Oppsummering av nyhetsbildet for november 2015

I november håndterte vi 124 hendelser i forbindelse med tjenesten Sikkerhetsovervåking. Dette var omtrent på samme nivå som oktober. Fortsatt er det mange maskiner som er infisert av informasjons-stjelende trojanere som Dyre, Zeus og Upatre. Vi har også sett et ytterligere oppsving i maskiner infisert av utpressingsprogramvare i november. Det har vært stor spredning av denne typen malware via e-post. Husk å være forsiktig med å åpne vedlegg du er usikker på!

I november håndterte TSOC 146 DDoS-angrep, mot 202 i oktober. Denne måneden er det DNS-reflection-angrep som har dominert, med 4 angrep på 60-70Gbps. Dette er uvanlig mange store angrep. Gjennomsnittlig størrelse på et angrep gikk opp fra 4.7Gbps i oktober til 6.3 i november.

Den første helgen i november ble både Swedbank og Nordea rammet av DDoS-angrep. Begge nettstedene var nede i flere timer. Ifølge Aftonbladet krevde angriperen et beløp tilsvarende 10.000 USD i Bitcoins for å slutte med angrepene. Mot slutten av måneden ble en tenåring arrestert i Sverige. Han ble siktet for å ha gjennomført angrepene og utpressing mot bankene. Tenåringen benyttet seg av et botnett på rundt 20.000 maskiner for å gjennomføre angrepet.

I november ble det avslørt at mange PCer fra Dell har et stort sikkerhetshull. De er utstyrt med et såkalt "root-sertifikat" som gjør det lett å overvåke trafikk til og fra PCen. En angriper kan også lett lage nettsteder som bruker sertifikatet til å tro at du besøker Google eller banken din, mens du egentlig er på en svindel-side. Denne saken minner mye om den såkalte "Superfish"-saken som tidligere rammet Lenovo. På Dell PCer brukes imidlertid sertifikatet til kundestøtte, mens hos Lenovo ble sertifikatet brukt til å servere reklame. Dell kom etter et par dager med oppdateringer som slettet sertifikatet.

Hackere har klart å ta full kontroll over en iPhone kun ved å få brukeren til å besøke en spesiell nettside. For å få tilgang til programkoden som muliggjør dette, betaler firmaet Zerodium en million dollar. Firmaet driver med handel av ferske sikkerhetssvakheter. Apple vil ikke bli informert om hvordan hacket ble utført og fremgangsmåten vil bli solgt til interesserte land.

Checkpoint offentliggjorde nye detaljer om APT-aktøren Rocket Kitten. Personene bak grupperingen holder til i Iran og det virker som om de jobber med spionasje for staten. På grunn av dårlig sikkerhet i gruppens operasjoner, har Checkpoint klart å ta seg inn i gruppens servere og hentet ut informasjon. De har blant annet identifisert flere av medlemmene og mange av målene.

Microsoft vil snarlig gjøre det mulig for kundene å velge å lagre dataene sine i Tyskland. Med dette tilvalget vil tjenestene antakeligvis bli noe dyrere. Selskapet T-Systems skal ha ansvaret for lagring av dataene, og Microsoft skal ikke selv ha tilgang til dem. Dette gjøres for ikke å komme i konflikt med europeiske personvernlover etter at Safe Harbor-avtalen falt bort.

Ved å analysere mer enn 4000 produkter fra over 70 leverandører har forskere ved SEC Consult funnet utstrakt gjenbruk av HTTPS-sertifikater og SSH-nøkler. De private nøklene som er gjenbrukt, kan i mange tilfeller hentes ut fra enhetenes firmware. Produktene dette gjelder er blant annet rutere, modem og IP-kamera fra så godt som alle kjente leverandører. Problemet ved dette er at alle enhetene som bruker samme firmware, også vil ha samme krypto-nøkler og sertifikat. Dette kan da misbrukes til blant annet man-in-the-middle angrep. Mange millioner enheter er sårbare for angrep.

Regjeringens digitale sårbarhetsutvalg publiserte på månedens siste dag en omfattende rapport, der de peker på digitale svakheter i samfunnet og foreslår tiltak. Blant konklusjonene er at det er for lite sikkerhetskunnskap på en rekke områder. De mener også at politiet bør bruke betydelig mer krefter på digitale lovbrudd. I henhold til utvalget er også Telenors kjernenett involvert i en for stor andel av Norges kritiske infrastruktur og tjenester.

Oppsummering av nyhetsbildet for oktober 2015

I oktober hadde vi nesten en dobling i hendelser håndtert gjennom tjenesten Sikkerhetsovervåking sammenlignet med september; 127 hendelser, mot 68 i september. Denne måneden fortsatte med maskiner infisert av trojanere som Dyre, Zeus og Upatre. Noen blir dessverre også fortsatt lurt til å installere utpressingsprogramvaren CryptoWall. Vi så også flere iPhone-enheter som var infisert med spionprogrammet XCodeGhost.

Antall håndterte DDoS-angrep gikk noe opp til 202 i oktober, mot 191 i september. Reflection-angrep basert på DNS var det mest vanlige, med NTP og Chargen på de neste plassene. Vi ser nå også angrep basert på den gamle routing-protokollen RIPv1, noe som er relativt nytt. Gjennomsnittlig angrepsstørrelse var på 4.7Gbps og det største angrepet var på 32.8Gbps! Flere av TSOCs betalende DDoS-kunder ble angrepet i perioden.

Som i september, fikk Apple også denne måneden problemer med stor spredning av malware til iOS-enheter. Skadevaren YiSpecter omtales som den første skadevaren som infiserer ikke-jailbreakede iOS-enheter. Skadevaren installeres via Apples "Enterprise App Provisioning framework" - et rammeverk som lar bedrifter installere apper på ansattes mobiler uten å måtte legge dem åpent ut i App Store. Dette gjør det mulig for skadevaren å omgå screeningen som Apple gjør før publisering. Malwaren bruker også API-kall som normalt bare er tilgjengelig for Apple. Skadevaren var signert med et gyldig utviklersertifikat og lot seg dermed installere som om den var legitim programvare. Skadevaren så ut til å rette seg mot brukere i Kina og Taiwan. I siste versjon av iOS har Apple nå lagt inn en ekstra sperre for å installere apper via denne teknikken. Brukeren må nå først slå på muligheten for slik installasjon i telefonens innstillinger.

I starten av Oktober ble det avdekket enda flere kritiske svakheter i Android. Svakhetene fikk navnet StageFright 2.0, siden de finnes i det samme biblioteket som de opprinnelige StageFright-svakhetene. Svakheten skal være i forbindelse med tolkning av metadata til lyd og videofiler, slik at man trenger ikke nødvendigvis åpne filene for å bli utnyttet. Google patchet svakhetene 7. oktober, men underleverandører som Samsung og LG bruker nok noe tid på å få dem ut til telefoner.

14. oktober slapp Adobe en oppdatering til Flash som utbedret en rekke svakheter. Samme dag ble det også kjent at trusselaktøren PawnStorm/APT28 brukte en zero-day svakhet i Adobe Flash til å angripe utenriksdepartementer rundt i verden. Oppdateringen til Flash rettet ikke svakheten som hadde blitt benyttet. Angrepsmetoden skal ha vært målrettede phishing-mail som inneholdt linker til exploit-koden. Adobe patchet svakheten allerede 17. oktober. Senere i måneden kom det også fram at PawnStorm forsøkte å få tilgang til nettverket brukt av undersøkelseskommisjonen etter MH17-flyulykken.

