Tilkynning frá netöryggissveitinni CERT-IS

24. maí 2022

Sjá einnig fyrri fréttir [1][2][3][4][5]. 

Samantekt

Ástandsmatið er nánast óbreytt frá því í lok mars, ástandið er síbreytilegt og daglega eru sviptingar á pólítískum vettvangi án þess að um verulega stigmögnun sé að ræða. Umsókn Svía og Finna um aðild að NATO hefur skapað spennu en óljóst er hvaða áhrif það hefur. Íslendingar aðstoðuðu PussyRiot við að flýja til Íslands sem virðist ekki hafa leitt til viðbragða. Mat CERT-IS er að stuðningur Íslands við Úkraínu gefi ekki tilefni til að Ísland sé skotmark. 
Orðið hefur vart við að netógnir færist út fyrir Úkraínu án þess þó að það geti talist herferð og oft ekki um yfirlýstar aðgerðir að ræða. Helst er um að ræða aðgerðir á vegum aðgerðasinna (e. hacktivists) og ógnarhópum með tengsl við Rússland. Gera má ráð fyrir áframhaldandi vexti í slíkum árásum, aðallega á þau lönd sem veita Úkraínu aðstoð í formi vopnasendinga. 

Atvik, vísar og helstu fréttir

  • 24. mars  - CISA varar við ógnarhópum sem ráðast gegn orkuinnviðum [6][7

  • 29. mars  - CISA varar við að árásaraðilar sé virkir í að ráðast á varaaflgjafa (e. UPS),
                      oft í gegnum sjálfgefin auðkenni (e. default credentials) [8].
                      CISA í samstarfi við DoE hafa gefið út leiðbeiningar til að verjast slíkum árásum [9]. 

  • 12. apríl -  Ný útgáfa af Industroyer óværu notuð í árásum á orkuinnviði í Úkraínu [10].
                     Árásaraðilar nota aðrar útgáfur af óværum samanber CaddyWiper, ORCSHRED,
                     SOLOSHRED og AWFULSHRED og talið er að þeir noti ssh samskipti
                     (e. ssh tunnels) til að dreifa sér milli neta. [11]

  • 13. apríl - DDoS árás á opinberar vefsíður í Finnlandi tengt ávarpi Herra Selenskíjs [12]. 

  • 14. apríl - Óværan IcedID (aka BokBok) er notuð við árásir innan Úkraínu [13], Zimbra
                     veikleiki [14] meðal annars notaður við innbrot og stuld á gögnum. 

  • 29. apríl - The Record greinir frá DDoS árásum á opinbera vefi og fleiri aðila í Rúmeníu á
                     vegum ógnarhópsins Killnet sem hefur tengsl við Rússland [15]. 

  • 3. maí    - Greiningarhópur Google um ógnarhópa (e. Google Threat Analysis Group - TAG)
                    upplýsir um auknar árásir á mikilvæga innviði tengda olíu, gasi, fjarskiptum og framleiðslu.
                    Árásir voru meðal annars í eystrasaltslöndunum [16]. 

  • 12. maí  - The Record greinir frá DDoS árásum á opinbera vefi og fleiri  aðila á Ítalíu á vegum
                    ógnarhópsins Killnet sem hefur tengsl við Rússland [17].  

CISA, Microsoft og RecordedFuture halda úti vefsíðum sem eru uppfærðar reglulega með nýjustu upplýsingum og viðvörunum [18][19][20]. 

Samansafn af vísum ásamt skýrslum með tímalínum tengt hernaðinum í Úkraínu er að finna á GitHub [21]. 

Ástandsmat og áhættur

Tæpir 3 mánuðir eru síðan Rússland réðst inn í Úkraínu og í kjölfarið hófu Evrópuríki, NATO ríki og fleiri ríki þvingunaraðgerðir gegn Rússlandi og ýmsan stuðning við Úkraínu. Rússland hefur gripið til mótaðgerða og borið hefur á auknum netárásum og meðal annars frá ógnarhópum sem hafa verið taldir tengjast rússneskum yfirvöldum. Dæmi er um árásir á Norðurlöndum, Póllandi, Spáni, Þýskalandi, Rúmeníu og Ítalíu sem eru taldar tengjast slíkum hópum. 
Tenging ógnarhópa (e. attribution) við ákveðin atvik eða hernaðaraðgerðir er hins vegar ekki áreiðanleg í öllum tilvikum. 

Áfram er er óvissa um með hvaða hætti aðgerðir munu þróast en að sama skapi að þrátt fyrir stuðning og þátttöku Íslands í aðgerðum og stakar sjálfstæðar efnahagsþvinganir og aðgerðir er það áfram mat CERT-IS að Ísland eða íslensk fyrirtæki og stofnanir séu ekki bein skotmörk en að áhrifa muni geta gætt innan íslensks netumdæmis. 

