Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 1 July 2022

2022.07.01 - Nyhetsbrev

Google og Reuters skriver om hackere som kan leies inn til private oppdrag.

Google og Reuters skriver om hackere som kan leies inn til private oppdrag

Google har skrevet en blogg-post om hacker-grupper som firmaer og privatpersoner kan leie tjenester fra på timebasis. Disse gruppene blir gjerne brukt i angrep mot politiske aktivister, advokater og journalister. De kan også leies inn til å utføre industrispionasje. Reuters har også skrevet en spesial-rapport om en indisk gruppering som har spesialisert seg i å hacke advokatkontorer. I forbindelse med rettssaker kan det ha svært stor verdi å få tak i motpartens saksdokumenter.
Referanser
https://www.reuters.com/investigates/special-[...]
https://blog.google/threat-analysis-group/cou[...]

Thursday, 30 June 2022

2022.06.30 - Nyhetsbrev

Server brukt til dataangrep, svindel og salg av ulovlige stoffer konfiskert i Sverige. Mozilla lanserer sikkerhetsoppdateringer for Firefox, Firefox ESR og Thunderbird. Nord-koreanske hackere mistenkes for tyveri av $100M USD i kryptovaluta.

Server brukt til dataangrep, svindel og salg av ulovlige stoffer konfiskert i Sverige

En server brukt av den russiske trusselaktøren TA505 er konfiskert i Sverige som følge av et anonymt tips til politiet. Serveren inneholdt rundt 100 forskjellige virtuelle maskiner der flere av dem ble brukt til å begå datainnbrudd, utsending av phishing eposter, samt salg av ulovlige stoffer og seksuelle tjenester. Serveren er anslått til å ha en verdi på rundt 124.000 norske kroner.
Referanser
https://www.digi.no/artikler/server-brukt-av-[...]

Mozilla lanserer sikkerhetsoppdateringer for Firefox, Firefox ESR og Thunderbird

Mozilla lanserer sikkerhetsoppdateringer for Firefox, Firefox ESR og Thunderbird. Dette inkluderer fiks av sårbarheter som CVE-2022-34479, der popup-vinduer kunne legge seg over adresselinjen for å potensielt lure sluttbrukeren til å trykke på ondsinnet materiale. Denne fiksen er rullet ut til alle produktene (FF, FF ESR og TB). For mer informasjon om alle sårbarhetene se vedlagt lenke.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...]

Nord-koreanske hackere mistenkes for tyveri av $100M USD i kryptovaluta

Den 23. juni ble blokkjede-selskapet Harmony One rammet av et data-angrep. Uvedkommende hadde fått tak i kryptonøkler for å hente ut kryptovaluta som var låst i en bro mellom to blokkjeder, Ethereum og Harmony. Dette ble gjort ved å få tak i de private nøklene til broen, slik at verdiene kunne tas ut.

Det er mistanke om den Nord-koreanske stats-støttede grupperingen Lazarus Group står bak tyveriet. De har de siste årene stått bak flere høyprofilerte datainnbrudd der store verdier blir stjålet. De benytter seg både av hacking og sosial manipulering for å nå sine mål.
Referanser
https://thehackernews.com/2022/06/north-korea[...]
https://medium.com/harmony-one/harmonys-horiz[...]

Wednesday, 29 June 2022

2022.06.29 - Nyhetsbrev

Hacktivist-gruppen Killnet med DDoS-angrep mot norske offentlige nettsider. Lockbit 3.0 introduserer løsepengevirus "bug bounty"-program. Cisco Talos avslører hvordan de identifiserer domener brukt av løsepengevirus-grupper. Iranske stålverk utsatt for mulig cyberangrep.

Iranske stålverk utsatt for mulig cyberangrep

Hacktivist-gruppen Gonjeshke Darande, som tidligere har gjennomført angrep mot Iranske togsystemer med wiper-skadevare, hevder at de står bak destruktive angrep mot tre iranske stålverk. Gruppen har lagt ut video og bilder fra insiden av fabrikkene der det ser ut til at utstyr blir skadet og flere branner oppstår. Iranske medier har siden bekreftet at fabrikkene har vært under angrep.

Hacktivist gruppen hevder at angrepene blir gjennomført med omhu for å beskytte uskyldige personer og at angrepene er et svar på aggresjonen og brudd på sanksjoner fra den Islamske republikken.
Referanser
https://www.cyberscoop.com/iran-cyberattack-i[...]

Cisco Talos avslører hvordan de identifiserer domener brukt av løsepengevirus-grupper

Talos har sluppet en rapport om hvordan de finner de egentlige IP-adresser som blir brukt av ransomware-aktører. Dette bidrar til at vertsleverandører kan stoppe bruken av deres tjenester for ulovlig aktivitet. Normalt blir de egentlige IP-adressene til nettsidene gjemt bak anonymiserings-tjenesten TOR.

