av Mikael Winterkvist | dec 20, 2021 | Säkerhet
Google Project Zero har granskat och analyserat NSO Groups olika program och verktyg för att hacka andra enheter. Slutsatsen – NSO Groups är att betrakta som statsunderstödda hackare.
Förutom att flera av de av NSO Groups utvecklade sätten att exploatera buggar är mycket sofistikerade så har det israeliska företaget sålt sina verktyg till flera repressiva regimer och diktaturer. Det gör att Google Zero Team sätter likhetstecken mellan företaget och statsunderstödda hackare.
NSO Group is one of the highest-profile providers of ”access-as-a-service”, selling packaged hacking solutions which enable nation state actors without a home-grown offensive cyber capability to ”pay-to-play”, vastly expanding the number of nations with such cyber capabilities.
For years, groups like Citizen Lab and Amnesty International have been tracking the use of NSO’s mobile spyware package ”Pegasus”. Despite NSO’s claims that they ”[evaluate] the potential for adverse human rights impacts arising from the misuse of NSO products” Pegasus has been linked to the hacking of the New York Times journalist Ben Hubbard by the Saudi regime, hacking of human rights defenders in Morocco and Bahrain, the targeting of Amnesty International staff and dozens of other cases.
Google
NSO Groups börjar få slut på pengar – överväger att lägga ned eller sälja bolaget
av Mikael Winterkvist | dec 14, 2021 | Säkerhet
Log4j är ett javabaserat verktyg för att samla in och analysera loggfiler i nätets vanligaste webserver Apache. Förra veckan upptäcktes ett synnerligen allvarlig säkerhetshål i just etta program och nu varnar säkerhetsexperter för att hackare försöker att exploatera buggen i stor skala ute på nätet.
Loggningsverktyget, en hel plattform, används i rätt stor skala ute på nätet av Apple, Microsoft, Amazon med flera och verktyget används i molnplattformar, webbapplikationer och e-posttjänster. Under förra veckan hittades ett allvarligt säkerhetshål i funktionen och en sårbar server kan kapas och tas över helt av obehöriga.
Attacker
Sedan buggen blivit känd så har antalet attacker mot Log4j ökat dramatiskt liksom sanningar och sökningar på nätet efter sårbara system:
Cyber attackers are making over a hundred attempts to exploit a critical security vulnerability in Java logging library Apache Log4j every minute, security researchers have warned.
ZDNet
En stor del av attackerna kommer från samma IP-nummer serier vilket indikerar att försöken att exploatera buggen görs med hjälp av så kallade Botnet – vilket är en stor samling kapade datorer som kopplats samman via ett centralt system.
Frågor och svar
Log4j är ett hett ämne ute på nätet just. det skrivs en hel dem buggen, buggarna, som klassificeras som en av de allvarligaste säkerhetsincidenterna på senare år. Här följer lite frågor och svar för hur detta kan beröra dig som vanlig användare och vad det innebär för sårbara system.
Vad är Log4j?
Det är ett javabaserat verktyg, närmast en helt plattform, med funktioner för att samla in och analysera loggfiler i den vanligaste webbservern ute på nätet, Apache.
Vad innebär buggen/buggarna?
Enkelt förklarat – att en sårbar server kan tas över av obehöriga.
Vilka använder Log4j?
Många – Apple, Amazon, Microsoft, Google, DropBox, Facebook och så vidare. Det är flera miljoner stora och små företag som använder Log4j för att hålla koll på sina egna servrar.
Hur kan jag drabbas?
Teoretiskt indirekt – det vill säga att en webbplats som du använder angrips, tas över och slutar att fungera.
Kan jag själv, mina datorer drabbas?
Buggen/buggarna finns i ett verktyg för servrar. Såvida du inte kör en server själv så är svaret nej. Din vanliga Mac kan inte hackas och tas över via Log4j . Igen, teoretiskt, så skulle dina kontouppgifter på en sårbar server kunna stjälas så det skadar inte att hålla lite extra koll på nyhetsflödet och hålla lite extra koll på dina olika konton ute på nätet.
Kan jag skydda mig på något sätt?
Log4j lär inte drabba vanliga användare – inte direkt, utan som framgår av ovan – möjligen indirekt. De vanliga råden är att alltid se till att hålla dina prylar uppdaterade.
av Mikael Winterkvist | dec 11, 2021 | Säkerhet
Drygt 1.6 miljoner WordPress-sajter attackeras just nu i försök att exploatera nya buggar i flera populära teman och i en rad likaledes populära plugins.
Det är säkerhetsföretaget WordFence som varnar att bara de senaste dagarna så har över 13.7 miljoner attacker stoppats och blockerats.
Today, on December 9, 2021, our Threat Intelligence team noticed a drastic uptick in attacks targeting vulnerabilities that make it possible for attackers to update arbitrary options on vulnerable sites. This led us into an investigation which uncovered an active attack targeting over a million WordPress sites. Over the past 36 hours, the Wordfence network has blocked over 13.7 million attacks targeting four different plugins and several Epsilon Framework themes across over 1.6 million sites and originating from over 16,000 different IP addresses.
