Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 30. juni 2014

Oppsummering av nyhetsbildet mai 2014

Antallet alvorlige hendelser i forbindelse med nettverksovervåking (IDS) gikk noe ned forrige måned. Fortsatt er det relativt få som blir infisert ved hjelp av exploits. De fleste innfiseringer skjer ved å lure brukeren til å kjøre malware selv. Dette skjer gjerne via vedlegg i e-poster eller ved å lure brukeren til å installere forskjellige typer falsk programvare. Vi ser fortsatt at angripere logger seg inn med riktig brukernavn og passord på FTP-tjenere hos flere kunder. Login-detaljer er antakeligvis stjålet fra kompromitterte klientmaskiner. Angriperne prøver gjerne å laste opp innhold til eventuelle web-servere som måtte befinner seg på den samme serveren.

Antallet håndterte DDoS-angrep gikk nok en gang opp. Denne måneden har det hovedsaklig vært DNS-reflection-angrep. Angrep som benyttet seg av protokollen NTP har gått ned. Det største angrepet resulterte i 7.8Gbps med fragmenterte pakker, noe som betyr at den totale angrepstrafikken var på minst 11Gbps.

Andre mai ga Microsoft ut en patch til en 0-dags svakhet i Internet Explorer som ble brukt til målrettede angrep. Overraskende nok ble også Windows XP patchet, til tross for at operativsystemet er utenfor support. Dette er trolig den aller siste patchen som blir gitt ut til Windows XP. Mot slutten av måneden ble det meldt om enda en 0-dags svakhet i Internet Explorer versjon 8.

På SOC så vi denne måneden malware som spredde seg via Facebook. Brukere mottok en melding på Facebook med noe som så ut som et bilde i vedlegg. Dersom mottakeren åpnet filen, ble PCen infisert og malwaren spredde seg videre ved hjelp av private meldinger til kontakter. Det virker som om malwaren først og fremst tjener penger for bakmennene ved å utføre regneoperasjoner på PCer, såkalt "cryptocurrency mining". Dette har etter hvert blitt en vanlig måte å tjene penger på infiserte maskiner.

Det ble sluppet nye dokumenter som viser skal vise en "oppgraderings"-fabrikk tilhørende NSA. Bildene viser at NSA setter inn ekstra hardware for overvåking i en ruter fra Cisco. Ruterne blir stoppet mellom Cisco og kunden som egentlig skal motta dem.

Amerikanske påtalemyndigheter tok ut tiltale mot fem kinesiske offiserer. De fem tiltalte skal ha bedrevet spionasje mot flere amerikanske industribedrifter, blant annet innen stål- og kraftbransjen. Dette skal, i følge tiltalen, ha skjedd i perioden mellom 2006 og 2014. De tiltale tilhører, i følge amerikanske myndigheter, den 3. avdeling i Folkets Frigjøringshær, som har som hovedoppgave å bedrive etterretning mot mål utenfor Kina. Dette er første gang amerikanske myndigheter tar ut tiltale mot personer i det kinesiske militæret.

Ebay ble utsatt for et datainnbrudd som førte til at en database med personlige opplysninger og krypterte passord ble kopiert. Angriperne skal ikke ha fått tilgang til kredittkortinformasjon. Ebay ba brukerne om å skifte passord i etterkant av hendelsen. I dagene etter hendelsen ble det rapportert om flere andre svakheter i tjenesten.

Fra Australia ble det meldt at Apple-enheter plutselig ble låst. På skjermen kom det opp en melding om hvor brukeren skulle sende penger for å få den låst opp igjen. Låsingen ble gjort ved hjelp av Apples innebygde administrasjonsverktøy. Trolig har angriperne fått tilgang til brukernavn og passord til mange brukere ved hjelp av phishing-angrep.

I månedens siste dag ble det mye oppstyr rundt at diskkrypteringsverktøyet TrueCrypt plutselig ble lagt ned. Det er ukjent hvem som står bak verktøyet og det er også fortsatt ukjent hva som er motivet for nedleggelsen.


 
>