Search Results for: stuxnet

Säkerhetsradion: Duqu – Stuxnet junior

Duqu är ett av de senaste onlinehoten inom kategorin cyber warfare. Duqu har kallats för Stuxnets son och i dagens podcast kommer vi att prata mer om varför. Vi kommer även att prata om skillnaden mellan de två och hur man kan skydda sig.

Tidernas mest snabbspridda Ransomware - WannaCry

Tidernas mest snabbspridda Ransomware – WannaCry

På morgonen fredagen den 12e maj började WannaCry (eller WannaCrypt / WannaCryptor) spridas som en löpeld världen över. WannaCry är ett ransomware, alltså ett program som krypterar filer och begär en lösensumma för att återställa dem, som sprider sig som en mask helt automatiskt. WannaCry riktar bara in sig på Windows-system.

Hur spridningen går till

När WannaCry körs på en dator så börjar den med att installera sig själv i systemet, och installerar även anonymiseringsprogrammet Tor, för att kunna prata anonymt med servrarna som styr masken.

Därefter börjar masken använda sig av den inbyggda fil- och skrivardelningen i Windows, för att sprida sig vidare både i det lokala nätverket, och över internet. Masken utnyttjar ett säkerhetshål i Windows som gör att den kan automatiskt köra skadlig kod på andra datorer, bara genom att ansluta till dem.

Om säkerhetshålet

Säkerhetshålet som WannaCry använder sig av finns i alla Windows-versioner, från Windows XP till Windows 10, och Windows Server. Det upptäcktes i samband med att hackergruppen Shadow Brokers släppte säkerhetsverktyg som de stulit från Equation Group i april 2017. Equation Group är en grupp som misstänks ligga bakom masken Stuxnet, och det finns flera exempel på Equation Groups kopplingar till amerikanska myndigheten NSA (National Security Agency).

Redan i augusti 2016 berättade Shadow Brokers att de hade verktyg och information om säkerhetshål som de kommit över från Equation Group, och ville ha betalt för att släppa verktygen. Bland det de kommit över, fanns flera så kallade zero-day-säkerhetshål, alltså aktuella sårbarheter som det inte släppts uppdateringar för. Ett av verktygen de kommit över kallades EternalBlue, som utnyttjar ett säkerhetshål i Windows fil- och skrivardelning för att köra skadlig kod. Microsoft släppte en uppdatering som täppte till hålet den 14e mars 2017, innan EternalBlue hade släppts publikt. Exakt en månad senare, den 14e april, valde Shadow Brokers att släppa ett par av de verktyg de kommit över, däribland EternalBlue. Vissa funderar på om de valde att släppa det, för att Microsoft nu hade patchat säkerhetshålet, även om hackergruppen hade tillgång till det över ett halvår tidigare, och Equation Group (NSA) långt tidigare än så.

Stora störningar världen över

WannaCry spreds snabbt över världen, och drabbade flera olika företag och myndigheter, som fick sina filer krypterade. Ett av de värsta exemplen verkar vara brittiska National Health Service (NHS), som ansvarar för den offentliga sjukvården i Storbrittanien. Det finns siffror som säger att över 40 brittiska sjukhus drabbades av infekterade datorer och medicinsk utrustning, vilket lett till stora förseningar, och att akutsjukvård blivit omdirigerat till andra platser.

Enligt Europol har över 200.000 datorer smittats i fler än 150 länder.

Utöver det har vi även sett bland annat tyska tågstationer

och köpcenter i Singapore bli drabbade.

Även FedEx, Nissan, Renault, Telefonica, och flera stora universitet hör också till de som fått datorer infekterade, och filer krypterade.

Drabbade i Sverige

I Sverige har jag bara hört talas om två drabbade, Sandvik, och Timrå kommun. Det innebär alltså att de har haft sårbara, icke-uppdaterade, Windows-installationer, förmodligen kopplade direkt mot Internet. Rent generellt har de nordiska länderna varit relativt förskonade. Förhoppningsvis för att de varit bra på att hålla system uppdaterade, och att de inte tillåter fil- och skrivardelning på datorer som är anslutna till internet. Man kan ju i allafall alltid hoppas..

