Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

onsdag 7. desember 2016

Oppsummering av nyhetsbildet innen datasikkerhet for november 2016

I november håndterte vi 153 hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking. Vi ser at mange brukere lar seg lure til å installere nettlesertillegg, spesielt til Google Chrome. Denne måneden var det også en sak med malware som spredte seg via chat-funksjonen i Facebook. Det var et nettlesertillegg til Chrome som var årsaken til spredningen. Vi ser også at en del maskiner som blir infisert av Zeus-beslektede trojanere, som prøver å stjele finansiell informasjon og passord fra ofrene. Det er også et oppsving i falske nettsider for å logge inn på bedrifters e-posttjenester, såkalt Outlook Web Access. Kriminelle bruker dette for å få tilgang til bedrifters e-post, og i noen tilfeller også til videre innbrudd i bedriftens nettverk.

I november var det 631 bekreftede DDoS-angrep mot våre nettverk. 185 av disse ble håndtert/mitigert. Et gjennomsnittlig angrep var på 1.90 Gbps og varte i 24 minutter. Det største angrepet var på 56.9Gbps og varte i to timer. De fleste angrepene skjer på ettermiddag/kveld.

Måneden startet brått med at Google varslet om alvorlige svakheter i både Adobe Flash og Windows som ble utnyttet aktivt. Svakheten i Flash ble patchet i slutten av oktober, mens svakhet i Windows fantes det ingen patch for. 2. november slapp Microsoft mer informasjon rundt svakheten. Windows versjoner fra Vista til til Windows 10 november Update var sårbare. Det kom også fram at svakheten ble utnyttet av grupperingen Sofacy/APT28/Fancy Bear/STRONTIUM. Den åttende november ble svakheten i Windows patchet som en del av den månedlige oppdateringen. Det er bekreftet at svakhetene ble brukt i forbindelse med spearphishing-angrep mot flere myndigheter og ambassader.

20.000 kunder av den britiske banken Tesco Bank ble frastjålet mindre pengebeløp i starten av november. Ledelsen i banken skyldte på et avansert hack. Betalingskort utstedt av banken ble i en periode sperret fra online-bruk. Etter kort tid fikk kundene tilbakebetalt pengene sine. Ranerne kom seg unna med £2.5 millioner. Det er fortsatt ukjent hvordan angrepet ble utført.

Ved hjelp av en Raspberry Pi Zero til $5 med programvaren PoisonTap, kan man stjele informasjon til å kunne logge på private kontoer. Angrepet kan utføres mot en låst PC eller Mac. Dette gjøres ved at enheten presenterer seg som et nettverkskort, og får all nettverkstrafikk rutet over sitt interface. PoisonTap-enheten oppfører seg som en proxy, og når en HTTP request utføres, vil den injisere en iframe til nettsider fra Alexas topp 1 million liste. Den vil så kunne stjele (autentiserings) cookies som serveren sender til klienten.

Googles Deepmind AI har nå klart å slå erfarne mennesker i leppelesning. Google har sammen med Oxford Universitetet utviklet AI-programmet. Resultatene er slående, og kan i fremtiden bli til god hjelp innen utvikling av hjelpeverktøy for personer med nedsatt hørsel. En kan også se for seg at overvåkingsvideo uten lyd nå i større grad kan tolkes.

En ny trend hos kriminelle er å tømme minibanker ved et såkalt jackpot-angrep. Angriperne kommer seg først inn i bankens interne nettverk, gjerne ved hjelp av phishing-eposter. De får deretter tilgang til bankens minibanker og installerer sin egen programvare. De instruerer så minibanken om å betale ut alle penger på et spesielt tidspunkt og står klar til å hente pengene. I oktober ble dette gjort i Taiwan og Thailand. Også banker i 12 europeiske land har blitt rammet det siste året.

Mot slutten av måneden begynte hackere å utnytte en svakhet i tjenesten “TR-069” som er en tjeneste for fjernadministrasjon av routere. Dette førte blant annet til at 900.000 kunder av det tyske teleselskapet Deutsche Telekom ble ustabile den siste helgen i oktober. Det viste seg etter hvert at disse routerne ikke var sårbare, men bare krasjet på grunn av store mengder skanninger etter svakheten. Flere routere tilhørende andre ISPer er imidlertid sårbare, og blir meldt inn i DDoS-botnett.

På månedens siste dag kom det fram at en ny 0-dags svakhet i Firefox ble utnyttet aktivt for å identifisere brukere av anonymiseringsnettverket TOR. Exploit-koden var nesten identisk til koden som i 2013 ble brukt av FBI for å identifisere brukere av TOR-beskyttede barneporno-sider. Svakheten rammet Firefox versjon 41 til 50, og utgjorde derfor en alvorlig sikkerhetsrisiko for vanlige brukere av Firefox også, ikke bare TorBrowser-brukere. Mozilla slapp heldigvis en patch til svakheten allerede dagen etter, og det er ikke meldt om storstilt utnyttelse av sårbarheten i etterkant.

mandag 7. november 2016

Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2016

Antall hendelser rapportert i forbindelse med vår tjeneste Sikkerhetsovervåking gikk noe ned til 185 i oktober. I september var det 267 hendelser. I oktober ble kunder av Telenor nok en gang tilsendt e-poster med falske fakturaer som ga seg ut for å være fra Telenor. I virkeligheten ledet lenkene i e-posten til malware. Denne gangen ble tilgangen til malwaren stengt av Telenor i løpet av kort tid. Vi ser også at CEO-svindel mot norske firmaer fortsatt foregår for fullt.

I oktober registrerte vi 457 DDoS-angrep mot våre nettverk. 134 av disse ble håndtert, opp fra 95 i september. Et gjennomsnittlig angrep var på 1.92Gbps og varte i 22 minutter. Det største angrepet var på 14Gbps, akkurat som i september.

Denne måneden postet vi en sak på vår Facebook-side om en ny Apple ID phishing-epost som ble sendt ut til norske brukere. E-posten hadde perfekt norsk, og sendte deg til en nettside med gyldig SSL-sertifikat. Dette gjorde forbindelsen kryptert, og nettleseren viste grønn hengelås siden alt var OK. Nettstedet var imidlertid hacket, og både nettsted og sertifikatet tilhøre et britisk foto-firma.
Dersom en ga fra seg Apple ID til siden, spurte den deretter om både kredittkortinformasjon og BankID-innlogging. Det holder ikke lengre å bare se etter grønn hengelås, en må i tillegg sjekke at selve adressen til siden er riktig.

Tredje oktober ble kildekoden til IOT-botnettet Mirai sluppet offentlig. Dette er botnettet som ble benyttet under de kraftige DDOS-angrepene mot bloggen krebsonsecurity.com i september. Botnettet bruker IoT-enheter som DVR-opptakere, routere og overvåkingskameraer med standard brukernavn og passord til å generere store angrep.

21. oktober ble den amerikanske nettleverandøren Dyn rammet av et omfattende DDoS-angrep, også dette utført av et Mirai-basert botnett. Angrepet førte til at nettsidene til en rekke store selskaper var utilgjengelig, deriblant Twitter, Spotify, Netflix og PayPal.

Hackede webkameraer fra det kinesiske firmaet Xiongmai var ett av systemene som ble brukt i disse DDoS-angrepene. Kameraene leveres med standard brukernavn og passord og lar seg ikke oppgradere. Firmaet har denne måneden tilbakekalt kameraene sine i USA.

