Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 1 September 2014

2014.09.01 - Nyhetsbrev

En gruppe kalt Syrian Malware Team skal ha satt i gang en bølge av cyberangrep ved bruk av en ny, mer sofistikert versjon av BlackWorm RAT. AlienVault advarer om et rammeverk for infisering av nettsteder og påfølgende kartlegging av besøkende.

Scanbox: Rammeverk for overvåking av besøkende til kompromitterte nettsteder.

AlienVault har en analyse av rammeverket Scanbox, som samler inn informasjon om besøkende til et gitt kompromittert nettsted, og sender det tilbake til sin kommando- og kontrolltjener. Informasjon som samles inn kan inkludere IP-adresse, lokasjon og cookie fra den besøkende, i tillegg til logg over tastetrykk som gjøres inne på websiden. Det kan også kartlegges hva slags programvare som er installert på PCen, spesielt sikkerhetsprogramvare. Artikkelen inneholder teknisk informasjon som kan benyttes til å verifisere om egne maskiner er berørt.
Referanser
http://www.alienvault.com/open-threat-exchang[...]

Syrisk hackergruppe angriper i skyggen av Syrian Electronic Army

I skyggen av angrep utført av Syrian Electronic Army (SEA), har en mer ukjent hackergruppe kalt Syrian Malware Team satt i gang en bølge med cyberangrep ved bruk av en ny, mer sofistikert versjon av BlackWorm RAT. Gruppen skal være knyttet til SEA.
Referanser
http://www.v3.co.uk/v3-uk/news/2362544/syrian[...]
http://www.fireeye.com/blog/technical/2014/08[...]

Friday, 29 August 2014

2014.08.29 - Nyhetsbrev

Cryptowall-ransomwaren, som har overtatt markedet etter Cryptolocker er mindre lønnsom til tross for høyere infeksjonsrate.

Cryptowall mindre lønnsom enn Cryptolocker

Cryptowall, som har overtatt ransomware-markedet etter Cryptolocker er angivelig mindre innbringende, til tross for at den har infisert flere maskiner. Mulige årsaker til dette er manglende støtte for ulike betalingsløsninger, samt høy pris for å få tilgang til sine egne filer igjen.
Referanser
http://www.darkreading.com/cryptowall-more-pe[...]

Thursday, 28 August 2014

2014.08.28 - Nyhetsbrev

Google oppdaterer Chrome og Microsoft slipper patchet utgave av patch. Reklame med malware ble funnet på java.com og andre sider. Hackergruppen Dragonfly/Energetic Bear antakelig bak angrepene mot norsk energi- og oljesektor. Bakdører i rutere fra Netis/Netcore. KPMG har i samarbeid med FireEye publisert en undersøkelse om målrettede angrep i sverige. Flere banker i USA har vært angrepet og mistet kundedata.

KPMG ute med rapport om ukjente trusler i Sverige

KPMG har i samarbeid med Fireeye utført en undersøkelse blant svenske bedrifter, for å kartlegge eksponeringen for målrettede dataangrep.
Referanser
http://www.fireeye.com/blog/technical/2014/08[...]
http://www.kpmg.com/SE/sv/kunskap-utbildning/[...]
http://

Hackergruppen Dragonfly/Energetic Bear angivelig bak angrepene mot norsk energi- og oljesektor

Dragonfly/Energetic Bear har siden 2011 angrepet over 1000 bedrifter rundt om i verden og skal angivelig være dem som står bak angrepene i norsk energi- og oljesektor som NSM opplyste om i går. Statnett har selv gått ut og sagt at de er ett av selskapene som har blitt forsøkt angrepet. Angrepene skjer via epost som inneholder et skadelig vedlegg. Grupperingen har også angrepet ved hjelp av andre metoder som omtalt tidligere her i nyhetsbrevet og i artikkelen.

Vi tar også med en bloggpost fra FireEye om Havex som er en malware som er utviklet av denne grupperingen. FireEye har satt opp et testmiljø med industriell styringsprogramvare i nettverket og kjører malwaren i dette miljøet for å se hva den foretar seg.
Referanser
http://www.aftenposten.no/nyheter/iriks/Hacke[...]
http://www.nrk.no/norge/statnett-utsatt-for-d[...]
http://www.fireeye.com/blog/technical/targete[...]

Seks banker skal ha mistet flere gigabyte med kunders data

Russiske hackere skal stå bak angrep mot JPMorgan, Chase & Co og fire andre banker hvor det har blitt stjålet flere gigabyte med data om kunder. En av bankene sier at angrepet kan knyttes til en hackergruppe som blir finansiert av Russland.
Referanser
http://www.bloomberg.com/news/2014-08-28/russ[...]