Wordfence Premium Users are protected against any exploit attempts targeting all of these vulnerabilities. Wordfence free users are protected against attacks targeting all of the vulnerabilities except for the recently disclosed vulnerability in PublishPress Capabilities. Wordfence Premium users received a firewall rule for the Unauthenticated Arbitrary Options Update vulnerability in PublishPress Capabilities on December 6th, 2021, and sites still running the free version of Wordfence will receive the firewall rule on January 6, 2022.
Wordfence
Buggarna finns i:
- Kiwi Social Share (<= 2.0.10),
- WordPress Automatic (<= 3.53.2)
- Pinterest Automatic (<= 4.14.3)
- PublishPress Capabilities (<= 2.3)
Teman
Det är populära plugins som finns installerade i ett mycket stort antal webbplatser runt om i världen. Förutom buggar i plugins finns också buggar, säkerhetshål i flera populära teman för WordPress.
- Activello (<=1.4.1)
- Affluent (<1.1.0)
- Allegiant (<=1.2.5)
- Antreas (<=1.0.6)
- Bonkers (<=1.0.5)
- Brilliance (<=1.2.9)
- Illdy (<=2.1.6)
- MedZone Lite (<=1.2.5)
- NatureMag Lite (no known patch available)
- NewsMag (<=2.4.1)
- Newspaper X (<=1.3.1)
- Pixova Lite (<=2.0.6)
- Regina Lite (<=2.0.5)
- Shapely (<=1.2.8)
- Transcend (<=1.1.9)
IP-nummer
Wordfence har hittat flera IP-nummer som återkommer i attackerna:
- 144.91.111.6 with 430,067 attacks blocked.
- 185.9.156.158 with 277,111 attacks blocked.
- 195.2.76.246 with 274,574 attacks blocked.
- 37.187.137.177 with 216,888 attacks blocked.
- 51.75.123.243 with 205,143 attacks blocked.
- 185.200.241.249 with 194,979 attacks blocked.
- 62.171.130.153 with 192,778 attacks blocked.
- 185.93.181.158 with 181,508 attacks blocked.
- 188.120.230.132 with 158,873 attacks blocked.
- 104.251.211.115 with 153,350 attacks blocked.
av Mikael Winterkvist | dec 7, 2021 | Säkerhet
Natten mot den 2 december så utsattes hotellkedjan Nordic Choice för en ransomware-attack som ledde till problem med att bok hotellrum, utfärda nycklar till rum och långsamma bokningar.
Nordic Choice Hotels IT-system drabbades av en virusattack natten mot den 2 december.
Attacken drabbade främst våra hotellsystem som hanterar bokningar, incheckning, utcheckning och rumsnycklar.
Nordic Choice
Enligt hotellkedjan så tyder inget på, hittills, att data har läckt ut men Nordic Choice ber ändå kunder att vara uppmärksamma därför att e-post och liknande kontaktuppgifter kan missbrukas för Phishing där falska meddelanden kan locka användare att klicka på länkar som bär till falsk webbplatser.
Våra utredningar ger i nuläget inga indikationer på att data har läckt ut, men vi kan inte utesluta det. Därför innebär händelsen en risk att information om dina bokningar och vistelser på våra hotell kan ha kommit på avvägar. Uppgifter som kan komma att påverkas är ditt namn och kontaktuppgifter (telefon, e-post), samt information om själva bokningen och vistelsen.
Liknande virusattacker visar att man i vissa fall har tagit kopior av den data som viruset har fått tillgång till. Det kan inte uteslutas att denna information kan göras tillgänglig på Internet. Om detta händer kan du potentiellt bli utsatt för bedrägeri. Vi ber dig att vara uppmärksam på misstänkta sms, telefonsamtal och mejl.
Det är viktigt att betona att vi inte har information som tyder på att kortinformation i samband med bokning eller betalning på våra hotell (eller via andra bokningskanaler) omfattas av virusattacken.
Polisanmält
Polisanmält
Attacken är polisanmäld och Nordic Choice arbetar nu tillsammans med anlitade konsulter och experter för att utreda hur attacken genomförts och vilka skador den har nordsakar.
Sedan attacken upptäcktes har vi arbetat dygnet runt med alla tillgängliga resurser internt och i samarbete med extern expertis. Vi återupprättar nu systemen löpande, samtidigt som åtgärder vidtas för att förhindra att problemen återkommer. Dataattacken är polisanmäld och anmäld till norska datatilsynet och den nationella säkerhetsmyndigheten i Norge.
För gäster som bor på våra hotell de närmaste dagarna kommer det att ta lite längre tid att checka in och ut på vissa hotell. Dessutom gör vi nu allt vi kan för att hotellvistelsen ska upplevas så normalt som möjligt så att du som gäst kan få en bra vistelse hos oss. Det är säkert för gäster att boka hotellrum på vår hemsida.