Hashing-algoritmen SHA-1 er mye brukt i blant annet SSL-sertifikater på nettet. Den har kjente svakheter og det planlegges å slutte å bruke den i januar 2017. Noen forskere mener nå at dette kan være for lenge til og at algoritmen snart lett kan knekkes. Det anbefales å fornye alle sertifikater som bruker SHA-1.

NetCraft rapporterte at det i løpet av en periode på 30 dager ble utstedet hundrevis av SSL-sertifikater til tvilsomme/falske domener som benyttes til phishing og svindel. Slepphendt håndtering av regelverket for utstedelse av sertifikater pekes på som en medvirkende årsak til at dette skjer, og utstederen CloudFlare/Comodo fremheves som verstingen. Sertifikatene benyttes for å gi phishingsider og lignende høyere troverdighet overfor besøkende. Denne utviklingen kan føre til at signering av nettsteder snart ikke kan tilleges særlig vekt for å identifisere hvem som står bak dem.

I september avdekket Google at Symantec hadde utstedet flere falske sertifikater for Google-domener. Google har nå avdekket at problemet er større enn først antatt. Symantec har også utstedt 164 andre falske sertifikater for reelle domener. Google forlanger nå at Symantec begynner å legge ut en offentlig logg over alle domener de lager sertifikater for. Symantec må også leie inn en tredjepart for å gå igjennom sikkerheten. Symantec gikk med på kravene til Google.

En tenåring hacket seg inn i CIA-sjefens private AOL e-postkonto. Der hentet han ut flere personlige dokumenter, blant annet et skjema som var fyllt ut i forbindelse med sikkerhetsklarering. Hacket skal ha blitt utført ved sosial manipulasjon av mobiloperatøren og AOL. Hackeren ga seg ut for å være en ansatt og lurte til seg informasjon han trengte for å nullstille passordet.

Oppsummering av nyhetsbildet for september 2015

Etter sommeren har vi sett en oppgang i alvorlige hendelser håndtert gjennom tjenesten Sikkerhetsovervåking. Vi håndterte i september 68 saker, opp fra 50 i august. Denne måneden så vi fortsatt mange trojaner-infeksjoner forårsaket av bank-trojaneren Dyre. Det er dessverre også fortsatt en del som blir utsatt for utpressingsprogramvare og får hele harddisken kryptert.

I september håndterte vi 191 alvorlige DDoS-angrep, mot 233 i august. Gjennomsnittlig størrelse på disse angrepene var 6.73Gbps. De to største angrepene var på henholdsvis 25 og 30Gbps, kraftig opp sammenlignet med forrige måned. De fleste angrepene er reflection-angrep utført ved brukt av protokollene chargen og DNS.

September var en dårlig måned sikkerhetsmessig for Apple. Denne måneden ble det oppdaget hundrevis av applikasjoner i App Store som inneholdt uønsket kode (adware) som viste annonser og kartla brukere. Appene ble infisert ved at utviklere av Iphone-apps har blitt lurt til å installere en uoffisiell versjon av Apples programvare for utvikling, Xcode. Denne versjonen inneholdt skadevare som igjen infiserte utviklernes apper. Disse appene ble ikke avvist av Apples sikkerhetsmekanismer. For det meste ble apper brukt spesielt i Kina rammet, men også kjente apper som WeChat og WinZip var infisert. Dette er første gangen noen har klart å få malware inn i App Store på dette nivået.

OS X ble også rammet av adware kalt Genieo. Denne adwaren blir installert sammen med ellers uskyldige programmer. Etter at adwaren har blitt installert, gir den seg selv tilgang til OS X Keychain. Dette gjør den for å kunne installere en ny extention til Safari, kalt Leperdvil. Normalt kreves det at brukeren gir sitt samtykke for at apper skal få tilgang til Keychain. Genieo gir imidlertid seg selv tilgang ved å emulere et museklikk der "godta" knappen på dialogboksen er når den dukker opp. Keychain kan også inneholde passord til andre tjenester som adwaren kan hente ut.

Google har også hatt problemer med malware i Google Play. Dette har rammet opp mot en halv million brukere av spillet “Brain Test”. Checkpoint har avdekket at spillet, etter installasjon, laster ned et exploit-kit, i den hensikt å installere et rootkit på enheten og gi angriper full kontroll. I likhet med malwaren i Apples App Store var også denne rettet hovedsaklig mot brukere i Kina. Malwaren ble brukt til å installere flere apps på rammede mobiler. Bakmennene har benyttet seg av flere triks for å omgå Googles sikkerhetssjekker av apper som blir lastet opp til Google Play.

Googles Project Zero team oppdaget i september at sårbarheter i Kaspersky Antivirus kan benyttes til å ta kontroll over en maskin. Sårbarhetene skyldes blant annet feil i håndtering av pakkede filer og arkiver. Google anbefaler at prosessen som utfører sjekken blir kjørt i en sandkasse og uten SYSTEM-privilegier. Kaspersky fikset svakhetene i løpet av 24 timer. Google har funnet en mengde kritiske sårbarheter i antivirus-programvare fra flere leverandører.

En sikkerhetsforsker oppdaget også flere svakheter i en sikkerhets-appliance fra FireEye. Én av svakhetene gir tilgang til å laste ned filer fra boksen uten å autentisere seg. Det opplyses også at web-serveren kjører med root-tilgang, noe som ikke er regnet som et sikkert oppsett. FireEye slapp kort tid etter en oppdatering for svakhetene.

Cisco meldte at at det var funnet spesialtilpasset firmware i routere ute hos kunder. Selskapet Mandiant fant 14 routere av typen 1841, 2811 og 3825 med kompromittert programvare. Disse routerne ble funnet i Mexico, Filippinene, India og Ukraina. Senere scannet forskere hele Internett etter infiserte routere og fant totalt 79 enheter, de fleste i USA og Libanon. Angriperne får tilgang til routerne ved hjelp av fysisk tilgang eller gyldige administrator-kontoer. Når programvaren er installert, kan den laste inn moduler med forskjellig funksjonalitet. Når en router er kompromittert, kan i teorien all trafikk som går gjennom den avlyttes eller endres.

Mozilla meldte om at deres Bugzilla-installasjon, et system for å håndtere feil og svakheter i deres programvare, ble kompromittert. Informasjon stjålet om svakheter i FireFox, skal ha blitt brukt til å kompromittere klienter gjennom målrettede angrep. En oppdatering for FireFox, sluppet 27. august, skal ha fikset alle svakheter som ble avslørt gjennom angrepet.

F-Secure meldte om at sikkerhetsmiljøet blir forsøkt kartlagt ved hjelp av falske LinkedIn-kontoer som gir seg ut for å drive med rekruttering. Personene bak kontoene, samt selskapet de representerer finnes ikke.

Oppsummering av nyhetsbildet for august 2015

August var også en måned med relativt få infiserte maskiner oppdaget gjennom tjenesten Sikkerhetsovervåking. Vi håndterte 50 alvorlige saker, mot 49 i juli. Denne måneden så vi en oppblomstring av infeksjoner forårsaket av nettbank-trojaneren Dyre. Denne blir gjerne distribuert som vedlegg til e-poster pakket i Zip-filer og offeret blir lurt til selv å kjøre malwaren. Vær varsom med å åpne vedlegg i e-post!

