.
mandag 11. desember 2017
Oppsummering av nyhetsbildet innen datasikkerhet for november 2017
I november håndterte vi 157 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, opp fra 139 i oktober. Det er ingen spesielle svakheter eller hendelser som skiller seg ut denne måneden.
Det var 537 bekreftede DDoS-angrep i november. 156 av disse ble mitigert. Et gjennomsnittlig angrep var på 1,62 Gbps og varte typisk en halv time. Det største angrepet observert i denne perioden var på 12.8 Gbps og varte i 26 minutter. Tre av TSOCs kunder ble utsatt for angrep denne måneden.
En svakhet i macOS High Sierra, eller macOS 10.13, gjorde det mulig å logge på systemet uten passord lokalt, og i noen tilfeller også via fjerninnlogging. For å utnytte svakheten, holder det å legge inn root som brukernavn i påloggingsskjermen og la passordet være blankt. Deretter trykker man noen ganger på lås opp, og brukeren vil bli logget inn på systemet som root. Det vil i bakgrunnen bli opprettet en root-bruker uten passord. Svakheten ble patchet i macOS v10.13.2.
Intel Management Engine er en innebygget funksjon for administrasjon av Intel-baserte PCer og servere. Plattformen er innbygget i Intel-chipsets/CPUer og kan ofte nås selv om PCen er slått av. Den brukes for administrasjon og feilsøking av PCer. Etter rapporter om flere sårbarheter i systemet, har nå Intel foretatt en full sikkerhetsgjennomgang og oppdaget flere svakheter. Feilene er funnet i Intel Management Engine, Intel Trusted Execution Engine (TXE) og Intel Server Platform Services (SPS). Intel opplyser at svakheten kan brukes til å late som om en er ME/SPS/TXE-systemet, laste opp og kjøre valgfri kode på et sårbart system uten at det egentlige operativsystemet vet om det eller å krasje systemet. Flere leverandører av maskinvare har siden kommet oppdatert firmware til flere av sine PCer og servere.
Svensk radio avslørte at flere tusen svenske it-systemer tilhørende myndigheter, kommuner og bedrifter ligger åpent tilgjengelig på internett, med ingen eller lav grad av sikkerhet. Som eksempler nevnes systemer for styring av avløpssystemer, fjernvarme og brannalarmer. Flere av systemene skal også tilhøre samfunnskritisk infrastruktur.
USA har tiltalt tre kinesiske borgere for industrispionasje mot firmaene Trimble, Siemens og Moodys Analytics. De tre tiltalte oppholder seg antakeligvis i Kina og har jobbet for firmaet Guangzhou Bo Yu Information Technology Co., kjent som Boyusec. Mange mener at dette firmaet blir brukt av kinesiske myndigheter til å gjennomføre industrispionasje.
I forbindelse med den årlige Pwn2Own-konferansen, klarte sikkerhetsforskere å ta kontroll over både en iPhone og en Galaxy S8 som begge var fullt oppdaterte. iPhonen ble tatt kontroll over via lokal WiFi ved hjelp av fire forskjellige svakheter som ble brukt etter hverandre. Galaxy-telefonen ble angrepet ved hjelp av 11 svakheter i 6 forskjellige apper. Konkurransen viser igjen at mobiltelefoner av alle typer kan kompromitteres dersom en har tilgang til nok penger eller ekspertise.
Nettstedet Quartz avslørte at Google har samlet inn posisjonsdata fra Android-enheter selv om man har slått av lokasjonstjenesten. Posisjonene til omkringliggende basestasjoner i forhold til mobilen blir sendt inn. Praksisen skal ha pågått siden januar i år, iflg. Google for å forbedre levering av meldinger og push-meldinger. Etter å ha blitt kontaktet av Quartz sier Google at praksisen skal avvikles i løpet av november.
mandag 6. november 2017
Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2017
I oktober håndterte vi 139 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, opp fra 97 i september. Mange av hendelsene gjelder nettlesere som har blitt infisert av forskjellige tillegg (extensions) som stjeler data eller viser annonser. Det er også mange forsøk på å logge inn ved hjelp av å prøve mange forskjellige brukernavn og passord mot forskjellige nett-tjenester.
Det var 561 bekreftede DDoS-angrep i oktober. 140 av disse ble mitigert. Et gjennomsnittlig angrep var på 1,83 Gbps og varte typisk i én time. Det største angrepet observert i denne perioden var på 27.7 Gbps og varte i 2 timer. Seks av TSOCs kunder ble utsatt for angrep denne måneden.
