Tilkynning frá netöryggissveitinni CERT-IS

28. febrúar 2022

Vegna stríðsástands í Úkraínu er aukin ógn sem steðjar að íslenskum innviðum. 
Eftirfarandi er mat CERT-IS á stöðunni ásamt almennum ráðleggingum til að bregðast við. 

Athugið að þessi greinargerð CERT-IS er eingöngu gerð út frá netöryggisþáttum. 

Ástandsmat og áhættur

CERT-IS hefur áfram ekki upplýsingar um atvik sem hafi raungerst á Íslandi eða tengt Íslandi.  

Eins og stendur er aukin óvissa um með hvaða hætti þvingunaraðgerðir Evrópuríkja og NATO munu þróast. Í kjölfarið mun Rússland líklega grípa til mótaðgerða, meðal annars netárása. Þrátt fyrir stuðning og þátttöku Íslands í aðgerðum og stakar sjálfstæðar efnahagsþvinganir er það áfram mat CERT-IS að Ísland eða íslensk fyrirtæki og stofnanir séu ekki bein skotmörk en að áhrifa muni geta gætt innan íslensks netumdæmis. Til dæmis vegna 

  • Tímabundins þjónusturofs á erlendu netsambandi 
  • Þjónusturofs hjá erlendum þjónustuaðilum og skýjaþjónustum eða öðrum birgðakeðjum 
  • Óværur berist til aðila innan íslensks netumdæmis tengt ástandinu án þess að vera beinn skotspónn árásar 
  • Aukinnar tíðni minni DDoS/RDDoS árása án þess að tengjast beint ástandinu 

CERT-IS vaktar stöðuna í samstarfi við önnur stjórnvöld og metur eins og er að ekki sé ástæða til að virkja viðbragðsáætlun Almannavarna.  

Þetta mat getur breyst hratt og því er mikilvægt fyrir alla rekstraraðila að nýta tímann vel og fara strax í aðgerðir samkvæmt ráðleggingum að neðan.  

Afar mikilvægt er í þessari stöðu að CERT-IS fái án tafa tilkynningar rekstraraðila um öll netöryggisatvik með tölvupósti á cert@cert.is, meðal annars til að flýta viðbragði og samræma viðbrögð. CERT-IS metur allar ábendingar burtséð frá því hversu lítilvægar þær geta virst.  

Óværur

Komið hafa fram nýjar óværur sem svipar til NotPetya [10] óværunnar í hegðun. Þann 15. janúar 2022 varð vart við óværu sem hefur fengið nafnið WhisperGate [11] sem skrifa yfir MBR harðra diska tengda tölvu fórnarlambs. WhisperGate hegðar sér eins og gagnagíslatökur til að blekkja fórnarlambið en eina þekkta markmið óværunnar er að eyðileggja gögn, mögulega í þeim tilgangi að fela aðra vísa og aðgerðir. Þann 23. febrúar síðastliðinn kom fram önnur óværa kölluð HermeticWiper [12] sem hegðar sér á svipaðan hátt en notast við forritið EaseUS Partition Master til að skemma gögn og endurræsa tölvuna. HermeticWiper skemmir einnig MBR hluta harðra diska og vísbendingar eru um að því hafi verið dreift með Windows reglum (e. Group Policies). Óværan hefur einnig dreifst til Litháen og Lettlands í gegnum skrifstofur sem tengdust fyrirtækjum í Úkraínu. 

CrowdStrike Falcon [13] hefur varnir gegn HermeticWiper sem gengur undir nafninu DriveSlayer hjá þeim. Microsoft Defender greinir einnig Whispergate [14] og HermeticWiper samkvæmt óháðum prófunum [15] þar sem fram kemur yfirlit yfir þær varnir sem greina HermeticWiper. Microsoft bendir á að tjóni vegna nýrra útgáfna af WhisperGate og álíka óværum sé hægt að afstýra með því að setja upp Controlled Folder Access [16].  

