av Mikael Winterkvist | sep 6, 2025 | Bluesky, Säkerhet, Threads
Kina har i årtionden hackat sig in i amerikanska elnät och företag för att stjäla känsliga filer och immateriella tillgångar som chipdesigner i jakten på ett teknologiskt övertag över USA.
Men en omfattande cyberattack från en grupp som kallas Salt Typhoon beskrivs nu som Kinas mest ambitiösa hittills. Efter ett års utredning har experter och myndigheter dragit slutsatsen att attacken riktade sig mot mer än 80 länder och kan ha stulit information från nästan varje amerikan. Enligt amerikanska myndigheter visar det att Kinas cyberförmåga nu närmar sig USA:s och dess allierades.
Salt Typhoon-attacken var en flerårig och samordnad operation som infiltrerade stora telekomföretag och andra mål. En gemensam och ovanlig internationell deklaration slog fast att omfattningen var långt större än man först förstått. Säkerhetsmyndigheter varnar för att den stulna informationen kan utnyttjas av kinesiska underrättelsetjänster för att övervaka kommunikationsnät och spåra politiker, spioner och aktivister.
Kinesiska staten
I uttalandet heter det att hackare med koppling till kinesiska staten riktar in sig på nätverk över hela världen – bland annat telekom, myndigheter, transporter, hotell och militär infrastruktur. Brittiska och amerikanska tjänstemän beskrev attacken som ”gränslös” och ”urskillningslös”. Kanada, Finland, Tyskland, Italien, Japan och Spanien ställde sig bakom uttalandet, som syftade till att öppet peka ut Kinas regering.
”Jag kan inte föreställa mig att någon amerikan undkommit med tanke på kampanjens omfattning”, sade Cynthia Kaiser, tidigare hög chef på FBI:s cyberavdelning, som ledde utredningar kring Salt Typhoon. Hon påpekade att det är oklart om syftet var att samla in data om vanliga människor eller om dessa uppgifter följde med av bara farten, men konstaterade att attacken var betydligt bredare än tidigare kinesiska intrång.
Enligt säkerhetsexperter kan Salt Typhoon markera början på en ny era av kinesisk cyberkapacitet. Jennifer Ewbank, tidigare biträdande chef för digital innovation på CIA, framhöll att kinesiska intrång för tio år sedan byggde på enklare metoder för att stjäla handelshemligheter och statlig data. Nu rör det sig om långsiktiga, statsstödda kampanjer som djupt tränger in i infrastrukturen i över 80 länder, med hög teknisk nivå och uthållighet.
Teknikföretag
Enligt utredarna kopplas attacken till minst tre kinesiska teknikföretag som sedan 2019 arbetat för både militär och civil underrättelsetjänst. Målet var att ge kinesiska myndigheter möjlighet att identifiera och spåra kommunikationer och rörelser globalt. Bland de mest utsatta fanns telefoner som användes av president Trump och vicepresident JD Vance under valkampanjen förra året, samt demokratiska politiker.
Hackarna stal data från telekom- och internetföretag och tog sig in i över ett halvdussin amerikanska telekombolag. De utnyttjade gamla säkerhetsluckor i nätverken, enligt brittiska myndigheter, och gick även till angrepp mot hotell- och transportföretag. Senator Mark Warner, ledande demokrat i senatens underrättelseutskott, uppgav att de även kunnat avlyssna telefonsamtal och läsa okrypterade textmeddelanden.
Jamie MacColl vid Royal United Services Institute menar att Kina under lång tid samlat på sig massiva datamängder för att i framtiden kunna dra nytta av dem. Tidigare attacker har bland annat riktats mot Marriott, amerikanska försäkringsbolag och den federala personalmyndigheten OPM, liksom Microsofts e-postsystem 2021.
Ryska hackare
Även ryska hackare har utfört framgångsrika intrång, och västländer har själva avancerade underrättelsesystem. Det är dock oklart hur västländerna har svarat på Salt Typhoon. Enligt Anne Neuberger vid Biden-administrationens cybersäkerhet är attacken mer än en isolerad framgång för Kina – den speglar en oroande verklighet där Kina positionerar sig för att dominera den digitala krigföringen.
Källa:
New York Times
av Mikael Winterkvist | sep 5, 2025 | Bluesky, Säkerhet, Threads
En ny studie hävdar att 18 av de 100 mest nedladdade VPN-apparna på Google Play i själva verket hör ihop i tre stora grupper, trots att de marknadsförs som oberoende tjänster. Studien pekar inte ut några av de tjänster som brukar listas som de bästa VPN-alternativen, men de undersökta apparna är populära och har tillsammans laddats ner över 700 miljoner gånger enbart på Android.
