Oppsummering av nyhetsbildet innen datasikkerhet for november 2018

I november håndterte vårt operasjonssenter 127 alvorlige saker i forbindelse med tjenesten Sikkerhetsovervåking, opp fra 118 saker i oktober. Selv om prisene på forskjellige typer kryptovaluta har gått kraftig ned i 2018, er dette fortsatt den mest populære måte å utnytte infiserte PCer på.

Det var 400 bekreftede DDoS-angrep i november, opp fra 330 i oktober. 119 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.87 Gbps og varte typisk i 23 minutter. Det største angrepet observert i denne perioden var på 60 Gbps og varte i 11 minutter. Syv av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Mange SSD harddisker kommer med maskinvarekryptering, noe som gjør at SSDen selv kan brukes til å kryptere dataene i stedet for at dette blir gjort av programvare. Blant annet benytter Windows seg av dette og stoler på at SSDen står for krypteringen selv når Bitlocker blir brukt. Forskere ved Radbound Universitet har nå funnet ut at mange SSDer bruker en svært dårlig krypteringsimplementasjon. Crucial MX300 har for eksempel satt et tomt hovedpassord, noe som gjør det trivielt å få tak i det krypterte innholdet. Bitlocker kan heldigvis bli fortalt at den ikke skal stole på maskinvarekryptering i SSDer og i stedet bruke programvarekryptering, men mange er ikke klar over denne problemstillingen.

Den russland-baserte hackergruppen APT-29 (Cozy Bear) er kjent for innbruddet hos den amerikanske Democratic National Committee før presidentvalget i 2016. Gruppen har også angrepet norske mål i 2017. CrowdStrike oppdaget 14. november en stor spear-phishing kampanje mot flere sektorer utført av APT-29. Meldingen utga seg for å være fra "U.S Department of State" og linket til en legitim kompromittert side.

US Cyber Command opplyser at de skal begynne å laste opp malware de oppdager i forbindelse med etterforskning av utenlandske APT-grupperinger til VirusTotal. Malwaren vil bli lastet opp etter hvert som den blir avgradert. Ved at malwaren legges opp på VirusTotal, vil sikkerhetsleverandører lett kunne få tilgang til dem og legge inn deteksjon i sine sikkerhetsprodukter.

Under hackerkonkurransen Pwn2Own Tokyo 2018, ble tre populære mobiltelefoner hacket. Dette var Samsung Galaxy S9, IphoneX og Xiaomi Mi6. I alt ble 18 svakheter funnet. I et av tilfellene ble opp til fem svakheter misbrukt etter hverandre for å knekke sikkerheten. Det ble utbetalt totalt $325.000 i prispenger under konkurransen.

Versjon 3 av HTTP-protokollen vil basere seg på HTTP over QUIC og altså ikke bruke TCP-proktollen i bunnen. QUIC står for Quick UDP Internet Connections og kombinerer HTTP/2, TCP, UDP og TLS. Protokollen er alltid kryptert og er også kjappere enn TCP. Google håper at protokollen skal ta over både for UDP og TCP.

Ifølge undersøkelsen 2018 Market Pulse Survey, har ansattes datasikkerhetsvaner forverret seg i det siste. Undersøkelsen inneholder svar fra 1600 ansatte fra selskaper som har flere enn 1000 ansatte fra et utvalg vestlige land. Blant annet innrømmer 75% at de gjenbruker passord mellom kontoer, opp fra 56% i 2014. I følge undersøkelsen er det aldersgruppen 18-25 som er verstingene, der hele 87% gjenbruker passord. Det nevnes også at 50% av aldersgruppen bruker samme passord på både personlige kontoer og kontoer relatert til jobb.

Mellom 2009 og 2013 opplevde CIA at et system de hadde for kommunikasjon med agenter ble avslørt av Iran. Dette førte til at dusinvis av amerikanske agenter ble drept i Kina og Iran. Innen 2011 hadde Iran infiltrert nettverket og annonserte i mai at de hadde avslørt over 30 amerikanske spioner. Kina fikk også tak i informasjon på lignende måte og 30 amerikanske agenter ble henrettet.

Ironisk nok ble det i oktober oppdaget en alvorlig svakhet i WordPress GDPR Compliance Plugin. Svakheten gjør det mulig å opprette brukere og gi disse administrator-rettigheter. Videre gir svakheten også muligheten til å utføre en bakdør-installasjon ved å injisere kommandoer i cron.

Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2018

I oktober håndterte vårt operasjonssenter 118 alvorlige saker i forbindelse med tjenesten Sikkerhetsovervåking. Denne måneden har vi innført en ny måte å definere alvorlige hendelser på for denne oppsummeringen, der en del automatisk håndtere saker blir tatt vekk. Antallet hendelser vil derfor trolig være noe lavere enn før i tiden framover.

Det var 330 bekreftede DDoS-angrep i oktober, opp fra 261 i september. 95 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.98 Gbps og varte typisk i 14 minutter. Det største angrepet observert i denne perioden var på 48.8 Gbps og varte i 26 minutter. To av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Hackere utnyttet flere svakheter i plattformen til Facebook, noe som lot dem få tak i tilgangs-tokener til rundt 30 millioner Facebook kontoer. 14 millioner av disse mistet personlig informasjon som navn, kontaktinformasjon samt flere andre personlige detaljer. Hackerne hadde full kontroll over alle kontoene, men rakk ikke å foreta seg noe aktivt med dem før Facebook nullstilte alle tilgangene. Utover måneden ble det rapportert at det mest sannsynlig var spammere som sto bak angrepet, og ikke statlige aktører, som mange først mistenkte.

Nyhetstjenesten Bloomberg hadde i oktober to reportasjer om hvordan hardware fra SuperMicro ble manipulert for å kunne fjernstyres og avlyttes. Den første artikkelen omhandlet mikrobrikker som ble lagt til hovedkort etter produksjonen, den andre tok for seg manipulerte ethernet-kontakter. Utstyret skal ha endt opp hos 30 store amerikanske selskaper, blant annet Amazon og Apple. Ingen bevis ble framlagt, og etter hvert avviste både Apple, Amazon og sikkerhetsmyndighetene i både USA og UK at dette hadde skjedd. Det finnes også alternativer som både er vanskeligere å oppdage og lettere å gjennomføre enn å manipulere hardware direkte, som for eksempel å manipulere BIOS på hovedkortet.

I desember 2017 omtalte vi en større lekkasje av 1.4 milliarder brukernavn og passord. Denne måneden fant Aftenposten fram denne nyheten igjen, siden de oppdaget en nettside som enkelt lot dem søke opp epostadresser fra lekkasjen og få fram passordene i klartekst. Saken fikk enda større oppmerksomhet i media denne gangen. Vi anbefaler tjenesten haveibeenpwned.com for å bli varslet dersom noen hacker en tjeneste og ditt brukernavn og passord blir lekket.

Forskere har funnet ut at China Telecom har brukt BGP-spoofing til å route Internett-trafikk fra Canada og USA gjennom Kina. Ukryptert trafikk antas å ha blitt analysert og lest. Forskningen er publisert i en paper i Military Cyber Affairs og er et samarbeid mellom US Naval War College og Tel Aviv University. Dette skal ha foregått i flere år og er også bekreftet av andre kilder.