Selskapet Yahoo skal ha overvåket all e-post for sine brukere på oppdrag fra amerikansk etterretningstjeneste og/eller FBI. Det er usikkert hva det har blitt søkt etter, og om Yahoo har overlevert noe. Opplysninger tilsier at det er nøkkelord eller tekstrenger som har vært målet. Yahoo selv har vært knappe med kommentarer, men har sagt at de følger amerikansk lov. Siden har Yahoo bedt myndighetene opplyse mer om hva saken gjelder, men så langt har det ikke kommet detaljerte opplysninger.

Populære nettbutikker har den siste tiden blitt infisert med en web-basert keylogger som leser av tastetrykkene dine og dermed stjeler kredittkortinformasjon når du taster dette inn ved en handel. Over 100 slike nettbutikker har blitt infisert, men man frykter at tallene er enda høyere. Noen norske butikker var også rammet, men ingen av disse er større aktører.

For første gang har Obama-administrasjonen formelt anklaget Russland for å stå bak hackerangrep og lekkasjer i forsøk på å påvirke utfallet av presidentvalget. I en kommentar fra det hvite hus hevdes det at Russland skal ha stått bak nylige lekkasjer sluppet av Wikileaks, samt lekkasjene som hackeren Guccifer 2.0 tok æren for. USA har også opplyst at de vil komme til å svare på angrepene.

Denne måneden fikset Microsoft hele fem svakheter i Windows som var under aktiv utnyttelse av angripere. 27. oktober slapp også Adobe Flash en kritisk oppdatering som ble aktivt utnyttet av grupperingen Sofacy/Sednit/APT28 mot Windows 7, 8.1 og 10.

Microsoft opplyste i slutten av måneden om en ny type malware som lager en falsk blåskjerm for å simulere at PCen har krasjet. Offeret blir så lurt til å ringe et support-nummer som er opplyst i feilmeldingen for å få hjelp. Etter å ha ringt nummeret blir offeret typisk lurt til å betale penger med kredittkort for å få fikset PCen igjen.

fredag 7. oktober 2016

Oppsummering av nyhetsbildet innen datasikkerhet for september 2016

Antall hendelser rapportert i forbindelse med sikkerhetsovervåking økte videre i september. Denne måneden ble det registrert 267 alvorlige hendelser, mot 134 i august. Det er mange tilfeller av browser-hijackere, altså at browseren får installert tillegg som serverer annonser, sladrer om hvilke nettsider som besøkes osv. Vi ser også tilfeller av trojanere som gjør alt fra å stjele sensitiv informasjon fra maskinen til å endre DNS-innstillingene. 95 DDoS-angrep ble håndtert i september, opp fra 85 i august. Det ble totalt registrert 600 angrep. Det største angrepet i perioden var på 14Gbps og varte i 26 minutter. Et gjennomsnittlig angrep var på 1.44Gbps. WADA (World Anti-Doping Agency) ble utsatt for et datainnbrudd gjennom august og september. Spor fra innbruddet pekte mot at en russisk trusselaktør kjent som APT28/Fancy Bear stod bak. Hackerne offentliggjorde legejournaler til en rekke toppidrettsutøvere. Det antas at angriperne har fått tilgang til WADAs administrasjons- og databasesystem "ADAMS" via en Rio-OL relatert IOC-brukerkonto. Angrepsvektor er trolig, som vanlig i slik saker, spear-phishing. WADA opplyser at de nå skal gjøre autentiseringen til systemet mer sikrere. I de siste ukene har det vært gjentatte tilfeller med lekkasjer av intern informasjon etter hacker-angrep. Blant de rammede er det demokratiske partiet i USA, valgkretser i USA, Colin Powell og antidopingbyrået WADA. Mange mistenker at det er Russland som står bak innbruddene og at lekkasjene brukes for å svekke tilliten til og blottlegge dem som blir rammet. Tidligere har slik stjålet informasjon for det meste blitt brukt i det stille til spionasje. Yahoo meldte at de i 2014 ble offer for et angrep hvor informasjon om 500 millioner bruker-kontoer havnet på avveie. Yahoo opplyste at angriperne skulle være sponset av statlige aktører, noe flere eksperter siden har stilt spørsmål ved. Informasjonen som er havnet på avveie er navn, mail-adresse, telefonnummer, fødselsdato og hashet passord. For noen kontoer er det også mistet ukrypterte sikkerhetsspørsmål og svar. Bloggen KrebsonSecurity publiserte en artikkel om DDOS-tjenesten vDOS. Artikkelen var blant annet basert på en lekket database som Krebs hadde fått tak i. Personene bak tjenesten skal ha tjent minst 618 000 USD i løpet av to år. I løpet av en periode på 4 måneder utførte tjenesten angrep som til sammen utgjør 8.8 år, slik at tjenesten til enhver tid har stått for flere pågående angrep. Noen dager etter bloggposten, ble to unge menn arrestert i Israel mistenkt for å stå bak tjenesten. I dagene etter arrestasjonen ble bloggen utsatt for et uvanlig stort DDoS-angrep. Bloggen fikk gratis DDoS-beskyttelse fra Akamai, men Akamai sa på kort varsel opp kundeforholdet med bloggen. Angrepet var på det meste oppe i 620Gbps og ble generert ved hjelp av infiserte IoT (Internet of Things)-enheter som kameraer og TV-bokser. Googles Project Shield tok etter kort tid over hosting av bloggen og den er nå tilgjengelig igjen. Krebs har etter skrevet om viktigheten av å få på plass filtrering av utgående spoofet trafikk fra ISPer, gjennom å implementere standarden BCP38. Tidligere i år satte Forsvarsdepartementet ned et utvalg som skulle vurdere om E-tjenesten skulle få mulighet til å overvåke Internett-trafikk som går ut og inn av Norge. I september kom innstillingen fra utvalget, og de går inn for å tillate denne typen overvåking. Forsvarsdepartementet skal nå vurdere om dette forslaget skal tas til Stortinget. Målet med overvåkningen er å forhindre terror- og cyberangrep mot Norge. Dagbladet melder at Høyesterett har fastslått at politiet ikke kan tvinge en person til å bruke fingeren for å åpne telefonen via fingeravtrykkleser. Politiet har prøvd å bruke paragraf 157 som går på kroppslig undersøkelse, der Politiet kan bruke tvang. Høyesterett har bestemt at denne paragrafen ikke er gyldig i denne sammenhengen. Ny forskning tyder på at det kan være relativt enkelt å ta ned nødnummer-tjenester ved å overøse dem med falske oppringninger. Med kontroll over 6000 smarttelefoner, kan 911-nummeret tas ned i én amerikansk delstat. Dette kan f.eks. gjøres ved å lure brukere til å installere en app som har skjult funksjonalitet i form av å ringe nødnummeret automatisk på kommando. En større aktør kan også kjøpe mobilene selv, og fjerne IMEI- og IMSI-nummer for å gjøre blokkering vanskeligere.

fredag 2. september 2016

Oppsummering av nyhetsbildet innen datasikkerhet for august 2016

Etter en rolig måned for tjenesten sikkerhetsovervåking, med kun 61 håndterte alvorlige hendelser, var det tilbake til mer normalt drift i august. Denne måneden håndterte vi 134 hendelser. Vi ser fortsatt en dreining bort fra malware og over på svindel eller phishing. Tidligere ble mange maskiner infisert av f.eks. bank-trojanere. Nå virker det som om de kriminelle heller lurer til seg penger ved hjelp av CEO-svindel, i stedet for å bruke trojanere.

