av Mikael Winterkvist | mar 18, 2025 | Bluesky, Mastodon, Säkerhet, Threads, Twitter
Emn stor mängd brev som utger sig för att komma från Telia cirkulerar just nu ute på nätet. Breven uppmanar användare att logga in och få en återbetalning på vad som påstås vara en tidigare felaktig, för hög inbetalning.
Brevet är helt igenom falskt men använder Telias logotyp, färger och innehåller en knapp för att du enkelt ska kunna ta dig till den påstådda webbplatsen där du ska begära att få tillbaka dina pengar. Det påstås att din senaste är betald två gånger bland annat.
Skulle det nu vara korrekt så behöver Telia inte dina uppgifter på nytt för att kunna betala tillbaka pengar. Är du kund hos Telia så har Telia all nödvändig information redan och inget seriöst företag skickar ut den här typen av uppmaningar.
Släng brevet är rådet.
av Mikael Winterkvist | mar 13, 2025 | Bluesky, Mastodon, Säkerhet, Threads
Skadlig programvara, malware, som tar sig förbi Googles bristfälliga kontroller av appar som ska släppas in den officiella butiken och distributionskanalen, Google Play, är inget nytt och nu har det hänt igen.
Det finns en viktig skillnad mellan Googles process för att godkänna appar för Google Play och Apples process för App Store. Apples automatiska kontroller, som görs med mjukvara, är långt mera effektiva och Apple gör även manuella kontroller – vilket Google gör först om det visar sig att något kan vara fel med en app. Därför har den officiella butiken, och Google, distribuerat appar som innehåller trojaner, skadlig och farlig kod och som nu – spionfunktioner.
Den senaste incidenten gällde just spionprogram som laddats upp till Androids appbutik av en grupp hackare som tros vara kopplade till den nordkoreanska regimen.
KoSpy
Säkerhetsforskare från Lookout Threat Lab har upptäckt spionprogrammet, kallat KoSpy, i flera appar som laddats upp till Google och som godkänt för Google Play. Apparna tros vara kopplade till den nordkoreanska APT-gruppen ScarCruft, även känd som APT37.
Spionprogrammet var gömt i den typ av falska appar vi så ofta ser i dessa fall: filhanterare, programuppdateringsverktyg och säkerhetsprogramvara. KoSpy kan stjäla en stora mängder känslig information från enheter som den infekterat. SMS-meddelanden, samtalsloggar, var en enhet finns (position), och programmet kan komma åt filer och mappar lokalt, Wi-Fi-nätverksinformation och en lista på vilka appar som är installerade i enheten.
Spela in
Spionprogrammet kan även spela in och ta bilder med enhetens kamera, ta skärmdumpar och spela in skärmen medan enheten används samt spela in tangenttryckningar.
Lookout
av Mikael Winterkvist | mar 13, 2025 | Bluesky, Mastodon, Säkerhet, Threads
Det brittiska kravet på att få tillgång till alla användares data som lagras i iCloud fick Apple att ta bort den mer avancerade krypteringen kopplad till data som lagras i iCloud för brittiska användare. Nu rapporterar BBC att parterna ska mötas, inför domstol, i ett hemligt möte nu på fredag.
Apple har överklagat de brittiska myndigheternas krav och menar att Storbritannien inte kan kräva tillgång till alla användares data omlagras i iCloud och ärendet har även förts upp på högsta politiska nivå. USA har reagerat över Storbritanniens krav och menar att kravet innebär att data som tillhör amerikanska medborgare äventyras. De amerikanska myndigheterna har ännu inte agerat mera formellt men frågan har lyfts inom ansvariga myndigheter och organisationer.
Hemligt möte
Nu hävdar BBC att Apple och brittiska myndigheter ska mötas, i ett hemligt möte, inför domstol, nu på fredag.
Apple’s appeal against a UK government demand to be able to access its customers’ most highly encrypted data is set to be considered at a secret hearing at the High Court on Friday, the BBC understands.
It is due to be considered by the Investigatory Powers Tribunal – an independent court which has the power to investigate claims against the UK intelligence services.
The US tech giant took legal action earlier this month in response to the Home Office’s demand for the right to access customer information protected by Apple’s Advanced Data Protection (ADP) programme.
BBC
Håller fast
Apple håller fast vid kravet på att brittiska myndigheterna på inga villkors vis ska kunna skaffa sig tillgång till alla användares data som lagras i iCloud. Dessutom är det så att använda som aktiverat avancerad kryptering för data som lagras i iCloud inte kan läsas av Apple och inte heller låsas upp och dekrypteras till klartext.
Därför slogs den funktionen av för brittiska användare men den finns fortfarande kvar för användare utanför Storbritannien.
Du hittar inställningen under inställningar och sedan vidare till iCloud.
Länkar
Apple slår av avancerat krypteringsskydd i Storbritannien
Apple hotar att dra tillbaka iMessage och FaceTime i Storbritannien
av Mikael Winterkvist | mar 12, 2025 | Bluesky, Mastodon, Säkerhet, Threads, Twitter
Kort efter det att den sociala plattformen X drabbades av tekniska problem under måndagen så gjorde Elon Musk uttalanden där han pekade ut Ukraina som skyldiga till DDoS-attacken. Påståendet avfärdas nu av säkerhetsexperter som också pekar på att Elon Musks sociala plattform inte skyddat sina egna servrar tillräckligt.