Politiforum hadde en artikkel om oppstykket ansvar og mange aktører i cyberspace. Lista over aktører som skal gripe inn mot cyberkriminalitet begynner å bli lang, og siste skudd på stammen er et nytt nasjonalt cybersikkerhetssenter i Nasjonal sikkerhetsmyndighet. Det kan være vanskelig å forstå hvem som skal gjøre hva og hvor man skal henvende seg. Politiforum hadde en gjennomgang av hvordan situasjonen er i dag og fremtidige planer.

Oppsummering av nyhetsbildet innen datasikkerhet for september 2018

I september ble det registrert 239 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, opp fra 170 i august. Fortsatt er det mange maskiner som blir infisert av programvare som utvinner kryptovaluta, selv om prisene har gått kraftig ned i løpet av året. Vi har også sett noen maskiner infisert av bank-trojaneren Retefe, etter at denne ble spredt via e-poster i Norge denne måneden.

Det var 261 bekreftede DDoS-angrep i august, opp fra 213 i august. 58 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.61 Gbps og varte typisk i én time. Det største angrepet observert i denne perioden var et SYN-angrep på 25.2 Gbps og varte i én dag. Seks av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Myndighetspersoner fra de Forente Arabiske Emirater skal i over et år ha brukt et spionasjeverktøy utviklet av selskapet NSO-group basert i Israel. Da selskapet tilbød dem en kostbar oppdatering av verktøyene, ble det forespurt om selskapet kunne levere dokumentasjon av vellykket spionasje mot en rekke viktige personer. En Saudi-Arabisk prins og en redaktør i en kjent arabisk avis skal ha vært blant de ønskede målene. Fire dager senere skal en representant for NSO-group ha sendt en e-post med opptak av telefonsamtaler utført av redaktøren, Abdulaziz Alkhamis. Senere skal redaktøren ha bekreftet at samtalene ble utført av han, og at han ikke visste at han ble overvåket. Informasjonen har kommet frem i en rettssak der NSO-group er beskyldt for deltakelse i ulovlig spionasje.

Representanter fra USA, Storbritannia, Canada, Australia og New Zealand, som går under navnet The Five Eyes, har igjen gitt indikasjoner om at de vil ha muligheten til å dekryptere kryptert kommunikasjon som de mener kan hjelpe deres etterforskninger. De vil oppnå dette ved å få store teknologiselskaper til å samarbeide med dem om få dekryptert kommunikasjonen. Om teknologiselskapene nekter, vil landene prøve å legge til rette nye lover for å kreve dette av dem.

Det amerikanske justisdepartementet har siktet én person, Park Jin Hyok, for å ha medvirket til Nord-Koreas ondsinnede nettaktiviteter i forbindelse med WannaCry-angrepet. Han skal sammen med andre ha utført handlingene for den nordkoreanske staten. Den siktede beskyldes også for å ha vært delaktige i angrepet på Sony Pictures i 2014. Dette angrepet var en hevnaksjon etter at selskapet laget en komedie som gjorde narr av den nordkoreanske diktatoren.

I følge den Nederlandske avisen Swiss Daily har nederlandsk sikkerhetspoliti pågrepet og utvist to russere som påstås å høre til etterretningstjenesten GRU. De to er mistenkt for å ha planlagt et hacker-angrep mot Speiz-labratoriet i Bern, som i september jobbet med å undersøke giften
som ble brukt i drapsforsøket på den tidligere russiske agenten Sergei Skripal og hans datter i Salisbury.

I forbindelse med Nato-øvelsen Trident Juncture sier Erna Solberg at vi må regne med kyberangrep fra Russland og andre aktører. Under øvelsen vil det være mange som har interesse av å drive etterretningsvirksomhet mot Norge og Cyberforsvaret har derfor økt deres beredskap. E-tjenesten, PST, NSM, Forsvarets sikkerhetsavdeling, Cyberforsvaret og NATO vil ha et tett samarbeid og løpende utveksle informasjon med hverandre under øvelsen.


En tidligere NSA-ansatt tok med seg gradert materiale til sin hjemme-PC mellom 2010 og 2015. Han er nå dømt til 66 måneders fengsel etter lovbruddet, som førte til at russiske myndigheter fikk tak i det graderte materialet, antakeligvis gjennom anti-virus-programvare fra Kaspersky Labs. Programvare fra Kaspersky har siden blitt forbudt på statlige datamaskiner. Kaspersky benekter at de har gitt videre gradert materiale til russiske myndigheter.

Oppsummering av nyhetsbildet innen datasikkerhet for august 2018

I august ble det registrert 170 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, ned fra 184 i juli. Det er ingen spesielle angrepskampanjer som skiller seg ut denne måneden. Av sikkerhetshendelser er det for eksempel skanning etter diverse svakheter, malware som utvinner kryptovaluta, forsøk på innlogging ved å prøve mange forskjellige brukernavn/passord og nettleserutvidelser som spionerer på brukerne.

Det var 213 bekreftede DDoS-angrep i august, opp fra 171 i juli. 81 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.67 Gbps og varte typisk i 23 minutter. Det største angrepet observert i denne perioden var et SYN-angrep på 85.0 Gbps og varte i én time. Fem av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Den indiske banken Cosmos Bank ble utsatt for dataangrep hvor 13,5 millioner dollar ble stjålet. Angriperne klarte å bryte seg inn hos banken, og deretter ble 2 millioner dollar stjålet via bankoverføringer og 11,5 millioner dollar via uautoriserte minibank-uttak i mer enn 24 land. Dette skjedde etter at FBI gikk ut med advarsel om kommende global minibank-svindel.

Facebook annonserte i begynnelsen av august at de hadde oppdaget en pågående kampanje der en rekke ikke-autentiske sider og brukere ble brukt til politisk påvirkning. I følge Facebook er det snakk om 17 brukerprofiler, åtte Facebook-sider, og syv Instagram-kontoer. Mellom April 2017 og Juni 2018 skal kontoene ha betalt 11.000 dollar for 150 reklame-kampanjer på de to plattformene.

Microsoft hevdet å ha funnet seks falske nettsider som hadde som mål å hacke maskinene til de som besøkt sidene. Noen av nettsidene skal ha vært relatert til offentlig politikk og Senatet, og alle sidene skal ha blitt opprettet av en gruppe som blir knyttet til den russiske regjeringen, APT-28. Microsoft fikk kontroll over DNS-pekerne til sidene ved hjelp av en amerikansk domstol for å gjøre videre undersøkelser.

Datasikkerhet hos Bergen Kommune har vært mye omtalt i august. Mandag 13. august ble det sendt ut en melding fra administrator-brukeren fra systemet eFeide. Årsaken til "hackingen" var at brukernavn og passord til administrator-brukeren lå i en fil som elever hadde tilgang til var. En elev varslet skolen om om glippen i vår, men ble ikke hørt. Kommunen risikerer nå millionbot fra Datatilsynet etter sikkerhetstabben.