Telenor SOC håndterte 233 alvorlige DDoS-angrep, mot 215 i juli. Med alvorlige angrep mener vi angrep som er så store at de blir mitigert eller at eier av sambandet blir varslet. Gjennomsnittlig angrepstørrelse på disse var 4.73Gbps, mens gjennomsnittlig varighet på et angrep var 30 minutter. Det største angrepet denne måneden var på 30Gbps.

I august avslørte sikkerhetsforskere ved Malwarebytes at flere populære nettsider inneholdt annonser som videresendte nettleseren til sider som inneholdt Angler Exploit Kit. Der ble maskinen infisert dersom den hadde eldre versjoner av Flash eller Java installert. Det første nettstedet der annonsene ble avdekket var Yahoo. Senere i måneden ble også Drudge Report og Weather.com rammet. Det er uvisst hvor mange som ble infisert av annonsene, men nettstedene har flere hundre millioner brukere hver måned.

Sikkerhetsselskapet Check Point avslørte i august at over halvparten av alle Android-mobiler er sårbare for svakheter de har kalt “Certifigate”. Dette er en samlebetegnelse på flere sårbarheter i fjernsupport som brukes av de fleste Android-enheter. Programmer for fjernsupport, som TeamViewer og Rsupport, kan lastes ned fra Google Play. Slike verktøy krever ikke utvidet tilgang til systemet for å installere selve appen, men appen får utvidet tilgang ved å autentisere seg mot spesielle biblioteker i operativsystemet. Måten denne autentiseringen gjøres på er dessverre i mange tilfeller mangelfull. Konsekvensen av svakhetene er at vanlige applikasjoner kan få utvidet tilgang til systemet, på lik linje med en applikasjon for fjernsupport (lokal rettighetseskalering). For å utnytte svakheten må en lure en bruker til å installere en skadelig applikasjon. Senere i måneden ble oppdaget at en app i Play Store utnytter Certfigate-svakheten. Appen gjorde dette for å ta opp filmer av ting som skjer på enheten. Det er så langt ingenting som tyder på at svakheten har blitt utnyttet til noe uhederlig, men saken viser at apper i Google Play kan utnytte Certifigate-svakheten uten at Google oppdager dette..

I de siste månedene har det blitt avdekket flere alvorlige svakheter i Android-plattformen, som Certifigate-svakhetene og svakhetene i libStageFright. Som et svar på dette har Google, Samsung og LG sagt at de fra nå av skal slippe månedlige sikkerhetsoppdateringer for sine Android-telefoner. Fram til nå har det tatt flere måneder før oppdateringer når telefonene. Det er tydelig at mobilprodusentene nå har innsett at dette ikke lenger holder mot Apples mye kjappere patching.

En gruppe som Dell Secureworks har kalt "Emissary Panda", jobber med å stjele industrihemmeligheter fra hundrevis av firmaer i bransjer som bil, elektronikk, fly, energi og medisin. Gruppen har kontroll over flere legitime nettsteder med mange besøkende. Etter at gruppen har sett seg ut et offer, vil besøkende til det legitime nettstedet fra den utvalgte bedriften få servert malware. Andre besøkende til nettstedet vil ikke merke noe unormalt. Denne angrepsteknikken kalles vannhullsangrep. Etter at de har fått kontroll over en PC i bedriften de har valgt ut, vil de så hacke seg videre i nettverket for å få kontroll over domeneservere og filservere og begynne å hente ut relevant informasjon.

FireEye skrev en bloggpost om malwaren Hammertoss. De mener at det er russere som står bak malwaren og har kalt grupperingen APT29. Hammertoss kommuniserer med sin kontrollserver via Twitter og Github. Kommandoene som blir lastet ned fra Github ligger gjemt i bildefiler ved hjelp av stegonografi. Etter at en maskin har blitt undersøkt for interessant informasjon, blir dataene sendt ut av nettverk ved hjelp av kjente skytjenester for lagring. Bruken av kjente tjenester for all kommunikasjon gjør oppdagelse av malwaren svært vanskelig. Å bruke skytjenester i denne typen operasjoner vil trolig bli vanligere framover.

RSA publiserte en rapport om en kinesisk VPN-tilbyder som de har kalt Terracotta. VPN-tjenesten selger tilgang til nettet via hackede servere i forskjellige land, blant annet 572 servere i USA. Forskjellige kinesiske APT-grupperinger har benyttet seg av tjenesten for å skjule hvor de egentlig opererer fra. De hackede serverne var alle direkte eksponert mot Internett og ble kompromittert gjennom å gjette seg fram til administrator-passordet.

Oppsummering og status anngående libStageFright-svakheten i Android

I de siste dagene har flere svakheter i biblioteket libStageFright i Android fått stor oppmerksomhet. Vi har skrevet en oppsummering på norsk som også inneholder status per i dag og tiltak for å beskytte seg selv.

Biblioteket libStageFright i Android brukes til å spille av diverse media-filer og brukes av både selve operativsystemet og mange apper. Den farligste infeksjonsvektoren så langt er trolig målrettede MMS-beskjeder. MMS-beskjeden kan inneholde en spesielt utformet media-fil som kan utnytte svakheten. En anbefaling er derfor å skru av automatisk visning av multimedia-innhold i MMS-beskjeder.

I Google Hangouts kan dette gjøres ved å disable "Auto retrieve MMS" i settings. For Samsung sin messaging-app kan det gjøres på følgende måte: "More - Settings - More settings - Multimedia messages - Auto retrieve". Dersom det er mulig å gjøre dette via en MDM-løsning er dette å anbefale, da det kan være vanskelig å få sluttbrukerne til å gjøre dette. Dersom en mottar en MMS fra en ukjent avsender bør meldingen slettes.

Selv om en Android-telefon skulle være sårbare for denne svakheten inneholder Android flere mekanismer for å gjøre det vanskeligere for en angriper:

1. Fra Android version 4.1 (Jelly Bean) finnes det en god implementasjon av ASLR (Address Space Randomization Layout) som gjør det mye vanskeligere å faktisk utnytte svakheter til noe (få kjørt vilkårlig kode). ASLR legger viktige systemfunksjoner på tilfeldige plasser i minnet slik at det blir vanskelig å ta kontroll over telefonen, selv om den er sårbar. Det er derfor viktig å i det minste ha oppgradert OS-versjonen til v4.1. Dette bør prioriteres.
   
2. Dersom en lykkes å utnytte svakheten og kommer seg forbi SLR-beskyttelsen får en allikevel bare samme tilgang til systemet som appen tilgangen er oppnådd gjennom. Dersom tilgang f.eks. er oppnådd gjennom en SMS-app vil en typisk få tilgang til alt av meldinger, kontakter, lokasjon og bilder/videoer på enheten. I noen tilfeller vil en også få tilgang til mikrofon og kamera, alt etter hvilken SMS-app som brukes. Utvidet tilgang til systemet kan oppnås ved hjelp av "local privilige escalation"-svakheter, men disse må ofte lages spesielt for hver kombinasjon av håndsett-modell og OS-versjon. Også for å unngå denne typen svakheter er det en fordel med så ny versjon av Android som mulig.