Spridningen stoppas – av en slump

När IT-säkerhetsföretag får tag på ny okänd skadlig kod, behöver de analysera den för att se vad den gör. Det sker både manuellt, och helt automatiskt. Oftast används så kallade sandlådor (sandboxes) för att köra den skadliga koden, och se vad den gör. Sandlådan är en kontrollerad del av ett system, och på så sätt får filen som analyseras “leka i en sandlåda” och göra vad den vill, försöka sprida sig, kryptera filer och liknande. Sedan försöker man se vad den gjort, och tar beslut om det var ny skadlig kod som ska stoppas, eller kanske bara ett vanligt “snällt program” man aldrig sett förut.

Många av de som skapar skadlig kod, brukar lägga till programkod för att försöka upptäcka att den körs i en sandlåda, och alltså håller på att analyseras. Om den upptäcker att någon försöker “se vad koden gör”, så brukar den bara avsluta, eller “låtsas vara ett snällt program”. Det finns flera sätt att försöka upptäcka att koden inte körs på ett riktigt system, till exempel kan koden vänta på att användaren ska göra någonting särskilt, eller på annat sätt försöka se om datorn verkar användas normalt. Om programmet som analyseras försöker ansluta till webbplatser, brukar vissa sandlådor låtsas svara, istället för att skicka det vidare till den riktiga webbplatsen. Detta för att att se vad som händer, och för att de inte ska råka “göra något dumt” mot den riktiga webbplatsen.

Det finns flera exempel på skadlig kod som försöker ansluta ut mot slumpade icke-existerande domännamn, och om de lyckas ansluta, så antar de att de analyseras i en sandlåda, och avbryter. Detta sker innan den har visat andra tecken på “dum aktivitet”, som att sprida sig, eller kryptera filer. I fallet WannaCry så försöker den ansluta till domänen “iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”, och om den svarar, så antar den att koden analyseras och avbryter, innan den infekterar systemet eller krypterar några filer. En IT-säkerhetsexpert märkte att WannaCry försökte ansluta till den servern, och registrerade domänen, bara för att kunna spåra hur många datorer som drabbades av infektionen. Genom att äga domänen kunde han se varje gång masken kördes, och kunde se var i världen den infekterade datorn fanns. Tanken bakom det var bara att kunna få statistik om infektionen, men det ledde alltså till att masken trodde den kördes i en sandlåda, eftersom domänen helt plötsligt fanns, och den slutade infektera systemet!

ESET-användare skyddade redan från början

I april, när Shadow Brokers släppte de hackade verktygen som utnyttjade både fixade, och ofixade, sårbarheter i olika system, analyserade vi på ESET vad verktygen gjorde, och la till skydd mot det i våra antiviruslösningar. Sedan över en månad tillbaka stoppar ESET nätverksattacken som utnyttjas som “EternalBlue network attack”, och användaren är alltså skyddad, även om man inte har uppdaterat Windows.

Vi stoppar även flera versioner av WannaCry, och användare som har ESET Live Grid aktiverat, vår molnbaserade säkerhetslösning (aktiverat som standard), var skyddad redan tidigt på fredag morgon, innan spridningen hade tagit fart.

Håll systemen uppdaterade

När masken WannaCry började spridas, så hade en säkerhetsuppdatering som täppte till hålet funnits tillgängligt redan i två månader! Den 14e mars släppte Microsoft MS17-010 (KB4013389) som täppte till hålet. Alla de som har blivit drabbade har alltså inte installerat de uppdateringarna, även fast vi under april såg tusentals datorer bli infekterade, dock inte med ransomware, utan “vanliga” bakdörrar.

Microsoft har även släppt en uppdatering till Windows XP som täpper till hålet, för att så många blivit drabbade har kvar XP, även fast Microsoft slutat stödja det operativsystemet sedan länge.

