Hacking-helg rammer Norge

Hacking-helg rammer Norge

Flere norske nettsteder ble ofre for et massivt nettangrep i helgen. Over en halv million ble rammet i resten av verden.

Angrepene var rettet mot dårlig oppdaterte nettsteder, gjennom bruk av såkalt sql-injection. Ifølge Nasjonal sikkerhetsmyndighet Norcert er flere norske nettsteder rammet, men de kan ikke gå inn på hvilke det er.

- Vi har ikke en komplett oversikt over hvor mange norske nettsteder som er rammet. Det er en automatisk kode som kjører sql-injection, og bruker søkemotorer til å finne nettsteder å ramme. Vi har ikke sett på det som et angrep mot kritisk norsk infrastruktur, sier fungerende avdelingsdirektør Pål Arne Hoff i NSM Norcert.

Ifølge Hoff fikk Norcert rapport om det siste angrepet på lørdag. Angrepene retter seg særlig mot Microsoft Internet Information Server og SQL Server. Mye kan spores tilbake til Kina, men det er ikke dermed sagt at det er derfra de kriminelle kommer fra.

Utrygg overalt

Et av de største uromomentene er at man kan bli infisert nær sagt hvor som helst på nettet.

- Tidligere var denne typen angrep ofte begrenset til lugubre nettsteder med pornografi og piratprogramvare, men nå kan man bli infisert hvor som helst, sier sikkerhetsanalytiker Jan Roger Wilkens i Telenor Sikkerhetssenter.

Kriminelle bander

Det er organiserte it-tyver som står bak angrepene, og det begynner å bli verre og verre.

- Det er ”bander” som tjener penger på dette. Storm-gjengen og Zlob-gjengen, for å nevne to. De infiserer maskiner og samler inn passord, brukernavn, kredittkortinfo, og bruker dem til å sende spam fra, serverer brukeren annonser som de tjener penger på og så videre, sier Wilkens.

Han understreker at selv om trafikken kan spores tilbake til ulike steder i verden, er det vanskelig å si om de kriminelle faktisk kommer derfra.

Systematisk til verks

Wilkens i Telenor beskriver gangen i angrepet slik:

1. De kriminelle scanner etter sårbare nettsteder og infiserer disse. Dette gjøres også gjerne via Google, der man kan søke etter sårbare nettsteder. De to mest populære svakhetene å bruke om dagen er " SQL-injection" og "remote file inclusion".

2. Injisere en iframe i sidene til nettstedet som videresender brukeren til en exploit-pakke en eller annen plass.

3. Brukeren besøker siden som er infisert og blir redirectet til en fiendtlig side og blir tvunget til å hente ned skadelig kode som tar kontroll over maskinen.

4. Brukeren blir meldt inn i et bot-nett og angriperen har full kontroll og kan bruke maskinen til hva som helst.

Pål Arne Hoff i NSM Norcert anbefaler alle norske bedrifter å holde serverne oppdaterte, ikke aktivere flere tjenester enn nødvendig og aller helst opprette egne sikkerhetsteam (Incident Response Team) som kan reagere når et angrep inntreffer.

MER OM ANGREPET: Trend Micro