CERT-IS hefur ekki upplýsingar um atvik sem hafi raungerst á Íslandi eða tengt Íslandi, fyrir utan íslenskar ip tölur sem hafa tekið þátt í árásum á erlend fórnarlömb. Í apríl og maí hefur borið á auknum vefveiðum tengt Microsoft 365 og gagnagíslatökum á Íslandi, en ekki hægt að tengja það við hernaðaraðgerðir í Úkraínu. 

CERT-IS vaktar stöðuna í samstarfi við önnur stjórnvöld og metur eins og er að ekki sé ástæða til að virkja viðbragðsáætlun Almannavarna. Það mat er í samræmi við mat CERT/CSIRT teyma sem CERT-IS fær upplýsingar frá. 

Mat CERT-IS er áfram þannig að staðan geti breyst hratt og því mikilvægt að vakta ástandið og gefa út ráðleggingar til mikilvægra innviða og annarra til að vera undirbúin ef ástandið stigmagnast og netárásir raungerast. 

Ef til stigmögnunar kemur þá er getur slík stigmögnun raungerst án nokkurra undanfara eða yfirlýsinga. Sem stendur er það mat CERT-IS að líklegustu afleiðingarnar innan íslensks netumdæmis séu vegna afleiddra áhrifa en ekki beinna árása á landið. Afleidd áhrif gætu þá til dæmis verið vegna 

  • Tímabundins þjónusturofs á erlendu netsambandi 
  • Þjónusturofs hjá erlendum þjónustuaðilum og skýjaþjónustum eða öðrum birgðakeðjum
  • Óværur berist til aðila innan íslensks netumdæmis tengt ástandinu án þess að vera beinn skotspónn árásar 
  • Aukinnar tíðni minni DDoS/RDDoS árása án þess að tengjast beint ástandinu 

Afar mikilvægt er í þessari stöðu að CERT-IS fái án tafa tilkynningar rekstraraðila um öll netöryggisatvik með tölvupósti á cert@cert.is, meðal annars til að flýta viðbragði og samræma viðbrögð. CERT-IS metur allar ábendingar burtséð frá því hversu lítilvægar þær geta virst.  

Ráðleggingar

Mat CERT-IS er að þetta ástand sé ekki til styttri tíma heldur muni standa yfir til lengri tíma. Það er því mikilvægt að líta ekki á aðgerðir sem tímabundinn sprett heldur sem langhlaup og fara skipulega í aðgerðir. Áhættumat er mikilvægt verkfæri til að stýra áhættum og lágmarka árásarfleti, þar sem slíkt mat byggir meðal annars á líkindum þá vill CERT-IS benda á mikilvægi þess að horfa sérstaklega til þess að bæta áfallaþol þegar kemur að netöryggi, en ekki horfa eingöngu til áhættumats. Sérstaklega áhættur sem hafa mikil áhrif en eru metin ólíkleg í hefðbundnu ástandi. 

CERT-IS hvetur alla aðila til að fylgjast vel með stöðunni, fara yfir neyðar- og viðbragðsáætlanir, minnka árásarfleti, fylgjast vel með eftirlitskerfum og leitist við að lágmarka áhættu í samræmi við eftirfarandi ráðleggingar. 

  • Draga úr líkum á alvarlegum netöryggisatvikum [22][23
    Stikkorð: 2FA, öryggisuppfærslur, minnka árásarfleti 
    • Athugið að 2FA stillingar geta átt við fyrirtæki sem hýsa og hafa umsjón með lénaskráningum, eins og t.d. ISNIC 
    • Við viljum benda sérstaklega á að fara yfir öryggisstillingar í skýjaþjónustum, til dæmis Microsoft 365, Amazon (AWS) og álíka 
    • Afvirkja macros og rýna öryggisstillingar í Microsoft Office pakkanum 
    • Rýna sérstaklega áhættur tengdar birgðakeðjum og verktökum 

  • Huga að rekstraröryggi stoðkerfa og grunn þjónustu   
    Stikkorð: DNS, NTP, UPS 
    • Huga að öryggi lénaþjóna og þjónustu (e. DNS) 
    • Huga að öryggi klukkuþjóna (m.a. atómklukkur) og þjónustu (e. NTP) 
    • Huga að öryggi varaaflgjafa (e. UPS) [9]

  • Innleiða getu til að greina og uppgötva innbrot [22
    Stikkorð: Log/SIEM-kerfi, varnir á endapunktum, eftirlit 

