Security

Ett internationellt polistillslag som letts av Londons Metropolitan Police Service i Storbritannien och involverade myndigheter från 19 olika länder, bland annat Sverige, har lett till att nätfisketjänsten Labhost tagits ned.

Tjänsten gav cyberkriminella tillgång till realistiska kopior av 170 kända organisationers webbsidor som de kunde använda för nätfiske. Bara i Storbritannien beräknas flera tiotusentals offer blivit lurade av de fejkade webbsidorna och blivit av med inloggningsuppgifter. De cyberkriminella använde sedan uppgifterna för att stjäla pengar eller så såldes de vidare.

LabHost ska varit aktiv sedan 2021 och tillslaget är ett resultat av ett polisarbete som påbörjades under 2022. Enligt The Register har polisen än så länge gripit 35 personer, varav 25 i Storbritannien. Enligt polisen ska många av dem varit äldre tonåringar och personer i 20-årsåldern som velat tjäna snabba pengar.

Labhost hade omkring 2000 betalande prenumeranter samtidigt som myndigheterna tog ner tjänsten. Polisen ska nu sitta på information om de här prenumeranterna och säger att fler gripanden förväntas göras de kommande månaderna.

Enligt Cybersecurity and Infrastructure Security Agency (CISA) har hackare från Ryssland kommit åt mejl från amerikanska myndigheter, detta i samband med den uppmärksammade cyberattacken mot Microsofts e-postsystem i januari.

Hackarna, som Microsoft valt att kalla för Midnight Blizzard, tros arbeta för Ryska federationens yttre underrättelsetjänst (SVR).

Som en följd av intrånget har CISA skickat ut ett akut direktiv till myndigheterna för att få dem att så snart som möjligt byta ut alla lösenord och se till att systemen är säkra att använda.

”Midnight Blizzard använder information som ursprungligen exfiltrerats från Microsofts e-postsystem, inklusive autentiseringsuppgifter som delats mellan Microsofts kunder och Microsoft via e-post, för att få eller försöka få ytterligare tillgång till vissa av Microsofts kundsystem. Microsoft och CISA har meddelat alla federala myndigheter vars e-postkorrespondens med Microsoft identifierades som exfiltrerad av Midnight Blizzard”, skriver CISA i ett pressmeddelande.

Exakt vilka myndigheter som drabbades av intrånget framgår ej.

– Detta nöddirektiv kräver omedelbara åtgärder från myndigheter för att minska risken för våra federala system, säger CISA:s chef Jen Easterly i pressmeddelandet.

– Under flera år har den amerikanska regeringen dokumenterat skadlig cyberaktivitet som en del av den ryska taktiken; den senaste komprometteringen av Microsoft läggs till denna långa lista.

CISA:s direktiv gäller enbart federala myndigheter i USA men myndigheten säger att även andra organisationer kan ha drabbats och uppmanas höra av sig till kundansvariga på Microsoft för vägledning.

Startupen Crowdfense har nu uppdaterat sin prislista för vad företaget är villigt att betala för olika dagnollattacker för mobiler, webbläsare och meddelandetjänster. Det hela uppmärksammades först av Techcrunch.

Crowdfense affärsmodell är att köpa kunskap om dagnollattacker och sedan sälja den vidare till andra organisationer, såsom myndigheter, som behöver attackverktygen för att spåra eller spionera på kriminella.

I den uppdaterade prislistan går det att se att Crowdfense är villiga att betala 5 och 7 miljoner dollar, motsvarande mellan 52 och 74 miljoner kronor, för en dagnollattack som gör det möjligt att ta sig in i en Iphone. Företaget erbjuder också 5 miljoner dollar för en dagnollattack till Android, 3 miljoner dollar för en till Chrome, 3,5 miljoner dollar för en till Safari, 3 miljoner för en till Whatsapp och 5 miljoner dollar för en till Imessage.

Priserna kan jämföras med Crowdfense prislista från 2019 där företaget som mest erbjöd 3 miljoner dollar för en dagnollattack till Android eller IOS. De ökade priserna spåras till att de olika mjukvaruprodukterna blivit säkrare med tiden och därmed svårare att hacka.

Under det senaste året har en lång rad sårbarheter upptäckts i mjukvara från Ivanti, vilket hackare inte har varit sena att utnyttja.

Så sent som i går varnade Myndigheten för samhällsskydd och beredskap (MSB) för ytterligare fyra sårbarheter i Ivanti Connect Secure och Ivanti Policy Secure. Uppmaningen är att installera de senaste uppdateringarna så snart som möjligt för att vara på den säkra sidan.

Nu har Ivantis vd Jeff Abbott skrivit ett öppet brev där han lovar att genomföra en lång rad förändringar för att få tillbaka användarnas förtroende.

Bland annat ska utvecklarna fokusera på säkerhet i varje del av mjukvarans livscykel och åtgärder ska dessutom vidtas för att förhindra hackare att utnyttja kända sårbarheter.

Om de utlovade åtgärderna räcker för att återvinna kundernas förtroende återstår att se.

Ukrainas militär har delat ut ett tacksamhetspris till den utländska civila hackargruppen One Fist för att ha utfört angrepp mot Ryssland, rapporterar BBC. Gruppen består av hackare från åtta olika länder, som Storbritannien, USA och Polen.

One Fist har utfört ett dussin cyberattacker och har bland annat lyckats stjäla data från ryska militärsjukhus och hackade även kameror som gjorde det möjligt att spionera på ryska trupper.