I august håndterte TSOC 85 DDoS-angrep, noe opp fra 72 i juli. Totalt ble det registrert 608 angrep. Månedens største angrep var på 8.5Gbps. Den mest populære angrepstypen er DNS-reflection, altså å sende data til feilkonfigurerte DNS-tjenere, som så sender svartrafikken til målet for angrepet.

En gruppering som kaller seg Shadow Broker slapp i august verktøy og exploits tihørende The Equation Group. Flere kilder bekreftet overfor Washington Post at Equation Group egentlig er NSAs hacker-team kalt Tailored Access Operations. Materialet som ble sluppet er over 3 år gammelt. Det inneholder blant annet exploits mot utstyr fra Cisco, Juniper, Fortigate og den kinesiske leverandøren Topsec. Et av verktøyene gjorde det mulig å bryte seg inn i en Cisco-router dersom en hadde tilgang til SNMP-porten. Cisco slapp etter få dager en patch som utbedret dette problemet. Det blir spekulert i hvem som stod bak angrepet og de to mest populære teoriene er Russland eller en utro tjener.

Apple slapp 25. august iOS v9.3.5 etter at det ble oppdaget tre alvorlige svakheter i operativsystemet. Til sammen gjør svakhetene at en angriper kan ta fullstendig kontroll over en sårbar mobil, dersom brukeren trykker på en lenke i f.eks. en SMS eller e-post. Svakheten ble oppdaget etter at en regimekritiker i United Arab Emirates fikk en SMS med en mistenkelig lenke. I stedet for å trykke på lenken, ga han den videre til sikkerhetsforskere. Verktøyet som ble brukt heter Pegasus og gis ut av det israelske sikkerhetsselskapet NSO Group. Etter infisering, sender verktøyet ut store mengder data fra mobilen og lar det også starte overvåking ved hjelp av GPS, mikrofon og kamera.

Sikkerhetsforskere fra Proofpoint og Trend Micro avslørte at kjente nettsteder har servert malware via exploit-kits til sine brukere. Over 1 million brukere ble daglig utsatt for angrepene som pågikk fra sommeren 2015 til sommeren 2016. 22 forskjellige annonsenettverk ble rammet. Angrepene var sofistikerte og brukte blant annet steganografi for å skjule den skadelige koden. Blant de rammede nettstedene var The New York Times, Le Figaro, The Verge, PCMag, IBTimes, ArsTechnica og Daily Mail.

Apple annonserte i løpet av måneden at de framover vil belønne sikkerhetsforskere som finner svakheter i deres produkter og tjenester med opptil 200 000 dollar. Andre store selskaper som Microsoft og Google har allerede lignende ordninger. Foreløpig er det bare en liten liste over kategorier hvor de vil belønne slike funn, men de ønsker å utvide denne listen med tiden. En slik belønningstjeneste vil hjelpe Apple å avdekke svakheter de selv ikke har oppdaget, samt å motvirke at noen utnytter eller selger informasjon om svakheter videre.

Symantec avslørte at en gruppe kalt Strider/Sauron har utført kyberspionasje mot et knippe organisasjoner og personer i Kina, Russland, Sverige og Belgia. Gruppen har vært aktive siden 2011, men holdt en svært lav profil inntil nå. Av de som skal være rammet er det blant annet et flyselskap i Kina og en ambassade i Belgia. Ut i fra målene og nivået på utførelsen av angrepene påpeker Symantec og at det kan være en statlig aktør som står bak.

Frankrike og Tyskland tok denne måneden initiativ til en lovendring som skal gjøre det mulig for en domstol å kreve dekryptering av data i forbindelse med kriminalsaker. Dersom loven blir vedtatt kan tjenesteleverandører bli tvunget til å legge inn bakdører i meldingssystemene sine. Dette kan for eksempel bli aktuelt for tjenester som WhatsApp, Signal og Telegram.

Nettstedet Motherboard avslørte i slutten av august at hackere i et datainnbrudd mot Dropbox i 2012, klarte å stjele brukernavn- og hashede passord til over 60 millioner Dropbox-brukere. Det har tidligere vært kjent at det hadde vært et innbrudd, men omfanget av det har ikke blitt kjent før nå.

tirsdag 2. august 2016

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2016

I sommermåneden juli var det som vanlig stor nedgang i alvorlige hendelser i forbindelse med tjenesten sikkerhetsovervåking. Kun 61 hendelser ble håndtert, mot 162 i juni. Det er vanlig at antall alvorlige hendelser går kraftig ned i juli. De fleste sikkerhetshendelser i dag krever at en bruker gjør noe aktivt for at det skal bli problemer. Dette kan for eksempel være å åpne et vedlegg i en e-post eller å besøke en nettside.

TSOC håndterte 72 DDoS-angrep i juli, noe ned fra 91 i juni. Total ble det registrert 761 angrep. Månedens største angrep var på 7.61Gbps, noe som er uvanlig lite.

Sikkerhetsforskeren Gal Beniamini har oppdaget flere svakheter som gjør det mulig å brutforce Androids Full-Disc Encryption i enheter med Snapdragon CPUer fra Qualcomm. Dette lar seg gjør ved å få tilgang til en del av CPUen kalt TrustZone ved hjelp av to svakheter. Forskeren har informert Google om svakhetene og den siste svakheten ble patchet i mai. Google har også betalt ut penger etter oppdagelsen.

Google slapp i begynnelsen av juli en stor sikkerhetsoppdatering til Android som utbedrer 108 svakheter. Også denne måneden er det flere kritiske svakheter i media-server komponenten av operativsystemet. Disse kan utnyttes ved å sende en MMS, e-post eller lure brukeren til å besøke en spesiell web-side. Det er ikke meldt om at noen av svakhetene blir aktivt utnyttet i angrep.

Apple slapp også en stor mengde sikkerhetsoppdateringer i juli for iTunes, Safari, tvOS, watchOS og iOS. Spesielt er det viktig å merke seg flere svakheter i håndtering av media-filer i denne oppdateringen, noe Android-plattformen også har slitt med de siste månedene. Blant annet er det mulig å ta kontroll over en sårbar iOS-enhet ved kun å se på et bilde i TIFF eller BMP-format. Det anbefales å oppdatere til versjon 9.3.3 så fort som mulig.

Google har i juli startet testing av en ny type kryptering som er designet for å være motstandsdyktig mot kvantedatamaskiner. Kvantemaskiner vil i framtiden ha muligheten til å dekryptere mye av dagens krypterte informasjon, siden de vil være mye kjappere på noen operasjoner enn dagens maskiner. Foreløpig blir testingen bare gjort i en liten prosentandel av maskiner med Chrome-nettleseren installert. Eksperimentet regnes likevel som den største lanseringen av en krypteringsmekanisme til forsvar mot kvantemaskinangrep.

I løpet av det siste året har det blitt utført minst fire hackerangrep mot jernbanenettverket i Storbritannia. En sikkerhetsekspert fra selskapet Kaspersky forteller at hackerne kan få tilgang til informasjon om billetter og lignende, men også til systemer som er knyttet opp mot styringen av togene. Slike svakheter vil kunne få katastrofale konsekvenser, men er heldigvis ikke blitt utnyttet enda.

