Kampen mot cyberbrottslighet – 3 tips för att förebygga hackning

2018-04-056 Minute Read

Vad gjorde man för att förebygga hackning under vinter-OS i Sydkorea? Det kanske inte var något som de sportintresserade funderade särskilt mycket på, men det var definitivt något som organisatörerna av eventet la mycket energi på. Även om det inte blev stora rubriker så gjorde ett explosivt spear phishing-angrepp och andra problem med it-säkerhet årets evenemang till ett av de mest hackade sportevenemangen genom tiderna. Cyberbrottslingar ville komma åt allt guld och deras nya taktiker avslöjar mycket om hur hoten mot informationssäkerheten ser ut 2018.

Inte nog med att årets evenemang var ett av de mest politiska någonsin påpekar Wired även att det år 2018 nästan har blivit en serie av hackarbrott. Den komplexa cyberbrottshärvan som inleddes månader innan evenemanget började var inte ett verk av några vanliga scriptungar. Kampanjen inbegrep en nästan perfekt symfoni av hackningstekniker, bland social manipulation, komplexa tekniska taktiker, mardrömslik skadlig kod med mera.

En spear phishing-mardröm

22 december 2017 fick sydkoreanska organisationer som var kopplade till det här massiva evenemanget ett mejl som såg ut att ha skickats från Sydkoreas nationella antiterroristcenter (NCTC). Avsändaren såg alltså ut att vara en pålitlig källa och mejlet kom i perfekt tid för NCTC:s antiterrorövningar på plats.

Mejlet innehöll ett bifogat dokument med en inbäddad scripttung bild i en HTA-fil. Den ledde till en PowerShell-bakdörr klockan 02.00 när angriparna utgick ifrån att mottagarna inte aktivt skulle använda sina jobbdatorer. I nästa steg jobbade fyra olika skadeprogram (som kallas Gold Dragon, Brave Prince, Ghost419 och Running Rat av McAfee-analytiker) sida vid sida för att hjälpa hackarna att etablera en permanent närvaro i mottagarens nätverk och hämta all information de ville ha från offrens datorer.

Hur slank den här hackningen igenom?

Det är oerhört svårt att hitta avsändarna, särskilt när det gäller så här sofistikerade kampanjer. Analytiker menar dock att de här problemen troligtvis är statligt understödda, eller åtminstone politiskt motiverade. Ryan Sherstobitoff säger till CyberScoop att attackerna har vissa tecken som pekat på att de har gjorts av en grupp, inte en enskild person.

En viktig ledtråd är att attackerna inte är ekonomiskt motiverade, åtminstone inte i den typ av snabb belöning som dagens virala epidemi med ransomware innebär. Sherstobitoff säger: ”Den ihärdiga dataexfiltration vi ser från dessa implantationer kan ge angriparen ett potentiellt försprång.”

Om det visar sig stämma att cyberattackerna var politiskt motiverade kan det läggas till högen av statligt understödda cybersäkerhetsproblem som rör Pyeongchang. En ökänd hackargrupp som kallas Fancy Bear har stulit och läckt dokument i syfte att avslöja idrottare för dopning. Ett uttalande på gruppens webbplats antyder dessutom att fler läckor kommer att komma.

3 lektioner från Pyeongchang för att förebygga hackare

Årets evenemang i Pyeongchang hade en rapporterad budget för cybersäkerhet på 1,2 miljoner dollar. Det kan tyckas vara en ansenlig summa, tills man inser att hela it-infrastrukturen byggdes från grunden för det två veckor långa evenemanget. USA:s departement för inrikes säkerhet varnade officiellt turister som besökte evenemanget och uppmanade dem att se upp för säkerhetsproblem, bland annat med de vanliga svaga punkterna såsom öppna wifi-nätverk och de risker som finns med ouppdaterad mobilprogramvara.