Google har allerede patchet Stagefright-svakheten og sluppet patcher for sine Nexus-enheter. Samsung har allerede sluppet patcher for noen av sine enheter. Sony, HTC og LG har opplyst at de vil slippe patcher i løpet av August. Det virker som om alle de store leverandørene tar denne svakheten alvorlig.

I noen land slippes patcher først fra mobil-leverandøren til de forskjellige mobil-operatørene. Dette kan føre til lange utsettelser, da mobil-operatørene skal legge inn egen programvare og tilpasninger i OSet. I Norge slippes heldigvis patcher direkte fra mobil-leverandøren til sluttbrukernes enheter slik at ekstra forsinkelser unngås.

Det er hittil ikke meldt om at noen faktisk har blitt utsatt for denne sårbarheten utenom lab-miljøer.

Selskapet som oppdaget har utgitt en app for å sjekke om din Android-enhet er sårbar:

https://play.google.com/store/apps/details?id=com.zimperium.stagefrightdetector

Oppsummering av nyhetsbildet for juli 2015

Som forventet var juli også i år rolig når det gjaldt tjenesten sikkerhetsovervåkning. TSOC håndterte 49 alvorlige hendelser mot 78 i juni. De fleste angrep/infiseringer er i dag avhengig av at brukeren av maskinen foretar seg noe for at de skal fungere. I feriemåneden går derfor antall angrep ned.

I juli håndterte vi gjennom vår tjeneste for DDoS-beskyttelse 215 alvorlige angrep, ned fra 307 i juni. Det største angrepet i perioden var på 42Gbps og et gjennomsnittlig angrep er på rundt 5Gbps. Det var i realiteten 1150 verifiserte angrep, men de fleste av disse er såpass små eller kortvarige at de ikke blir håndtert av systemet. Dette dreier seg typisk om mindre angrep mot private sluttbrukere.

Den største nyheten i juli var angrepet mot det italienske firmaet Hacking Team. Firmaet selger overvåkingprogramvare til myndigheter i mange land, også land som ikke er kjent for å respektere menneskerettigheter. Hackerne slapp etter innbruddet over 400GB med data fra firmaets interne tjenere. De tok også kontroll over kontoer i sosiale medier. Intern e-post og e-post mellom ansatte og kunder ble lekket. Kildekode og programvare ble også sluppet, og her ble det etter hvert funnet flere zero-day svakheter som firmaet benyttet seg av til angrep mot sluttbrukere. I løpet av måneden slapp både Microsoft, Sun og Adobe kritiske sikkerhetsoppdateringer i forbindelse med saken. Personene bak angrepet mot Hacking Team hevder at de også stod bak angrepet mot Gamma International UK i 2014, et firma som driver i den samme bransjen.

To sikkerhetsforskere fikk mye oppmerksomhet etter en artikkel i Wired om hvordan de greide å ta kontroll over en Jeep mens den kjørte. Hackerne hadde mulighet til å kontrollere klimaanlegg, radio, bremser, motor osv. Dette var mulig siden Jeepen er koblet til mobilnettet via programvaren Uconnect. Via en svakhet i Uconnect kan angripere ta kontroll over bilen så lenge de vet IP-adressen til den og har en mobil i samme mobilnett. Jeep har siden sluppet en oppdatering. Denne må installeres via en USB-enhet, enten av sluttbrukeren selv eller hos en forhandler.

Mot slutten av måneden ble det meldt om flere svakheter i Android som rammer over 950 millioner mobiler. Svakheten finnes i biblioteket libStageFright og gjør det mulig å ta kontroll over en mobil ved f.eks. å sende den en MMS-melding med en spesielt utformet video. Google har siden fikset sårbarheten og Google, Samsung og LG har lovet å gi ut månedlige sikkerhetsoppdateringer til sine mobiler.

29. juli ble Windows 10 lansert. Den nye versjonen er gratis tilgjengelig dersom en fra før av har Windows 7 eller nyere. Windows 10 inneholder en del nye sikkerhetsteknologier for å gjøre innbrudd vanskeligere. Den nye versjonen har fått kritikk for å ta dårlig vare på personvernet, dersom du benytter deg av standard innstillinger ved installasjon. Det er imidlertid enkelt å bestemme hva som skal deles med Microsoft ved å endre på innstillingene for privacy/personvern etter installasjon.

Europol og Eurojust arresterte i juli fem personer som de mener står bak utvikling og distribusjon av banktrojanerne Zeus og SpyEye. De skal også ha vært ansvarlig for styring av sofistikerte cyberoperasjoner, med over 2 millioner euro i utbytte.

Myndigheter i en rekke land har også samarbeidet om å arrestere over 60 personer som skal ha utført hacking. Personene knyttes til det kriminelle forumet Darkode, som er et svartbørsmarked for blant annet exploit-kits og hacker-verktøy. Operasjonen har resultert i arrestasjoner i 19 land.

Oppsummering av nyhetsbildet for juni 2015

I forbindelse med tjenesten Sikkerhetsovervåking for bedriftskunder håndterte vi 78 alvorlige hendelser i juni, mot 137 i mai.

I løpet av juni har vi håndtert 307 DDoS-angrep, en økning på 74 angrep sammenlignet med forrige måned. Igjen er det reflection-angrep av type SSDP, NTP og CHARGEN som er de mest brukte angrepsmetodene. Ikke uventet er UDP-protokollen benyttet i 2/3 av alle angrep vi ser. Et typisk angrep er på 3-4Gbps og varer i rundt 30 minutter. Det største angrepet var på 28.68 Gbps. Som vanlig er det vanlige private sluttbrukere fra Telenor som blir mest angrepet.

Den største saken denne måneden internasjonalt har vært datainnbruddet hos Office of Personnel Management i USA. OPM driver med HR-relaterte oppgaver for offentlig ansatte i USA. De har også ansvaret for å utføre bakgrunnssjekk på personell i forbindelse med sikkerhetsklareringer. Angriperne kom seg unna med store mengder personlig og sensitiv informasjon om millioner av amerikanere. Informasjon fra sikkerhetsklareringer skal også være på avveie. Det er ukjent hvem som står bak, men dette er data som er gull verdt for andre etterretningsorganisasjoner. Innbruddet ble oppdaget i april og det er ukjent hvor lenge uvedkommende har vært inne i systemene.

Nasjonal Sikkerhetsmyndighet gikk i juni ut med et varsel om at bedrifter i Norge blir utsatt for utpressing. Bedrifter i ble først utsatt for et kraftig, men kortvarig DDoS-angrep og ble så krevet for penger for å unngå nye og mer langvarige angrep. TSOC kan bekrefte at dette stemmer. Vi bidro med å håndtere og stoppe et angrep av denne typen denne uken mot en norsk bedrift.

I juni kom det fram at Kripos stanset et storangrep mot DNB ved å ta ned et botnett på rundt 2000 norske datamaskiner som var infisert av trojaneren Gozi-03. Kripos nøytraliserte botnettet ved å utgi seg for å være en kontrollserver som signaliserte den ondsinnede programvaren på de infiserte maskinene om å ikke starte opp neste gang maskinen ble slått på. Dette sendte trojaneren i dvale. En 35 år gammel mann fra Estland er tiltalt i forbinnelse med saken. Dette er første gangen et botnett er tatt ned på denne måten i Norge.

