SIKKERHET | Månedens etterretning
Kraftigere angrep mot nordiske virksomheter
Aktiviteten i mars viser et tydelig mønster: trusselaktørene holder tempoet oppe, med særlig høy aktivitet fra russiske grupperinger mot europeiske og nordiske virksomheter.
Samtidig ser vi et urovekkende skifte i både hvordan de skaffer seg tilgang, og hvor fort alt skjer. Der stjålne passord tidligere var den vanligste inngangsbilletten, ser vi nå en økning i angrep som starter med utnyttelse av sårbarheter i programvare, spesielt i skymiljøer. Tiden fra første fotfeste til tilgangen er overført til nye operatører, har falt fra timer til minutter. I enkelte tilfeller helt ned til 22 sekunder.
Det stiller ekstreme krav til hvor raskt vi klarer å oppdage og håndtere angrep, før de rekker å utvikle seg til fullskala hendelser.
Nulldagssårbarheter og infostealers
Bruken av nulldagssårbarheter, der angripere utnytter sikkerhetshull før leverandøren kommer med en oppdatering, preger aktiviteten vi har sett i mars.
Thomas Havdal Rydland
Thomas Havdal Rydland er leder for etterretning i Advania Cyber Defence Center. Han rapporterer månedlig til Computerworld om hva som beveger seg på sikkerhetsfronten for norske virksomheter.
Det er tre tydelige trender som skiller seg ut:
- Rask avdekking av Citrix-angrep: Vi observerte at trusselaktører aktivt utnyttet en kritisk sårbarhet i Citrix NetScaler. Angrepet ble fanget opp i vår "lokkedue-infrastruktur" også kalt honeypots allerede 29. mars, før amerikanske sikkerhetsmyndigheter hadde slått fast at sårbarheten ble aktivt misbrukt. Dette viser hvor viktig det er med overvåking som oppdager nye angrep før de blir allment kjent.
- Omgåelse av innlogging (FortiClientEMS): Funn fra mars viser at angripere utnytter en tidligere ukjent svakhet i sikkerhetsprogramvaren FortiClientEMS. Denne er særlig alvorlig fordi den gjør det mulig å hoppe helt over innlogging. I praksis gir dette tilgang til systemer uten gyldige brukernavn eller passord.
- Falske applikasjoner stjeler data: I mars har vi sett en tydelig økning i angrep med såkalte «infostealers», altså skadevare som stjeler informasjon. Angrepene starter ofte med at brukere laster ned det som ser ut som helt legitime applikasjoner, som i bakgrunnen kjører ondsinnet kode, for eksempel DSR.exe. Hensikten er å hente ut lagrede passord, informasjonskapsler (cookies) og nettleserhistorikk fra brukerens maskin, slik at identitetene kan misbrukes senere.
Til sammen tegner funnene et trusselbilde der angripere kombinerer svært korte tidsvinduer, avansert utnyttelse av sårbarheter og målrettet tyveri av brukerinformasjon.
Når både infrastrukturen i bakgrunnen og brukerne i front utnyttes, blir det helt avgjørende å korte ned tiden fra angrep til oppdagelse, og å sørge for både rask patching og god opplæring av brukere.
Geopolitikk: Et farligere nordisk nabolag
I mars advarte både den finske sikkerhetstjenesten SUPO og den svenske signaletterretningstjenesten FRA om et forverret trusselbilde. FRA beskriver at Sverige går inn i en farligere periode, preget av økt spionasje og omfattende fiendtlige etterretningsoperasjoner, særlig fra Russland og Kina.
Kina-tilknyttede aktører bygger nå avanserte proxy-nettverk (Operational Relay Boxes) basert på kompromitterte hjemmerutere, VPN-tjenere og smarte enheter. Slike nettverk, som i stor grad er konsentrert i Asia–Stillehavsregionen og USA, brukes til å skjule opprinnelsen til angrep ved å få trafikken til å se ut som den kommer fra legitime, lokale leverandører.
For Norge betyr dette at både kritisk infrastruktur, offentlige virksomheter og sentrale leverandørkjeder opererer i et langt mer krevende risikobilde. Med høy grad av sikkerhet kan vi forvente at russiske cyberoperasjoner mot nordisk infrastruktur fortsetter å eskalere, samtidig som ransomware i økende grad brukes som statsstøttet virkemiddel, både for å forstyrre tjenester og for å gi dekke til mer langsiktige etterretnings- og spionasjeoperasjoner.
Fikk du med deg forrige måned Etterretningsrapport: Nye phishing-teknikker og geopolitisk spenning.
Hva bør virksomheter tenke på fremover?
Dataangrep skjer raskere enn før, og angripere bruker kunstig intelligens til å skalere og effektivisere kjente angrepsmetoder som sårbarhetsutnyttelse, passordangrep og målrettet svindel.
Det er fire viktige tiltak du kan gjøre nå for å beskytte din virksomhet og dataene dine:
- Oppdater systemene raskt: Angripere leter hele tiden etter sikkerhetshull i programmene vi bruker. Utnyttelse av disse er en av de vanligste veiene inn. Systemer og tjenester som er eksponert mot internett (f.eks. påloggingsportaler), bør oppdateres så snart nye sikkerhetsoppdateringer er tilgjengelige.
- Vær tålmodig med nye «byggeklosser»: or egenutviklede løsninger bør nye versjoner av kodebiblioteker og tredjepartsverktøy ikke tas i bruk automatisk samme dag som de kommer. Ved å la dem modne litt, gir vi sikkerhetsmiljøet tid til å avdekke eventuelle skjulte forsyningskjedeangrep. Verktøy som pnpm tilbyr for eksempel funksjoner som minimumReleaseAge nettopp med tanke på dette.
- Bygg flere lag med sikkerhet: Fordi ingen systemer er feilfrie, og angrep kan gå svært fort, trengs flere lag med beskyttelse. I tillegg til endepunktsikkerhet må virksomheter ha overvåking som fanger opp unormal atferd inne i nettverket, på samme måte som en bevegelsessensor varsler når innbruddet først har skjedd.
- Sikre pålogging bedre: Stjålne passord er fortsatt en av de største risikoene. Riktig satt opp totrinnskontroll (MFA), kombinert med regler som stopper innlogginger fra uvanlige land, ukjente enheter eller mistenkelig aktivitet, er helt sentralt for å redusere angrepsflaten.