I Taiwan oppdaget man i juli at noen har klart å hente ut tilsvarende over 2 millioner dollar fra minibanker i landet, uten bruk av betalingskort. Det mistenkes at man har klart å overføre skadelig kode til minibankene, men fortsatt er mye uklart. Den tyske produsenten av minibankene har sendt analytikere til Taiwan for å finnt ut hva som har skjedd.

WikiLeaks offentliggjorde i juli e-poster og andre stjålne filer fra Tyrkias regjerende parti AKP. Den kjente hackeren Phineas Fisher har nå tatt på seg ansvaret for innbruddet. Han er tidligere kjent for å ha hacket seg inn hos sikkerehtsselskapene FinFisher og Hacking Team.

En amerikansk ankedomstol, tilsvarende norsk lagmansrett, har bestemt at amerikanske myndigheter ikke skal få tilgang til data som er lagret i utlandet, selv om det er data fra amerikanske selskaper. Myndighetene mente at det ikke har noe å si hvor data ligger lagret så lenge selskapet er amerikansk, men domstolen mente at amerikanske lover ikke gjelder informasjon lagret i andre land. Dette betyr at amerikanske myndigheter må sende en forespørsel til landet som data er lagret i for å få innsyn. Myndighetene anker trolig dommen til høyesterett.

Et nytt samarbeidsprosjekt mellom Europol, nederlandsk politi, Kaspersky lab og Intel Security tar opp kampen mot utpressingsprogramvare. Nettportalen skal hjelpe ofre med å låse opp PCen og gi informasjon om hvordan man unngår å få kryptert filene dine. Dersom du blir rammet av denne trusselen er www.nomoreransom.org en nyttig side å besøke!

En kommende rapport fra NIST konkluderer med at to-faktor autentisering ved bruk av SMS ikke er sikkert nok, og anbefaler at det tas i bruk andre metoder. De har også laget retningslinjer for hvilke tiltak som bør tas om SMS skal brukes.

fredag 1. juli 2016

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2016

I juni håndterte vi 162 alvorlige hendelser i forbindelse med tjenesten sikkerhetsovervåking. Dette var en oppgang fra 146 i mai.

TSOC håndterte 91 DDoS-angrep i juni. Antallet detekterte angrep var 678, men mange angrep er små og kortvarige og blir dermed ikke mitigert. Et gjennomsnittlig angrep var på 2.20 Gbps og varte i 24 minutter. Det største angrepet var på hele 277 Gbps og varte i litt over en time.

14. juni meldte The Washington Post at russiske hackere, støttet av den russiske regjeringen, hadde hacket seg inn hos Demokratene i USA. Sikkerhetsselskapet CrowdStrike stod bak undersøkelsene etter angrepet. Under innbruddet ble det stjålet store mengder data og dokumenter. En hacker som kaller seg Guccifer 2.0 tok kort tid etter på seg skylden for angrepet, og hevdet at han handlet alene og ikke hadde noe med Russland å gjøre. Han publiserte også dokumenter fra angrepet, blant annet en detaljert analyse av Donald Trump ment til intern bruk i det demokratiske partiet. Eksperter analyserte siden tekst og metadata fra Guccifer 2.0 sin kunngjøring, samt tidslinjen rundt hendelsene. De konkluderte med at Guccifer 2.0-personen mest sannsynlig er laget av Russerne som stod bak det opprinnelige innbruddet. Dette gjorde de for å diskreditere sikkerhetsselskapet CrowdStrike, samt for å få offentliggjort dokumentene de stjal under innbruddet, uten at lekkasjen kan spores tilbake til Russland.

Angrepet som rammet Demokratene i USA, rammet også mange andre i politikken. Nesten 4000 Google-kontoer ble utsatt for målrettede phishing-angrep. Advokatkontorer, lobbyister, konsulenter, tenketanker osv. ble også rammet av innbruddsbølgen.

Sikkerhetseksperten John R. Schindler mener at Russland står bak hacker-angrep utført av det såkalte Cyber Caliphate. Dette underbygges med etterforskningen etter angrepet mot den franske TV-stasjonen TV5Monde i april 2015. En annen ekspert mener at Schindler har rett når det gjelder TV5Monde-saken, men at russerne ikke står bak alle operasjoner der Cyber Caliphate har tatt på seg skylden.

NorCERT meldte i juni at en ny bølge av CxO-svindel (direktørsvindel) e-post nå rettes mot Norske selskaper. Denne typen svindel går ut på å lure medarbeidere til å overføre store pengesummer til utlandet ved å gi seg ut for å være overordnede i selskapet. I slutten av juni var det mange tilfeller av dette.

Mange av kundene til Teamviewer opplevde at hackere tok kontroll over PCene deres i juni. Uvedkommende logget inn via fjernstyringsprogramvaren og overførte penger og stjal sensitiv informasjon. Lenge var det mistanke om et innbrudd hos Teamviewer selv. En talsperson for Teamviewer bekreftet også at et betydelig antall kontoer hadde blitt kompromittert. Selskapet fastholder at disse hendelsene skyldes gjenbruk av passord fra en rekke nylige lekkasjer av brukernavn og passord fra andre kilder som LinkedIn.

Sikkerhetsselskapet Fox-IT meldte at det nå blir sendt ut phishing-eposter i Nederland som henter informasjon fra LinkedIn. Sammen med navn, brukes rolle og firma vedkommende er ansatt i for å gjøre e-postene mer troverdige. Innholdet i e-postene er et obfuskert word-dokument som prøver å lure brukeren til å skru på kjøring av makroer. Dersom dette er vellykket, lastes det ned en bank-trojaner.

Twitter- og Pinterest-kontoene til Mark Zuckerberg, CEO hos Facebook, ble kompromittert denne måneden. Passordet til begge kontoene var i følge flere nettsteder "dadada". Det ble antakelig funnet i den nylige lekkasjen av passord fra LinkedIn.

De fleste store leverandører av PCer leverer disse med pre-installert programvare. Her følger det vanligvis også med et oppdateringsverktøy som skal ta jobben med å oppdatere denne programvaren for deg. DUO labs har sett på sikkerheten i oppdateringsverktøyene til flere forskjellige leverandører, og det viser seg at de inneholder flere alvorlige feil. Eksempler er alvorlige svakheter som gir mulighet for kodeeksekvering og manglende sikkerhet i kommunikasjonskanalen som opprettes mellom verktøyet og leverandørens servere. Leverandørene som var med i testen er Acer, Asus, Dell, HP og Lenovo. Alle leverandørene hadde svakheter.

Adobe meldte nok en gang om en kritisk svakhet i Adobe Flash. Svakheten ble allerede utnyttet til målrettede angrep ved offentliggjøringen. Dagen etter offentliggjøringen ble det utgitt en patch. Kaspersky meldte at svakheten ble utnyttet av en trusselaktør de har kalt ScarCruft. Dette er en gruppe som har angrepet mål i land som Russland, Nepal, Sør-Korea, Kina, India, Kuwait og Romania gjennom avanserte angrep.