Kaspersky Labs oppdaget tidligere i år at de at de hadde blitt utsatt for et cyber-angrep. Angripere hadde vært aktive i nettet i lengre tid og hadde infisert flere maskiner. Kaspersky døpte malwaren Duqu 2.0, siden den deler mye kode med den opprinnelige Duqu. Malwaren er svært avansert og har benyttet seg av flere 0-dags svakheter og etterlot seg ikke spor på harddisken, kun i minnet. Microsoft patchet én av disse svakhetene i denne månedenes oppdateringer for Windows. Deler av malwaren var også signert med et gyldig sertifikat stjålet fra den store produsenten Foxconn. Det antas at en nasjonalstat står bak angrepet og Israel er så langt hovedmistenkt. Kaspersky og Symantec har også oppdaget andre som har blitt rammet av Duqu 2.0, blant annet har den blitt brukt til overvåking i forbindelse med forhandlinger rundt en atomavtale med Iran.

Det ble avdekket en alvorlig svakhet i alle nyere Samsung-telfoner. Svakheten ligger i tastaturapplikasjonen som er laget av SwiftKey. Applikasjonen sjekker ikke integriteten til programfilen som lastes ned ved oppdatering og dermed kan en angriper bytte denne ut i et "man-in-the-middle" angrep. Slike angrep er relativt lette å gjennomføre mot brukere av åpne trådløse nettverk. Avanserte angripere, som statlige aktører, kan også bruke denne svakheten til å ta kontroll over telefoner dersom de har tilgang til relevant Internett-trafikk. Den 23. juni lanserte Samsung en oppdatering for svakheten. Oppdateringen fungerer bare for telefoner levert med Knox og blir installert automatisk. Samsung skal etter hvert patche alle sine telfoner gjennom å oppdatere selve operativsystemet.

USA vil ha regler for omsetning av exploitkode inn under Wassenaar-avtalen. Dette er en er en omfattende handelsavtale for omsetning av våpen. Dette vil kunne medføre strenge regler for eksport og import av slik kode og teknologi, og har utløst heftige debatter i sikkerhetskretser. 

Oppsummering av nyhetsbildet for mai 2015

Antallet håndterte hendelser i forbindelse med sikkerhetsovervåking gikk noe opp i mai. Vi håndterte 137 alvorlige hendelser, mot 103 i april. Vi ser at mange maskiner blir infisert av forskjellige typer “bank-trojanere” som primært er utformet for å lure penger fra offeret. Selv om det har vært mye informasjon i media, er det også en del infeksjoner med ransomware. Det gjelder å ha god backup!

I mai håndterte TSOC 227 DDoS-angrep, mot 105 i april. Det er SSDP-reflection som er den mest populære angrepsprotokollen. Det er også en del angrep som benytter seg av DNS-reflection samt fragmenterte UDP-pakker. Totalt var det 590 angrep der angrepstrafikken utgjorde mer enn 500 Mbps.

Microsoft lanserte en del nye sikkerhetsprodukter denne måneden. Verktøyet LAPS kan brukes til å administrere admin-passord på PCer i et nettverk. Mange Windows-nettverk har samme lokale admin-passord på alle PCer på nettverket. Dette kan gjøre det lettere for angripere å flytte seg fra PC til PC etter å ha kompromittert én PC. Applikasjonen LAPS (Local Administrator Password Solution) fra Microsoft genererer tilfeldige passord for lokale admin-kontoer på PCer og tilbyr en sentral måte å administrere dette. Firmaet lanserte også verktøyet ATA (Advanced Threat Analytics) som skal kunne detektere tilsynelatende legitim, men unormal aktivitet på en PC. Microsoft har også opplyst at Windows 10 vil kunne motta sikkerhetsoppdateringer fortløpende. For bedrifter vil det bli tilbud om å fortsatt ha en fast patchedag slik at driften blir mer forutsigbar.

I mai kom det fram at Lånekassen var blant ofrene under bølgen av ransomware mot skandinaviske virksomheter i begynnelsen av året. En brukers PC ble infisert, og alle delte filområder som brukeren hadde tilgang til ble kryptert. Lånekassen anmeldte forholdet, men saken ble raskt henlagt. Politiet anbefaler likevel alle virksomheter om å anmelde for å synliggjøre problemet. Lånekassen hadde gode backup-rutiner og kom raskt opp igjen etter hendelsen.

Det har blitt opprettet et Github-prosjekt som ønsker å demonstrere/teste mulighetene til GPU-basert (skjermkortet i PCen) malware. Foreløpig har prosjektet implementert et rootkit og en keylogger. Det vil ikke være mulig å detektere hva som skjer på tradisjonelle måter som antivirus og lignende. Malware på GPU vil ha direkte tilgang til minnet på maskinen via DMA (Direct Memory Access).

Dell Secureworks hadde denne måneden en bloggpost om utviklingen innen banktrojanere etter at flere botnett ble tatt ned i 2014 og i starten av 2015. Disse var ofte basert på varianter av malwaren Zeus. I etterkant har det dukket opp flere mer avanserte varianter som Dyre, Bugat v5/Dridex, and Vawtrak. De nye variantene er vanskeligere å oppdage, og botnettene er vanskeligere å ta ned. Malware av denne typen ser vi nesten daglig hos Telenor SOC.

Det var mye skriverier i media om sikkerhetsforskeren Chris Roberts. Han klarte i følge en rapport fra FBI å endre kursen på et rutefly en kort periode. Det skal han ha klart ved å ta seg inn gjennom flyets underholdningssystem mens han var om bord på flyet. Boing, som har produsert flyet det var snakk om, nekter for at det er noen forbindelse mellom underholdningssystemet og flyets styringssystemer. Foreløpig virker det mest sannsynlig at saken er overdrevet og at Chris Roberts heller snakket om ting han mente kunne være mulig og ikke ting han faktisk hadde gjort.

Denne månedens svakhet i SSL/TLS-kryptering fikk navnet LogJam. Dette er en svakhet i TLS som gjør at nøkkel-utvekslingen, som utføres ved hjelp av Diffie-Hellman-protokollen, kan degraderes til 512 bits. Dette er en veldig kort nøkkel-lengde og gjør at senere kommunikasjon kan avlyttes relativt enkelt. Svakheten gjøres mulig ved hjelp av såkalte "export ciphers" (svake kryptonøkler) som ble introdusert på 90-tallet for at USA skulle kunne avlytte kryptert kommunikasjon i utlandet.

Google publiserte forskningsmateriale rundt effektiviteten av sikkerhetsspørsmål ved innlogging. Mange tjenester ber deg f.eks. skrive inn mors pikenavn for å få tilgang til kontoen din, dersom du har glemt passordet. Google konkluderer med at det er nesten umulig å lage sikkerhetsspørsmål som det er vanskelig å gjette og som samtidig er lette å huske. Nullstilling av passord via SMS er en mye bedre løsning.

Oppsummering av nyhetsbildet for april 2015

I april håndterte TSOC 103 hendelser i forbindelse med sikkerhetsovervåking mot 165 i mars. Det er for tiden ingen svakheter som benyttes til massespredning av malware. Som ofteste er angriperne avhengig av at brukeren selv gjør noe for å infisere maskinen, f.eks. åpne vedlegg i e-poster med malware. Påsken bidro også til nedgangen.