Elon Musk påstod i en intervju med Fox Business att det fanns enheter med IP-nummer som härstammade från Ukraina och utifrån det så drog han slutsatsen att Ukraina låg bakom attacken. Sanningen är en helt annan – X har inte skyddat sina servrar tillräckligt och på ett korrekt sätt, trots att den sociala plattformen är kunder hos Cloudflare och rimligen borde kunna skydda sina system.
Sårbara
Säkerhetsforskaren Kevin Beaumont och andra analytiker har konstaterat att vissa X-servrar, som svarar på webbförfrågningar utifrån, inte var ordentligt skyddade bakom företagets Cloudflare DDoS-skydd utan de stod, sårbara, offentligt utanför skyddet. Attacken kunde därför sätts in direkt mot X servrar.
Wired
X har nu flyttat in de sårbara systemen bakom det skydd som de köper av Cloudflare.
Slutsats: Viktiga servrar har exponerats ut mot nätet på ett sätt som gjort dem sårbara för överbelastnings-attacker.
Det betyder också att det inte har krävts någon större kapacitet för att störa och slå ut den sociala plattformen. En DDoS-attack är tekniskt en enkelt form av attack som går ut på att skicka mer skräptrafik mot ett system än vad det mottagande systemet, offret, klarar av att hantera. I och med att Elon Musk och X inte skyddat alla sina system och flyttat in dem bakom Cloudflares DDoS-skydd så kunde attacken riktas mot just de servrarna.
Slutsats: Elon Musks påstående om att det var en stor, massiv attack med enorma resurser stämmer inte.
Avfärdar
Säkerhetsexeperter avfärdar också Elon Musks utpekande av Ukraina som rent nonsens.
– Med så många komprometterade konsumentenheter över hela internet kan angripare, tänkbart, välja vilket land de vill att all attacktrafik ska komma från, säger David Warburton, chef på F5 Labs, till CyberScoop.
Slutsats: Du kan inte utifrån inblandade IP-nummer dra några som helst slutsatser om var attacken kommer ifrån eller vem som ligger bakom.
Inte första gången
När Elon Musk skulle intervjua Donald Trump i augusti 2024, så drabbades X av tekniska problem och Elon Musk påstod att X utsatts för en attack.
X-anställda som The Verge pratat med avfärdade Elon Musks påståenden.
Länk
Elon Musk skyller DDoS-attacken mot X på Ukraina – helt utan bevis
av Mikael Winterkvist | mar 11, 2025 | Bluesky, Mastodon, Säkerhet, Threads
Över en miljon Windows-användare har infekterats med malware (farlig mjukvara) via illegala streamingwebbplatser och via Microsofts egen webbplats Github.
Den skadliga mjukvaran har använts för att stjäla information från drabbade och sårbara system. Kampanjen, identifierad av Microsoft, riktade sig mot både konsument- och företagsenheter inom en rad branscher och organisationer.
Attacken
Attacken upptäcktes av Microsoft Threat Intelligence (MTI) december förra året. De skadliga programmet distribuerades via illegala streamingwebbplatser, ett program som omdirigerade trafiken till Github (ägs av Microsoft). Angriparna använde Github som värd för de skadliga programmen. MTI hittade också program på Discord och på Dropbox.
”Den fullständiga omdirigeringskedjan bestod av fyra till fem lager”, skriver MTI i ett blogginlägg.
”Microsofts forskare fastställde att omdirigering av malvertising fanns i en iframe på illegala streamingwebbplatser. Filerna användes för att samla in systeminformation och för att ställa in ytterligare skadlig programvara och skript för att exfiltrera dokument och data från den komprometterade värden.”
Program
I attacken ingår flera redan kända destruktiva och farliga program såsom Lumma och en uppdaterad version av Doenerium. De arkiv och konton som lagrade de nu aktuella programmen har stängts ned och raderats.
Dark Reading
av Mikael Winterkvist | mar 11, 2025 | Bluesky, Mastodon, Säkerhet, Threads, Twitter
Elon Musk hävdar att den omfattande överbelastningsattacken mot den sociala plattformen X styrdes från Ukraina:
– Vi är inte säkra på exakt vad som hände, men det var en massiv cyberattack för att försöka få ner X-systemet, med IP-adresser från Ukrainaområdet, sa Elon Musk i en intervju med Fox Business på måndagseftermiddagen.
X drabbades av tekniska problem under måndagen med långa svarstider och periodvis så kunde tjänsten inte nås av ett stort antal användare.
Elon Musk antydde först att det kunde vara Ukraina, alternativt ukrainska IP-nummer som låg bakom attacken, alltså en statsunderstödd attack. Senare i en intervju med Fox Business News så pekade han ut Ukraina och hävdade att attacken kom ifrån landet. Nu ska tilläggas att när det gäller den här typen av överbelastningsattacker, DDoS, så är det vanskligt, för att inte säga mycket vanskligt att försöka att peka ut vissa enskilda länder som skyldiga.
