Gammel trussel, men med nye offer
Selv om en ikke anser seg selv som et mål så er dette en god grunn til å sikre seg godt, skriver Vegard Kjerstad.
Leder Incident Response Team (IRT)
Norge er kjent for å ligge langt fremme når det kommer til teknologi, noe vi selvfølgelig er stolte av. Men det er også en gruppe som viser spesiell interesse for dette. Jeg snakker selvfølgelig om de kriminelle. De følger den digitale utviklingen tett der det investeres i innovasjon og teknologi. I Norge er det svært mange med kraftige it-løsninger, f.eks. designere, arkitektkontor, media og produksjonsselskaper, universitetsmiljøer og en lang rekke andre virksomheter med «grenseløs» prosessorkraft. Selv om en ikke anser seg selv som et attraktivt mål så er dette en god grunn til å sikre seg ekstra godt.
Tjener penger på virksomhetens prosessor
Noen tjener penger på din prosessorkraft. Vi har i det siste vært involvert i flere hendelser der de kriminelle har fått boltre seg i uviss tid. Det blir kun oppdaget på grunn av feil i koden til angriperen, eller at de kriminelle rett å slett blir for grådige i form av de belaster virksomhetens maskinvare så mye at det blir merkbart tregt for brukerne. Et godt eksempel er Wannamine crypto jacking worm som vi først ble kjent med i 2018 i versjon 1. Dagens nyere versjoner er smartere og bedre – og ikke fullt så enkel å oppdage. Det er skummelt å tenke på når Mørketallsundersøkelsen 2020 viser at en skremmende stor andel av informasjonssikkerhetshendelsene fortsatt avdekkes ved en tilfeldighet. Dette i kombinasjon med at NRK beta melder at det tar i snitt over 200 dager å oppdage et datainnbrudd, kan føre til store skader for virksomhetene.
Lager kryptovaluta med andres maskiner
«Cryptojacking» er en form for cyberangrep der en hacker kaprer en virksomhets prosessorkraft for å utvinne kryptovaluta på hackerens vegne, ved å utnytte ofrenes maskiner til å "mine" og utvinne kryptovaluta. Å «Mine» er begrepet for å utføre kalkulasjonene/beregningene som er nødvendige for å genere ny valuta. Selve tyveriet er genialt. De kriminelle mottar kryptovalutaen på sin konto, mens offeret betaler for både utstyret, strømmen og prosessorkraften, og vet som regel ikke at de er hacket i det hele tatt. Man kan se på «Cryptominere» som parasitter som fint kan leve i symbiose med verten uten å bli oppdaget. Man oppdager «parasitten» på den kortere levetiden på utstyr som «miner», da slitasjen ved å utføre kalkulasjonene krever mye prosessorkraft.
Som nevnt er det gjerne tilfeldigheter som gjør at det oppdages, ved at man reagerer på at prosessorene og vifter står og går på 100 % og systemer er tregere enn normalt. De vet ofte kjernetiden for når de ansatte jobber, og begrenser sin utvinning av kryptovaluta i denne perioden for å minimere risikoen for å bli oppdaget.
Hvordan du blir infisert?
Som alltid så er tilgang via brukerne effektivt. Gjerne i form av e-poster, men det er også veldig vanlig at svakheter utnyttes for å ta seg inn. For eksempel en eksponert webtjeneste som mangler sikkerhetsoppdateringer, eller en dårlig sikret fjerntilgang, som for eksempel et eksternt skrivebord. Mange tenker kanskje at det ikke er så farlig om noen snylter litt på maskinkraften. Men utenom å oppleve ustabilitet, misfornøyde brukere og feil i programmer som ikke får den kapasiteten den trenger for å kjøre, så er det faktisk inne i systemene dine og har tilganger til å gjøre mye mer ugagn.
Jeg er med andre ord bekymret for antallet virksomheter som til enhver tid er hacket og har uvedkommende inne i systemene uten å vite om dette. Hacket uten å vite om dette. Eller som toppsjefen i Cisco John T. Chambers sier det:
“There are two types of companies: those that have been hacked, and those who don't know they have been hacked”
Hvor begynner man?
Bruk overvåkningsverktøy og etabler god sikkerhetsovervåkning på løsningene dine. Sånn evner du bedre å fange opp aktiviteten som forsøker å fly under radaren. Det er i dag gode muligheter for å få hjelp av teknologien til å avdekke unormal aktivitet som måtte oppstå.
Få kontroll på sårbarhetene i din virksomhet, jobb kontinuerlig for å tette hullene og holde de kriminelle ute.
Nasjonal Sikkerhetsmyndighet (NSM) har tidligere i år lansert grunnprinsippene innenfor IT-sikkerhet i versjon 2.0. I Atea er det denne vi legger til grunne for både vårt satsningsområde på IT-sikkerhet og vår interne IT-sikkerhet. Vi har derfor utviklet en modenhetsanalyse vi kjører på våre kunder som ønsker å få et tydelig bilde av sin sikkerhet opp mot samtidstrusselbilde. Om noen først skal bruke virksomhetens utstyr til å «mine», så hadde det vært langt bedre om det var til virksomhetens fordel. Kanskje man skulle benyttet kapasiteten til å produsere kryptovaluta selv. Du blir neppe rik, men det kan jo kanskje bli et bidrag til julebordskassen til 2021 om ikke annet.