Studien, publicerad i tidskriften Privacy Enhancing Technologies Symposium (PETS), visar inte bara att de aktuella apparna undanhållit information om ägarförhållanden, utan också att deras gemensamma infrastruktur innehåller allvarliga säkerhetsbrister. Kända tjänster som Turbo VPN, VPN Proxy Master och X-VPN visade sig vara sårbara för attacker som kan avslöja användarnas surfhistorik och till och med injicera skadlig data.
VPN-appar
Artikeln, med titeln “Hidden Links: Analyzing Secret Families of VPN apps”, inspirerades av en granskning från VPN Pro, som visade att flera bolag sålde flera VPN-appar utan att redovisa kopplingarna mellan dem. Forskarna bakom “Hidden Links” ville undersöka om dessa dolda släktband gick att dokumentera systematiskt.
Genom att utgå från listan över de mest nedladdade VPN-apparna på Android samlade forskarna in information från företagsdokument, webbplatser och apparnas kodbas, och analyserade likheterna. Resultatet blev att 18 appar kunde delas in i tre grupper.
Familj A omfattar Turbo VPN, Turbo VPN Lite, VPN Monster, VPN Proxy Master, VPN Proxy Master Lite, Snap VPN, Robot VPN och SuperNet VPN. Dessa appar fördelas mellan tre leverantörer – Innovative Connecting, Lemon Clove och Autumn Breeze – som alla har kopplats till Qihoo 360, ett kinesiskt företag som USA:s försvarsdepartement identifierat som ett “kinesiskt militärbolag”.
Familj B inkluderar Global VPN, XY VPN, Super Z VPN, Touch VPN, VPN ProMaster, 3X VPN, VPN Inf och Melon VPN. De delas mellan fem olika leverantörer men använder samma IP-adresser från samma hostingföretag.
Familj C består av X-VPN och Fast Potato VPN. Även om dessa två har olika leverantörer visade de sig använda mycket liknande kod och ett identiskt egenutvecklat VPN-protokoll.
Problem
För användare innebär detta två stora problem. För det första är det en allvarlig förtroendefråga att företag som hanterar privata aktiviteter och känsliga data inte är ärliga om ägare, ursprung eller vilka de delar informationen med. För det andra är apparna tekniskt osäkra. Alla 18 använder Shadowsocks-protokollet med ett hårdkodat lösenord, vilket gör dem sårbara för kapning både från serversidan (för spridning av skadlig kod) och från klientsidan (för avlyssning av surfaktivitet).
En VPN-tjänst som ljuger om sitt ursprung och samtidigt bygger på osäker infrastruktur visar i grunden på samma problem: apparna är inte designade för att hålla användaren säker på nätet. Eftersom de dessutom listas som separata produkter blir det uppenbart att appbutikerna inte är något effektivt skydd. “Hidden Links”-studien gör det tydligare än någonsin att du aldrig bör ladda ner en gratis VPN utan att noga granska den – och att endast använda kostnadsfria VPN-tjänster som backas upp av betalabonnemang.
Källa:
Privacy Enhancing Technologies Symposium (PETS)
Nästan en tredjedel av alla VPN-företag ägs i hemlighet av kinesiska bolag
av Mikael Winterkvist | sep 4, 2025 | Bluesky, Säkerhet, Threads
Däckjätten Bridgestone bekräftar att företaget utreder en cyberattack som påverkat driften vid vissa produktionsanläggningar i Nordamerika.
Enligt företaget kunde en snabb insats begränsa attacken i ett tidigt skede och därmed förhindra att kunddata stals eller att nätverket utsattes för djupare intrång.
Bridgestone Americas (BSA), som är den nordamerikanska grenen av den japanska däcktillverkaren och världens största sett till produktionsvolym, driver 50 fabriker och har 55 000 anställda. BSA står för cirka 43 procent av Bridgestone Corporations verksamhet. Under 2024 omsatte bolaget 12 miljarder dollar med ett rörelseresultat på 1,2 miljarder dollar.
Intrång
Tisdagen den 2 september 2025 rapporterades det om ett intrång som drabbat två produktionsanläggningar i Aiken County, South Carolina. Dagen därpå uppgav kanadensiska medier att även fabriken i Joliette, Québec, påverkats.