Analyser
I det här fallet så visar analyser att en större del av trafiken gick via bland annat via Vietnam och Brasilien – vilket inte är detsamma som att attackerna startade eller styrdes från något av de länderna. Du kan helt enkelt inte göra en sådan tolkning eller dra sådana slutsatser vilket alla, som kan och vet något om DDoS-attacker också känner till.
Tänk dig att du har ett gigantiskt stort nätverk med datorer, kameror, routrar, switchar och andra uppkopplade prylar. Ett nät som du kontrollerar, kan styra, och vars trafik du kan rikta ut olika håll. Detta är ett så kallat botnet, ett nät bestående av botar, kapade enheter runt om i hela världen. Med mjukvara så skickar detta gigantiska nät all utgående trafik mot ett och samma håll – i det här fallet mot X servrar. Mängden trafik dränker till slut det drabbade systemet som inte klarar att hantera all inkommande trafik. Teknisk så är detta en enkel attack som bygger på matematik och mängder med data. Skicka mer data mot ett system än detta system klarar av att hantera så kommer det drabbade systemet att sluta att svara, att krascha och inte vara tillgängligt.
Finns det IP-nummer från vissa länder med i trafiken så tyder det snarare på att det finns kapade enheter i de länderna än att attacken skulle vara styrd från ett visst land.
Dark Storm Team
Check Point Research (CPR), en forskargrupp som studerar cyberhot, uppger för Newsweek att The Dark Storm Team, en pro-palestinsk cyberattackgrupp har tagit på sig ansvaret för attacken mot X. Gruppen är känd för att ha iscensatt liknande attacker riktade mot västerländska företag och organisationer, i USA, Ukraina, Förenade Arabemiraten och Israel bland andra. Gruppen tycks nu vara aktiv igen efter en längre periods tystnad.
The Dark Storm Team under den senaste månaden attackerat kritisk infrastruktur, inklusive Los Angeles International Airport (LAX), Haifa Port i Israel och Förenade Arabemiratens försvarsministerium med likande typ av attacker.
Via ett meddelande på Telegram, som nu har raderats, så har gruppen tagit på sig attacken riktad mot Elon Musks X.
Statsunderstödd
Det faktum att det handlar om en DDoS-attack talar mot att det skulle handla om en statsunderstödd attack som Elon Musk hävdar. Statsunderstödda hackare använder ytterst sällan överbelastningsattacker av den här typen därför att de är ute efter att antingen slå ut ett system permanent eller ta sig in för att komma över viktig information. DDoS-attacker används däremot mycket mera ofta av fristående grupper, så som The Dark Storm Team, vilket inte ska tolkas som en bekräftelse på att det verkligen är just denna grupp som ligger bakom attacken mot X. Det stämmer däremot bättre in, historiskt och erfarenhetsmässigt, för hur fristående grupper attackerar företag, organisationer, medier, politiska motståndare och så vidare. Målet är att skapa uppmärksamhet, det rakt motsatta mot vad statsunderstödda hackare önskar. De vill förbli oupptäckta så länge det går.
The Dark Storm Team har också, precis som hackargruppen Anonymous Sudan, lierat sig med ryska hackare. Anonymous Sudan gjorde sig kända för att med liknande attacker slå till mot en rad svenska företag, skolor, universitet och mediabolag under 2022 och 2023. I oktober 2024 slog polis till mot den gruppens infrastruktur (datorer och nätverk), flera av de ansvariga greps. Anonymous Sudan, som inte har någonting med gruppen Anonymous att göra, använde ryska botnet i sina attacker och samarbetade också med fristående ryska hackare.
Det finns fler likande grupper som agerar utifrån en pro-rysk agenda. Ett annat exempel är NoName057(16) som attackerade en rad svenska bolag, Skatteverket, Jernhusen, SJ, SL, PTS, Riksgälden, Finansinspektionen, Nyhetsbyrån, Försvarsmakten, riksdagen, SJ, och Trafikverket våren 2023.
Stämmer inte
Elon Musks påståenden stämmer helt enkelt inte med hur fristående hackaregrupper agerar i en jämnförelse med statsunderstödda hackare. Deras attackmetoder är helt olika liksom deras syften och mål. Enkelt uttryckt så vill de fristående grupper skapa uppmärksamhet medan de statsunderstödd grupperna vill det rakt motsatta. DDoS-attacker kan ses som en slags aktivism, avsedd för att skapa uppmärksamhet, för att synas.
Texten ovan bygger på mina egna erfarenheter efter att ha arbetat med data- och informationssäkerhet sedan slutet av 1980-talet. Den bygger också på samlade erfarenheter och rapporter som säkerhetsforskare har gjort samt på den samlade tekniska kunskap som finns när det gäller DDoS-attacker tillsammans med analyser och studier som gjorts av statsunderstödda hackargrupper. Texten ska inte ses som en bekräftelse eller som ett påstående om att en viss grupp ligger bakom attacken mot X men den ska ses som ett påstående om att mycket lite, för att säga ingenting, talar för att Elon Musk har rätt i sina påståenden.
