Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

torsdag 7. mai 2015

Oppsummering av nyhetsbildet for april 2015

I april håndterte TSOC 103 hendelser i forbindelse med sikkerhetsovervåking mot 165 i mars. Det er for tiden ingen svakheter som benyttes til massespredning av malware. Som ofteste er angriperne avhengig av at brukeren selv gjør noe for å infisere maskinen, f.eks. åpne vedlegg i e-poster med malware. Påsken bidro også til nedgangen.

Det ble håndtert 105 DDoS-angrep mot 59 i mars. Fortsatt er det reflection-angrep av typen SSDP som vi ser hyppigst, men mot slutten av måneden var det også en del reflection-angrep basert på DNS. Totalt så vi litt over 650 angrep i våre nett på over 500Mbps.

Like etter påske var det mye oppmerksomhet i media rundt et tilleggsprogram til Google Chrome. Over én million brukere hadde hentet ned programmet som benyttes til å gjøre om websider til bilder. Programmet oppførte seg som forventet i én uke etter installasjon. Deretter ble ny kode lastet ned og programmet sendte oversikt over alle websider brukeren har besøkt hver minutt. Utvidelsesprogrammet ble fjernet fra Chrome Web Store etter saken.

Det hvite hus meldte at russiske hackere hadde fått tilgang til systemer på deres ugraderte nett. Her skal de blant annet ha klart å hente ut informasjon om presidentens tidsplan. De skal også inndirekte ha fått tilgang til ugraderte e-poster sendt til og fra president Obama. Selv om dette er informasjon som ikke er gradert, er det likevel ikke offentlig og kan derfor være av stor interesse for utenlandske etterretningsbyåer opplyste CNN.

Den franske TV-kanalen TV5Monde gikk i april i svart i tre timer. Den islamistiske gruppen "CyberCaliphate" tok på seg ansvaret for angrepet. Hackerne tok også over kanalens kontoer i sosiale medier, og kanalens websider ble nede i mange timer. Det tok flere døgn før kanalen kunne returnere til normal sendeplan. I intervjuer og reportasjer etter hendelsen ble det flere ganger avslørt passord til sosiale medier og interne systemer hos kanalen som var skrevet ned på Post-it lapper. Dette kan tyde på dårlige sikkerhetsrutiner hos selskapet.

I USA har måneden vært preget av diskusjoner rundt krypto-bakdører. Amerikanske myndigheter opplyser at de stadig oftere blir hindret av kryptering når de skal etterforske alvorlige lovbrudd. De vil derfor ha lovgivning som gjør at de kan få tilgang også til kryptert informasjon. Det diskuteres om dette er ønskelig og også hvordan det rent teknisk kan gjøres. Amerikanske teknologifirmaer er forståelig nok kritiske til myndighetenes planer, siden dette vil gjøre dem mindre attraktive for utenlandske kunder.

Denne måneden avslørte FireEye at den russiske grupperingen APT28 har utnyttet ferske zero-day svakheter i Adobe Flash og Windows i en operasjon døpt RussianDoll. APT28 har lang fartstid og det sies at den er sponset av den russiske regjeringen. Svakheten i Windows brukes for å få lokal administrator-tilgang, etter først å ha fått tilgang til maskinen gjennom Flash-exploiten. Flash-svakheten ble patchet i april, mens Windows-svakhten er fortsatt ikke patchet.

F-Secure slapp også en omfattende rapport som beskriver trojaneren CozyDuke, en verktøykasse brukt av flere trusselaktører i angrep mot en rekke organisasjoner. Cozyduke skal i følge F-Secure ha vært under utvikling siden 2011 og inneholde verktøy for å infisere maskiner, informasjonsuthenting og videre spredning. Det mistenkes at Russiske interesser står bak CozyDuke.

I april kom det fram at malware bl.a. prøver å gjøre videoer på Internett virale, ved å øke antall klikk og visninger av videoen. Dette gjøres i bakgrunnen i gjemte nettleser-vinduer slik at brukeren ikke merker hva som skjer. Så langt har man sett at det er pro-russiske videoer som er målet for denne aktiviteten.

En tysk sikkerhetsblogger fant ut at Anti-Virus applikasjoner fra Avast, Kaspersky og ESET alle senker sikkerheten i krypterte web-sesjoner. For å kunne inspisere kryptert trafikk for ondsinnet aktivitet bryter AV-applikasjonene fra de nevnte produsenter "inn" i TLS-sesjonene. Dette er imidlertid ofte ikke implementert på en god nok måte, og som en følge av dette er f.eks. Kaspersky-brukere sårbare for det tidligere omtalte "FREAK"-angrepet.

 
>