De kinesiske Netis/Netcore-ruterne har åpen bakdør

Netis/Netcore ruterene fra Kina har et hardkodet passord som gjør det mulig for angripere å bryte seg inn for å forandre innstillinger eller eksekvere kode. Bakdøren er en prosess som lytter på UDP-port 53413, og er beskyttet med det hardkodede passordet.
Referanser
http://www.theregister.co.uk/2014/08/27/netis[...]

Malware i reklame funnet på Java.com

Malware-reklame ble funnet på en rekke websider, deriblandt Java.com. Reklamen videresendte brukerne til Angler exploit-kit, som fant ut om brukeren brukte en sårbar versjon av Java, Flash eller Silverlight. Maskinen ble i så fall infisert av malware.
Referanser
http://blog.fox-it.com/2014/08/27/malvertisin[...]

Microsoft slipper MS14-045 på nytt

Microsoft har tidligere gått ut og bedt kunder om å avinstallere sikkerhetsoppdateringen MS14-045. Oppdateringen kunne i noen tilfeller føre til maskinen krasjet. Microsoft har nå sluppet en ny versjon av oppdateringen som skal fungere.
Anbefaling
Avinstaller gammel patch og installer denne
Referanser
https://technet.microsoft.com/en-us/library/s[...]

Google fikser 50 sårbarheter i Chrome-nettleseren

Google fikser 50 sårbarheter i nettleseren Chrome, hvor blant annet en sårbarhet kan tillate en angriper å eksekvere kode utenfor nettleserens sandbox. Som vi nevnte i går er det nå også sluppet en 64-bits utgave av nettleseren til Windows som skal øke sikkerheten ytterligere.
Anbefaling
Anbefales å oppdatere programvaren.
Referanser
http://threatpost.com/50-security-flaws-fixed[...]
http://googlechromereleases.blogspot.com.au/2[...]

Wednesday, 27 August 2014

2014.08.27 - Nyhetsbrev

NSM varsler om datainnbrudd i energi- og oljesektoren, Google lanserer 64-bits Chrome og Blue Coat skriver om kortvarige domenenavn

NSM varsler om datainnbrudd i energi- og oljesektoren

NSM skriver i et varsel at det er avdekket forsøk på datainnbrudd mot 50 bedrifter innen energi- og oljesektoren. De skal i løpet av uken ha varslet 300 selskaper i sektoren for å be dem sjekke om de kan være rammet og for å hjelpe de selskapene som er det. Angrepene skal være foretatt via epost med malware som vedlegg. NSM opplyser ikke hva slags type malware det er snakk om.
Referanser
https://www.nsm.stat.no/aktuelt/varsler-om-da[...]
http://www.nrk.no/norge/dramatisk-auke-i-data[...]

Kortvarige domenenavn

I løpet av 90 dager, ble det registrert 660 millioner nye domenenavn. 470 millioner av disse eksisterte i under ett døgn! Blue Coat skriver om dette fenomenet i sin blogg, hvor de også ser bak tallene.
Referanser
https://www.bluecoat.com/security-blog/2014-0[...]

Google lanserer 64-bits Chrome

Google har i dag gitt ut første versjonen av 64-bits Chrome som er markert som stabil. Den skal være raskere enn 32-bits utgaven og skal også være sikrere og mer stabil. Den har ikke støtte for Java eller Silverlight.
Referanser
http://www.digi.no/930089/64-bits-chrome-klar[...]
http://arstechnica.com/information-technology[...]

Tuesday, 26 August 2014

2014.08.26 - Nyhetsbrev

Bilindustrien i Europa utsatt for angrep. Flere nye måter å misbruke NTP til DDoS-angrep. Mer info om Backoff, en trojaner som infiserer kassasystemer i USA.

Bilindustrien i Europa utsatt for angrep

Symantec har en bloggpost om bilindustrien i Europa som blir utsatt for målrettede angrep. Angrepene skjer via vedlegg i e-poster.
Referanser
http://www.symantec.com/connect/blogs/europea[...]

Flere nye måter å misbruke NTP til DDoS-angrep

Firmaet Rapid 7 har oppdaget seks nye måter å bruke NTP (Network Time Protocol) til å utføre reflection-baserte DDoS-angrep. Se artikkelen for oversikt over metodene og hvordan dette kan forhindres.
Referanser
https://community.rapid7.com/community/metasp[...]