FSB i Russland arresterte 50 medlemmer av en hacker-gruppe i starten av måneden. Gruppen skal ha drevet med svindel og angrep mot banker i Russland og skal ha kommet seg unna med over 1.7 milliarder rubler. De benyttet den avanserte trojaneren Lurk. Siden 7. juni har ikke det populære exploit-kittet Angler EK vært aktivt. Det spekuleres i at arrestasjonene kan være årsaken til nedetiden.

29. juni meldte sikkerhetsforskeren Tavis Omandy hos Google om flere kritiske svakheter i mange av Symantec sine produkter. Flere av svakhetene åpnet for kjøring av ondsinnet kode, og noen kunne til og med utnyttes av selvspredende malware. De fleste produktene, inkludert Norton-serien, ble automatisk oppdatert. Noen av produktene krevde også manuell oppdatering.

torsdag 9. juni 2016

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2016

Vi håndterte noe færre alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking i mai sammenlignet med forrige måned; ned til 146 mot 206 i april. Nedgangen kan skyldes alle fridagene i mai og dermed lavere aktivitet hos våre bedriftskunder.

Det ble varslet 195 DDoS-angrep i mai. 183 av disse ble håndtert av TSOC. Den vanligste angrepstypen er av typen DNS-reflection, deretter NTP og Chargen. Vi har også sett veldig kraftige angrep med store mengder veldig små UDP-pakker. Vi har registrert 411 angrep over 1Gbps i løpet av måneden.

I mai la plutselig utviklerne bak den kjente ransomware-varianten TeslaCrypt ned virksomheten. De beklaget og la også ut hovedkrypteringsnøkkelen. Denne kan brukes til å dekryptere alle rammede PCer. Programvaren TeslaDecoder er nå oppdatert slik at alle som er rammet kan få tilbake filene sine.

En hackeregruppe kalt OurMine tok kontroll over flere profilerte kontoer på sosiale medier. Det spekuleres i at de har brukt passordene som ble stjålet i det store LinkedIn-hacket tilbake i 2012. Disse passordene ble i mai gjort tilgjengelige på det mørke nettet på en markedsplass som heter The Real Deal.

Google fjernet i mai to bølger med malware fra Google Play. Den ene kalles Viking Horde og fantes i fem apper. Denne muliggjorde annonseklikk-svindel, SMS-svindel og utsending av spam-meldinger. Den andre varianten kalles Click-95 og ble funnet i 190 applikasjoner. Sistnevnte prøver å skremme brukeren til å laste ned sikkerhets-apper som egentlig ikke har noen annen funksjon enn å servere annonser og lure penger fra brukerne.

Amerikanske myndigheter er bekymret for manglende eller sen utgivelse av sikkerhetsoppdateringer til mobile enheter, og da særlig på Android-plattformen. Derfor har det amerikanske teletilsynet, Federal Communications Commission (FCC), i samarbeid med Federal Trade Commission (FTC) sendt brev til amerikanske mobiloperatører og utvalgte mobilleverandører. Her ber de om svar på spørsmål rundt prosesser og rutiner de måtte ha for vurdering og utgivelse av sikkerhetsoppdateringer. Samtidig truer Google med å offentliggjøre en liste over leverandører som er trege til å oppdatere mobilene sine.

I en pågående narkosak i Norge er tiltaltes mobiltelefon låst med fingravtrykk. Politiet mener at det kan ligge bevis for narkotikaomsetning på telefonen og at det å tvinge noen til å åpne en telefon ikke er veldig forskjellig fra å tvinge noen til å avlegge blodprøve. Den tiltalte har så langt fått medhold og kan dermed ikke tvinges til å åpne telefonen. I to andre nylige rettssaker har imidlertid politiet fått medhold i at tvang kan brukes til å låse opp telefonen. Sakene vil antakelig gå til høyesterett for å få en rettspraksis på dette nye omrdået.

Google vil fra Q4 begynne å fase ut Flash Player fra Chrome-nettleseren. Kun utvalgte sider vil være hvitelistet for å kunne kjøre Flash som standard: Facebook, Youtube, Yahoo, Twitch og Amazon. Flash skal kunne kjøre på andre nettsider, men først etter at brukeren har godkjent oppstart av Flash.

En svakhet i SAP Business Applications har blitt utnyttet under radaren i flere år. Flere titalls enterprise-bedrifter har blitt kompromittert de siste årene som følge av den kritiske svakheten. Angrepene pågår fortsatt. En trenger ikke å være innlogget i systemet for å utnytte svakhetene. SAP har patchet svakheten i nyere versjoner, men mange oppgraderer ikke systemene sine.

I mai kom det fram at Symantec sin programvare for virus-scanning inneholdt en kritisk svakhet. Dersom en .exe-fil inneholdt en spesielt utformet PE-header, kunne AV-programvaren lures til å kjøre tilfeldig kode. Denne koden ville ha kjørt med samme rettigheter som kjernen på systemet. Problemet ble oppdaget av en ansatt hos Google. Symantec har patchet problemet.

31. mai slo NRK på HTTPS-kryptering for hele nrk.no, tv.nrk.no, radio.nrk.no, nrkbeta.no og yr.no. Dette gjør at det blir lettere for deg som leser å se at du faktisk er på NRKs nettsider og ikke på en forfalskning, i tillegg til at det blir umulig å overvåke innholdet som utveksles mellom nettleser og nettsted.

fredag 6. mai 2016

Oppsummering av nyhetsbildet innen datasikkerhet for april 2016

Antall håndterte hendelser i forbindelse med vår tjeneste Sikkerhetsovervåkning gikk opp fra 142 i mars til 206 i april. Oppgangen skyldes i hovedsak stor utbredelse av malwaren Win32/Adposhel. Dette er en type adware/malware som viser annonser til brukeren både i nettleseren og utenfor. Den endrer også DNS-innstillingene på systemet og sender ut informasjon om besøkte nettsteder. Adware som Adposhel blir gjerne installert sammen med gratis nedlastet programvare, uten at brukeren er klar over det.

Det ble håndtert 211 DDoS-angrep i april, mot 125 i mars. Den mest vanlige angrepstypen var DNS-reflection, med chargen og NTP som nummer 2 og 3. Det ble registrert totalt 392 angrep over 1Gbps i april. Det største angrepet peaket på hele 163Gbps eller 40Mpps (pakker per sekund) og varte i ca 2,5 time. Angriper utførte flere ulike angrepstyper parallelt under angrepet.

Eldre Android-mobiler og nettbrett kan nå bli rammet av ransomware, kun ved å besøke en nettside. Dette rammer Android-versjoner eldre enn versjon 5.x. Malwaren installeres gjennom diverse annonsenettverk og oppnår root-tilgang til mobilen. Mobiler som rammes blir ubrukelige inntil løsepenger betales eller fabrikkinnstillinger gjenopprettes. Det anbefales å oppdatere eldre Android-mobiler!

Detaljene rundt Badlock-svakheten ble sluppet den 12. april. Denne svakheten ble forhåndsmeldt allerede 23. mars. Det dreier seg heldigivs ikke om en "remote execution"-svakhet, som manget fryktet på forhånd. Svakheten gjør det imidlertid mulig for en angriper å få tilgang til filer som han ikke skal ha, dersom han har tilgang til trafikkstrømmen i et nettverk. Svakheten åpner også for DoS-angrep mot servere som eksponerer SMB-tjenester. Microsoft patchet denne svavkheten i april og ga den viktigheten “important”, ikke den høyeste som er "critical". Samba har også patchet svakheten for Linux-maskiner. Det er ikke meldt om at svakheten enda blir utnyttet i reelle angrep. Svakheten var ikke så alvorlig som den var hauset opp til å være, men kan bli brukt i typiske APT-angrep for å oppnå utvidet tilgang internt i nettverk.