En rapport publisert av Netscout Arbor forteller at det var syv ganger flere DDoS-Angrep over 300 Gbps i første halvdel av 2018, sammenlignet med første halvdel av 2017. Gjennomsnittsstørrelsen på DDoS-angrep steg med 174% i perioden, men frekvens på antall angrep gikk ned 13%. Økningen skyldes i stor grad oppdagelsen av nye metoder for distribuerte angrep, og det store antallet ubeskyttede IoT-enheter.

Flere produsenter av routere har svakheter i nøkkelhåndteringen i forbindelse med VPN-forbindelser. Svakhetene ligger i IKE v1. Nøkler kan utsettes for offline brute-force angrep. Cisco, Huawei og Zyxel har allerede sluppet oppdateringer.

Forskere har oppdaget enda flere svakheter i Intel-CPUer som kan brukes til å lese ut sensitive data, spesielt i virtuelle miljøer. De nye svakhetene er kalt Foreshadow, og lar angripere lese ut info fra Level 1-cache og SMM (System Management Mode)), operativsystem-kjernen og informasjon tilhørende andre virtuelle maskiner som kjører på samme CPU. Mange eksperter anbefaler nå å slå av “multithreading”/SMT i BIOS for å unngå mange av svakhetene som har vært offentliggjort for Intel-CPUer i det siste.

Samferdselsdepartementet sier de vil vurdere mulige tiltak overfor utstyrsleverandører fra land Norge ikke har sikkerhetspolitisk samarbeid med. USA har bannlyst Huawei og ZTE fra sine mobilnett, og nå har også Australia truffet en tilsvarende avgjørelse; de to kinesiske selskapene får ikke være med på utbygging av mobilnett i Australia.

Tre Ukrainske hackere er arrestert i henholdsvis Polen, Tyskland og Spania. Arrestasjonene skjedde i løpet av våren, men har først nå blitt offentliggjort. De tre skal ha vært medlemmer av gruppen FIN7/Carbanak Group og har blitt etterforsket av amerikanske myndigheter.

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2018

I juli ble det registrert 184 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, opp fra 165 i juni Denne måneden var det flere brukere som ble lurt til å gi fra seg brukernavn og passord i forskjellige phishing-angrep. Vi hadde også tilfeller av maskiner som ble infisert av bank-trojaneren Retefe etter at denne ble spredt i Norge i flere runder med spam-eposter.

Det var 171 bekreftede DDoS-angrep i juli, litt ned fra 182 i juni. 64 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.84 Gbps og varte typisk i 23 minutter. Det største angrepet observert i denne perioden var på 33.6 Gbps og varte i 6 minutter. To av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Typeform, en tredjepartsløsning brukt av blant annet Schibsted og Aller Media, har blitt rammet av et hackerangrep. Dette medfører at informasjon om brukere av Aftenposten, Dagbladet og Bergens Tidende har kommet på avveie. I alt skal det var rundt 30.000 nordmenn som er rammet og disse har blitt informert om dette. Typeform blir brukt til brukerundersøkelser. Informasjonen som er stjålet er: navn, alder, kjønn, epost-adresse, mobilnummer og besvarelser fra undersøkelsene. Passord og betalingsinformasjon skal ikke ha blitt stjålet.

Justisdepartementet i USA har anklaget 12 russiske statsborgere for å ha deltatt i hackerangrepet under presidentvalget i 2016. Alle de 12 tiltalte skal være medlemmer av GRU, som er en militær etterretningsorganisasjon. Avsløringen gir mer detaljert informasjon om det sofistikerte angrepet på det amerikanske presidentvalget, inkludert utgivelsen av e-postmeldinger designet for å sverte den demokratiske presidentkandidaten Hillary Clinton.

I juli dukket det opp en ny form for utpressings-eposter som viste seg å være svært effektive. Svindlere sender e-poster som inneholder mottakers tidligere passord, hentet fra en tidligere offentlig tilgjengelig lekkasje av brukernavn/passord. Eposten informerer så om at de har infisert en nettside som har pornografisk innhold, og at mottakeren har blitt filmet under besøk av siden. Svindlerne truer deretter med å sende videoen til venner og familie om mottaker ikke betaler, dette til tross for at videoen ikke eksisterer.

SIM-hijacking har i løpet av de siste årene blitt en mer vanlig angrepsvektor. Fremgangsmåten er at en angriper først kontakter mobiloperatøren til offeret og utgir seg for å være eieren av mobilnummeret. Der forteller de at de har mistet SIM-kortet sitt, og ber om å flytte nummeret over til et nytt SIM-kort som angriperen allerede innehar. Angriperen må så oppgi tilstrekkelig med personlig informasjon om offeret, ved å for eksempel bruke data fra tidligere datalekkasjer, til å overbevise den ansatte som jobber hos mobiloperatøren om at angriper faktisk er offeret. Derfra kan angriperen resette offerets brukerkontoer på diverse online-tjenester ved å bruke mobilnummeret som metode for tilbakestilling av passord. Ved bruk av denne angrepsmetoden hjelper det heller ikke at brukeren benytter SMS-basert to-faktor autentisering på tjenestene sine, ettersom angriperen allerede har full kontroll over offerets mobilnummer. For å motvirke denne formen for angrep er det nødvendig å bruke fysiske enheter som den andre faktoren ved autentisering, f.eks. Yubikeys.

Etter at Google i tidlig 2017 innførte fysiske sikkerhetsnøkler i stedet for passord og engangskoder for alle sine 85 000 ansatte, har ikke selskapet opplevd noen vellykkede phishing-angrep mot jobbrelaterte kontoer. Fysiske sikkerhetsnøkler er rimelige USB-baserte enheter som tilbyr tofaktorautentisering. I motsetning til engangskoder på sms eller gjennom en app, implementerer fysiske sikkerhetsnøkler en form for multifaktorautentisering kjent som Universal 2nd Factor (U2F), som gjør det mulig for brukere å fullføre innloggingsprosessen ved å sette inn en USB-enhet og trykke på en knapp på enheten. Angripere kan på denne måten ikke fange opp engangskoden mellom brukeren og enheten den skrives inn på. U2F er en open source autentiseringsstandard, som blant annet kan brukes på tjenester som Dropbox, Github og Facebook og Google.

En velkjent hackergruppe kjent under navnet MoneyTaker har stjålet omtrent en million dollar fra den russisk banken PIR Bank etter å ha infiltrert nettverket via en utdatert ruter. Group-IB, et russisk sikkerhetsfirma som ble kalt inn for å undersøke hendelsen, melder at de har "sikre digitale bevis som impliserer MoneyTaker i tyveriet" etter å ha undersøkt infiserte arbeidsmaskiner og servere hos PIR Bank.

SingHealth i Singapore har blitt rammet av det som omtales som landets verste cyberangrep, ifølge lokale medier. 1.5 millioner pasient-profiler og 160.000 resept-detaljer ble stjålet. Blant annet ble resept-detaljer til statsministeren, Lee Hsien Loong, stjålet. Ifølge regjeringen var angrepet ikke gjort av vanlige hackere eller kriminelle gjenger, siden det var målrettet og godt planlagt. Det er fremdeles ukjent hvem som står bak, men ifølge lokale medier antas det å være statsstøttet. Regjeringen har forsikret innbyggerne om at ingen av profilene har blitt tuklet med og at det eneste som ble stjålet var deres personlige profiler.