I ett uttalande till BleepingComputer bekräftade Bridgestone att en utredning pågår:
”Bridgestone Americas fortsätter att utreda en begränsad cyberincident som påverkar vissa av våra produktionsanläggningar. Vårt team agerade snabbt för att begränsa problemet i enlighet med våra etablerade rutiner. Även om den forensiska analysen pågår är vi övertygade om att vi kunde stoppa incidenten tidigt. Vi tror inte att någon kunddata eller några systemgränssnitt har komprometterats.”
Företaget tillade att personal arbetar dygnet runt för att mildra konsekvenserna och minimera påverkan på leveranskedjan, vilket annars kan leda till bristsituationer på marknaden.
Prioritet
”Att upprätthålla verksamhetens kontinuitet och skydda data och gränssnitt har varit – och fortsätter att vara – vår högsta prioritet. Vi arbetar fortsatt intensivt för att möta våra kunders behov och för att hantera eventuella ytterligare konsekvenser kopplade till incidenten,” uppgav en talesperson.
Bridgestone har inte kommenterat om attacken rör sig om ransomware. Inget gäng har hittills tagit på sig ansvaret.
Företaget drabbades 2022 av en LockBit-attack där känslig data stals och läcktes.
Källa: BleepingComputer
av Mikael Winterkvist | sep 4, 2025 | Bluesky, Säkerhet, Threads
Ett nyligen avslöjat säkerhetshål i macOS kunde ha gjort det möjligt för en angripare att dekryptera Keychain-data utan lösenord. Felet är nu åtgärdat, men visar hur sårbart systemet var innan uppdateringen.
Apple är känt för sitt fokus på säkerhet och integritet, men i macOS Sequoia 15.0 kunde angripare ta sig förbi dessa skydd. På säkerhetskonferensen Nullcon Berlin 2025 avslöjade Koh M. Nakagawa från FFRI Security att Apples gcore-verktyg hade ett systemtillstånd som öppnade för attacker och bröt igenom viktiga säkerhetsgränser.
Felet, som nu är registrerat som CVE-2025-24204, gjorde det möjligt att läsa minne från vilken process som helst – även med System Integrity Protection (SIP) aktiverat. Det blottlade krypteringsnycklar i Keychain och kringgick Apples TCC-skydd som styr åtkomst till exempelvis bilder och kontakter. Sårbarheten gjorde det dessutom möjligt att dekryptera iOS-appar som kördes på Apple Silicon-Macar.
Slump
Nakagawa upptäckte felet nästan av en slump. När Microsoft släppte ProcDump för Mac antog han att det inte skulle fungera på skyddade processer, men tester visade motsatsen. Förklaringen var att gcore hade fått tillståndet com.apple.system-task-ports.read, vilket gav obegränsad åtkomst till minne. Genom att dumpa minnet från säkerhetsprocessen securityd kunde han återskapa huvudnyckeln för inloggnings-Keychain och därmed dekryptera hela valvet utan lösenord.
Sårbarheten innebar också att TCC-skyddet kunde kringgås. Eftersom appar laddar filer i minnet gick det att dumpa och återskapa skyddade dokument. Även iOS-appar på Mac var drabbade, eftersom deras krypterade binärer kunde hämtas i dekrypterat skick medan de kördes.
Apple tog bort det farliga tillståndet i macOS 15.3, som släpptes tidigare under 2025. Företaget gjorde ingen större affär av det, utan som vanligt dök säkerhetsfixen bara upp i uppdateringsnoteringar.
Uppdatera
För att skydda dig bör du uppdatera till macOS 15.3 eller senare. Äldre versioner är fortsatt sårbara och det finns ingen lösning annat än att uppgradera. Aktivera automatiska uppdateringar så att du inte fastnar på en osäker version. Som ett extra lager kan du använda en separat lösenordshanterare utanför Apples Keychain, vilket minskar risken om något liknande skulle inträffa igen.
Officiella säkerhetsråd från Apple publiceras på företagets supportsida och är den främsta källan för information om vad som åtgärdats och när.
Källa:
HelpNet Security
av Mikael Winterkvist | sep 3, 2025 | Bluesky, Säkerhet, Threads
Himlen föll nästan ner förra veckan – åtminstone om man skulle tro rapporterna om att Gmail hade hackats sönder och samman. Eller hade det verkligen det? Det cirkulerade uppgifter om ett stort dataintrång, med hänvisning till varningar från Google och en ökning av nätfiskeförsök, men paniken blev kortvarig.