Metodene som ble brukt var blant annet å sammenligne serienummerene på TLS-sertifikatene brukt på ondsinnede aktørers TOR-domener og sammenligne med sertifikater som ble brukt på domener som ikke tilhører TOR-nettverket. En annen metode var "favicon"-sammenligning, altså ikonet som nettleseren viser når siden blir besøkt. Den tredje metoden de brukte var å utytte sikkerhetsfeilene i nettverket til løsepengevirus aktørene.

Cisco Talos har utgitt en grundig gjennomgang av fremgangsmetoden de brukte for å avsløre aktørene og ta ned deler av deres nettverk.
Referanser
https://blog.talosintelligence.com/2022/06/de[...]

Lockbit 3.0 introduserer løsepengevirus "bug bounty"-program

Lockbit ransomware kampanjen startet i 2019 og har stått for store deler av løsepengevirus angrep de siste årene. Nå har gruppen kommet med sitt eget "bug bounty"-program hvor de utlover dusører fra 1000 til 1 million dollar for opplysninger om svakheter i løsepengeviruset deres. De har også dusører for gode ideer som kan bedre deres løsepengevirus-operasjon. Dusøren på 1 million dollar er utlovet til personer som klarer å identifisere personen som står bak gruppen.

Det har også blitt blitt offentliggjort at gruppen skal ta kryptovalutaen Zcash som betalingsmetode for løsepenger, og at de muligens skal begynne å selge offrenes data til høystbydende.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Hacktivist-gruppen Killnet med DDoS-angrep mot norske offentlige nettsider

Grupperingen Killnet har siden Russlands invasjon av Ukraina stått bak DDoS-angrep mot en rekke vestlige land som har støttet Ukraina i krigen. I det siste har blant annet Litauen og Italia vært mål.

Gruppen legger ut målene for angrepene i en egen Telegram-kanal og ber følgerne sine om å angripe lister med mål. I dag tidlig la gruppen ut en liste med en rekke norske mål, som siden har vært under angrep.

Typiske DDoS-angrep blir gjennomført ved å sende store mengder "søppeltrafikk" mot nettsteder, mens disse angrepene gjerne blir gjennomført på lag 7 (applikasjonslaget) med full oppkobling av forbindelse mot nettstedet som blir angrepet. Dette gjør at angrepene kan være vanskelig å skille fra vanlig nyttetrafikk.

Ifølge NTB skriver hackergruppen på nettsidene sine at de skal angripe politiet, UDI, BankID, ID-porten hos Difi, Nav og flere andre norske nettsider og nettjenester. Flere av de utpekte målene har hatt ustabile nettsider i dag.

Digi.no har sett på budskapet som er lagt ut av Killnet og har funnet ut at norsk nei til transport av russiske varer over Storskog kan være motiv for angrepet.
Referanser
https://www.nrk.no/norge/russisk-hackergruppe[...]
https://www.digi.no/artikler/norsk-nei-til-tr[...]

Tuesday, 28 June 2022

2022.06.28 - Nyhetsbrev

Stortingsdirektøren går på dagen.

Stortingsdirektøren går på dagen

Marianne Andreassen går av som stortingsdirektør med umiddelbar virkning. Det skjer som et resultat av dataangrepet mot Stortinget i august 2020. Beslutningen kommer som følge av et overtredelsesgebyr på 2 millioner kroner som Datatilsynet har ilagt Stortinget. Et varsel om dette ble gitt i januar, men nå har tilsynet fattet et endelig vedtak.
Referanser
https://www.nrk.no/norge/stortingsdirektoren-[...]

Monday, 27 June 2022

2022.06.27 - Nyhetsbrev

Flere Python PyPi-moduler benyttet til å stjele AWS-nøkler. Phising-metode unngår flerfaktor-autentisering. "Mer enn 5" land i EU har benyttet seg av Pegasus spionprogramvare, hevder NSO. Oracle-sårbarhet eksponerte flere store selskaper for sårbarhet i seks månder før patching.

Flere Python PyPi-moduler benyttet til å stjele AWS-nøkler

Flere PyPi-moduler har stjålet sensitiv informasjon og sendt de til usikre nettsider. To av modulene er laget for å etterligne de legitime modulene. Pygrata-modulen hadde ikke i seg selv kode for å stjele AWS-nøkler, men benyttet seg av pygrata-utils for å sende stjålne data til et usikkert endepunkt på pygrata[.]com-domenet. Det er nå ryddet opp i modulene, men hendelsen kan ha gjort at sensitiv informasjon har blitt eksponert.