  • Tryggja að hægt sé að virkja viðbragðs- og neyðaráætlanir [22
    Stikkorð: Neyðaráætlun við stóráföllum, aðgengi að lykilstarfsfólki, samfellu í samskiptum, skrifborðsæfingar 

  • Auka seiglu gagnvart atvikum, sérstaklega gagnagíslatökum [22
    Stikkorð: Öruggar afritunaraðferðir, prófanir öryggisafrita, rýna áætlanir um samfellu í rekstri við þjónusturof tölvukerfa 
    • Athuga sérstaklega afritun gagna í skýjaþjónustum og að meta þol gagnvart útfalli á skýjaþjónustum og meta mótvægisaðgerðir. 
    • Athuga sérstaklega áföll þar sem lykilorðabankar verða óaðgengilegir 

  • Setja í áhættumat hvort þörf sé á að endurmeta núverandi DDoS varnir [27
    Stikkorð: DDoS, RDDoS 

  • Rýna eldveggjareglur og sérstaklega reglur um umferð út (e. outbound) út frá bestu venjum 
    Stikkorð: Eldveggir 

  • Vakta og bregðast við veikleikum [24][26
    Stikkorð: Veikleikar 

  • Fræða starfsmenn um vefveiðar (e. phishing/smishing) og þjálfa í því að greina slíkar sendingar. Setja upp kerfi sem geta greint og varað starfsmenn við mögulegum vefveiðapóstum [29][30
    Stikkorð: Vefveiðar 

Frekari lýsingar og ítarefni koma fram á vefsíðum CISA [22][25][28]. 


Tilvísanir:  
[1]  https://cert.is/um-cert-is/frettir/frett/2022/02/24/Tilkynning-fra-netoryggissveitinni-CERT-IS/
[2]  https://cert.is/um-cert-is/frettir/frett/2022/02/28/Tilkynning-fra-netoryggissveitinni-CERT-IS/
[3]  https://cert.is/um-cert-is/frettir/frett/2022/03/11/Tilkynning-fra-netoryggissveitinni-CERT-IS/
[4]  https://cert.is/um-cert-is/frettir/frett/2022/03/18/Tilkynning-fra-netoryggissveitinni-CERT-IS/
[5]  https://cert.is/um-cert-is/frettir/frett/2022/05/23/Tilkynning-fra-netoryggissveitinni-CERT-IS/
[6]  https://www.cisa.gov/uscert/ncas/alerts/aa22-083a
[7]  https://www.darkreading.com/attacks-breaches/triton-malware-still-targeting-energy-firms
[8]  https://www.cisa.gov/uscert/ncas/current-activity/2022/03/29/mitigating-attacks-against-uninterruptable-power-supply-devices
[9]  https://www.cisa.gov/sites/default/files/publications/CISA-DOE_Insights-Mitigating_Vulnerabilities_Affecting_Uninterruptible_Power_Supply_Devices_Mar_29.pdf
[10] https://therecord.media/researchers-find-new-malware-variant-after-stopping-attack-on-ukrainian-energy-provider/
[11] https://pylos.co/2022/04/23/industroyer2-in-perspective/
[12] https://securityscorecard.com/blog/zhadnost-strikes-again-this-time-in-finland
[13] https://securityaffairs.co/wordpress/130250/cyber-warfare-2/icedid-against-ukraine-gov-agencies.html
[14] https://nvd.nist.gov/vuln/detail/CVE-2018-6882
[15] https://therecord.media/romanian-government-says-websites-attacked-by-pro-russian-group/
[16] https://blog.google/threat-analysis-group/update-on-cyber-activity-in-eastern-europe/
[17] https://therecord.media/italy-killnet-hacking-military-parliament-national-health-institute/
[18] https://www.cisa.gov/uscert/russia
[19] https://aka.ms/ukrainespecialreport
[20] https://www.recordedfuture.com/ukraine/ 
[21] https://github.com/curated-intel/Ukraine-Cyber-Operations
[22] https://www.cisa.gov/shields-up  
[23] https://www.cisa.gov/uscert/ncas/analysis-reports/ar21-013a  
[24] https://www.cisa.gov/uscert/ncas/alerts/aa22-011a  
[25] https://www.cisa.gov/uscert/shields-technical-guidance  
[26] https://www.cisa.gov/known-exploited-vulnerabilities-catalog  
[27] https://otx.alienvault.com/pulse/6218bdb0e0e53a935627f6da/  
[28] https://www.cisa.gov/free-cybersecurity-services-and-tools  
[29] https://netoryggi.is/haettur/vefveidar/  
[30] https://netoryggi.is/um-vefinn/frettir/frett/2020/10/09/Netoryggi-okkar-allra/  

 

Til baka