Mer info om Backoff, en trojaner som infiserer PoS (Point of Sale)

Dette er en oppdatering på den tidligere advarselen fra US-CERT (se link). Trojaneren har i løpet av det siste året infisert kassasystemene til over 1000 Amerikanske bedrifter, og er i stand til å stjele kreditt- og debetkort-informasjon fra infiserte terminaler. Kassasystemer fra syv forskjellige leverandører er rammet. Angriperne infiserer kassene ved å gjette brukernavn og passord til systemer for fjernadministrasjon. Disse brukes av leverandørene for å drive support på systemene.
Referanser
http://www.symantec.com/connect/blogs/trojan-[...]
https://www.us-cert.gov/ncas/alerts/TA14-212A
http://arstechnica.com/security/2014/08/point[...]

Monday, 25 August 2014

2014.08.25 - Nyhetsbrev

Hackergruppe angriper spillselskaper og sender bombetrusler. Sensitiv informasjon til 25 000 amerikanske statlige ansatte lekket. Svakhet gjør det mulig å lure til seg informasjon i Android.

Hackergruppe angriper spillselskaper og sender bombetrusler

En hackergruppe har i helgen angrepet flere store spillnettsteder med DDoS-angrep. Blant annet er Sony og Blizzard rammet. Gruppen sendte også en bombetrussel mot et rutefly som en Sony-sjef oppholdt seg i. Flyet måtte lande etter trusselen.
Referanser
http://www.forbes.com/sites/insertcoin/2014/0[...]
http://www.vg.no/forbruker/teknologi/playstat[...]

Sensitiv informasjon til 25 000 amerikanske statlige ansatte lekket

En kontraktør for den amerikanske stat har blitt utsatt for et datainnbrudd som har ført til at sensitiv informasjon om rundt 25 000 personer ansatt i den amerikanske stat har blitt lekket. Informasjonen som ble lekket inkluderte blant annet navn, social security number (personnummer), og fødselsdato. I tilegg til dette skal også utdannelsene til personene, samt deres kriminelle historikk blitt lekket. The Verge forteller at grunnen til slik informasjon var lagret, på grunn av at selskapet som var målet var US Investigation Services, et selskap som står for å hente bakgrunnsinformasjon til personer for diverse byråer, som blant annet Department of Homeland Security.
Referanser
http://www.theverge.com/2014/8/23/6059803/cyb[...]

Svakhet gjør det mulig å lure til seg informasjon i Android

Cnet rapporterer at forskere har funnet en svakhet i Android som f.eks. gjør det mulig å få tak i innloggingsinformasjon til Gmail, med 82-92% sukessrate. Forskerne har testet dette på Android, men mener at svakheten de utnytter også eksisterer på andre plattformer som Windows og iOS.

Forskerne forklarer at de utnytter det delte minnet på mobilen for å utføre angrepet som fører til at de kan få tak i sensitiv informasjon, slik som innloggingsdetaljer på f.eks. Gmail og bank-applikasjoner. De forsetter med å fortelle at dette gjøres ved at brukeren lures til å installere en applikasjon som virker troverdig, slik som en applikasjon som endrer bakgrunnen. I virkeligheten inneholder denne applikasjonen skadelig kode.

Applikasjonen overvåker deretter det delte minnet på mobilen, som ikke krever spesielle rettigheter, for å se når brukeren skal til å gi fra seg sensitiv informasjon. Dette gjøres ved hjelp av statistiske metoder. Når brukeren skal til å logge seg inn på feks. Gmail, vil den skadelige applikasjonen ta over og vise et falskt innloggingsvindu slik at den får lurt til seg informasjonen den er ute etter.

Les mer om dette i referansen under.
Referanser
http://www.cnet.com/news/researchers-find-way[...]
http://arstechnica.com/security/2014/08/andro[...]

Friday, 22 August 2014

2014.08.22 - Nyhetsbrev

PST vil samle inn mer data om norske brukere for å bekjempe terror.

PST vil samle stordata

PST ber om fire endringer i loven i kampen mot terror, hvor én av disse er å samle såkalt stordata. Ved å samle enorme mengder data kan det gjøres omfattende analyser for å oppdage trender og sammenhenger, hvor målet blant annet er å avsløre mistenkelig oppførsel og terrorvirksomhet. Datatilsynet på sin side advarer mot slik innsamling og det som kan bli et overvåkningssamfunn.
Referanser
http://www.nrk.no/norge/pst-vil-samle-stordat[...]