Det ble håndtert 105 DDoS-angrep mot 59 i mars. Fortsatt er det reflection-angrep av typen SSDP som vi ser hyppigst, men mot slutten av måneden var det også en del reflection-angrep basert på DNS. Totalt så vi litt over 650 angrep i våre nett på over 500Mbps.

Like etter påske var det mye oppmerksomhet i media rundt et tilleggsprogram til Google Chrome. Over én million brukere hadde hentet ned programmet som benyttes til å gjøre om websider til bilder. Programmet oppførte seg som forventet i én uke etter installasjon. Deretter ble ny kode lastet ned og programmet sendte oversikt over alle websider brukeren har besøkt hver minutt. Utvidelsesprogrammet ble fjernet fra Chrome Web Store etter saken.

Det hvite hus meldte at russiske hackere hadde fått tilgang til systemer på deres ugraderte nett. Her skal de blant annet ha klart å hente ut informasjon om presidentens tidsplan. De skal også inndirekte ha fått tilgang til ugraderte e-poster sendt til og fra president Obama. Selv om dette er informasjon som ikke er gradert, er det likevel ikke offentlig og kan derfor være av stor interesse for utenlandske etterretningsbyåer opplyste CNN.

Den franske TV-kanalen TV5Monde gikk i april i svart i tre timer. Den islamistiske gruppen "CyberCaliphate" tok på seg ansvaret for angrepet. Hackerne tok også over kanalens kontoer i sosiale medier, og kanalens websider ble nede i mange timer. Det tok flere døgn før kanalen kunne returnere til normal sendeplan. I intervjuer og reportasjer etter hendelsen ble det flere ganger avslørt passord til sosiale medier og interne systemer hos kanalen som var skrevet ned på Post-it lapper. Dette kan tyde på dårlige sikkerhetsrutiner hos selskapet.

I USA har måneden vært preget av diskusjoner rundt krypto-bakdører. Amerikanske myndigheter opplyser at de stadig oftere blir hindret av kryptering når de skal etterforske alvorlige lovbrudd. De vil derfor ha lovgivning som gjør at de kan få tilgang også til kryptert informasjon. Det diskuteres om dette er ønskelig og også hvordan det rent teknisk kan gjøres. Amerikanske teknologifirmaer er forståelig nok kritiske til myndighetenes planer, siden dette vil gjøre dem mindre attraktive for utenlandske kunder.

Denne måneden avslørte FireEye at den russiske grupperingen APT28 har utnyttet ferske zero-day svakheter i Adobe Flash og Windows i en operasjon døpt RussianDoll. APT28 har lang fartstid og det sies at den er sponset av den russiske regjeringen. Svakheten i Windows brukes for å få lokal administrator-tilgang, etter først å ha fått tilgang til maskinen gjennom Flash-exploiten. Flash-svakheten ble patchet i april, mens Windows-svakhten er fortsatt ikke patchet.

F-Secure slapp også en omfattende rapport som beskriver trojaneren CozyDuke, en verktøykasse brukt av flere trusselaktører i angrep mot en rekke organisasjoner. Cozyduke skal i følge F-Secure ha vært under utvikling siden 2011 og inneholde verktøy for å infisere maskiner, informasjonsuthenting og videre spredning. Det mistenkes at Russiske interesser står bak CozyDuke.

I april kom det fram at malware bl.a. prøver å gjøre videoer på Internett virale, ved å øke antall klikk og visninger av videoen. Dette gjøres i bakgrunnen i gjemte nettleser-vinduer slik at brukeren ikke merker hva som skjer. Så langt har man sett at det er pro-russiske videoer som er målet for denne aktiviteten.

En tysk sikkerhetsblogger fant ut at Anti-Virus applikasjoner fra Avast, Kaspersky og ESET alle senker sikkerheten i krypterte web-sesjoner. For å kunne inspisere kryptert trafikk for ondsinnet aktivitet bryter AV-applikasjonene fra de nevnte produsenter "inn" i TLS-sesjonene. Dette er imidlertid ofte ikke implementert på en god nok måte, og som en følge av dette er f.eks. Kaspersky-brukere sårbare for det tidligere omtalte "FREAK"-angrepet.

Oppsummering av nyhetsbildet for mars 2015

I mars hadde vi en liten oppgang i alvorlige hendelser i forbindelse med sikkerhetsovervåking. TSOC håndterte 165 hendelser, mot 143 i februar. Oppgangen skyldes i stor grad innmelding av maskiner som hadde den mye omtalte spionprogramvaren SuperFish installert. Ellers er det mange maskiner som er infisert av forskjellige banktrojanere og også et oppsving i aggressiv adware/spyware.

Håndterte DDoS-angrep gikk videre ned i mars til 59, mot 102 i februar. Den videre nedgangen skyldes hovedsaklig bedre filtrering/rate-limiting av visse typer angrep på Telenors border-rutere. Dette medfører at færre av angrepene må håndteres manuelt. Det var seks større angrep mot våre kunder på DDoS-beskyttelse. Det største av disse var på 5Gbps. Ellers kan vi legge til at det i mars var over 650 DDoS-angrep mot Telenors nett i Norge/Sverige som var større enn 500Mbps.

Måneden startet med enda en svakhet i SSL/TLS kalt FREAK. Svakheten gjør det mulig for en angriper å avlytte krypterte forbindelser vha. et Man-In-The-Middle (MITM) angrep. Dette er mulig ved å utnytte en bug som finnes i enkelte SSL/TLS-klienter og som går ut på å fremtvinge nedgradering til en gammel, svak krypteringsalgoritme mellom klient og server ved oppsett av en sikker sesjon. Nøklene som da benyttes (såkalte 512-bits RSA export nøkler), kan så knekkes for en lav kostnad ila. få timer vha. skybaserte tjenester.

Microsoft meldte at innlogging ved hjelp av biometri skal være en integrert del av Windows 10. De kaller systemet for Windows Hello. Det skal gi brukeren tilgang til autentisering via fingeravtrykk, ansiktsgjenkjenning og iris-scanning. Disse autentiseringsmekanismene vil bli støttet av hardware utviklet av Microsoft sine samarbeidpartnere til dette formålet. Autentiseringen vil også kunne brukes av web-sider og tredjepartsapplikasjoner.

Bloomberg beskyldte i en artikkel Kaspersky for å ha nære bånd til FSB og andre i det russiske statsapparatet. De påsto også at programvare installert på kunders datamaskiner brukes til å hjelpe FSB i etterforskninger. Kaspersky avviste påstandene og mener at de er plantet etter at de har skrevet om NSA og deres metoder. Reuters meldte også om saken og balkaniseringen av sikkerhetsindustrien. De påpeker at FireEye f.eks. har bånd til NSA. De mener at sikkerhetsfirmaene helst avslører hemmelige tjenester og kampanjer fra andre land, og beskytter sine egne myndigheter fra å bli eksponert.

Microsoft lanserte denne måneden EMET 5.2. EMET er et program som skal hindre at svakheter i operativsystemet og tredjepartsprogrammer blir utnyttet. Den nye versjonen ble imidlertid omgått av en sikkerhetsforsker i løpet av bare noen dager. Vi vil allikevel understreke at EMET faktisk kan hjelpe til med å stoppe angrep og at det bør installeres dersom mulig.