I ett kort inlägg på sin officiella blogg förklarade Google att säkerheten i Gmail är ”stark och effektiv” och att uppgifterna om motsatsen är felaktiga.
Historien verkar ha uppstått ur en slumpmässig kombination av säkerhetshändelser. I juni utsattes Google för ett intrång i företagets Salesforce-server, men där rörde det sig enbart om publikt tillgänglig information som företagsnamn och kontaktuppgifter – ingen privat data läckte.
Varnade
Under de följande veckorna gick Google ut och varnade Gmail-användare för en ökning av nätfiskeattacker i juli och augusti. Detaljerna var få, men många antog att ökningen hade koppling till intrånget. Samtidigt började fler prata om hackningsförsök i sociala medier. Detta bidrog till ryktet att alla Gmails 2,5 miljarder användare stod på randen till att hackas, med uppmaningar om att byta lösenord och aktivera tvåfaktorsautentisering. Även om det alltid är bra säkerhetsråd menar Google att verkligheten är betydligt mindre dramatisk.
Enligt Google var de senaste varningarna om nätfiske begränsade i omfattning. Det har aldrig funnits någon bred säkerhetsvarning som omfattade miljarder användare – bolaget kallar dessa påståenden ”helt falska”. Snarare var det kombinationen av Salesforce-intrånget och ökade nätfiskeförsök som satte igång larmklockorna på nätet, och genom en kedja av missförstånd upprepades påståendena som sanning.
Vaksam
Google hävdar att deras säkerhetssystem fortfarande blockerar 99,9 procent av all skadlig kod och nätfiskemeddelanden från att nå inkorgen. Även om det alltså inte finns någon ökad risk för användarnas säkerhet, passade företaget på att påminna om att vara vaksam på nätfiskeförsök och att gärna använda Passkeys i stället för lösenord – även om det finns utmaningar där också.
Det är inte svårt att förstå varför så många trodde att miljarder konton var i fara. Användardata är ständigt hotad, och även de mest välrenommerade tjänsteleverantörer kan göra misstag. Vid det här laget har nästan alla någon gång tvingats byta lösenord eller återställa konton efter en större attack. Det är helt enkelt en vanlig torsdag på internet.
av Mikael Winterkvist | sep 3, 2025 | Bluesky, Säkerhet, Threads
Cloudflare uppger att de nyligen stoppade den största registrerade volymetriska DDoS-attacken hittills, som nådde en toppnivå på 11,5 terabit per sekund (Tbps).
Vid DDoS-attacker överväldigas ett mål med enorma mängder datatrafik, vilket gör att bandbredd och systemresurser slås ut och legitima användare inte kan nå de drabbade servrarna eller tjänsterna.
Attacker
”Cloudflares försvar har arbetat på högvarv. Under de senaste veckorna har vi autonomt stoppat hundratals hypervolymetriska DDoS-attacker, med den största på 5,1 Bpps och 11,5 Tbps”, skrev företaget på tisdagen. Attacken på 11,5 Tbps var en UDP-flood som i huvudsak kom från Google Cloud och varade i cirka 35 sekunder.
Bara två månader tidigare, i juni, meddelade Cloudflare att man hade stoppat en annan rekordattack på 7,3 Tbps riktad mot en anonym värdleverantör. Den tidigare toppnoteringen låg på 3,8 Tbps och två miljarder paket per sekund (pps) i en attack som företaget stoppade i oktober 2024.
Rekordstora
Även Microsoft har hanterat flera rekordstora DDoS-attacker. I januari 2022 stoppades en attack på 3,47 Tbps riktad mot en Azure-kund i Asien. I juli 2024 slogs Microsoft 365- och Azure-tjänster ut globalt efter en massiv attack.
I april i år rapporterade Cloudflare dessutom att antalet DDoS-attacker ökade kraftigt under 2024. Företaget såg en ökning på 198 procent från kvartal till kvartal och hela 358 procent på årsbasis. Totalt stoppades 21,3 miljoner attacker mot företagets kunder och 6,6 miljoner attacker som direkt riktades mot Cloudflares egen infrastruktur under en 18 dagar lång kampanj.
Enligt Cloudflare bestod attackerna bland annat av SYN-floods, Mirai-genererade attacker och SSDP-förstärkning. Störst ökning noterades i attacker på nätverksnivå, som ökade med hela 509 procent under början av 2025.
Källa:
Beeping Computer