Kaspersky Lab har vært i søkelyset i oktober. Anonyme kilder hevdet i en artikkel i The Wall Street Journal at programvare fra Kaspersky Lab ble brukt til å stjele hemmeligheter fra NSA. Hemmelighetene skal ha blitt tatt fra en privat PC tilhørende en ansatt, etter at den ansatte tok med seg gradert informasjon hjem ulovlig. Den ansatte hadde hjemme-utgaven av anti-virus-programvaren fra Kaspersky installert på denne PCen. AV-programmet oppdaget NSA-programvaren under en scanning av PCen, og sendte denne inn for analyse. Russiske myndigheter skal så ha fått tilgang til programvaren. Hendelsesforløpet ble overvåket av israelske agenter som hadde brutt seg inn i det interne nettverket til Kaspersky i 2015, da saken pågikk. Agentene skal også ha sett at ansatte hos Kaspersky gjorde søk relatert til NSA-kodenavn. Opplysningene ble meldt videre til NSA av Israel.
Etter avsløringene rundt Kaspersky Lab, ble det denne måneden forbudt for offentlige kontorer å bruke programvare fra firmaet. Som tilsvar, meldte Kaspersky Lab at de vil gi myndigheter og private firmaer innsyn i kildekoden til programvaren.
Kaspersky innrømmet mot slutten av måneden at de hadde fått tak i NSA sin malware, men at det ikke skjedde med overlegg. Kaspersky sin CEO, Eugene Kaspersky, ble gitt beskjed om funnet og han ba straks de ansatte slette alt som ble lastet opp. Kaspersky mener også at NSA-programvaren kan ha blitt stjålet av en annen gruppering, siden de også fant en bakdør på den NSA-ansatte sin PC. Denne bakdøren lå gjemt i piratkopiert materiale på PCen.
I oktober kom det fram at russiske interesser kjøpte annonser hos Google, Facebook og Twitter i forbindelse med den amerikanske presidentvalgkampen. Etter interne etterforskninger kom det fram at titusenvis av dollar hadde blitt brukt på annonser. Annonsene prøvde primært å sette forskjellige befolkningsgrupper opp mot hverandre for å skape intern splid. Over 126 millioner amerikanere skal ha blitt utsatt for de russiske annonsene.
Det har blitt oppdaget en svakhet i krypteringsbrikker fra selskapet Infineon kalt ROCA. Brikkene og nøkler laget med dem brukes i ID-kort, til signering av eposter/applikasjoner og TPM-moduler i PCer. På grunn av en implementeringsfeil, har RSA-nøklene som blir generert av brikkene svakere sikkerhet enn det nøkkellengden normalt skulle tilsi. Svakheten er over 5 år gammel og det finnes millioner av svake nøkler i bruk. Ved å ta utgangspunkt i den offentlige nøkkelen, kan den private nøkkelen beregnes. En 1024-bits RSA-nøkkel skal koste rundt $40-80 i datakraft å beregne, mens en 2048-bits nøkkel skal koste rundt $20.000-40.000 (henholdsvis 97 og 1400 vCPU-dager).
En sikkerhetsforsker ved det belgiske universitetet KU Leuven offentliggjorde detaljer rundt en svakhet som delvis knekker sikkerheten i WPA2-protokollen. Angrepet utnytter måten WPA2 håndterer nounces, eller tilfeldige kryptografiske tall. Disse tallene skal i utgangspunktet bare brukes én gang, men implementasjonen lar disse bli gjenbrukt. Metoden har fått navnet KRACK (Key Reinstallation Attack). Både routere, mobiltelefoner og PCer kan være sårbare. Det er imidlertid klienter som er mest sårbare, og da spesielt Linux og Android-baserte klienter. Disse har en ekstra sårbarhet, som gjør at de kan lures til å skru av WPA2-krypteringen fullstendig. Microsoft patchet svakheten allerede 10. oktober, mens iOS ble patchet 31. oktober i versjon 11.1. Google er ventet å slippe patcher tidlig i november for Android.
NRK meldte at E-tjenesten har bekreftet at Russland sto bak jamming av GPS-signaler i Finnmark i september. Russiske styrker gjorde dette i forbindelse med øving på jamming under øvelse Zapad 2017. Reuters meldte også at at Russland slo ut deler av mobilnettet i Litauen med jamming i forbindelse med samme øvelse.