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2018

I juni ble det registrert 165 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, opp fra 106 i mai. Denne måneden var det mange forsøk på å logge på diverse tjenester ved å bruke forskjellige kombinasjoner av brukernavn og passord. Flere maskiner ble også infisert av malware som utvinner kryptovaluta.

Det var 182 bekreftede DDoS-angrep i juni, noe opp fra 175 i april. 66 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.3 Gbps og varte typisk i 18 minutter. Det største angrepet observert i denne perioden var på 30.8 Gbps og varte i 10 minutter. Fire av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Telenor har lansert DNS-filteret Nettvern for alle sine privatkunder. Filteret oppdateres av Telenors Sikkerhetssenter og andre samarbeidspartnere og skal forhindre spredning av skadevare og phishing. Brukerne re-dirigeres til et sinkhole (sperreside) om de besøker en svartelistet side. Det er mulig å slå av tjenesten i appen Mitt Telenor for kunder som ikke vil ha den ekstra sikkerheten.

Lørdag 23. juni oppdaget Ticketmaster UK en feil på en kundeservicetjeneste som er levert av Inbenta Technologies, en ekstern leverandør. Som følge av feilen kan en ukjent tredjepart ha fått tilgang til personlig informasjon og betalingsinformasjon. Inbenta opplyste at programkoden aldri burde ha vært inkludert på siden som Ticketmaster brukte for betaling. Tickemaster har kontaktet kunder som de mener kan ha blitt påvirket av hendelsen, også mange norske kunder. Kundene blir bedt om å skifte passord ved første pålogging.

Myndighetene i USA har publisert en ny rapport som omhandler motvirkning av cyberangrep og spionasje. Rapporten mener at andre land trenger å vite at det vil bli konsekvenser ved cyberangrep mot USA. Den foreslår også å lage en liste med forskjellige tiltak som kan være aktuelle ved angrep. Disse må tilpasses forskjellige angripende land. Det er også viktig for USA å ha partnere for å dele informasjon og finne ut hvem som står bak angrepene.

Symantec har avdekket et avansert og omfattende målrettet angrep rettet mot satelitt-operatører, forsvars-kontraktører og telekommunikasjonsselskaper i USA og Sørøst-Asia. Ifølge Symantec virker angrepet å være motivert ut ifra nasjonale interesser, og angrepet knyttes mot en gruppering som Symantec har gitt navnet "Thrip". Angrepet skal være initiert fra kinesiske maskiner.

Operasjonen Prowli, navngitt av Guardicore Labs, er en kryptovalutautvinningsoperasjon som har infisert organisasjoner i forskjellige industrier. Til sammen har operasjonen spredt seg til over 40.000 maskiner over hele verden. Gruppen benytter seg av kjente svakheter og dårlige passord for å få kontroll over de infiserte enhetene.

Sikkerhetsekspert Bjarte Malmedal hos NorSIS, er bekymret for IT-sikkerheten hos norske kommuner. En fersk rapport fra NorSIS om sikkerhet i kommunale digitale systemer viser at kommuner har dårlige forutsetninger for å håndtere egen datasikkerhet. Rapporten konkluderer med at kommunal sektor burde få en egen CERT.

NITO mener at endringene i IKT-risikobildet må få konsekvenser for hvordan myndighetene håndterer IKT-sikkerhet. Fagforereningen har siden 2016 bedt om at IKT-infrastrukturen i helsevesenet underlegges sikkerhetsloven. Det er skuffende at et representantforslag i helsekomitéen for å få til dette ble avvist i Stortinget denne uka, sier Trond Markussen, president i NITO.

Forrige måned ble Chiles største bank utsatt for et angrep med wiper-malware som slettet harddiskene på 9000 PCer og 500 servere. Angrepet viser seg nå å ha vært en avledningsmanøver for å skjule et annet angrep. Etter at situasjonen roet seg, ble det oppdaget at uvedkommende hadde overført 10 millioner dollar til en bank i Hong Kong.

Det amerikanske justisdepartementet har offentliggjort detaljene i en massiv operasjon mot det mørke nettet. I operasjonen, der 35 ble pågrepet, samarbeidet Secret Service, Homeland Security Investigations (HSI), DEA og Postal Inspection Service. De pågrepne var i alderen fra 21 til 34 år og inkluderer personer fra New York og California. Det beslaglagte materialet hadde en verdi på ca. 192 millioner kroner og inkluderer blant annet våpen, gull, kontanter og Bitcoins.

Joshua Schulte, tidligere ansatt i CIA, har blitt siktet for å ha stått bak omfattende lekkasjer til WikiLeaks. Lekkasjene, omtalt som “Vault 7”, består i hovedsak av dokumentasjon rundt hacker-, og angrepsverktøy utviklet av CIA gjennom en årrekke, men ikke selve verktøyene.

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2018

Vår tjeneste Sikkerhetsovervåking avdekket 106 alvorlige hendelser i mai, ned fra 138 i april. Mai var altså en rolig måned for tjenesten sikkerhetsovervåking. Det var ingen større kampanjer med malware som rammet våre kunder.

Det var 175 bekreftede DDoS-angrep i mars, noe som er en stor nedgang fra 297 i april. 58 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.94 Gbps og varte typisk 26 minutter. Det største angrepet observert i denne perioden var på 11.6 Gbps og varte i 29 minutter. Seks av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Talos offentliggjorde detaljer om en ny malware kalt "VPNFilter". Firmaet anslår at minst 500.000 enheter er infisert. Dette gjelder nettverksenheter (typisk hjemmeroutere) fra Linksys, MikroTik, NETGear og TP-Link. Skadevaren skal være i stand til både uthenting av informasjon, manipulering av datatrafikk og destruktive handlinger i form av DDoS-angrep. Det er først og fremst routere i Ukraina som er rammet, men totalt er det infiserte routere i 54 land. Den russiske grupperingen Fancy Bear er mistenkt å stå bak operasjonen.

De to mest brukte metodene for kryptering av e-poster, PGP og S/MIME, inneholder svakheter som kan eksponere innholdet i krypterte e-poster. Svakhetene fikk navnet EFail og ligger i måten e-postklienter viser og dekrypterer meldingene på, ikke i selve protokollene. Utover i mai slapp leverandørene etter hvert patcher for problemene.

Sikkerhetsforskere oppdaget en alvorlig svakhet i den populære ende-til-ende krypteringsapplikasjonen Signal for Windows og Linux. Svakheten kan gjøre det mulig for en angriper å kjøre ondsinnet kode på mottakerens system ved kun å sende en melding. En fikset utgave er sluppet og applikasjonen skal oppdatere seg selv ved omstart.

Intel og US-CERT kom med informasjon rundt to nye måter å utnytte svakhetene Spectre og Meltdown. Disse blir kalt Variant 3a og Variant 4 og er såkalte Side-Channel svakheter. Leverandører jobber nå med å få fikset de siste problemene, noe som vil kreve oppdatering av BIOS/firmware. Det meldes om et ytelsestap på 2-8% på generelle ytelsestester. Disse variantene skal være vanskeligere å utnytte enn de tidligere.

