Oppsummering av nyhetsbildet for august 2015

August var også en måned med relativt få infiserte maskiner oppdaget gjennom tjenesten Sikkerhetsovervåking. Vi håndterte 50 alvorlige saker, mot 49 i juli. Denne måneden så vi en oppblomstring av infeksjoner forårsaket av nettbank-trojaneren Dyre. Denne blir gjerne distribuert som vedlegg til e-poster pakket i Zip-filer og offeret blir lurt til selv å kjøre malwaren. Vær varsom med å åpne vedlegg i e-post!

Telenor SOC håndterte 233 alvorlige DDoS-angrep, mot 215 i juli. Med alvorlige angrep mener vi angrep som er så store at de blir mitigert eller at eier av sambandet blir varslet. Gjennomsnittlig angrepstørrelse på disse var 4.73Gbps, mens gjennomsnittlig varighet på et angrep var 30 minutter. Det største angrepet denne måneden var på 30Gbps.

I august avslørte sikkerhetsforskere ved Malwarebytes at flere populære nettsider inneholdt annonser som videresendte nettleseren til sider som inneholdt Angler Exploit Kit. Der ble maskinen infisert dersom den hadde eldre versjoner av Flash eller Java installert. Det første nettstedet der annonsene ble avdekket var Yahoo. Senere i måneden ble også Drudge Report og Weather.com rammet. Det er uvisst hvor mange som ble infisert av annonsene, men nettstedene har flere hundre millioner brukere hver måned.

Sikkerhetsselskapet Check Point avslørte i august at over halvparten av alle Android-mobiler er sårbare for svakheter de har kalt “Certifigate”. Dette er en samlebetegnelse på flere sårbarheter i fjernsupport som brukes av de fleste Android-enheter. Programmer for fjernsupport, som TeamViewer og Rsupport, kan lastes ned fra Google Play. Slike verktøy krever ikke utvidet tilgang til systemet for å installere selve appen, men appen får utvidet tilgang ved å autentisere seg mot spesielle biblioteker i operativsystemet. Måten denne autentiseringen gjøres på er dessverre i mange tilfeller mangelfull. Konsekvensen av svakhetene er at vanlige applikasjoner kan få utvidet tilgang til systemet, på lik linje med en applikasjon for fjernsupport (lokal rettighetseskalering). For å utnytte svakheten må en lure en bruker til å installere en skadelig applikasjon. Senere i måneden ble oppdaget at en app i Play Store utnytter Certfigate-svakheten. Appen gjorde dette for å ta opp filmer av ting som skjer på enheten. Det er så langt ingenting som tyder på at svakheten har blitt utnyttet til noe uhederlig, men saken viser at apper i Google Play kan utnytte Certifigate-svakheten uten at Google oppdager dette..

I de siste månedene har det blitt avdekket flere alvorlige svakheter i Android-plattformen, som Certifigate-svakhetene og svakhetene i libStageFright. Som et svar på dette har Google, Samsung og LG sagt at de fra nå av skal slippe månedlige sikkerhetsoppdateringer for sine Android-telefoner. Fram til nå har det tatt flere måneder før oppdateringer når telefonene. Det er tydelig at mobilprodusentene nå har innsett at dette ikke lenger holder mot Apples mye kjappere patching.

En gruppe som Dell Secureworks har kalt "Emissary Panda", jobber med å stjele industrihemmeligheter fra hundrevis av firmaer i bransjer som bil, elektronikk, fly, energi og medisin. Gruppen har kontroll over flere legitime nettsteder med mange besøkende. Etter at gruppen har sett seg ut et offer, vil besøkende til det legitime nettstedet fra den utvalgte bedriften få servert malware. Andre besøkende til nettstedet vil ikke merke noe unormalt. Denne angrepsteknikken kalles vannhullsangrep. Etter at de har fått kontroll over en PC i bedriften de har valgt ut, vil de så hacke seg videre i nettverket for å få kontroll over domeneservere og filservere og begynne å hente ut relevant informasjon.

FireEye skrev en bloggpost om malwaren Hammertoss. De mener at det er russere som står bak malwaren og har kalt grupperingen APT29. Hammertoss kommuniserer med sin kontrollserver via Twitter og Github. Kommandoene som blir lastet ned fra Github ligger gjemt i bildefiler ved hjelp av stegonografi. Etter at en maskin har blitt undersøkt for interessant informasjon, blir dataene sendt ut av nettverk ved hjelp av kjente skytjenester for lagring. Bruken av kjente tjenester for all kommunikasjon gjør oppdagelse av malwaren svært vanskelig. Å bruke skytjenester i denne typen operasjoner vil trolig bli vanligere framover.