WhatsApp implementerte i april ende-til-ende kryptering på alle versjoner av applikasjonen. Alle meldinger, tekst eller video sendt med applikasjonen blir nå kryptert med Signal Protocol, som blir laget av Open Whisper Systems. Appen Signal bruker den samme teknologien, men har ikke like stor utbredelse som WhatsApp. Denne krypteringsprotokollen implementerer også "perfect forward secrecy". Dette gjør at selv om krypteringsnøkkelene skulle bli kompromittert via fysisk tilgang til enheten, kan disse ikke bli brukt til å dekryptere tidligere sendte meldinger.

Femte april ble en ny kritisk svakhet rapportert i Adobe Flash Player. Svakheten muliggjør kjøring av tilfeldig kode dersom en spiller av en spesiell Flash-fil. Svakheten ble allerede aktivt utnyttet til målrettede angrep da den ble annonsert av Adobe. Åttende april lanserte Adobe en ny versjon som utbedret svakheten.

Petya er en ny type ransomware som krypterer alle dataene på harddisken og gjør PCen helt ubrukelig inntil løsepengene blir betalt. I april satte noen opp en tjeneste for å dekryptere harddisker som har blitt kryptert av Petya. Alt som trengs er noe data fra den krypterte harddisken. Tjenesten bruker så noen få sekunder på å finne nøkkelen. Utviklerne bak malwaren hadde heldigvis gjort en feil i implementeringen av kryptografien slik at denne var forholdsvis lett å knekke.

Den andre helgen i april presenterte minst 288 nederlandske nettsteder annonser som sendte brukeren videre til exploit-kits. De fleste store nettavisene i landet var berørt. Disse prøvde igjen å utnytte svakheter for å installere ransomware på besøkende PCer. Det er dessverre ganske enkelt å bestille en annonse som kan infisere besøkende PCer.

Flere er siktet etter Norges største narkoaksjon på det mørke nettet. Det mørke nettet er en hemmelig del av Internett hvor blant annet kriminelle selger narkotika, gjerne gjennom markedsplasser. Det benytter seg av teknologien Tor (The Onion Router). Den mest kjente markedsplassen for salg av narkotika het Silk Road, og da denne til slutt ble tatt ned av FBI tilbake i 2014, fikk FBI tilgang til databasen hvor de oppdaget hundrevis av nordmenn. Kripos satte i gang en etterforskning som ledet til siktelse av 15 nordmenn. Disse skal siden 2012 ha solgt narkotika for millioner til flere hundre nordmenn. TOR brukes også til å omgå myndighetssensur og overvåking.

Hackerne som står bak utviklingen av trojaneren og botnet-rammeverket SpyEye, ble dømt til henholdsvis 9.5 år og 15 år i fengsel. Hackerne kommer opprinnelig fra Russland og Algerie, men ble dømt i USA etter å ha blitt utlevert.

Utvikleren bak Blackhole Exploit Kit, Dmitry Fedotov ble i en russisk domstol dømt til 7 års fengsel. Fedotov ble arrestert sammen med flere andre Blackhole utviklere i 2013. Blackhole er anslått til å ha gjort skader for flere millioner kroner.

mandag 4. april 2016

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2016

I mars håndterte vi 142 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåkning. Dette var en nedgang fra 226 hendelser i februar. Også denne måneden er det mange brukere som blir lurt til å besøke sider for nedlasting av ransomware. Dette skjer gjerne etter at de har trykket på en lenke i e-post.

Telenor SOC håndterte 125 DDoS-angrep i mars, litt ned fra 138 i februar. Det største angrepet i perioden var på 21.7Gbps. Angrep av typen DNS-reflection dominerer fortsatt.

I mars ble det oppdaget en ny svakhet i SSL som fikk navnet “DROWN”. Svakheten gjør at trafikk mot servere som støtter den utdaterte protkollen SSLv2 kan bli dekryptert av angriper. Har serveren delt sertifikat mellom SSLv2 og TLS, kan også trafikk kryptert med TLS-kryptering dekrypteres, da sertifikatet blir kjent. Angriperen trenger, i følge forskere hos drownattack.com, å analysere rundt 1000 SSL-handshakes for å lykkes. Svakheten kan unngås ved å skru av støtte for den gamle SSL v2-protokollen.

LA Times meldte at Pentagon har begynt med cyberangrep mot IS. Dette er første gangen Pentagon offisielt sier at de angriper via cyber-domenet. Angrepene skal ha hjulpet til med å drive IS ut av byen Shaddada i februar. Av beskrivelsen virker det som om DDoS-angrep var en av teknikken som ble brukt.

En uavhengig sårbarhetstest slo ut Telenors mobilnett i flere timer i starten av mars. En signaleringsmelding beregnet på å avdekke sårbarhet for informasjonslekkasje medførte en driftsforstyrrelse. Systemet som skulle tolke meldingen klarte ikke å håndtere den og krasjet.

Midt i mars spredde flere store nettsteder ransomware over flere dager gjennom infiserte annonser. Dersom besøkende til nettsidene benyttet en gammel versjon av Flash eller Java, risikerte de å få maskinen sin infisert. Blant de nettstedene som ble berørt av dette var MSN, BBC og New York Times.

I et forsøk på å sende sikkerhetsanalytikere på villspor, begynner flere og flere APT-grupper å legge inn falske indikasjoner på hvem de er og hvor de måtte befinne seg. De endrer f.eks. tidssone på maskinen, legger inn tekst på irrelevante språk, bruker andres kode osv. Denne utviklingen gjør det stadig vanskeligere å finne ut hvem som står bak målrettede angrep.

Like før påske ble en rekke svenske nyhetsmedier, deriblant DN, Expressen, Svenska Dagbladet og Aftonbladet, utsatt for DDoS-angrep. Det er ikke avklart hvem som står bak, men svenske medier viste til statistikk fra netnod.se som viste økende trafikk fra Russland i samme tidsperiode som angrepene skjedde.

Microsoft utga denne måneden et verktøy for administratorer som vil gjøre det mulig å blokkere eksekvering av makroer i MS Office 2016 via Group Policy. Dette har vært en etterlengtet funksjon, da man blandt annet har sett mye  ransomware bli eksekvert og installert via makroer i Microsoft Word-dokumenter.

USA har tiltalt syv iranere og to syrere for data-angrep mot USA. Iranerne jobbet angivelig på vegne av den iranske regjeringen. Syrerne skal tilhøre Syrian Electronic Army, en gruppering som har forbindelser til regjeringen i Syria. Iranske myndigheter nekter for angrepene og mener tvert imot at USA satte liv i fare i forbindelse med deres Stuxnet-program som angrep iranske anrikningsanlegg for uran.

Gjennom hele mars prøvde FBI å få Apple til å låse opp en iPhone brukt av en terrorist. FBI ville ha Apple til å lage en spesiell versjon av iOS som kunne omgå sikkerheten i mobilen. Apple nektet å etterkomme kravet. Mot slutten av måneden frafalt FBI kravet, da de hadde funnet en ukjent tredjepart som kunne låse opp mobilen for dem.