Detta leder oss osökt in på nästa del…

Sluta använd gamla protokoll

Säkerhetshålet som utnyttjas finns i Windows fil- och skrivardelning. Microsoft har flera olika versioner av det protokollet, och det var SMBv1 som drabbades, ett protokoll som är flera decennier gammalt, och inte används alls av nyare operativsystem. Det har hittats flera säkerhetshål i SMBv1 som gjort att man kan ta över systemet, och till och med de hos Microsoft som jobbar med det, rekommenderar att man stänger av det! Det är lätt att stänga av, och har man relativt nya operativsystem i nätverket, så blir det mycket säkrare av att inte stödja det längre. Rådet som alltid gäller, är att minska den potentiella attackytan, och inte använda funktioner och protokoll man inte har behov av, och att inte låta saker vara nåbara från internet i onödan. Personligen tycker jag att Microsoft borde ha inaktiverat SMBv1 sedan länge som standard, med möjlighet att slå på det om man har uråldriga enheter i nätverket som kräver det.

Det finns fortfarande pengar att tjäna på ransomware

Om man drabbats av WannaCry, och fått sina filer krypterade, så ska man betala $300 för att få tillbaka filerna, det vill säga cirka 2700 kronor. Kanske ett billigt pris om personliga bilder, eller företagets ekonomiservrar eller e-postservrar är krypterade. Man bör alltid ha säkerhetskopior, och bör inte betala de lösensummor som de begär. Man kan inte garantera att filerna blir dekrypterade även om man betalar, och genom att betala stödjer man brottsligheten, och de har ett bra incitament att fortsätta.

Om filerna blir krypterade begär WannaCry betalt i Bitcoin, en virtuell valuta, där det kan vara svårt, eller rent av omöjligt, att spåra vem som betalat vad till vem.

När detta skrivs har flera betalningar gjorts till bitcoin-adresserna som används av WannaCry, och just nu uppgår det till över 29 bitcoin, vilket motsvarar nästan 500.000 kronor.

Microsofts ställningstagande mot NSA

I samband med den här incidenten har Microsoft gjort ett uttalande med sin syn på det hela. Om en amerikansk myndighet vetat om den här sårbarheten länge, utnyttjat den själv för att ta över system, och inte rapporterat det till Microsoft, så är ju de delvis ansvariga för att detta har hänt. Speciellt när system har tagits över av deras egna verktyg, som de “förlorat till hackare”.

Detta är definitivt den ransomware-attack som har fått störst och snabbast spridning, men jag tror absolut inte det är den sista. Oavsett om man hackas för att få in en bakdörr, eller få ransomware installerad så finns det fortfarande massa pengar för de kriminella att tjäna på det hela.

Malware och geografi

Vem drabbas av av skadlig kod? Många faktorer är avgörande och en av dem är geografi.

En aspekt är att Sverige ligger tvåa på listan över världens minst utsatta länder när det gäller skadlig kod (med knappt 20 procent av landets datorer drabbade på något sätt). Alla nordiska länder hamnar högt upp på listan och i översta toppen ligger Schweiz. Att vi klarar oss extra bra från sägs bero på att svenskarna i regel är skeptiska, utbildade och kör antivirus och andra säkerhetsprogram i högre grad än andra länder. Listans bottenplats innehas av Sydkorea, där över hälften av datorerna i någon grad är infekterade.

Geografiskt specifika hot, alltså attacker riktade direkt mot en utvald nation eller annat geografiskt område, ökar snabbt och tillhör idag en av de mest allvarliga metoderna för att sprida trojaner och skadlig kod. Ett exempel från 2012 är Flame, sofistiskerad skadlig kod som togs fram specifikt för cyber­spionage i Mellanöstern. De som drabbades i Flame-attacken var organisationer inom regering och utbildning samt privatpersoner, främst i Iran, Israel, Sudan, Syrien, Libanon, Saudiarabien och Egypten (som tillsammans stod för 65 procent av de utsatta).

Även den omtalade masken Stuxnet togs fram för en riktad attack mot det Iranska kärnkrafts­programmet (vi har skrivit mer om Stuxnet här). Likaså Georbot, som tycks ha varit riktad mot den georgiska regeringen, höll sig på sin kant och härjade främst kring Georgien och i ett band av länder i samma tidszon (läs mer om Georbot här). Även masken Medre, som spreds via designprogrammet AutoCAD, är ett exempel på en geografiskt riktad attack. Masken nådde toppnotering i Peru tidigare i våras (läs mer om Medre här).