I årets Pwn2Own-konkurranse ble alle de store nettleserne fullstendig kompromittert. Konkurransen ble avsluttet med å utbetale 442.000 USD til deltakere for å ha funnet 21 kritiske bugs i Chrome, IE, Safari og Mozilla Firefox. Det ble også avdekket svakheter i Windows, Adobe Flash og Adobe Reader.

PST slapp denne måneden en rapport som tilbakeviste Aftenpostens funn rundt falske basestasjoner (IMSI-catchere) i Oslo sentrum. PST konkluderer med at Aftenpostens målinger ikke tyder på at det har foregått noe utenom det vanlige i mobilnettet.

Politisjef i Europol, Rob Wainwright sier at sterk kryptering er ett av de største problemene Europol har i forbindelse med å oppdage terrorister. Mr Wainwright sier at bedrifter som implementerer kryptering og sikker kommunikasjon bør vurdere deres kryperingsprogramvare og hvilke utfordringer dette gir for politiet.

Google opplyste i en pressemelding like før påske at den kinesiske organisasjonen CNNIC i en periode hadde gått god for falske digitale sertifikater for noen av Googles domener. Dette skyldtes at CNNIC hadde delegert muligheten til å gå god for deres sertifikater til det egyptiske selskapet MCS Holdings, noe som er imot Googles retningslinjer. Etter hendelsen planlegger både Google og Firefox å fjerne all tillit til sertifikater utstedt av CNNIC, som er hoved-registraren i Kina.

I de siste dagene av mars pågikk et større DDoS-angrep mot Github, som er et stort nettsted for open-source programvare. Angrepet ble utført ved at utstyr ved de kinesiske border-ruterne (Great Firewall of China) la til en noen linjer med JavaScript-kode på enkelte av forespørslene som gikk mot nettsider som bruker Baidu, som reklameleverandør. Denne JavaScripten kjørte en forespørsel mot to spesielt valgte Github-sider, Greatfire og CN-NYTimes, hvert andre sekund. Dette førte til at Github fikk utrolig mye trafikk mot deres servere. Prosjektene som ble angrepet prøver å motvirke kinesisk nettsensur.

Oppsummering av nyhetsbildet for februar 2015

Antallet håndterte alvorlige hendelser hos TSOC i forbindelse med sikkerhetsovervåking gikk videre ned i februar. Denne måneden håndterte vi 143 hendelser, mot 237 i januar.

Antall håndterte DDoS-angrep gikk også noe ned fra 221 i januar til 102 i februar. Fortsatt er det mange SSDP-angrep mot port 80. I det siste har også DNS-reflection angrep sett et oppsving. Fire av våre kunder på DDoS-beskyttelse ble angrepet denne måneden og angrepene ble stanset.

I følge dokumenter som er lekket av Edward Snowden, skal NSA/GCHQ ha hacket den største produsenten av SIM-kort, nederlandske Gemalto, og stjålet krypteringsnøkler som blir brukt for å kryptere kommunikasjonen i mobilnett. Det skal ha gitt NSA&GCHQ muligheten til å overvåke store deler av verdens mobilkommunikasjon. Gemalto bekreftet etter hvert at det hadde vært et avansert innbrudd i nettet deres, men at dette begrenset seg til kontornettet og at produksjonsnettverket var uberørt. Gemalto opplyste at store mengder nøkler til SIM-kort umulig kunne ha blitt stjålet av noen. Telenor Norge har uansett ingen leveranse av SIM-kort fra Gemalto, så dette rammer ikke våre kunder.

Denne måneden ble det avslørt at Lenovo har installert adware kalt "SuperFish" på mange av sine nye PCer. Dette programmet analyserer nettstedene du besøker for å presentere annonser. Også sider som normalt er beskyttet av kryptering (SSL) blir analysert ved at trafikken blir sendt gjennom en såkalt lokal proxy. Denne proxyen generer falske sertifikater for SSL-sikrede nettsteder automatisk og signerer dette med sin egen private nøkkel. Den private nøkkelen med tilhørende passord var imidlertid lett å hente ut fra SuperFish-programmet. Dette førte til at privat kommunikasjon som e-post og nettbank-trafikk enkelt kunne snappes opp av uvedkommende. Lenovo har publisert programvare for å fjerne og rydde opp etter programmet. De har også lovet å installere mindre adware i PCer fra nå av. Telenor SOC oppdaget SuperFish på flere av våre kunders PCer. Senere i måneden ble det også avslørt 14 andre programmer med lignende funksjonalitet som SuperFish.

I begynnelsen av måneden ble det rapportert om nok en 0-dags svakhet i Flash Player. Svakheten ble allerede utnyttet aktivt i exploit-kits til å kompromittere sårbare maskiner. Adobe begynte å sende ut patcher via auto-oppdatering allerede dagen etterpå og ga kort tid etter ut nye versjoner til alle plattformer.

Forbes er et amerikansk nyhetsmagasin med fokus på finans, industri, økonomi og markedsføring. Denne måneden ble det avslørt at kinesiske hackere i fjor skal ha kompromittert nettsidene til Forbes. De endret så nettsidene slik at besøkende fra amerikansk forsvar og finans ble videresendt til en nettside med exploit kit. Det ble brukt såkalte nulldags svakheter i både Internet Explorer og Adobe Flash for å utføre angrepet som er av typen vannhullsangrep.

En sofistikert hackergruppe ble i februar dokumentert av Kaspersky Labs. De har valgt å kalle gruppen "The Equation Group". Mange mener at grupperingen egentlig er NSA, basert på likheter med tidligere lekket materiale. Gruppen, som har greid å holde seg skjult i omtrent 14 år, har utviklet flere forskjellige verktøy for å stjele informasjon fra deres ofre. Disse verktøyene er svært avanserte og kan infisere maskiner uten å bli oppdaget. Et eksempel på et av deres avanserte verktøy er muligheten til å gjemme malware i firmwaren til harddisker. Dette gjør at en malware-infeksjon kan overleve en vanlig sletting av harddisken. Dette har fungert mot harddisker til tolv forskjellige harddisk-produsenter, og tyder på tilgang til kildekoden for firmwaren.

Hackere skal ha infiltrert over 100 banker i 30 land i en operasjon for å stjele penger ifølge Kaspersky. Via PC-er infisert med Carbanak-malware i bankenes nettverk iverksatte de overføringer av penger til egne kontoer og utbetaling av kontanter fra minibanker til gitte tidspunkter. Angriperne skal ha fått med seg over 300 millioner dollar.

Oppsummering av nyhetsbildet for januar 2015

Året begynte roligere når det gjaldt alvorlige håndterte hendelser hos TSOC. I årets første måned ble det håndtert 237 hendelser, mot 338 i desember.

Antallet håndterte DDoS-angrep gikk imidlertid opp fra 155 i desember til 221 denne måneden. Etter at angrep via protokollen SSDP dominerte mot slutten av fjoråret, ser vi nå en større spredning i angrepsteknikker igjen som f.eks. DNS, Chargen og NTP. Noen av våre kunder ble denne måneden utsatt for et spesielt “angrep” som antakeligvis ikke er gjort med overlegg. Kina sensurerer hele sin del av Internett ved hjelp av “The Great Firewall of China.” I det siste har dette sensur-systemet virket ved at det tildeler tilfeldige IP-adresser til sider som er sensurerte. Svært populære sider og tjenester kan dermed ved en tilfeldighet få adresser til norske selskaper i en periode. Dette skjedde i januar og førte til store mengder uønsket trafikk til noen av våre kunder.

