Cybersäkerhetscentrets veckoöversikt – 49/2022 | Traficom
Hoppa till huvudinnehåll
Cybersäkerhetscentret
Anmäl kränkningar
Anmäl kränkningar
Anmäl kränkningar

Cybersäkerhetscentrets veckoöversikt – 49/2022

15. december 2022 kl 11:28

Det här är Cybersäkerhetscentrets veckoöversikt (rapporteringsperiod 2.12–8.12.2022). Vår veckoöversikt innehåller information om aktuella cyberfenomen. Veckoöversikten är avsedd för alla från cybersäkerhetsexperter till vanliga medborgare.

TLP:CLEAR

I denna veckas översikt behandlas följande

  • Dataläckage av Android-enheters plattformscertifikat
  • Det kan vara svårt att uppdaga beroendekonflikter och leveranskedjeangrepp
  • Cyberangrepp kan påverka tillgången till tjänster på oväntade sätt
  • Sårbarheter

Dataläckage av Android-enheters plattformscertifikat

I maj i år fick Google en anmälan om att plattformscertifikat på enheternas operativsystemsnivå eventuellt har läckt. De läckta certifikaten var digitala underskrifter av så kallade OEM-tillverkare (OEM - Original Equipment Manufacturer) vars uppgift är att garantera att Android-operativsystemen som är installerade i enheterna är genuina. Enligt de offentligt tillgängliga uppgifterna har de läckta certifikaten hört till bl.a. Samsung, LG, MediaTek och Renoview. [1]

Den största risken med läckan är att certifikaten används för att underteckna skadlig programvara. I detta fall kommer operativsystemet att identifiera att programmet har samma certifikat som operativsystemet självt, vilket ger det skadliga programmet användarrättigheter på operativsystemsnivå, det vill säga de högsta möjliga. Enligt Googles egen anmälan kan skyddsmekanismerna i Google Play Store trots detta identifiera även dessa skadliga program. Risken ligger hos appar som laddats ner utanför de officiella appbutikerna såsom Google Play Store eller Galaxy Store. Med hjälp av en webbaserad tjänst som följer Android-appar kunde man identifiera över 1 700 appar som fortfarande använder sig av de läckta plattformscertifikaten. [2]

Enligt Samsung kan deras läckta certifikat eventuellt redan ha använts för skadlig verksamhet år 2016. Det här uppdagades när en misstänkt skadlig programvara som undertecknats med certifikatet i fråga hade laddats upp på en tjänst vid namn VirusTotal. Enligt Samsung känner de dock inte till något fall där sårbarheten i fråga skulle ha utnyttjats. [3]

Användarna kan även i dessa situationer påverka säkerheten i sina egna enheter.

  1. Uppdatera alltid enheten med den senaste versionen av operativsystemet.
  2. Uppdatera alltid enhetens appar till deras senaste versioner.
  3. Ladda enbart ner appar från officiella appbutiker.
  4. Om enheten inte längre uppdateras, bör användaren allvarligt överväga att byta ut enheten till en som fortfarande erhåller säkerhets- och operativsystemsuppdateringar.

Det kan vara svårt att uppdaga beroendekonflikter och leveranskedjeangrepp

Ingen är alldeles ensam mer i vårt moderna samhälle. I vår vardag behöver vi flera olika tjänster, och även organisationer är beroende av varandra. Till exempel behöver en matbutik livsmedel att sälja, deras tillverkare behöver råvaror av hög kvalitet, och bägge behöver transport. För att transportera varorna behöver förarna väl omhändertagna vägnät, medan underhållet av vägnätet för sin del är beroende av flera olika faktorer.

Dessa beroendeförhållanden berör alla organisationer, men alla är inte beroende av samma saker eller samma aktörer. Liksom olika aktörer i den fysiska världen är beroende av varandra, är även cybervärlden full av olika beroendeförhållanden.

Som en del av organisationens riskhantering bör man reda ut vad företaget är beroende av. Utöver uppdatering av tjänster, arbetsstationer och operativsystem är företag till exempel beroende av sina programbibliotek. Biblioteken som används kan vara ens egna, offentliga eller hybrider.

De filer, program och system som används i en organisation skapar komplicerade och långa kedjor. Om man verkligen vill försöka hantera riskerna kring dessa leveranskedjor måste man känna till de olika delar som kedjorna består av.

Vid ett leveranskedjeangrepp gör någon intrång i en organisations informationssystem via de nätverk, tjänster, produkter eller projekt med öppen källkod som den använder. I angreppet utnyttjas organisationens förtroende för sina leverantörer. Angreppet kan gå via samarbetspartner, tjänsteleverantörer, programvaror eller enheter.

Angriparen tar sig in i leverantörens system och infekterar en del av leveranskedjan med en skadlig kod, varefter den sprider sig via produktens normala distributionskanal till samarbets- och kundorganisationer.

Syftet med leveranskedjeangrepp är att få fotfäste någonstans i leveranskedjan i olika organisationer. När fotfästet säkerställts kan det användas för olika typer av fortsatta angrepp, till exempel dataintrång och angrepp med utpressningsprogram.