Nederlandske myndigheter forteller at de vil fase ut bruken av produkter fra Kaspersky Labs. Myndighetene opplyser at dette er en preventiv handling. Kort tid etter uttalelsen offentliggjorde Kaspersky Labs planer om å flytte deler av selskapets infrastruktur til Sveits. Operasjonen er en del av selskapets "Global Transparency Initiative".

Russland har satt i gang flere tiltak mot meldingstjenesten Telegram. Torsdag 3. mai blokkerte Russlands media- og kommunikasjonsregulerende myndighet Roskomnadzor over 50 VPN-tjenester, web-proxyer og anonymiseringsverktøy. Det russiske nyhetsbyrå TASS har bekreftet tiltaket og rapporterer at dette rammer de tjenestene som har gitt adgang til Telegram-tjenesten. Telegram ble blokkert i april, etter at de nektet å gi fra seg krypteringsnøkler slik at meldinger i tjenesten kunne dekrypteres av russiske myndigheter.

The Associated Press meldt i mai at en russiske hackergruppe i 2015 sto bak en "falsk flagg" kampanje der utvalgte amerikanske militær-fruer mottok drapstrusler fra den fiktive IS gruppen "Cyber Caliphate". Den samme grupperingen skal også ha stått bak sabotasje-angrepet mot Franske TV5 Monde 9. april 2015. Også i dette angrepet skal gruppen ha lagt igjen falske spor som pekte mot IS.

Forskere har funnet en overvåkings-programvare på Android-telefoner som antageligvis blir brukt av det Pakistanske militæret til å samle inn data fra offiserer og andre høytstående personer i Midtøsten. Verktøyet har fått navnet Stealth Mango og det anslåes å ha samlet inn 30 GB med data, deriblant lydopptak, tekstmeldinger, bilder og posisjonsdata. Rundt 100 personer er rammet og malwaren var aldri å finne i Googles offisielle app-butikk.

Oppsummering av nyhetsbildet innen datasikkerhet for april 2018

Vår tjeneste Sikkerhetsovervåking oppdaget 138 alvorlige hendelser i april. Dette var en liten oppgang fra 121 i mars. Fortsatt er det mange PCer som blir infisert for å utvinne kryptovaluta, da særlig av typen Monero, siden Bitcoin krever spesialisert hardware for å utvinne i betydelig grad.

Det var 297 bekreftede DDoS-angrep i mars. 108 av disse ble mitigert. Et gjennomsnittlig angrep var på 2,55 Gbps og varte typisk 22 minutter. Det største angrepet observert i denne perioden var på hele 101 Gbps og varte i én time. Dette angrepet gikk mot en bredbåndskunde i Norge og var av typen LDAP-reflection. Åtte av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

Analyser utført av DHS, FBI og NCSC viser at russisk-sponsede aktører utnytter nettverksenheter til å utføre man-in-the-middle-angrep, overvåke trafikk og generelt legge et grunnlag for senere angrep hos statlige og private organisasjoner, samt ISPer og tilbydere av kritisk infrastruktur. Det er generiske svakheter (særlig i Cisco Smart Install), gammel programvare og konfigurasjonsfeil som utnyttes. I varselet er det mange nyttige tips for sikkert oppsett av nettverksutstyr. Det har ikke vært rapportert om at nettverksutstyr i Norge har vært rammet av denne aksjonen.

6. april ble det utført et målrettet hackerangrep mot russisk og iransk IT-infrastruktur. Angrepet påvirket hovedsaklig internett-tjenesteleverandører, datasentre og noen nettsider. I tillegg til å deaktivere utstyret, la hackerne igjen følgende melding: “Do not mess with our elections”, sammen med et bilde av det amerikanske flagget. I et blogginnlegg skrevet av IT-sikkerhetsselskapet Kaspersky, kommer det frem at angrepet utnyttet en kjent sårbarhet i Cisco Smart Install Client. Talos (som er en del av Cisco) skrev i sitt eget blogginnlegg at de ved hjelp av søkemotoren Shodan hadde funnet 168 000 systemer som potensielt var utsatt for svakheten. Personene som påstod at de stod bak angrepet, uttalte til Motherboard at de ville hevne seg etter manipulering av det amerikanske valget i 2016.

Facebook slettet 135 Facebook- og Instagram-kontoer, samt fjernet 138 Facebook-sider som skal ha vært opprettet av russiske "Internet Research Agency" (IRA). Begrunnelsen oppgis å være IRAs utstrakte bruk av falske kontoer, som bl.a. ble brukt til å påvirke det amerikanske presidentvalget i 2016.

Etter Cambridge Analytica-skandalen har nå Facebook begynt å stramme inn på hvilke data apper får lov til å innhente fra brukerne på plattformen. Blant annet er det nå ikke lov for apper å hente inn data om religiøst/politisk ståsted, om du er i et forhold eller ikke, utdannelse osv. Facebook har også sperret datatilgangen for apper som ikke har vært i bruk de siste 3 månedene av hver enkelt bruker.

BGP-hijacking ble i april benyttet til å kapre/re-route DNS-trafikk til Amazons servere via en DNS-server i Chicago. Vha. denne DNS-serveren ble besøkende til krytovaluta-siden "MyEtherWallet.com" sendt til en falsk side i Russland. Googles DNS-tjeneste plukket også opp den falske adressen. I løpet av angrepet, som pågikk i omlag to timer, skal bakmennene ha klart å stjele Ethereum (kryptovaluta) for rundt 1.2 millioner kroner. Brukerne ble gitt en advarsel om ugyldig sertifikat fra nettleseren, men mange ignorerte denne.

Mobilsikkerhetsfirmaet Lookout har funnet tre apper med avansert skadevare i Google sin app-butikk, Google Play. Det ser ut til at appene kommer fra to forskjellige grupper mAPTs, eller mobile advanced persistent threats, og var myntet på personer fra Midtøsten. Da appene ble fjernet, hadde de totalt mellom 650 og 1250 nedlastinger. Hovedsakelig ser det ut til at appene har blitt spredd ved hjelp av lenker sendt fra profiler på Facebook/Messenger.

Myndighetene i Russland har forlangt å få utlevert de private nøklene som brukes av meldingstjenesten Telegram. Telegram har nektet å utlevere disse og mener at pålegget er brudd på grunnloven. Firmaet har base i Dubai. En domstol i Moskva ferdigstilte i april saken mot Telegram og godkjente bannlysing av meldingstjenesten, grunnet manglende utlevering av nøkler. Senere i april opplevde mange russere problemer med tilgang til flere skytjenester levert gjennom Amazon og Google. Dette skyldes blokkeringer for å sperre bruken av tjenesten i Russland. Det var også demonstrasjoner i gatene til støtte for Telegram.

Webstresser.org har solgt og gjennomført millioner av DDoS-angrep. Nå har nettstedet blitt tatt ned gjennom en felles politiaksjon i flere europeiske land og Canada. Britisk og tysk politi ledet aksjonen via Interpol. Nettstedet hadde over 136.000 registrerte brukere og har stått bak over 4 millioner angrep. Seks administratorer ble arrestert i England, Kroatia, Canada og i Serbia.