Nordic Choice
Närmare 200 hotell i Baltikum och Norden berörs och är drabbade av attacken.
av Mikael Winterkvist | dec 6, 2021 | Säkerhet
Hundratals av de servrar som ingå i Tors nätverk har hackats och det finns en stor risk att användare som tror sig vara anonyma i själva verket inte alls är skyddade, skriver säkerhetsforskaren nusenu i ett längre inlägg på Medium.
I inlägget så beskriver nusenu om en hackare som fått namnet KAX17 och som kontrollerar närmare 900 servrar som ingår i nätverket. Det innebär att runt 16 procent av alla servrar i nätet, vid första omdirigeringen och 35 procent vid den andra omdirigeringen, kan kontrolleras av okända vilket gör att säkerheten, integriteten och anonymitet inte kan garanteras. Tekniskt så bygger tekniken (enkelt förklarat) bakom Tor att du anonymiseras genom att ett antal omdirigeringar, byte mellan servrar. Det görs i flera steg och i varje steg så minskas det antal servrar som väljs slumpmässigt.
Actor “BTCMITM20” Profile
- active since at least 2020
- sophistication: amateur level but persistent and large scale
- operated relay types: exit relays
- (known) concurrently running relays peak: >350 relays
- (known) advertised bandwidth capacity peak: 40 Gbit/s
- (known) exit probability peak: 27%
- primary motivation: financial profit (by replacing bitcoin addresses in tor exit traffic)
- defenses: easy; HSTS preloading for website operators; on tor clients: ensure HTTPS is used properly.
nusenu
av Mikael Winterkvist | dec 6, 2021 | Säkerhet
Polisen går nu ut med med en varning för falska SMS som sprider det farliga programmet FluBot riktad mot Android-användare.
Det ska direkt sägas att det skadliga program det handlar om är FluBot. Ett program som är skrivet för Android. Tolka nu inte det som att du som sitter med en iPhone i handen är osårbar och att du inte behöver bry dg om varningarna. Rådet för alla användare, oavsett vilken typ av telefon som du har är att inte, aldrig, klicka på länkar i meddelanden, vare sig det är SMS eller e-post om du inte har helt säker på vem som är avsändare och vart länken tar dig.
Falska SMS
De falska SMS:en påstår att ett paket har försökt levereras till dig men att det inte har gått. Du uppmanas då att klicka på en länk, ladda ned en app för att kunna följa paketets leverans. Notera att du som användare måste klocka på länken och sedan även ladda ned och installera en app – det vill säga ladda ned och även bekräfta installationen av FluBot. Det skadliga programmet installeras alltså inte direkt och inte automatiskt.
Några exempel på falska SMS – observera att det även finns SMS på svenska.
FluBot
SMS:en sprids i mycket stor mängd. Den norska operatören Telenor har under en vecka filtrerats bort och stoppat sammanlagt 7.5 miljoner falska SMS. Tidigare så har den finska myndigheten Traficom varnat för att FluBot sprids via falska SMS i landet.
Finsk myndighet varnar för farlig kod som kan kapa Androidtelefoner
FluBot är en mask, malware, som sprids genom att telefonens adressbok kapas och sedan används för att skicka fler falska SMS till dina kontakter. Adressboken laddas ned och skicka till FluBots centrala servrar, datorer ute på nätet.
Processen
Processen görs i flera steg:
- Offret får ett textmeddelande som informerar dem om leverans av ett paket.
- Meddelandet innehåller en länk till en webbplats som innehåller skadlig kod, förklädd som leveransföretagets ansökan.
- FluBiot har exempelvis använt varumärkena DHL, UPS och FedEx.
- Offret laddar ned och installerar programmet.
- FluBot laddar upp offrets kontakter till sin C & C (Command & Control) -server.
- C & C-servern skickar en lista med telefonnummer till offerets enhet.
- Offrets enhet skickar textmeddelanden till dessa nummer, som är andra potentiella offer. För att förhindra detektion skickar offrets enhet bara textmeddelanden till nummer i telefonboken. Dessutom läggs alla nummer till i listan över blockerade telefonnummer för att det inte ska få att att varna drabbade.
Kom nu ihåg att detta är hur FluBot fungerar just nu. Den här processen kan komma att ändras.
Råd
Har du klickat på länken, och bara klickat på länken, så är sannolikheten för att du ska ha infekteras av FluBot mycket liten. Rådet är då att starta om din telefon, en så kallad hård omstart där du startar om hela telefonen – inte bara stänger ned öppnade appar.
Har du klickat på länken och laddat ned och installerat FluBot (appen) så är din telefon kapad och infekterad. Då finns det ingen annan väg eller annat sätt att återställa telefonen än att göra en fabriksåterställning – det vill säga radera allt innehåll och helt starta om enheten. Du kan återställa informationen med en säkerhetskopia förutsatt att du är helt säker på när du smittades och att den säkerhetskopia som du installerar är garanterat fri från FluBot, I annat fall så riskerar du bara att radera din telefon och sedan lägga tillbaka en säkerhetskopia där FluBot redan finns installerad,
