Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

torsdag 7. januar 2016

Oppsummering av nyhetsbildet for desember 2015

Antallet håndterte hendelser i forbindelse med tjenesten Sikkerhetsovervåking gikk kraftig opp fra 124 i november til 201 i desember. Denne måneden er det to typer malware som dominerer: Dridex og Alphacrypt. Trojaneren Dridex stjeler personlig informasjon fra brukeren som bankdetaljer, mens Alphacrypt er utpressingsprogramvare. Spredningsvektor for begge er hovedsaklig e-post. Husk å være forsiktig med å åpne vedlegg du er usikker på!

I desember håndterte TSOC 164 DDoS-angrep, opp fra 146 i november. Det største angrepet var av typen DNS-reflection og var på 59Gbps. DNS-reflection var også den vanligste angrepstypen, fulgt av NTP, chargen og SSDP.

Juniper oppdaget en bakdør i brannmurene sine som kan gi en angriper administratortilgang til brannmuren ved hjelp av et statisk passord, kamuflert for å se ut som programmerings-kode. Det ble også oppdaget at noen har endret på koden for å kryptere VPN-trafikk slik at denne var enkel å dekryptere med den riktige kunnskapen. Juniper ga ut en nød-fiks som fjerner den "uautoriserte koden" som var årsaken til de to bakdørene. Den manipulerte koden skal ha vært i systemene siden 2012. Noen dager etter offentliggjøringen fra Juniper ble passordet til bakdøren offentlig kjent. Det mistenkes at en avansert aktør, som en nasjonalstat, står bak bakdørene.

Fra mandag 14 desember og utover i julen var tyrkiske DNS-servere under vedvarende DDoS angrep på rundt 40Gbps, med topper opp mot 200Gbps. Angrepet resulterte i at over 400 000 websider var nede i Tyrkia og DNS-serverene ikke fikk svart på forespørsler. All trafikk til/fra Tyrkia ble kuttet, for å forsøke å stoppe angrepet, men dette måtte gis opp etter et døgn. Den 25. desember rapporterte også flere tyrkiske banker at de opplevde sporadiske avbrudd ved kreditt-kort transaksjoner og nettsider som var nede. Flere tyrkiske banker bekreftet at de var under DDoS-angrep. Dette var antakeligvis en utvidelse av angrepene mot DNS-serverne. Angrepene skal nå være over. Anonymous har tatt på seg ansvaret, men mange mistenker at Russland er ansvarlig.

EU-landene har blitt enige om felles retningslinjer for cyber-sikkerhet. Firmaer som er involvert i kritisk infrastruktur (energi, transport, bank, finans, helse og vann) må ha forsvarbare nett og raskt melde fra om sikkerhetshendelser. Hvert land må også etablere et eget CSIRT, Computer Security Incidents Response Team.

Kina og USA har i desember hatt sitt første møte om cybersikkerhet etter å ha inngått en samarbeidsavtale. Under møtet har Kina sagt at de har arrestert flere kriminelle som sto bak innbruddet mot OPM, Office of Personnel Management, tidligere i år. Angriperne klarte å stjele sikkerhetsklareringer og privat informasjon, inkludert fingeravtrykk, tilhørende millioner av sikkerhetsklarerte amerikanere.

Sikkerhetsforskere ved FOX IT publiserte en detaljert rapport om botnettet Ponmocup. De anslår at rundt 15 millioner maskiner har blitt infisert siden 2006. Botnettet er fremdels aktivt. Det blir anslått at det finnes 25 unike plug-ins og 4000 forskjellige varianter av Ponmocup, som først og fremst brukes til finansiell svindel.

ESET, Microsoft, CERT.PL og myndigheter over hele verden har samarbeidet om å ta ned kjente botnets basert på Dorkbot. Dette har de gjort ved sinkholing av kontrollservere, altså omdirigering av trafikken. Det har nå blitt delt tekniske data, analyser og annen informasjon om Dorkbot.

Pirater har bygget en falsk Apple Store kalt vShare som lar brukere laste ned apper til iPhone gratis. Apple har en mulighet for store bedrifter til selv å signere apper for signering. Piratene har fått tak i flere slike nøkler og bruker disse til å signere appene i butikken.

 
>