Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 1. august 2017

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2017

Denne måneden var det 112 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, en liten nedgang fra forrige måned. Hendelsene er typisk ansatte som blir lurt av phishing-sider, forskjellige typer uønsket programvare og også en del trojanere som f.eks. kan stjele bankopplysninger.

Det var 434 bekreftede DDoS-angrep i juni. 132 av disse ble mitigert. Et gjennomsnittlig angrep var på 2.38 Gbps og varte i 45 minutter. Det største angrepet observert i denne perioden var på 26.3 Gbps og varte 33 minutter. Flere av våre betalende kunder ble utsatt for angrep denne måneden.

Tirsdag 27. juni var det et større utbrudd av malware som rammet mange organisasjoner internasjonalt. Det dreide seg om en variant av løsepengeviruset Petya, og alle trodde også at dette var et løsepengevirus. Den initielle infeksjonsvektoren var en infisert oppdateringsmekanisme til den ukrainske programvaren M. E. Doc, som benyttes for å sende inn finansiell informasjon til myndighetene for skatteberegning. Når viruset først var på innsiden av nettverket, benyttet det seg av flere metoder for videre intern spredning. Det samlet inn brukernavn og passord fra minnet og benyttet vanlige Windows-verktøy for å fjernkjøre kommandoer. Petya-varianten benytter også svakheten Eternal Blue, den samme som ble benyttet av WannaCry-ormen. Infeksjonene startet i Ukraina, men spredde seg fort via interne nettverk i større internasjonale konsern. NorCERT meldte at et mindre antall bedrifter i Norge ble rammet, alle med internasjonale forbindelser.

To dager etter angrepet ble det klart at løsepengeviruset i virkeligheten var en såkalt “wiper”, altså programvare laget for å sabotere PCer ved å slette dataene. Malwaren oppgir en kode til brukeren, som skal sendes inn til bakmennene for å få dekryptert dataene. Koden viste seg imidlertid å være en tilfeldig rekke med tall og bokstaver. Målsettingen med angrepet var altså å gjøre størst mulig skade, ikke å tjene penger. Mange mistenker Russland for å stå bak også dette angrepet.

En underleverandør av Pentagon, Booz Allen, la 28 GB med data åpent tilgjengelig på Amazons skylagringstjenesten S3. I disse dataene var det større mengder med sensitiv informasjon, private SSH-nøkler og passord til flere statlige systemer i USA. Det er et utbredt problem at filer lagres åpent på skytjenester som Amazon S3 og Microsoft Azure. Brukerne er ofte ikke klar over at det ikke kreves autentisering for å få tilgang til filene.

Russland gjennomførte cyberangrep mot amerikansk leverandør av valgprogramvare og sendte spear-phishing e-post til mer enn 100 lokale valgtjenestemenn kun dager før forrige presidentvalg. Dette avsløres i en lekket rapport fra NSA, publisert av The Intercept. Personen som lekket NSA-rapporten, ble senere arrestert etter å ha sendt dokumentet til The Intercept. NSA fant ut at seks personer hadde skrevet ut dokumentet, og den arresterte var én av disse. The Intercept har heller ikke fjernet vannmerkene (gule prikker) i dokumentet. Ved hjelp av disse vannmerkene kan produsent av skriver, serienummer og dato for utskrift avsløres.

Sikkerhetsselskapet ESET og Dragos ga ut en detaljert analyse av skadevaren som tok ned deler av strømnettet i Ukraina i desember 2016. Aktørene plasserer skadevaren Industroyer/Crash Override i samme kategori som Stuxnet, siden den er det andre tilfellet av skadevare som er oppdaget, der målet er å forstyrre fysiske installasjoner. Skadevaren kan blant annet kommunisere med industrielle styringssystemer for kraftforsyning og slette harddisker.

I August 2016 mottok daværende president Barack Obama en beskjed fra CIA om at Russlands president, Vladimir Putin, var direkte involvert i en kampanje for å forstyrre USAs presidentvalg. Da det ble klart at Donald Trump vant presidentvalget, beordret Obama en grundig gjennomgang av Russlands faktiske innflytelse over USAs valgsystem, helt tilbake til 2008. Videre ble malware gjemt i viktige deler av Russlands nettverk som gjør det mulig for USA å forstyrre viktige Russiske systemer.

Firmaer som Cisco, IBM og SAP gjør kildekoden sin tilgjengelig for inspeksjon i Russland. Gjennomgangen blir gjort av russerne for å sjekke om det finnes bakdører eller feil i programvaren. Sikkerhetseksperter er bekymret for at inspeksjonene kan brukes til å finne feil i produktene som kan utnyttes i data-angrep.

Ingen kommentarer:

 
>