Med över 300 datorsystem som hade hackats innan facklan ens hade tänts ville de säkerhetsansvariga inte säga exakt hur de hanterade det men de var tydliga med att de vidtog åtgärder. Man kunde bara hålla tummarna för att turisterna var säkra och att hackarna inte lyckades komma åt evenemangets officiella poängsättning, men det finns ändå en massa praktiska tips för att förebygga hackning som vi kan hämta från det här it-säkerhetsdramat. Här är några saker du kan lära dig av de här sofistikerade attackerna:

1. Brottslingarna rör sig snabbare än det jamaikanska bobsleigh-teamet

Mejlangreppet startade 22 december, bara två dagar efter 20 december då det nya verktyget Invoke-PSImage lanserades för allmänheten. Verktyget gör det möjligt att använda steganografi, eller bädda in ett script i pixlarna på en PNG-bild. Med andra ord tog det bara hackarna två dagar att bygga den tekniska mekanismen bakom attacken.

”Det finns ingen anledning att använda en dagnollattack eftersom cyberbrottslingarna nu utvecklar och använder hackningsverktyg mycket snabbare,” skriver Raj Samani i Forbes. Även om dagnollhot fortfarande är en skrämmande verklighet är det ännu läskigare att tänka sig att hackargrupper rör sig så pass snabbt.

2. Social manipulation ökar

Man kan knappast skylla på de organisationer som föll offer för mejlattackerna i Pyeongchang. Mejlen verkade ju stämma tidsmässigt med de antiterroraktiviteter som NCTC skulle genomföra. När det slogs samman med den schemalagda bakdörrsinstallationen klockan 2 på morgonen är det tydligt att cyberattackerna i Pyeongchang, precis som de flesta incidenter som rör it-säkerhet, hade planerats strategiskt.

3. Det är svårare att upptäcka it-attacker idag

Alla mejlbrott vi ser passar in i mallen för fillösa attacker, vilket egentligen är en missvisande benämning eftersom hot av det här slaget tekniskt sett inte är fillösa, de är bara mycket svårare att upptäcka än traditionella metoder för att placera skadlig kod. Fillösa attacker är beroende av sårbarheter inom tillåtna program för att placera skadlig kod, till exempel Flash och Windows PowerShell. Under det senaste året var 77 procent av säkerhetsincidenterna fillösa. Generellt sett är den här kategorin 10 gånger effektivare än andra alternativ.

Ökningen av fillösa attacker, sofistikerad social manipulation och blixtsnabb kodning av hackarna är dåliga nyheter om du bara använder gammalmodiga skyddsmetoder för din säkerhet, till exempel traditionella, signaturbaserade antivirusprogram. Det är dåliga nyheter hur du än vrider och vänder på det, men du har mindre att oroa dig för om du har förstklassiga säkerhetslösningar i din ände. Det kan till exempel vara en företagsskrivare som är inställd på att upptäcka attacker och självläka för att hindra dem från att infektera hela nätverket.

Med över en miljard dollar för cybersäkerheten kan man inte säga att de organisationer som jobbade för att stötta årets evenemang i Pyeongchang inte hade investerat i att förebygga hackning. Man kan hoppas att spear phishing-attackerna i slutet av december är det värsta cybersäkerhetsproblemet under evenemanget men tecknen på den troligtvis statligt understödda hackningen lär oss några ovärderliga läxor om hur cybersäkerhet ser ut 2018.

Tektonika Staff 2018-09-13 5 Minute Read

Sopa inte IoT-säkerhet och -utbildning under mattan

IoT finns överallt omkring oss men vi är inte alltid medvetna om hur viktigt det är med IoT-säkerhet. Alla nätverksanslutna enheter innebär en risk.

Jasmine W. Gordon 2018-09-11 5 Minute Read

Hur kan du undvika säkerhetsbrott du inte ens visste fanns?

Säkerhetslösningarna som förhindrar säkerhetsbrott är inte nödvändigtvis de mest toppmoderna. Börja med att förbättra IT-nätverkets säkerhet.

Tektonika Staff 2018-09-05 4 Minute Read

Behandla dina skrivare som pappersätande servrar

Genom att använda datorer och skrivare med integrerade säkerhetsfunktioner, kan organisationer bli säkrare, smidigare och effektivare.