LizardSquad har også denne måneden vært i nyhetsbildet. I starten av januar opprettet de en tjeneste der en kan betale for å få utført DDoS-angrep. Tjenesten benytter seg hovedsaklig av kompromitterte routere hos bedrifter og privatpersoner. Samtidig ble det meldt at to medlemmer av grupperingen var arrestert, henholdsvis i Storbritannia og Finland.

USA innførte nye sanksjoner mot Nord-Korea etter datainnbruddet hos Sony Pictures Entertainment. Amerikanske myndigheter opplyste at de var sikre på at Nord-Korea stod bak, etter å ha fått hemmelige opplysninger fra sine etterretningstjenester. Dette er første gangen USA straffer et land for et cyber-angrep mot et amerikansk selskap.

Mange mener at at sikkerheten i Twitter for organisasjoner, der flere brukere benytter seg av samme konto, er for dårlig. Det er for eksempel ikke mulig å tilegne flere brukere til den samme kontoen, eller å gi forskjellige tilganger. Alle må benytte det samme brukernavnet og passordet. I det siste har mange firmaer og organisasjoner mistet kontrollen over Twitter-kontoen sin.

Etter angrepene i Paris tar statsministeren i UK, David Cameron, til orde for å forby chatte-programmer der myndighetene ikke kan få tilgang til kommunikasjonen. Han mener at risikoen ved at terrorister kan bruke disse til å planlegge angrep, uten at myndighetene oppdager det, er for stor. Cameron lover å gjennomføre dette forbudet dersom han blir gjenvalgt. Chatte-systemer som kan bli forbudt ved den nye loven er f.eks. iMessage, TextSecure og Telegram. Alle disse programmene skal ha ende-til-ende kryptering uten bakdører for myndigheter. Barack Obama har støttet utsagnene fra Cameron. Kina har allerede innført et slik forbud.

I Januar var det stor spredning av spam-eposter med malware som fører til at PCer blir infisert av ransomware/utpressingsprogramvare. Denne typen ransomware kalles CTB-locker og det skal være umulig å dekryptere filene igjen uten å betale løsepengene. E-posten ga seg f.eks. ut for å inneholde en fax pakket inn i en zip-fil. Det er imidlertid malware som gjemmer seg i zip-filen. Dersom denne startes, lastes ransomware-programmet ned og alle dokumenter og bilder på PCen krypteres. Vær forsiktig med å åpne vedlegg i e-poster og ta jevnlig backup av viktige filer.

Denne måneden dukket det også opp “ransomware” for webapplikasjoner! High-Tech Bridge rapporterte om malware for webservere som infiserer webapplikasjoner slik at data skrives kryptert til bakenforliggende databaser og dekrypteres automatisk ved henting. Bakmennene fjerner så krypteringsnøkkelen etter en. Webserveren vil da stoppe opp helt til offeret betaler penger for å få en kopi av nøkkelen.

22. januar ble det meldt om en ny svakhet i Adobe Flash. Svakheten ble allerede utnyttet aktivt til å ta kontroll over sårbare PCer gjennom exploit-kittet Angler. Adobe rettet svakheten etter få dager.

Oppsummering av nyhetsbildet for desember 2014

I desember var det en videre oppgang i håndterte hendelser; 338 hendelser ble registrert, mot 303 i november. Denne måneden er det trojanere som Emotet, Dridex, Andromeda og Asprox som dominerer. Mange av infeksjonene skjer fortsatt via e-post, og ofte er det makroer i Microsoft Office-produkter som benyttes for å infisere maskinene.

TSOC håndterte 155 DDoS-angrep i desember, ned fra 173 i november. Angrep utført ved hjelp av protokollen SSDP (Simple Service Discovery Protocol) dominerer nå, etter å ha hatt en stigning siden oktober. Denne typen angrep utnytter sårbarheter i routere og andre nettverksenheter for å generere angrepstrafikken. Denne måneden så vi også et angrep basert på DNS som har vært lite brukt i det siste. LizardSquad benyttet seg av denne angrepstypen da de angrep diverse spill-relaterte tjenester. Angrepet består i å gjøre tusenvis av DNS-oppslag fra kompromitterte hjemmeroutere. Adressen det spørres om er en tilfeldig generert adresse hos målet for angrepet, f.eks. 3rxa1ff5ot.angrepsmål.com. DNS-tjeneren som først blir spurt kjenner naturlig nok ikke til denne adressen og må spørre angrepsmålets DNS-tjener. Dette fører til at DNS-tjeneren til målet for angrepet blir overbelastet. I tillegg kan dette forårsake problemer også for DNS-serveren til ISPen, dersom den har mange kompromitterte routere i nettet som deltar i angrepet.

Hackergruppen LizardSquad har denne måneden utført DDoS-angrep mot flere spill-relaterte tjenester som X-Box Live og Playstatin Network. Angrepstrafikken ble generert ved hjelp av sårbart nettverksutstyr, og flere ISPer i norden har i desember hatt problemer da de har hatt kunder med kompromittert utstyr.

Nyhetsbildet innenfor datasikkerhet ble denne måneden preget av hackerangrepet mot Sony Pictures. Angripere kom seg inn i nettverket til Sony og kopierte ut store mengder informasjon. Blant annet ble eposten til flere av sjefene i firmaet lekket. Flere nyhetsmedier har laget saker med bakgrunn i informasjon fra lekkede eposter. Hackerne forlangte først penger for å slutte å lekke informasjon, deretter forlangte de at Sony skulle stoppe publiseringen av filmen “The Interview” som omhandlet Nord-Korea. USA har sagt at de med sikkerhet vet at Nord-Korea står bak angrepet og de har også innført nye sanksjoner mot landet med bakgrunn i angrepet. Mange sikkerhetseksperter er skeptiske til at Nord-Korea står bak.

New York Times hadde en artikkel om hvordan Sony-hacket kan ha gjort folk mer skeptiske til e-post. All e-post til flere ansatte hos Sony ble lekket i desember. Forfatteren mener at flere kan gå over til mer flyktige måter å kommunisere på som telefonsamtaler.

I Norge har Aftenposten skrevet mye om utstyr som har vært utplassert i Oslo for å overvåke mobilbrukere, såkalte IMSI-catchere. Falske basestasjoner ble blant annet oppdaget ved statsministerens bolig og stortinget. Utstyret kan brukes til å kartlegge hvem som beveger seg i området. Det er ukjent hvem som kontrollerer utstyret. NSM bekreftet at de også fant spor etter mistenkelig utstyr etter at de fortok egne undersøkelser. Noen dager etter publiseringen ble utstyret slått av.

BSI (Bundesamt für Sicherheit in der Informationstechnik) i Tyskland meldte i en rapport om et cyberangrep mot prosesstyringsanlegget i et stålverk. Angrepet førte til at en ovn ble overopphetet og dermed store fysiske skader på stålverket.

På Chaos Computer Club sin årlige konferanse, viste Jan Krissler eksempler på hvordan han ved hjelp av noen få bilder klarte å rekonstruere fingeravtrykk og åpne opp en låst telefon. Han skal også ha forklart hvordan han utførte dette mot Tysklands forsvarsminister Ursula von der Leyen ved hjelp av bilder fra pressekonferanser.