Svært overbevisende automatisert phishing-svindel

Like før påske ble e-posten under sendt ut til noen hundre mottakere i Norge, blant annet mange i Telenor. E-posten ble sendt fra en administrerende direktør i et norsk firma til alle hans kontakter.



Angriperne har mest sannsynlig fått tak i brukernavn og passord fra offeret ved hjelp av phishing. Så snart de får tilgang, brukes kontoen til å spre angrepet videre ved å sende e-poster til alle kontaktene til offeret. Dette er som oftest automatisert og gjør det umulig å skille svindel-e-postene fra vanlige e-poster fra offeret.

E-posten har også et bilde av en forminsket kopi av en faktura som typisk vil gjøre mottakeren nysgjerrig på hva fakturaen gjelder, siden skriften er for liten til å lese.

Dersom en trykker på bildet av fakturaen, blir en sendt videre til en falsk innloggingsside for tjenesten Office 365. Dette er en tjeneste for e-post fra Microsoft som brukes av mange bedrifter.


Det er flere ting som gjør at denne siden kan overbevise mottakeren av svindel-eposten om at dette er ekte vare:

• Siden er en tro kopi av Office 365 sin ekte innloggings-side. Veldig mange brukere er vant med å logge inn på denne tjenesten.
• Siden er kryptert med HTTPS og har grønn hengelås. Mange ser på en slik grønn hengelås som et slags “godkjent-stempel”, men det betyr i realiteten bare at siden er kryptert mellom din PC og serveren som sender den. Hengelåsen antyder ikke at siden er ekte eller at avsender er den den gir seg ut for å være.
• E-post-adressen til mottakeren er allerede fyllt inn slik at bare passordet mangler. Dette kan få det til å virke som om siden allerede er “kjent” med mottakeren og at den har vært brukt før. Svindlerne fyller imidlertid inn adressen automatisk, siden de allerede har den.

Det aller viktigste før en skal skrive inn brukernavn og passord på en nettside er følgende: Sjekk adressefeltet til siden! Er du på den adressen du skal være? I dette tilfellet er adressen til siden følgende:



Selve domenet er markert i blått. Adressen “abcd08ge. download” er ikke en adresse som rimer med at dette er en tjeneste fra Microsoft eller har noe med Office å gjøre.

Ikke følg linker i e-poster for å logge på tjenester. Skriv heller inn adressen eller følg bokmerket ditt i nettleseren som vanlig. Da unngår du at svindlere får tak i din personlige informasjon ved å lure deg inn på falske nettsider.

Dersom du blir lurt til å gi fra deg innloggings-info til denne typen svindel-sider, er det i neste omgang dine kontakter som får phishing-epost “fra deg”. Bakmennene vil også sitte på en enda større liste med brukernavn og passord som kan brukes til forskjellige typer lovbrudd.

Dersom du skulle bli lurt, skifte passord så fort som mulig!

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2018

Vår tjeneste Sikkerhetsovervåking oppdaget 121 alvorlige hendelser i mars. Dette var en svak oppgang fra 115 i februar. Typen hendelser gjelder særlig browser-hijackere, forsøk på å logge inn ved å prøve mange brukernavn/passord og crypto-mining.

Det var 441 bekreftede DDoS-angrep i mars. 142 av disse ble mitigert. Et gjennomsnittlig angrep var på 2,22 Gbps og varte typisk 21 minutter. Det største angrepet observert i denne perioden var på 23,2 Gbps og varte i 44 minutter. Ni av TSOCs kunder ble utsatt for angrep denne måneden, noe som er et uvanlig høyt tall.

28. februar ble Github offer for et DDOS-angrep på 1.35 terabits per sekund. Dette er det største angrepet registrert noen sinne. Mitigeringstjenesten til Github, Akamai Prolexic, ble automatisk kontaktet i løpet av 10 minutter og gikk inn som mellommann og rutet all trafikk inn og ut fra Github. Trafikken ble sendt gjennom trafikk-filtere for å blokkere ute angrepstrafikken. Etter rundt 20 minutter ga angriperne opp og angrepet avtok. Angrepet var av typen Memcached DDOS, som er en ny type forsterkningsangrep. Angrepet utføres ved at angriper spoofer ip adressen til offeret og sender spesielle pakker til memcached-servere som står åpent ut på nett, eid av bedrifter og institusjoner. Disse sender så pakker som er mangedoblet i størrelse tilbake til offeret. Memcached er egentlig en tjeneste som er ment å ikke være eksponert mot offentlige nettverk.

Noen dager senere meldte Netscout Arbor at en kunde av en amerikansk ISP hadde blitt utsatt for et DDoS-angrep på 1.7 Tbps. I likhet med DDoS-angrepet mot Github var også dette angrepet av typen memcached reflection/amplification.

Firmaet Cambridge Analytica laget detaljerte velgerprofiler på 50 millioner velgere i USA. Dette ble gjort ved å betale 270.000 mennesker for å gjøre en "personlighestest" gjennom en app på Facebook. Appen fikk tilgang til informasjon både fra de som lastet den ned, samt alle kontaktene deres. Informasjonen ble senere brukt til målrettet politisk reklame for Trump-kampanjen. Facebook har nå suspendert firmaet fra å bruke deres plattform. Facebook har i etterkant mottatt kraftig kritikk for slepphendt behandling av brukernes data og datasikkerhetssjefen trakk seg også etter avsløringen.

Forskere har funnet en skadevare som har vært gjemt i 6 år - til tross for at den har infisert mer enn 100 maskiner verden over. Skadevaren har fått navnet Slingshot og er antatt å være utviklet av en nasjonalstat grunnet dens høye kompleksitet og elegans. Den har blant annet en modul for å infisere routere fra Mikrotik. Kaspersky Labs opplyser at skadevaren først og fremst har rammet Asia og Afrika. Senere i måneden viste det seg at det var USAs “Joint Special Operations Command” som skal ha stått bak kampanjen. Den var en del av en anti-terror operasjon, og ment for å infisere maskiner brukt av medlemmer av ISIS.

Den Israelske organisasjonen CTS oppdaget 13 kritiske svakheter i flere moderne AMD prosessor-familier. Svakhetene kan utnyttes til å få tilgang til CPUen sin "Secure Processor", som bl.a. utfører en rekke sikkerhetsrelaterte operasjoner. CTS får kritikk for å ha gitt AMD kun 24-timers frist før offentliggjøring. Flere er også skeptiske til alvorligheten av funnene, samt motivasjonen til CTS for publisering. AMD bekreftet senere i måneden flere av svakhetene og opplyste at de ville komme med fastvareoppdateringer.

Selskapet Recorded Future oppdaget at Kina bevisst manipulerer publiseringsdato for enkelte sårbarheter i landets offentlige sårbarhetsdatabase (CNNVD). Årsaken skal ifølge Recorded Future være at landets "Ministry of State Security" (MSS) vurderer/benytter sårbarhetene i forbindelse med målrettede angrep før de offentliggjøres.