Bæði Crowdstrike og Microsoft tenglarnir [13][14] innifela SHA256 vísa og Orange CyberDefense heldur úti uppfærðum lista yfir vísa sem tengjast netárásum vegna innrásar Rússa í Úkraínu [17].  

Ráðleggingar

CERT-IS hvetur alla aðila til að fylgjast vel með stöðunni, fara yfir viðbragðs- og neyðaráætlanir, minnka árásarfleti, fylgjast vel með eftirlitskerfum og leitist við að lágmarka áhættu í samræmi við eftirfarandi ráðleggingar.  

Viðeigandi og hnitmiðaðar ráðleggingar um styrkingu netvarna koma fram í ráðleggingum CISA “Shields Up” [1].  

  • Draga úr líkum á alvarlegum netöryggisatvikum [1][2]  
    Stikkorð: 2FA, öryggisuppfærslur, minnka árásarfleti, tryggja uppsetningu í skýjaþjónustum 

  • Innleiða getu til að greina og uppgötva innbrot [1]  
    Stikkorð: Log-kerfi, varnir á endapunktum, eftirlit 

  • Tryggja að hægt sé að virkja viðbragðs- og neyðaráætlanir [1]  
    Stikkorð: Neyðaráætlun við stóráföllum, aðgengi að lykilstarfsfólki, samfellu í samskiptum 

  • Auka seiglu gagnvart atvikum, sérstaklega gagnagíslatökum [1
    Stikkorð: Öruggar afritunaraðferðir, prófanir öryggisafrita, rýna áætlanir um samfellu í rekstri við þjónusturof tölvukerfa 

  • Setja í áhættumat hvort þörf sé á að endurmeta núverandi DDoS varnir [6
    Stikkorð: DDoS, RDDoS 

  • Rýna eldveggjareglur og sérstaklega reglur um umferð út (e. outbound) út frá bestu venjum  
    Stikkorð: Eldveggir  

  • Fræða starfsmenn um vefveiðar (e. phishing/smishing) og þjálfa í því að greina slíkar sendingar.
    Setja upp kerfi sem geta greint og varað starfsmenn við mögulegum vefveiðapóstum [8][9
    Stikkorð: Vefveiðar 

Frekari lýsingar á hverju atriði og ítarefni koma fram á vefsíðum CISA [1][4][7]. 
Einnig bendir CERT-IS á mikilvægi þess að vakta og bregðast við veikleikum [3][5].  

Tilvísanir:  
[1] https://www.cisa.gov/shields-up  
[2] https://www.cisa.gov/uscert/ncas/analysis-reports/ar21-013a  
[3] https://www.cisa.gov/uscert/ncas/alerts/aa22-011a  
[4] https://www.cisa.gov/uscert/shields-technical-guidance  
[5] https://www.cisa.gov/known-exploited-vulnerabilities-catalog  
[6] https://otx.alienvault.com/pulse/6218bdb0e0e53a935627f6da/  
[7] https://www.cisa.gov/free-cybersecurity-services-and-tools  
[8] https://netoryggi.is/haettur/vefveidar/  
[9] https://netoryggi.is/um-vefinn/frettir/frett/2020/10/09/Netoryggi-okkar-allra/  
[10] https://en.wikipedia.org/wiki/Petya_(malware)  
[11] https://www.recordedfuture.com/whispergate-malware-corrupts-computers-ukraine/  
[12] https://therecord.media/second-data-wiper-attack-hits-ukraine-computer-networks/  
[13] https://www.crowdstrike.com/blog/how-crowdstrike-falcon-protects-against-wiper-malware-used-in-ukraine-attacks/  
[14] https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/  
[15] https://www.av-comparatives.org/av-comparatives-tests-anti-virus-software-protection-against-the-hermetic-wiper-malware/  
[16] https://docs.microsoft.com/en-gb/microsoft-365/security/defender-endpoint/controlled-folders?view=o365-worldwide  
[17] https://github.com/Orange-Cyberdefense/russia-ukraine_IOCs  

 

Til baka