Det är viktigt att upptäcka och hantera leveranskedjeangrepp, eftersom de har stor betydelse för organisationens anseende och förtroendet i nätverket. Vid leveranskedjeangrepp är både leverantören och kunden offer. För att hantera situationen krävs det öppenhet och samarbete mellan de olika parterna.

Det kan vara utmanande att upptäcka en informationssäkerhetsincident som genomförts via en leveranskedja, eftersom angriparen utnyttjar organisationens förtroende för sina samarbetspartner. Ofta görs intrånget genom att man använder sig av samarbetspartnernas förbindelser eller infekterar applikationen som de tillhandahåller. I sådana fall gör angriparen inte ännu när intrånget sker någonting som kan tolkas som misstänkt eller skadligt.

Cyberangrepp kan påverka tillgången till tjänster på oväntade sätt

I en uppkopplad värld blir en persons bekymmer snabbt någon annans bekymmer, och genom cyberangrepp orsakas ofta problem även för andra än de som blivit utsatta för angreppet. Enbart under den här veckan har man rapporterat problem i åtminstone Belgien, Sverige, Tyskland och Nya Zeeland orsakade av beroendeförhållanden eller leveranskedjor.

I Sverige har man rapporterat ett misstänkt cyberangrepp som kan leda till att hela 35 000 svenskar hotas av att åtminstone tillfälligt bli utan sina förmåner. Cyberangreppet mot IT-serviceleverantören Softronic uppdagades fredagen 2.12, och som en försiktighetsåtgärd stängde man helt av arbetslöshetskassans (A-kassans) system. Polisen samt Myndigheten för samhällsskydd och beredskap MSB kartlägger fortsättningsvis situationen. [1-4]

I Nya Zeeland har ett angrepp med ett utpressningsprogram riktat mot en IT-serviceleverantör orsakat stora störningar i flera statliga myndigheter. Angreppet har åtminstone påverkat tillgången till information inom hälsovårdsbranschen. Landets justitieministerium och några aktörer inom den privata sektorn har rapporterat att angreppet också påverkat behandlingen av uppgifter som de använder. [5]

I Belgien har tjänsterna i Antwerpen störts som resultat av ett cyberangrepp. Angreppet riktades inte direkt mot Antwerpen, utan målet var stadens IT-serviceleverantör Digipolis. Det lyckade angreppet mot Digipolis lamslog dock samtidigt en stor del av Antwerpen stads digitala tjänster. Inga säkra uppgifter om cyberangreppets art finns tillgängliga i det här skedet, men man misstänker att det handlar om ett angrepp med ett utpressningsprogram. [6] Brottslingar som är ute efter pengar bryr sig inte om vem som deras angrepp skadar, och ofta blir utomstående medborgare offer, liksom hände här med invånarna i Antwerpen.

I Wolfsburg i Tyskland lider Volkswagens bilfabrik av allvarliga produktionsproblem. Enligt Volkswagens operativa direktör har deras leveranskedja försatts i ”totalt kaos” i och med att varuleverantörer inhiberar beställningar och till exempel priset på mikrochip har mångdubblats. [7] Även om det inte är fråga om ett cyberangrepp, är produktionsproblemen i Volkswagens fabrik ett bra exempel på hur viktig en fungerande leveranskedja är. Fallet Volkswagen är ett bra exempel på hur problem med leveranskedjan också kan bero på problem i den fysiska världen, och inte alltid ett cyberangrepp.

Att förbereda sig för incidenter är ett bra sätt att minska deras allvarlighetsgrad samt möjliggöra snabb återhämtning och en fortsättning på affärsverksamheten. Organisationen kan bedöma sin beredskap genom att använda till exempel Cybersäkerhetscentrets Cybermätare. [8] En i förväg upprättad incidenthanteringsplan ger ett bra utgångsläge för hur man ska agera när en incident inträffar. Organisationen ska även säkerställa att olika åtgärder, till exempel att låsa användarkoder, blockera servrar och enheter från nätverket samt begränsa nättrafiken till skadliga IP-adresser eller domännamn, är tekniskt möjliga och att personalen även har kompetens för att genomföra dem.

Det är viktigt att samla in, sammanställa och övervaka loggdata för att kunna upptäcka incidenter i tid. Loggdata gör det även möjligt att utreda incidenter grundligt och gör rensningen och återställandet av miljön snabbare. Cybersäkerhetscentret har utarbetat anvisningar för hur man samlar in och använder loggdata [9]. Beroende på vilka system en organisation använder, krävs vanligtvis dessutom lösningar på nätverks- och systemnivå för omfattande monitorering.

Sårbarheter

CVE: CVE-2022-4262
CVSS: 8.8
Vad: RCE (Remote Code Execution)-sårbarhet
Produkt: Webbläsaren Google Chrome
Korrigering: Uppdatera Chrome snabbt, utnyttjandet av sårbarheten har redan upptäckts i världen

Prenumerera på Cybersäkerhetscentrets nyhetsbrev eller RSS-flöden för att få information genast när den publiceras.