22. mars ble Atlanta offer for et angrep med den kjente ransomwaren SamSam, som tok ned flere av byens systemer og websider. Systemene som ble rammet håndterer blant annet prosessering av innbetalinger og videreformidling av informasjon fra pågående rettssaker. Byens myndigheter jobbet med FBI, Microsoft, og Cisco i forsøk på å rette opp etter angrepet. I følge CBS mottok myndighetene krav om betaling av 6 Bitcoins i bytte mot nøkler som kunne dekryptere de rammede systemene. Det tok over én uke før alle systemene var oppe igjen.

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2018

Vår tjeneste Sikkerhetsovervåking oppdaget 115 alvorlige hendelser i februar. Dette var en oppgang fra 91 i januar. I februar måned har vi sett et oppsving i maskiner som har fått installert malware som driver med graving etter digital valuta (mining). Mange bedriftsbrukere blir også lurt til å gjøre dette gjennom sin nettleser ved besøk på forskjellige nettsider.

Det var 352 bekreftede DDoS-angrep i februar. 139 av disse ble mitigert. Et gjennomsnittlig angrep var på 3,26 Gbps og varte typisk 40 minutter. Det største angrepet observert i denne perioden var på 26,1 Gbps og varte i 25 minutter. Fire av TSOCs kunder ble utsatt for angrep denne måneden. Generelt var det et oppsving både i antall og kraft når det gjelder DDoS-angrep i februar.

Memcached, en cache-tjeneste som blant annet blir brukt for å øke responshastigheten til dynamiske web-applikasjoner, ble tatt i bruk for å utføre DDoS angrep i februar. Tjenesten er ikke ment å være installert på Internett-eksponerte systemer, siden den ikke ikke har noen adgangskontroll.
En forespørsel om statistikk sendt til en slik tjeneste kan resultere i svar som har en størrelse på 1500 bytes til flere hundre kilobytes. Disse svarene kan utnyttes til å utføre DDoS angrep ved å sende forespørselen med en falsk avsender-adresse. Akamai melder om at det er rundt 50.000 maskiner som tilbyr denne tjenesten på nettet.

I starten av februar ble det oppdaget en svakhet i Adobe Flash Player som kan gjør ekstern kodeeksekvering mulig. Svakheten ble utnyttet i angrep allerede fra november 2017 mot blant annet Sør-Korea. Angrepet gjennomføres ved at det sendes ut Office-dokumenter med et spesielt utformet Flash-tillegg. Adobe ga ut en fiks for svakheten fem dager etter at den ble offentlig kjent.

Et stort botnet på rundt en halv million maskiner, hoveddelen Windows-servere, har blitt oppdaget. Botnettet får infiserte maskiner til å utvinne kryptovalutaen Monero. Det er antatt at eierne av botnettet har tjent rundt 8900 Monero (mellom 2,8 og 3,5 millioner USD) siden Mai 2017. Botnettet infiserer nye maskiner ved hjelp av EternalBlue-svakheten som ble stjålet fra NSA i april i fjor. De fleste maskiner i botnettet er funnet i Russland, India og Taiwan.

En internasjonal operasjonsstyrke bestående av South West Regional Organised Crime Unit, Engelske National Crime Agency og Europol samt mange andre politi-avdelinger i Europa, Australia og Nord-Amerika har funnet og stoppet kilden til fjerntilgangs hacker-verktøyet Luminosity Link. Verktøyet ble brukt til å sanke data fra systemets filer, kameraet eller tastaturtrykk.
Operasjonsstyrkens arbeid fant et nettverk av individer som distribuerte og brukte Luminosity i 78 land og solgte det til mer enn 8600 kjøpere via nettsider dedikert til hacking og datakriminalitet. Verktøyet ble brukt til alt fra industrispionasje til overvåking av ektefeller.

En artikkel publisert av FireEye viser hvordan angripere kan utføre phishing-angrep som omgår 2-faktor autentisering. Metoden, kalt real-time phising, bruker en falsk innloggingsside som fanger opp brukernavn, passord og engangspassord. Angriperen har deretter et lite tidsrom hvor han kan bruke innloggingsinformasjonen før engangspassordet fornyes. Denne typen angrep har blitt benyttet mot BankID i Norge i år. Dette ble gjort ved hjelp av forfalskede eposter fra Netflix om oppdatering av betalingsinformasjon.

Nettverket til vinter-OL i Pyeongchang ble utsatt for et data-angrep under åpningsseremonien. Dette bekreftet talspersonen for vinterlekene 2018, Sung Baik-you. Angrepet førte til at mange av de interne serverne for arrangementet gikk ned, og ikke var operative igjen før nærmere 12 timer senere. Det har også blitt rapportert at angrepet skapte problemer for det offentlige Wi-Fi-nettverket. Senere i måneden mente amerikanske myndigheter at Russland stod bak angrepet. Angriperne skal også ha lagt igjen falske spor for å få det til å virke som om angrepet kom fra Nord-Korea.

Toppsjefer i flere amerikanske etterretningstjenester, inkl. CIA, FBI og NSA, advarer amerikanere mot å benytte mobil-produkter og tjenester fra de Kina-baserte produsentene Huawei og ZTE. Skepsisen skal bunne i de nevnte produsenters angivelige tette bånd til kinesiske myndigheter og mulighet for overvåking.

Britiske, amerikanske og australske myndigheter beskyldte denne måneden offentlig Russland for å ha stått bak ransomware-angrepet "NotPetya". Angrepet fra juni 2017 var rettet mot Ukraina, men også andre land ble hardt rammet.

Ny forskning viser at 90% av alle eksterne kodeeksekveringsangrep nå brukes for å legge inn kode for å utnytte den angrepne maskinene til å utvinne krypto-valuta. Dette er en økning fra ca 55% i september 2017. Bruken av ransomware har gått ned.

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2018

Vår tjeneste Sikkerhetsovervåking oppdaget 91 alvorlige hendelser i januar. Dette var en oppgang fra 61 i desember. Hendelsene er en blanding av scanning etter sårbarheter, forsøk på innlogging med store mengder brukernavn og passord, maskiner infisert av adware og en del trojaner-infiseringer.

Det var 403 bekreftede DDoS-angrep i januar. 93 av disse ble mitigert. Et gjennomsnittlig angrep var på 1,49 Gbps og varte typisk 24 minutter. Det største angrepet observert i denne perioden var på 18.1 Gbps og varte i 25 minutter. Fire av TSOCs kunder ble utsatt for angrep denne måneden.

Den 4. januar ble svakhetene kalt Spectre og Meltdown offentliggjort. Dette dreier seg om svakheter i teknikker som CPUer bruker for å øke hastigheten ved kjøring av kode, såkalt spekulativ eksekvering. Feilen gjør at upriviligerte programmer på en datamaskin/mobil kan få tilgang til å lese dataene til andre programmer eller selve operativsystemet. Problemet gjelder CPUer fra Intel, AMD og ARM, Intel er imidlertid hardest rammet. Feilen rammer virtualiserte miljøer med flere brukere hardest, for eksempel skyleverandører. I slike miljøer er det ofte mange forskjellige brukere på delt hardware. Disse kan få tilgang til å lese hverandres data eller også data fra operativsystemet. Gjennom svakheten Spectre kan også én nettleserfane i teorien lese data fra andre nettleserfaner, eller nettleseren selv, ved hjelp av spesielt utformet Javascript.