Det finns även trender i vilken typ av attacker som härjar i olika länder. Här i Europa har vi fått se ganska många olika typer av ransomware som låser datorn för användaren tills en lösensumma har betalats ut – sådana attacker var länge ganska okända på andra sidan Atlanten. FBI gick dock ut med en varning för bara några dagar sedan, så risken finns att den här modellen nu når dit i större skala. Vi ser även tydligt att vissa länder, som Indien och Kina, har större andelar av äldre och mer gammaldags infektioner som inte längre är gångbara i till exempel Sverige. Troligen är det en fråga om kunskap och resurser – här har vi nyare hård- och mjukvara och kanske helt enkelt större vana.

Som vi ser gång på gång utvecklas hackarnas metoder i takt med att skydden blir bättre. Även om Sverige och det svenska folket hittills har varit hyfsat skyddade från dessa riktade attacker så kan vi nog räkna med allt fler försök framöver.

AutoCAD-ritningar stulna av industrispionage-mask

AutoCAD-ritningar stulna av industrispionage-mask

Antivirusföretaget ESET har avslöjat avancerat industrispionage riktat mot ritningar skapade i AutoCAD. AutoCAD används för design och konstruktion av hundratusentals företag över hela världen. Maskens spridning nådde nyligen en toppnotering i Peru, enligt ESET:s molnbaserade diagnossystem Live Grid.

ESET:s analyser visar att masken ACAD/Medre.A stjäl CAD-filer som öppnas i datorn och skickar dem till e-postkonton i Kina. ESET har samarbetat med den kinesiska tjänsteleverantören bakom e-postkontona, kinesiska myndigheter och Autodesk som utvecklar AutoCAD för att stoppa filerna från att skickas. ESET kan dock bekräfta att tiotusentals ritningar, främst från peruanska användare, redan hade läckt när masken upptäcktes.

AutoCAD används inom nästan all form av konstruktion och formgivning över hela världen och den som kommer över ritningarna sitter med stor sannolikhet på affärshemligheter och potentiellt mycket stora värden.

Frågan om varför masken tycks har drabbat så många användare i just Peru och om det är av en slump eller avsiktligt är svårt att svara på i dagsläget. Det kan vara så att det har funnits ett specifikt mål som i till exempel fallet med Stuxnet, men att masken sedan spritt sig oavsiktligt, säger Anders Nilsson. Det kan ju också ha varit meningen att spridningen skulle bli maximal för en större träffyta, eventuellt visar det sig senare.

ESET:s samarbete med myndigheter och företag på lokal och global nivå har stoppat spridningen av masken och hindrar den även från att skicka CAD-filer vidare.

Tror du att du är drabbad? ESET har en gratis cleaner: http://download.eset.com/special/EACADMedreCleaner.exe.

Iran i siktet än en gång

Iran, av många regeringar och säkerhetstjänster ansett som det stora hotet just nu, verkar ha utsatts för ytterligare cyberattacker. Senast var det anläggningar för anrikning av uran som angreps när Stuxnet angrep datorer på kärnkraftverket Bushehr. Nu är det oljeexporten som tycks vara under attack.

ESET siar om cyberhotåret 2012: mobilattacker, botnät och riktade attacker

ESET:s samlade säkerhetsexperter världen över har sammanställt en lista över hur vi tror att hotlandskapet på nätet kommer att se ut under 2012. Högst upp på listan finns hot mot smart­phones. Android har vuxit i rasande fart och kommer att utgöra huvudfokus för cyber­skurkar som inriktar sig på mobila enheter.

Vi estimerar att topp fyra kommer att se ut ungefär såhär:

  • Mobila attacker
  • Hot mot Windows 7
  • Riktade attacker
  • Stärkt social engineering

Under 2011 har vi sett ett flertal varianter av skadlig kod riktad mot mobila enheter, så som SMS-trojaner som infekterar mobiltelefoner och orsakar ofrivilliga SMS-utskick till dyra nummer samt mobila botnät som förvandlar en mobil enhet till en hub för kriminella ändamål. Under 2012 kan vi också räkna med att se mer spyware (som till exempel SpyEye och Zeus som härjade i juli i år) och andra hot för mobila enheter, som blir mer och mer utsatta genom ökad lagring av känslig infor­mation.