Ransomware har angrepet flere sykehus i USA den siste måneden. Den største saken gjelder et angrep mot sykehuskjeden MedStar, som driver 10 sykehus og 250 mindre klinikker. Etter angrepet gikk det meste av datasystemer ned og mange behandlinger ble utsatt. Sykehus blir ofte rammet av ransomware, da de gjerne har gamle og usikrede datasystemer.  Angrepene mot sykehus skiller seg også fra vanlige angrep mot tilfeldige privatpersoner. Sykehusene blir ofte angrepet gjennom svakheter i eksponerte tjenester, og det interne nettverket blir kartlagt før krypteringen av flere systemer starter samtidig. Løsepengesummene er også mye høyere enn i angrep mot privatpersoner.


onsdag 2. mars 2016

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2016

Alvorlige hendelser håndtert i vår tjeneste Sikkerhetsovervåkning var i februar hele 226, en økning på nesten 100% fra januar. Den viktigste grunnen til oppgangen var at mange brukere ble lurt til å klikke seg inn på en nedlastingsside for malware, kamuflert som en hentelapp fra Posten. Se egen sak om dette under.

I februar håndterte vi 138 DDoS-angrep, noe ned fra 171 i januar. Som tidligere er det fortsatt DNS som er den foretrukne protokollen for angrep. NTP og CHARGEN kommer som nummer to og tre. Totalt så vi 427 angrep over 1 Gbps og 30 angrep over 10 Gbps. Det største registrerte angrepet i måneden var på hele 40 Gbps. Mange angrep er såpass kortvarige eller små at de ikke blir håndtert.

Gjennom februar måned ble det spredt store mengder e-poster som ga seg ut for å komme fra Posten. Mottakeren ble forsøkt lurt til å laste ned ransomware forkledd som en hentelapp. Blant bedrifter som ble rammet var blant annet Schibsted og Teknisk Ukeblad. Heldigvis hadde bedriftene god backup av sine data.

I februar ble Telenors merkenavn utnyttet i forbindelse med svindel på nettet. Også her ble store mengder falske e-poster sendt ut. Innholdet gikk ut på at abonnenten hadde betalt sin siste regning to ganger. Lenken i e-posten førte til et refusjonsskjema. Her prøvde svindlerne å lure til seg kredittkort-informasjonen til offeret.

PSTs trusselvurdering for 2016 ble lagt fram i februar. Den slår fast at etterretningsvirksomheten fra utenlandske stater i Norge stadig øker. Russland trekkes spesielt fram. Justisminister Anders Anundsen mener at nordmenn, norske bedrifter og offentlige organer er ekstremt dårlige til å beskytte informasjonen sin mot denne typen trusler.

Danske CSIS meldte om en bølge med Android malware som ble forsøkt spredd via SMS i Danmark. SMSen inneholder en lenke til en ondsinnet Android-applikasjon, som vil bli installert på telefonen dersom bruker aksepterer dette, og tillater installasjon av applikasjoner fra ukjente kilder. En må regne med at tilsvarende angrep snart kan spre seg til Norge.

USA hadde planer om å ta i bruk cyberangrep dersom deres forsøk på å begrense Irans utvikling av atomvåpen ikke hadde nådd frem. Planen inkluderte å uskadeliggjøre antiluftskyts, kommunikasjonssystemer, samt å skru av deler av strømnettet i landet. Dette kom fram i en ny dokumentarfilm der flere personer fra det amerikanske militæret ble intervjuet.

Etter terroraksjonen i San Bernardino fikk FBI tak i en mobiltelefon av typen iPhone 5s som ble brukt av en av terroristene. Telefonen er låst med PIN-kode. FBI har derfor, via retten, bedt Apple om å lage programvare som de kan laste inn i minnet på telefonen. Denne skal gi mulighet til å bruteforce PIN-koden fra en ekstern PC så fort hardwaren tillater det. Apple har via en pressemelding uttalt at dette er noe de absolutt ikke ønsker å gjøre, da dette vil være det samme som å bygge inn en bakdør  i iOS-operativsystemet. De frykter at dette kan få store konsekvenser hvis det skulle havne i feil hender. Den rettslige kampen har fortsatt gjennom februar.

Bloggeren Troy Hunt avslørte at dersom du kjenner rammenummeret til en Nissan Leaf, kan du skru av/på klima-anlegget, starte/stoppe lading, samt få en detaljert oversikt over kjøreturer og energiforbruk. Normalt skal dette bare kunne gjøres via en app tilknyttet din egen konto, men det viste seg at man kun trenger en PC med internett-tilgang og bilens rammenummer. Rammenummeret kan med enkelthet få tak i, om en har registreringsnummeret. Heldigvis er det ingen sikkerhetskritiske funksjoner som kan fjernstyres. Batteriet kan imidlertid tappes gjennom å skru på "forvarming" gjentatte ganger. Saken viser nok en gang at "tingenes Internett" ofte er dårlig sikret. Nissan slo av muligheten til å bruke appen etter få timer.

I februar ble det avslørt en alvorlige svakhet i getaddrinfo()-funksjonen i Glibc-biblioteket som kan gjøre det mulig for en angriper å få eksekvert kode på sårbare maskiner. Dette biblioteket brukes blant annet av samtlige Linux-varianter. Getaddrinfo()-funksjonen brukes under DNS-oppslag. En DNS-tjener kan utnytte svakheten ved å returnere spesielt store pakker med fiendtlig kode. Utnyttelse av svakheten er derimot ikke helt rett frem, da dette krever at man omgår flere sikkerhetsmekanismer på systemet.

torsdag 4. februar 2016

Oppsummering av nyhetsbildet for januar 2016

Antall håndterte hendelser i forbindelse med vår tjeneste Sikkerhetsovervåkning gikk, i januar, ned til 122, mot 201 i desember. Det er fortsatt mange trojanere som stjeler personlig informasjon fra brukerne. De fleste blir, som tidligere, smittet gjennom vedlegg i e-poster. Dette er nå den foretrukne måten å spre malware på, både for masse-angrep og målrettede angrep mot bedrifter. Vår anbefaling er å verifisere med avsender først, dersom du skal åpne uventede vedlegg i e-poster!

Antall håndterte DDoS-angrep var omtrent på samme nivå som sist måned. Det ble håndtert 171 angrep, mot 164 i desember. DNS er fortsatt den foretrukne protokollen for angrep, og det største angrepet i perioden var på 32Gbps. Flere av TSOCs kunder som har tjenesten DDoS-beskyttelse ble angrepet i løpet av måneden.

Lille julaften mistet hundretusener strømmen i Ukraina. I ettertid har det vist seg at et godt koordinert cyber-angrep var årsaken til strømbruddet. En gruppering kalt Sandworm, som trolig har russisk tilknytning, stod bak angrepet. Datamaskiner og servere ble først infisert ved hjelp av malwaren BlackEnergy. Dette gjorde at angriperne fikk kontroll over tilkoblede SCADA-systemer. Strømsystemet ble forstyrret, og de infiserte maskiner ble deretter slettet ved hjelp av BlackEnergy-malwaren for å gjøre feilretting vanskelig. Samtidig ble også sentralbordene nedringt av flere tusen falske telefonsamtaler, slik at kundene ikke klarte å varsle om hva som skjedde. Det tok flere timer før strømmen var tilbake. Mange mener at dette angrepet er et veiskille når det gjelder angrep mot kritisk infrastruktur over Internett.