RSA publiserte en rapport om en kinesisk VPN-tilbyder som de har kalt Terracotta. VPN-tjenesten selger tilgang til nettet via hackede servere i forskjellige land, blant annet 572 servere i USA. Forskjellige kinesiske APT-grupperinger har benyttet seg av tjenesten for å skjule hvor de egentlig opererer fra. De hackede serverne var alle direkte eksponert mot Internett og ble kompromittert gjennom å gjette seg fram til administrator-passordet.

Oppsummering og status anngående libStageFright-svakheten i Android

I de siste dagene har flere svakheter i biblioteket libStageFright i Android fått stor oppmerksomhet. Vi har skrevet en oppsummering på norsk som også inneholder status per i dag og tiltak for å beskytte seg selv.

Biblioteket libStageFright i Android brukes til å spille av diverse media-filer og brukes av både selve operativsystemet og mange apper. Den farligste infeksjonsvektoren så langt er trolig målrettede MMS-beskjeder. MMS-beskjeden kan inneholde en spesielt utformet media-fil som kan utnytte svakheten. En anbefaling er derfor å skru av automatisk visning av multimedia-innhold i MMS-beskjeder.

I Google Hangouts kan dette gjøres ved å disable "Auto retrieve MMS" i settings. For Samsung sin messaging-app kan det gjøres på følgende måte: "More - Settings - More settings - Multimedia messages - Auto retrieve". Dersom det er mulig å gjøre dette via en MDM-løsning er dette å anbefale, da det kan være vanskelig å få sluttbrukerne til å gjøre dette. Dersom en mottar en MMS fra en ukjent avsender bør meldingen slettes.

Selv om en Android-telefon skulle være sårbare for denne svakheten inneholder Android flere mekanismer for å gjøre det vanskeligere for en angriper:

1. Fra Android version 4.1 (Jelly Bean) finnes det en god implementasjon av ASLR (Address Space Randomization Layout) som gjør det mye vanskeligere å faktisk utnytte svakheter til noe (få kjørt vilkårlig kode). ASLR legger viktige systemfunksjoner på tilfeldige plasser i minnet slik at det blir vanskelig å ta kontroll over telefonen, selv om den er sårbar. Det er derfor viktig å i det minste ha oppgradert OS-versjonen til v4.1. Dette bør prioriteres.
   
2. Dersom en lykkes å utnytte svakheten og kommer seg forbi SLR-beskyttelsen får en allikevel bare samme tilgang til systemet som appen tilgangen er oppnådd gjennom. Dersom tilgang f.eks. er oppnådd gjennom en SMS-app vil en typisk få tilgang til alt av meldinger, kontakter, lokasjon og bilder/videoer på enheten. I noen tilfeller vil en også få tilgang til mikrofon og kamera, alt etter hvilken SMS-app som brukes. Utvidet tilgang til systemet kan oppnås ved hjelp av "local privilige escalation"-svakheter, men disse må ofte lages spesielt for hver kombinasjon av håndsett-modell og OS-versjon. Også for å unngå denne typen svakheter er det en fordel med så ny versjon av Android som mulig.

Google har allerede patchet Stagefright-svakheten og sluppet patcher for sine Nexus-enheter. Samsung har allerede sluppet patcher for noen av sine enheter. Sony, HTC og LG har opplyst at de vil slippe patcher i løpet av August. Det virker som om alle de store leverandørene tar denne svakheten alvorlig.

I noen land slippes patcher først fra mobil-leverandøren til de forskjellige mobil-operatørene. Dette kan føre til lange utsettelser, da mobil-operatørene skal legge inn egen programvare og tilpasninger i OSet. I Norge slippes heldigvis patcher direkte fra mobil-leverandøren til sluttbrukernes enheter slik at ekstra forsinkelser unngås.

Det er hittil ikke meldt om at noen faktisk har blitt utsatt for denne sårbarheten utenom lab-miljøer.