Utover i januar begynte leverandører av programvare å slippe patcher for Meltdown- og Spectre-svakhetene. Det viste seg at patchene i mange tilfeller kunne føre til ytelsestap, spesielt for litt eldre CPUer. Ytelsestapet varierer avhengig av typen last på CPUen, men kan typisk bli på 5-30 prosent. Nettleserprodusentene fikset Spectre-svakheten ved å sørge for at javascript på nettsider fikk tilgang til mindre nøyaktig tid, samt bedre isolering mellom faner i nettleseren. Sistnevnte fiks fører til at nettlesere kan bruke vesentlig mer minne enn tidligere.

Meltdown-svakheten lot seg patche kun ved å oppdatere programvare i operativsystemet. Spectre-svakheten krever at både mikrokoden i CPUen og operativsystemet patches. Den 22. januar meldte Intel at flere kunder hadde opplevd ustabile PCer og servere etter at patcher for både CPU og OS var installert, uten at noen var sikre på grunnen til dette. Den 29. januar deaktiverte Microsoft patcher for Spectre-svakheten i Windows, etter mange meldinger om ustabilitet. Foreløpig er det usikkert når det kommer en fullt fungerende patch for Intel-CPUer for Spectre. Enda har det ikke blitt rapportert om at svakhetene har blitt utnyttet i relle angrep.

Mandag 8. januar ble det oppdaget at en ukjent aktør hadde brutt seg inn datasystemene til Helse Sør-Øst. Angriperne hadde hatt tilgang til flere servere og hadde allerede hatt tilgang i noe tid. Det er så langt ikke konkludert hvem som står bak, men angrepet var avansert og det kan være en nasjonalstat som står bak. Nasjonal sikkerhetsmyndighet, Etterretningstjenesten, PST og Kripos jobber sammen i denne saken med hendelseshåndtering, teknisk analyse og aktøranalyse. Det er fortsatt uklart hva slags data angriperne kom seg unna med og det kan være at de fikk med seg pasientinformasjon.

En anonym ansatt hos NSA har uttalt seg til Yahoo Finance angående lekkasjene fra grupperingen The Shadow Brokers. Disse slapp blant annet verktøyene som ble brukt til å spre ransomware i to omganger i fjor (WannaCry og NotPetya) ved hjelp av en kritisk svakhet i Windows.
Den NSA-ansatte mener at The Shadow Brokers fikk tilgang til NSAs interne verktøy ved hjelp av antivirus-programvare fra Kaspersky Labs. Programvaren fra Kaspersky Labs ble installert på en PC til en ansatt som hadde tatt med seg verktøyene hjem uten tillatelse.

NSM NorCERT og Kripos jobber med flere saker hvor ansatte i norske bedrifter har blitt utsatt for e-postsvindel. Svindlerne aktiverer automatisk videresending fra kompromitterte e-postkontoer. Slik videresending kan bli stående på i lang tid før det oppdages. Videre blir e-postkontoen brukt til å sende ut falske fakturaer og meldinger om å endre kontonummer på tidligere fakturaer.

Oppsummering av nyhetsbildet innen datasikkerhet for desember 2017

Desember var en rolig måned når det gjelder tjenesten Sikkerhetsovervåking. Vi håndterte kun 61 alvorlige hendelser, ned fra 157 i desember. Dette er et uvanlig lavt tall og skyldes nok lav aktivitet i fridagene i forbindelse med jul og nyttår.

Det var 496 bekreftede DDoS-angrep i november. 145 av disse ble mitigert. Et gjennomsnittlig angrep var på 1,82 Gbps og varte typisk en halv time. Det største angrepet observert i denne perioden var på 21.5 Gbps og varte i 17 minutter. To av TSOCs kunder ble utsatt for angrep denne måneden.

To menn er dømt til fengsel i 4-5 måneder i Eidsivating lagmannsrett for en serie tjenestenektangrep (DDoS) utført våren 2015. Dette er den strengeste avgjørelsen hittil i saker hvor tjenestenektangrep er benyttet for å sette datasystemer ut av spill. Mennene ble i tillegg dømt til å betale 320.000,- kr i erstatning for tjenestenektangrepene og inndragning av over en halv million kroner.

Etterforskere har avslørt en spionvare-kampanje som siktet seg inn mot etiopiske regimekritikere i USA, Storbritannia og andre land. Operasjonen pågikk i over 14 måneder og ble utført ved hjelp av programvare fra et israelsk firma. Operasjonen ble kjent etter at loggfiler fra den ble funnet åpent på Internett etter en konfigurasjonsfeil.

Hackere kom seg unna med over 60 millioner dollar i Bitcoin etter et angrep mot mining-plattformen NiceHash. NiceHash har uttalt at de "etterforsker hendelsens natur". NiceHash har ikke selv spesifisert hvor mye Bitcoin som har blitt stjålet, men brukere av plattformen har pekt på en lommebok tilhørende plattformen til en verdi av 68 millioner dollar, som plutselig har blitt tømt. Nicehash er nå oppe igjen, og de påstår at brukerne skal få etterbetalt det de har mistet.

I september annonserte Department of Homeland Security at den amerikanske regjeringen ikke lenger skulle bruke Kasperskys produkter, på grunn av deres tilknytning til Russland. Kaspersky Lab stengte i desember ned deres kontor i D.C på grunn av at det ikke lenger er levedyktig. Etter stengningen, har selskapet opprettet et søksmål mot amerikanske myndigheter. Kaspersky har blitt beskyldt for å hjelpe russiske etterretningstjenester med spionasje, men firmaet nekter for dette.

En russisk hacker ved navn Konstantin Kozlovsky har innrømmet overfor en russisk domstol at han hacket demokoratene etter ordre fra FSB. Han skal allerede i august i fjor ha fortalt byretten i Moskva at han ble beordret av FSB-agenter til å hacke Democratic National Comittee (DNC). Informasjonen skal stamme fra Facebook-kontoen til Kozlovsky, hvor det har blitt lagt ut dokumenter og lydopptak fra rettshøringen. Dette har blitt bekreftet av to personer, blant annet en som var tilstede under høringen. Dersom samarbeidet mellom Kozlovsky og FSB blir bekreftet, vil det ifølge Business Insider kunne bidra til å undergrave de russiske myndighetenes påstander om at de ikke hadde noe å gjøre med hacker-angrepet mot Demokratene.

Det har vært flere høyprofilerte sikkerhetsbrudd hos populære nettsider og online-tjenester de siste årene. Sikkerhetsforskere hos 4iQ bruker mye av sin tid på å lete på the dark web og fant nylig en 41 gigabyte stor fil med 1.4 milliarder brukernavn- og passord-kombinasjoner i klartekst. Dataene har ikke kommet fra en enkelt hendelse, men er hentet fra flere forskjellige datainnbrudd. Dataene er hentet fra blant annet nettsider som Netflix, MySpace, LinkedIn og populære spill som Minecraft og Runescape. TSOC fikk tilgang til passordfilen og varslet sine kunder om eventuelle lekkede brukernavn og passord.