Pakkene som var infisert er:
loglib-modules
pyg-modules
pygrata
pygrata-utils
hkg-sol-utils
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Phising-metode unngår flerfaktor-autentisering

En ny phising metode, som går ut på å stjele autentiserings-cookies fra målene, gjør det mulig å forbigå MFA (Multi Faktor Autentisering). Metoden benytter seg av Microsoft Edge WebView2-applikasjoner. Angrepet gjennomføres ved å eksekvere WebView2-kode som åpner en nettleser i applikasjonen, som ser ut som om brukeren selv har åpnet Microsoft Edge-nettleseren. WebView2 har full støtte for HTML, CSS og JavaScript som dermed gjør det mulig for angriperen å legge inn JavaScript kode for å logge tastetrykkene eller stjele cookies. For å utnytte svakheten kreves det imidlertid at en lurer offeret til å laste ned og kjøre en .exe-fil.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

"Mer enn 5" land i EU har benyttet seg av Pegasus spionprogramvare, hevder NSO

Den israelske teknologigruppen NSO hevder at Pegasus, spionprogramvare brukt for å spionere på mobiltelefoner, har vært brukt av flere europeiske land. Chaim Gelfand, skaperen av programvaren, nekter å svare på spesifikke spørsmål angående kundebasen, men bekrefter at de har "...terminert kontrakter med europeiske land" etter at programvaren ikke har blitt brukt i henhold til retningslinjene.
Referanser
https://www.theregister.com/2022/06/24/nso_cu[...]
https://www.politico.eu/article/pegasus-use-5[...]

Oracle-sårbarhet eksponerte flere store selskaper for sårbarhet i seks månder før patching

En kritisk Oracle Fusion middelvare-sårbarhet ble ikke patchet på seks måneder. Denne sårbarheten rammet Oracles eget SSO-system, som er brukt av flere store aktører, som for eksempel Starbucks, Dell og BestBuy. Sårbarheten kunne medføre uautorisert tilgang til Oracle sine tjenester og servere.
Referanser
https://thestack.technology/oracle-middleware[...]
https://nvd.nist.gov/vuln/detail/CVE-2022-21445

Friday, 24 June 2022

2022.06.24 - Nyhetsbrev

Google: Italiensk-produsert spionvare brukt mot Android- og Apple-telefoner. Kinesiske APTer bruker ransomware for å skjule informasjons-tyveri. Litauen under cyber-angrep etter å ha bannlyst russisk godstransport.

Google: Italiensk-produsert spionvare brukt mot Android- og Apple-telefoner

Google har gitt ut en ny rapport der de går igjennom bruk av spionvare mot mobiltelefon-brukere i Italia og Kasakhstan. Programvaren som er brukt er produsert av Milan-baserte RCS Lab. RCS har kommentert at deres produkter og tjenester overholder europeisk lovgivning og hjelper myndighetene med å oppklare saker.

Google mener at noen av infeksjonene ble gjennomført i samarbeid med mobiloperatørene som målene brukte. Mobiloperatøren slo med vilje av dataforbindelsen til målet og det ble sendt ut en tekst-melding med en app som måtte lastes ned for å få tilbake forbindelsen. Appen som ble lastet ned var forkledd som en offisiell app fra mobiloperatøren, men var i virkeligheten spionvare. Appene for iOS var gyldige og signerte, men ikke tilgjengelig fra de offisielle app-butikkene.
Referanser
https://edition.cnn.com/2022/06/23/tech/apple[...]
https://therecord.media/google-seven-zero-day[...]
https://blog.google/threat-analysis-group/ita[...]

Kinesiske APTer bruker ransomware for å skjule informasjons-tyveri

Secureworks har publisert informasjon om de to statlig tilknyttede APTene (Advanced Persistent Threat) Bronze Riverside og Bronze Starlight. Begge har vært involvert i en koordinert kampanje for å stjele intern informasjon fra bedrifter og stater. Etter å ha kopiert ut informasjonen, har aktørene gjennomført angrep med ransomware mot de samme ofrene for å skjule sporene og den egentlige grunnen til datainnbruddene.
Referanser
https://www.secureworks.com/research/bronze-s[...]

Litauen under cyber-angrep etter å ha bannlyst russisk godstransport

Hacktivist-gruppen Cyber Spetsnaz har angrepet litauiske regjeringssider og annen kritisk infrastruktur ved hjelp av DDoS-angrep. Bakgrunnen er at Litauen har begynt å nekte russiske godstog adgang til landet. Normalt er det stor transport av russiske varer gjennom Litauen mellom Russland og den russiske enklaven Kaliningrad.
Referanser
http://securityaffairs.co/wordpress/132518/ha[...]

Thursday, 23 June 2022

2022.06.23 - Nyhetsbrev

Microsoft med ny rapport om Ukraina-krigen i relasjon til cybersikkerhet.

Microsoft med ny rapport om Ukraina-krigen i relasjon til cybersikkerhet

Microsoft har sluppet en lengre rapport om hendelser i cyber-domenet i forbindelse med krigen i Ukraina og kommer med flere råd til hvordan land bør forberede seg på konflikter i dette nye domenet.

Selskapet sier også at Russiske cyberoperasjoner har vært målrettet mot Baltiske stater. De siste to månedene har også Norge, Danmark, Finland, Sverige og Tyrkia sett en økning i lignende aktivitet mot sine datanettverk. Microsoft melder at totalt 42 Ukraina-vennlige land har opplevd strategisk spionasje fra Russiske hackere.
Referanser
https://blogs.microsoft.com/on-the-issues/202[...]
https://www.digi.no/artikler/microsoft-sier-r[...]