I oktober i år hade ESET identifierat 41 varianter av skadlig kod för Android, där 30% av hoten låg gömda i nedladdningar från Android Market, 37% var SMS-trojaner och 60% av den skadliga koden hade botnätegenskaper (alltså någon form av fjärrstyrning).

Men Androidhoten utgör inte den enda trend vi kan se gällande säkerhet för operativsystem. Gartner har förutspått att Windows 7 kommer att vara det mest använda operativsystemet under slutet av året, vilket innebär att hot som rootkits för 64 bit-Windows sannolikt kommer att öka under 2012. I takt med att skydds- och antivirusmöjligheterna blir mer avancerade kan vi även räkna med att cyber­skurkarna tar till allt mer komplexa metoder för att kunna fortsätta göra skada.

Under 2012 kan vi också räkna med att se fler specifika fall av skadlig kod utvecklad för att attackera särskilda mål, som Stuxnet gjorde under förra året. Just nu kan vi se Duqu (som vi tidigare pratat om i Säkerhetsradion) och sannolikheten är stor att fler hot av samma typ dyker upp nästa år.

En annan stor trend som vi troligtvis kommer att se under 2012 är en förändring i spridnings­metoder för cyberskurkar. De traditionella kanalerna, så som e-post, IM eller USB-enheter kommer förmodligen att se en minskning i attacker medan sociala ingenjörstekniker för sociala nätverk och blackhatsmittade SEO-resultat borde se en ökning. Även drive-by-nedladdningar, alltså skadlig kod installerad på känsliga, men legitima webbsidor, borde utgöra en attraktiv kanal för den som vill orsaka skada.

En sammanfattande video över vad ESET estimerar kommer bli några av 2012 års största hot finns här.

Var säkra i cyberrymden och ha ett gott nytt år!

Cyberkrigare, cyberskurkar, cyberidealister: Same same, but different

De senaste åren har hackningsincidenter fått mycket utrymme i media. Allt började med cyberkriminella som använde sig av trojaner för att komma åt din dator, dina filer eller dina pengar.

Sedan fick hackergrupper som Anonymous mycket uppmärksamhet för sina aktioner och nu när mainstreamen har insett vad ”några ungdomar” kan göra för att utmana stora företag och organisationer, så börjar man inse faran av digital krigsföring.

Om några unga människor kan hacka sig in i ett nätverk som bör vara säkert, vad kan då en stat eller terrororganisation göra? E24 skriver mer om ämnet här.

Visst finns det skillnader mellan de olika grupper som nämns här; några vill tjäna pengar, andra letar efter prestige och sedan Stuxnet hittades förra året vet vi även att det finns tydliga politiska mål bakom vissa attacker.

Men det som är intressant är att, även om alla har olika motiv bakom sina attacker, så använder de sig i grunden av samma verktyg och utnyttjar svagheter i datorer, nätverk och mjukvara.

När det finns en teknologisk utveckling på en sida eller en grupp hittar på ett nytt verktyg eller tillvägagångssätt så kan vi vara säkra på att de andra grupperna kommer vilja använda sig av det. I och med utvecklings raska takt kommer det att bli svårt för både säkerhetsbranschen och för regeringar världen över att hänga med i svängarna.

Lite säkerhetsnyheter

Spekulationerna om vilka som ligger bakom Stuxnet har varit många, men nu verkar det som om det finns ett svar och som att spekulationer om Israels inblandning kanske stämmer. Den israeliska dagstidningen Haaretz,  läser jag i Help net security, skrivit om att Stuxnet nämnts i en hyllningsvideo som visades på en avtackningsfest för den Israeliske generalen Gabi Ashkenazi.

Säkerhetsfirman HBGary, .Inc, leverantörer till bland annat amerikanska myndigheter, ska enligt Crowdleaks.org ha arbetat med att ta fram ett nytt rootkit, närmast omöjligt att hitta och avlägsna.

Roger Grimes gör en intressant uppdelning av de olika hackertyper man kan hitta om man tar sig tid att leta, hans bloggpost finns här på Infoworld.