Selskapet som oppdaget har utgitt en app for å sjekke om din Android-enhet er sårbar:

https://play.google.com/store/apps/details?id=com.zimperium.stagefrightdetector

Oppsummering av nyhetsbildet for juli 2015

Som forventet var juli også i år rolig når det gjaldt tjenesten sikkerhetsovervåkning. TSOC håndterte 49 alvorlige hendelser mot 78 i juni. De fleste angrep/infiseringer er i dag avhengig av at brukeren av maskinen foretar seg noe for at de skal fungere. I feriemåneden går derfor antall angrep ned.

I juli håndterte vi gjennom vår tjeneste for DDoS-beskyttelse 215 alvorlige angrep, ned fra 307 i juni. Det største angrepet i perioden var på 42Gbps og et gjennomsnittlig angrep er på rundt 5Gbps. Det var i realiteten 1150 verifiserte angrep, men de fleste av disse er såpass små eller kortvarige at de ikke blir håndtert av systemet. Dette dreier seg typisk om mindre angrep mot private sluttbrukere.

Den største nyheten i juli var angrepet mot det italienske firmaet Hacking Team. Firmaet selger overvåkingprogramvare til myndigheter i mange land, også land som ikke er kjent for å respektere menneskerettigheter. Hackerne slapp etter innbruddet over 400GB med data fra firmaets interne tjenere. De tok også kontroll over kontoer i sosiale medier. Intern e-post og e-post mellom ansatte og kunder ble lekket. Kildekode og programvare ble også sluppet, og her ble det etter hvert funnet flere zero-day svakheter som firmaet benyttet seg av til angrep mot sluttbrukere. I løpet av måneden slapp både Microsoft, Sun og Adobe kritiske sikkerhetsoppdateringer i forbindelse med saken. Personene bak angrepet mot Hacking Team hevder at de også stod bak angrepet mot Gamma International UK i 2014, et firma som driver i den samme bransjen.

To sikkerhetsforskere fikk mye oppmerksomhet etter en artikkel i Wired om hvordan de greide å ta kontroll over en Jeep mens den kjørte. Hackerne hadde mulighet til å kontrollere klimaanlegg, radio, bremser, motor osv. Dette var mulig siden Jeepen er koblet til mobilnettet via programvaren Uconnect. Via en svakhet i Uconnect kan angripere ta kontroll over bilen så lenge de vet IP-adressen til den og har en mobil i samme mobilnett. Jeep har siden sluppet en oppdatering. Denne må installeres via en USB-enhet, enten av sluttbrukeren selv eller hos en forhandler.

Mot slutten av måneden ble det meldt om flere svakheter i Android som rammer over 950 millioner mobiler. Svakheten finnes i biblioteket libStageFright og gjør det mulig å ta kontroll over en mobil ved f.eks. å sende den en MMS-melding med en spesielt utformet video. Google har siden fikset sårbarheten og Google, Samsung og LG har lovet å gi ut månedlige sikkerhetsoppdateringer til sine mobiler.

29. juli ble Windows 10 lansert. Den nye versjonen er gratis tilgjengelig dersom en fra før av har Windows 7 eller nyere. Windows 10 inneholder en del nye sikkerhetsteknologier for å gjøre innbrudd vanskeligere. Den nye versjonen har fått kritikk for å ta dårlig vare på personvernet, dersom du benytter deg av standard innstillinger ved installasjon. Det er imidlertid enkelt å bestemme hva som skal deles med Microsoft ved å endre på innstillingene for privacy/personvern etter installasjon.

Europol og Eurojust arresterte i juli fem personer som de mener står bak utvikling og distribusjon av banktrojanerne Zeus og SpyEye. De skal også ha vært ansvarlig for styring av sofistikerte cyberoperasjoner, med over 2 millioner euro i utbytte.

Myndigheter i en rekke land har også samarbeidet om å arrestere over 60 personer som skal ha utført hacking. Personene knyttes til det kriminelle forumet Darkode, som er et svartbørsmarked for blant annet exploit-kits og hacker-verktøy. Operasjonen har resultert i arrestasjoner i 19 land.

Oppsummering av nyhetsbildet for juni 2015

I forbindelse med tjenesten Sikkerhetsovervåking for bedriftskunder håndterte vi 78 alvorlige hendelser i juni, mot 137 i mai.

I løpet av juni har vi håndtert 307 DDoS-angrep, en økning på 74 angrep sammenlignet med forrige måned. Igjen er det reflection-angrep av type SSDP, NTP og CHARGEN som er de mest brukte angrepsmetodene. Ikke uventet er UDP-protokollen benyttet i 2/3 av alle angrep vi ser. Et typisk angrep er på 3-4Gbps og varer i rundt 30 minutter. Det største angrepet var på 28.68 Gbps. Som vanlig er det vanlige private sluttbrukere fra Telenor som blir mest angrepet.