Perception Point Research Team fant i januar en svakhet i Linux-kjernen som gjør det mulig for angripere å få lokale administrator-rettigheter. Denne svakheten finnes i versjon 3.8 og senere av kjernen, samt i flere nyere Android-versjoner. Flere distribusjoner av Linux, som Ubuntu, Debian og Red Hat, var raskt ute med oppdateringer. Nyere versjoner av Android er også sårbare, men innebygde sikkerhetsmekanismer som SELinux (Security Enhanced Linux) skal gjøre det vanskeligere å utnytte svakheten. En Android-bruker må også lures til å installere en app som utnytter svakheten for å bli kompromittert. Det er hittil ikke meldt om stor utnyttelse av svakheten mot noen av de sårbare plattformene.

I desember ble det avslørt at nettverksutstyr fra Juniper hadde to svakheter. Den ene var en hardkodet bakdør, mens den andre var en svakhet i krypteringssystemet som gjorde det mulig å avlytte VPN-trafikk. Den sistnevnte svakheten var avhengig av NSA-utviklede algoritmer for å kunne utnyttes. Juniper har nå bestemt seg for å fjerne den aktuelle algoritmen (Dual_EC_DRBG) fra fremtidige versjoner av programvaren.

Sikkerhetsforsker og "Google Project Zero"-medlem Tavis Ormandy avslørte i januar en kritisk sårbarhet i Trend Micros Antivirus-løsning. Sårbarheten lå i passord-manageren som følger med antivirus-produktet. Den åpnet for at maskiner med programmet installert kunne kapres, infiseres med malware eller tappes for data, kun ved å besøke en nettside som utnyttet sårbarheten. Trend Micro ga raskt ut en oppdatering som tettet sårbarheten. Tavis rapporterte at det også finnes andre tvilsomme sikkerhetsløsninger i produktet. Det kommer blant annet med en "Secure Browser" basert på en gammel utgave av Chromium, med viktige sikkerhetsmekanismer deaktivert.

Sjefen for NSAs TAO-gruppe (Tailored Access Operations) kom med gode råd for hvordan en kan unngå å få APT-hackere i nettet sitt. Blant annet anbefaler han å kjenne nettet sitt godt, bruke white-listing av applikasjoner og å dele nettet inn i ulike soner. Han tilbakeviser også myten om at NSA og andre lignende organisasjoner ofte benytter seg av zero-day svakheter, da dette i de fleste tilfeller ikke er nødvendig.

I januar ble det oppdaget en hardkodet bakdør i eldre versjon av FortiOS fra versjon 4.x opp til 5.0.7. Svakheten ble patchet i juli 2014 etter at den ble oppdaget internt hos Fortigate. Firmaet opplyser også at bakdøren ikke har blitt lagt inn med onde hensikter. Antakeligvis har den blitt brukt til innlogging mellom forskjellig utstyr fra Fortigate.

Europol opplyste i en pressemelding at de har arrestert to medlemmer av hackergruppen DD4BC i Bosnia-Hercegovina. DD4BC står bak mange DDoS-angrep med tilhørende pengeutpressing fra bedrifter. Gruppen har også drevet utpressing mot flere firmaer i Norge.


torsdag 7. januar 2016

Oppsummering av nyhetsbildet for desember 2015

Antallet håndterte hendelser i forbindelse med tjenesten Sikkerhetsovervåking gikk kraftig opp fra 124 i november til 201 i desember. Denne måneden er det to typer malware som dominerer: Dridex og Alphacrypt. Trojaneren Dridex stjeler personlig informasjon fra brukeren som bankdetaljer, mens Alphacrypt er utpressingsprogramvare. Spredningsvektor for begge er hovedsaklig e-post. Husk å være forsiktig med å åpne vedlegg du er usikker på!

I desember håndterte TSOC 164 DDoS-angrep, opp fra 146 i november. Det største angrepet var av typen DNS-reflection og var på 59Gbps. DNS-reflection var også den vanligste angrepstypen, fulgt av NTP, chargen og SSDP.

Juniper oppdaget en bakdør i brannmurene sine som kan gi en angriper administratortilgang til brannmuren ved hjelp av et statisk passord, kamuflert for å se ut som programmerings-kode. Det ble også oppdaget at noen har endret på koden for å kryptere VPN-trafikk slik at denne var enkel å dekryptere med den riktige kunnskapen. Juniper ga ut en nød-fiks som fjerner den "uautoriserte koden" som var årsaken til de to bakdørene. Den manipulerte koden skal ha vært i systemene siden 2012. Noen dager etter offentliggjøringen fra Juniper ble passordet til bakdøren offentlig kjent. Det mistenkes at en avansert aktør, som en nasjonalstat, står bak bakdørene.

Fra mandag 14 desember og utover i julen var tyrkiske DNS-servere under vedvarende DDoS angrep på rundt 40Gbps, med topper opp mot 200Gbps. Angrepet resulterte i at over 400 000 websider var nede i Tyrkia og DNS-serverene ikke fikk svart på forespørsler. All trafikk til/fra Tyrkia ble kuttet, for å forsøke å stoppe angrepet, men dette måtte gis opp etter et døgn. Den 25. desember rapporterte også flere tyrkiske banker at de opplevde sporadiske avbrudd ved kreditt-kort transaksjoner og nettsider som var nede. Flere tyrkiske banker bekreftet at de var under DDoS-angrep. Dette var antakeligvis en utvidelse av angrepene mot DNS-serverne. Angrepene skal nå være over. Anonymous har tatt på seg ansvaret, men mange mistenker at Russland er ansvarlig.

EU-landene har blitt enige om felles retningslinjer for cyber-sikkerhet. Firmaer som er involvert i kritisk infrastruktur (energi, transport, bank, finans, helse og vann) må ha forsvarbare nett og raskt melde fra om sikkerhetshendelser. Hvert land må også etablere et eget CSIRT, Computer Security Incidents Response Team.

Kina og USA har i desember hatt sitt første møte om cybersikkerhet etter å ha inngått en samarbeidsavtale. Under møtet har Kina sagt at de har arrestert flere kriminelle som sto bak innbruddet mot OPM, Office of Personnel Management, tidligere i år. Angriperne klarte å stjele sikkerhetsklareringer og privat informasjon, inkludert fingeravtrykk, tilhørende millioner av sikkerhetsklarerte amerikanere.

Sikkerhetsforskere ved FOX IT publiserte en detaljert rapport om botnettet Ponmocup. De anslår at rundt 15 millioner maskiner har blitt infisert siden 2006. Botnettet er fremdels aktivt. Det blir anslått at det finnes 25 unike plug-ins og 4000 forskjellige varianter av Ponmocup, som først og fremst brukes til finansiell svindel.

ESET, Microsoft, CERT.PL og myndigheter over hele verden har samarbeidet om å ta ned kjente botnets basert på Dorkbot. Dette har de gjort ved sinkholing av kontrollservere, altså omdirigering av trafikken. Det har nå blitt delt tekniske data, analyser og annen informasjon om Dorkbot.

Pirater har bygget en falsk Apple Store kalt vShare som lar brukere laste ned apper til iPhone gratis. Apple har en mulighet for store bedrifter til selv å signere apper for signering. Piratene har fått tak i flere slike nøkler og bruker disse til å signere appene i butikken.

 
>