Sedan Ryssland invaderade landet har Ukraina uppmanat frivilliga hackare att angripa ryska mål. Ett beslut som varit kontroversiellt. Bland annat har Röda Korset uppmanat till att inte använda sig av eller uppmuntra civila hackare.

Utdelningen av utmärkelsen tros vara första gången som ett land offentligt belönat civila hackare för skadliga och potentiellt kriminella intrång. Ukrainas försvarsministerium har inte kommenterat det hela ytterligare.

Även ryska myndigheter har anklagats för att använda sig av hackargrupper som Killnet för att angripa Ukraina. De ryska myndigheterna har nekat till detta.

Att snabbt få igång sina it-system efter en cyberattack är avgörande för att verksamheten snabbt ska kunna återupptas. Men en undersökning som Norstat utfört på uppdrag av Kyndryl Norden visar att svenska banker och finansföretag inte övar särskilt ofta på det. 48 procent har aldrig övat på det, 24 procent övar en gång om året, 20 procent en gång i halvåret, åtta procent övar minst en gång i månaden och två procent övar varje vecka. 

– Om man överhuvudtaget tillmäter övningar ett värde innebär det i sin tur att många företag saknar tillräcklig praktisk omstartsförmåga vilket påverkar lönsamhet och till och med företagets förmåga att överleva. För genom övningarna tränas inte bara rutiner och handhavande, även brister i systemen och oklarheter i ansvarsområden blir tydliga och kan åtgärdas, säger Beda Grahn, vd för Kyndryl Norden. 

Dessutom har bara 26 procent av de svenska bankerna tränat inför eventualiteten att information i deras viktigaste it-system stjäls eller raderas enligt undersökningen. 

Så hur förbereder de sig då? Vanligast är att spara snapshots och säkerhetskopior sparas i helt separerade it-miljöer, det gör 74 procent. 62 procent har redundanta och fysiskt separerade it-hallar och 62 procent har en tydlig plan för vem som gör vad vid en eventuell omstart. 50 procent uppger att de förberett sig genom att ha försäkringar för cyberattacker och 36 procent uppger att de har en ”helt cyberresilient så kallad air gapped-solution med forensik och kapacitet att snabbt återställa produktionen”. 

Undersökningen baseras på svar från 50 it-ansvariga och it-säkerhetschefer i företag inom bank- och finanssektorn i Sverige. 

Under 2020 mottog polisen i Finland en brottsanmälan från finska motsvarigheten till Säpo, Skyddspolisen, om ett dataintrång mot den finska riksdagens datasystem. Brottet misstänks ha begåtts under hösten 2020 och början av 2021. Finska Centralkriminalpolisen har utrett det som grovt spioneri, grovt dataintrång och grov kränkning av kommunikationshemlighet.

Nu meddelar Centralkriminalpolisen att förundersökningen bekräftar att hackargruppen APT31 ligger bakom det misstänkta brottet och att en brottsmisstänkt identifierats. APT31-gruppen är kopplad till Kinas säkerhetstjänst och Skyddspolisen har redan tidigare haft underrättelseuppgifter om att gruppen legat bakom intrånget.

– Förundersökningen har varit omfattande och tidskrävande, eftersom det har varit fråga om en exceptionellt utmanande utredning och bakom den finns en invecklad brottslig infrastruktur, säger utredningsledaren, kriminalkommissarie Aku Limnéll vid Centralkriminalpolisen, i ett pressmeddelande.

Centralkriminalpolisen skriver att förundersökningen av situationen fortsätter. Tidigare i veckan pekade USA och Storbritannien ut bland annat APT31 för att ha genomfört cyberattacker mot amerikanska verksamheter och kinesiska dissidenter i USA och mot det politiska systemet i Storbritannien. Även Nya Zeelands säkerhetstjänst pekade häromdagen ut statsstödda kinesiska hackare som ansvariga för ett dataintrång mot parlamentet som skedde i augusti 2021.

Enligt Bleeping Computer har en grupp säkerhetsforskare upptäckt allvarliga sårbarheter i elektroniska dörrlås av typen Saflok.

Med hjälp av sårbarheterna, som fått samlingsnamnet Unsaflok, är det möjligt för hackare att låsa upp miljontals lås på 13 000 hotell runt om i världen.

Det enda som krävs är tillgång till ett nyckelkort för hotellet i fråga och rätt utrustning. Sedan är det fritt fram att skapa egna nyckelkort som kan öppna alla dörrar på hotellet.

Sårbarheterna ska finnas i samtliga Saflok-lås som använts under de senaste 36 åren, men det finns lyckligtvis inga tecken på att hackare fått upp ögonen för sårbarheterna förrän nu.

Arbetet med att byta ut låsen och nyckelkorten i fråga inleddes i november, men i skrivande stund är det bara vart tredje lås som bytts ut eller uppgraderats.

Häromdagen kunde vi rapportera om att intensiva överbelastningsattacker riktats mot franska myndigheter, något som ställt till med en hel del problem.

Senaste nytt är att France Travail, landets motsvarighet till Arbetsförmedlingen, har utsatts för en omfattande hackarattack.

Som en följd har känslig information om 43 miljoner fransmän som sökt jobb under de senaste 20 åren hamnat i orätta händer.

Enligt Bleeping Computer handlar det bland annat om namn, födelsedatum, socialförsäkringsnummer, adresser, telefonnummer och mejladresser.

Uppgifterna kan bland annat användas vid nätfiske och identitetsstölder, så medborgarna uppmanas att vara på sin vakt.