Den største saken denne måneden internasjonalt har vært datainnbruddet hos Office of Personnel Management i USA. OPM driver med HR-relaterte oppgaver for offentlig ansatte i USA. De har også ansvaret for å utføre bakgrunnssjekk på personell i forbindelse med sikkerhetsklareringer. Angriperne kom seg unna med store mengder personlig og sensitiv informasjon om millioner av amerikanere. Informasjon fra sikkerhetsklareringer skal også være på avveie. Det er ukjent hvem som står bak, men dette er data som er gull verdt for andre etterretningsorganisasjoner. Innbruddet ble oppdaget i april og det er ukjent hvor lenge uvedkommende har vært inne i systemene.

Nasjonal Sikkerhetsmyndighet gikk i juni ut med et varsel om at bedrifter i Norge blir utsatt for utpressing. Bedrifter i ble først utsatt for et kraftig, men kortvarig DDoS-angrep og ble så krevet for penger for å unngå nye og mer langvarige angrep. TSOC kan bekrefte at dette stemmer. Vi bidro med å håndtere og stoppe et angrep av denne typen denne uken mot en norsk bedrift.

I juni kom det fram at Kripos stanset et storangrep mot DNB ved å ta ned et botnett på rundt 2000 norske datamaskiner som var infisert av trojaneren Gozi-03. Kripos nøytraliserte botnettet ved å utgi seg for å være en kontrollserver som signaliserte den ondsinnede programvaren på de infiserte maskinene om å ikke starte opp neste gang maskinen ble slått på. Dette sendte trojaneren i dvale. En 35 år gammel mann fra Estland er tiltalt i forbinnelse med saken. Dette er første gangen et botnett er tatt ned på denne måten i Norge.

Kaspersky Labs oppdaget tidligere i år at de at de hadde blitt utsatt for et cyber-angrep. Angripere hadde vært aktive i nettet i lengre tid og hadde infisert flere maskiner. Kaspersky døpte malwaren Duqu 2.0, siden den deler mye kode med den opprinnelige Duqu. Malwaren er svært avansert og har benyttet seg av flere 0-dags svakheter og etterlot seg ikke spor på harddisken, kun i minnet. Microsoft patchet én av disse svakhetene i denne månedenes oppdateringer for Windows. Deler av malwaren var også signert med et gyldig sertifikat stjålet fra den store produsenten Foxconn. Det antas at en nasjonalstat står bak angrepet og Israel er så langt hovedmistenkt. Kaspersky og Symantec har også oppdaget andre som har blitt rammet av Duqu 2.0, blant annet har den blitt brukt til overvåking i forbindelse med forhandlinger rundt en atomavtale med Iran.

Det ble avdekket en alvorlig svakhet i alle nyere Samsung-telfoner. Svakheten ligger i tastaturapplikasjonen som er laget av SwiftKey. Applikasjonen sjekker ikke integriteten til programfilen som lastes ned ved oppdatering og dermed kan en angriper bytte denne ut i et "man-in-the-middle" angrep. Slike angrep er relativt lette å gjennomføre mot brukere av åpne trådløse nettverk. Avanserte angripere, som statlige aktører, kan også bruke denne svakheten til å ta kontroll over telefoner dersom de har tilgang til relevant Internett-trafikk. Den 23. juni lanserte Samsung en oppdatering for svakheten. Oppdateringen fungerer bare for telefoner levert med Knox og blir installert automatisk. Samsung skal etter hvert patche alle sine telfoner gjennom å oppdatere selve operativsystemet.

USA vil ha regler for omsetning av exploitkode inn under Wassenaar-avtalen. Dette er en er en omfattende handelsavtale for omsetning av våpen. Dette vil kunne medføre strenge regler for eksport og import av slik kode og teknologi, og har utløst heftige debatter i sikkerhetskretser. 

Oppsummering av nyhetsbildet for mai 2015

Antallet håndterte hendelser i forbindelse med sikkerhetsovervåking gikk noe opp i mai. Vi håndterte 137 alvorlige hendelser, mot 103 i april. Vi ser at mange maskiner blir infisert av forskjellige typer “bank-trojanere” som primært er utformet for å lure penger fra offeret. Selv om det har vært mye informasjon i media, er det også en del infeksjoner med ransomware. Det gjelder å ha god backup!

I mai håndterte TSOC 227 DDoS-angrep, mot 105 i april. Det er SSDP-reflection som er den mest populære angrepsprotokollen. Det er også en del angrep som benytter seg av DNS-reflection samt fragmenterte UDP-pakker. Totalt var det 590 angrep der angrepstrafikken utgjorde mer enn 500 Mbps.

Microsoft lanserte en del nye sikkerhetsprodukter denne måneden. Verktøyet LAPS kan brukes til å administrere admin-passord på PCer i et nettverk. Mange Windows-nettverk har samme lokale admin-passord på alle PCer på nettverket. Dette kan gjøre det lettere for angripere å flytte seg fra PC til PC etter å ha kompromittert én PC. Applikasjonen LAPS (Local Administrator Password Solution) fra Microsoft genererer tilfeldige passord for lokale admin-kontoer på PCer og tilbyr en sentral måte å administrere dette. Firmaet lanserte også verktøyet ATA (Advanced Threat Analytics) som skal kunne detektere tilsynelatende legitim, men unormal aktivitet på en PC. Microsoft har også opplyst at Windows 10 vil kunne motta sikkerhetsoppdateringer fortløpende. For bedrifter vil det bli tilbud om å fortsatt ha en fast patchedag slik at driften blir mer forutsigbar.

I mai kom det fram at Lånekassen var blant ofrene under bølgen av ransomware mot skandinaviske virksomheter i begynnelsen av året. En brukers PC ble infisert, og alle delte filområder som brukeren hadde tilgang til ble kryptert. Lånekassen anmeldte forholdet, men saken ble raskt henlagt. Politiet anbefaler likevel alle virksomheter om å anmelde for å synliggjøre problemet. Lånekassen hadde gode backup-rutiner og kom raskt opp igjen etter hendelsen.

Det har blitt opprettet et Github-prosjekt som ønsker å demonstrere/teste mulighetene til GPU-basert (skjermkortet i PCen) malware. Foreløpig har prosjektet implementert et rootkit og en keylogger. Det vil ikke være mulig å detektere hva som skjer på tradisjonelle måter som antivirus og lignende. Malware på GPU vil ha direkte tilgang til minnet på maskinen via DMA (Direct Memory Access).

Dell Secureworks hadde denne måneden en bloggpost om utviklingen innen banktrojanere etter at flere botnett ble tatt ned i 2014 og i starten av 2015. Disse var ofte basert på varianter av malwaren Zeus. I etterkant har det dukket opp flere mer avanserte varianter som Dyre, Bugat v5/Dridex, and Vawtrak. De nye variantene er vanskeligere å oppdage, og botnettene er vanskeligere å ta ned. Malware av denne typen ser vi nesten daglig hos Telenor SOC.

Det var mye skriverier i media om sikkerhetsforskeren Chris Roberts. Han klarte i følge en rapport fra FBI å endre kursen på et rutefly en kort periode. Det skal han ha klart ved å ta seg inn gjennom flyets underholdningssystem mens han var om bord på flyet. Boing, som har produsert flyet det var snakk om, nekter for at det er noen forbindelse mellom underholdningssystemet og flyets styringssystemer. Foreløpig virker det mest sannsynlig at saken er overdrevet og at Chris Roberts heller snakket om ting han mente kunne være mulig og ikke ting han faktisk hadde gjort.

Denne månedens svakhet i SSL/TLS-kryptering fikk navnet LogJam. Dette er en svakhet i TLS som gjør at nøkkel-utvekslingen, som utføres ved hjelp av Diffie-Hellman-protokollen, kan degraderes til 512 bits. Dette er en veldig kort nøkkel-lengde og gjør at senere kommunikasjon kan avlyttes relativt enkelt. Svakheten gjøres mulig ved hjelp av såkalte "export ciphers" (svake kryptonøkler) som ble introdusert på 90-tallet for at USA skulle kunne avlytte kryptert kommunikasjon i utlandet.

Google publiserte forskningsmateriale rundt effektiviteten av sikkerhetsspørsmål ved innlogging. Mange tjenester ber deg f.eks. skrive inn mors pikenavn for å få tilgang til kontoen din, dersom du har glemt passordet. Google konkluderer med at det er nesten umulig å lage sikkerhetsspørsmål som det er vanskelig å gjette og som samtidig er lette å huske. Nullstilling av passord via SMS er en mye bedre løsning.