Slik angriper de

Da pandemien traff Norge i 2020 gjennomgikk samfunnet på kort tid en digital transformasjon der nordmenn har måttet ta i bruk digitale flater og verktøy for å få tak i nødvendige varer og tjenester, men også for å kommunisere med omverden.

Covid 19-kriminaliteten vedvarer

Under hele pandemien har de kriminelle aktørene opprettholdt utnyttelsen av den sosiale distansen. Som eksempel har Telenor i løpet av 2021 blokkert 115 000 uønskede anrop hver eneste dag – bare i Norge. Bruk av hjemmekontor har også blitt en del av den nye normalen. Det betyr at mange nordmenn fortsatt vil arbeide under isolerte forhold – også etter pandemien. Når vi er alene, må vi i større grad stole på egne vurderinger. En stor del av vurderingene våre er basert på følelser, og det er nettopp følelsene de kriminelle aktørene angriper og manipulerer. Dette gjør oss mer sårbare for digitale angrep. Telenor mener det er sannsynlig at de kriminelle aktørene vil opprettholde sitt høye aktivitetsnivå i 2022.

Innsidetrussel – slik forsøkte trusselaktører å rekruttere Telenor-ansatte

I løpet av 2021 mottok enkelte Telenor-ansatte kontaktforespørsler via LinkedIn. De som tok kontakt, oppga at de hadde jobbet i en Telenor-

butikk og at de ønsket å få utført SIM-endringer. Like etter kom SIM-forespørselen til de ansattes private e-postadresse, som bakmennene mest sannsynlig hadde hentet ut fra LinkedIn.

«Hei, jeg vet at du jobber i Telenor. Vil du tjene mye ekstra penger? Du vil få fullstendig anonyme betalinger via kryptovaluta», lokket «Ahsan» i e-posten, før han kom til hva han ville ha utført: «Alt du må gjøre, er å aktivere noen allerede eksisterende Telenor-numre på mitt SIM-kort. Jeg sender over ICCID–koden på SIM-kortet, i tillegg til nummeret jeg vil ha aktivert på det.»

For hvert nummer som blir overført, lovet bakmannen 250 amerikanske dollar (eller mer) i betaling, og presiserte at «vi kan gjøre dette så mange ganger du vil daglig».

Til slutt oppgav bakmannen sitt eget brukernavn på den anonyme og krypterte meldingsappen Wickr Me

– der ingen meldinger kan leses av uvedkommende, eller spores til verken avsenderens eller mottakerens identitet.

Når valget står mellom å bruke avanserte og ressurskrevende angrepsverktøy for å komme seg inn i en bedrifts stadig sikrere IT-systemer, eller å betale en ansatt noen tusenlapper for samme type tilganger eller informasjon, velger trusselaktørene gjerne minste motstands vei.

Hvorfor et spørsmål om SIM-kort?

Forespørselen om å flytte mobilnummer til andre SIM-kort mot betaling, gikk samtidig ut til flere ansatte i Telenorbutikken og Telenors kundeservice flere steder i Norge.

Hadde bakmennene fått napp, kunne de i praksis fått full kontroll over mobilnummeret til den som egentlig eier nummeret.

Trusselaktørene kunne også brukt innsideren til å skaffe seg tilgang til offerets kontoer – for eksempel e-post eller kryptolommebøker – ved å nullstille passord eller motta koder for totrinnsverifisering over SMS.

Dette er ikke bare en potensiell trussel for private, men også bedrifter – der full tilgang på telefonsamtaler og SMS-er til en ansatt kan åpne dørene videre for spionasje, direktørsvindel eller andre typer angrep mot en virksomhet.

Uansett kan skadeomfanget være enormt for offeret og gevinsten tilsvarende stor for trusselaktørene, i tillegg til at Telenor hadde risikert et kraftig omdømmetap.

Deepfake – fremtidens svindlere kan komme til å bruke deepfake

«Deepfake» brukes som et samlebegrep på bilder, video og lyd fremstilt ved hjelp av maskinlæring. Typiske bruksområder er å bytte ut ansikter eller å lage syntetiske stemmer som til forveksling ligner personen de er kopiert fra.

For å lage en troverdig deepfake er kildematerialet viktig. Jo mer høyoppløselig bilde, video eller lydmateriale man har av personen som skal forfalskes, desto bedre er utgangspunktet for å bygge den digitale modellen.

Når den kunstige intelligensen er trent opp med kildematerialet, kan den gis instruksjoner og produsere mer eller mindre troverdig resultat, avhengig av teknologiens kvalitet.

Så hvordan kan deepfake misbrukes? Der «Microsoft-svindel» er en klassisk telefonsvindel i dag, kan deepfake være fremtidens kriminelle gründeridé. Her vil ikke den som svarer telefonen møte på en engelsk stemme med indisk aksent – men kanskje en person som tilsynelatende er norsk – og kanskje godt kjent?

Som et tenkt eksempel kan man se for seg et callsenter bemannet kun av datamaskiner. Disse driver med automatiserte oppringninger til norske nummer og prøver å få sine ofre i tale med et tilforlatelig formål, for eksempel en spørreundersøkelse. Spørsmålene skal helst gi lange svar som gjør det lett å bygge en digital stemmemodell av offeret.

Neste skritt er å kombinere ulike datalekkasjer fra sosiale medier, som telefonnumre og vennelister, for å kartlegge nettverk og peke ut alle som skal motta samtaler fra offeret.

Ved å forfalske telefonnummeret til offeret (via såkalt spoofing) ringes deretter hele vennelisten opp. Har mottakerne nummeret lagret, lyser navnet opp på skjermen.

I den andre enden er en stemme de kjenner fra før, som leser opp et manus. Når offeret svarer, vil maskinen forsøke å reagere i sanntid gjennom stemmegjenkjenning og kunne generere nye svar på sparket. På denne måten kan maskinen lokke ut sensitive opplysninger fra offeret.

Deepfake høres unektelig effektivt ut og er allerede teknisk mulig å gjennomføre. Så hvorfor opplever vi ikke en flom av slik svindel allerede?

Trolig fordi det finnes enklere og mindre ressurskrevende svindelmetoder som fortsatt fungerer godt. Men deepfake kan bli en del av våpenarsenalet til disse aktørene når nok dører er blitt lukket for dem.

Mer målrettet svindel

Ettersom mange kriminelle aktørers virksomhet har blitt mer utfordrende på grunn av skjerpet nettsikkerhet gjennom pandemien, har aktørene blitt presset til å lage mer troverdige kulisser for å lure til seg personopplysninger, kortinformasjon, penger, engangskoder og BankID. Det har også blitt vanlig å kombinere ulike digitale verktøy for å gjøre henvendelsen mer troverdig.

2022 fikk en ekstra dramatisk start for tre kunder i en norsk bank, som opplevde at flere hundre tusen kroner forsvant fra kontoene deres etter en ny og svært kynisk telefonsvindel.

Alle hadde fått en SMS fra «banken» om «falske aktiviteter» på kontoene deres. De ble bedt om å ringe kundesenteret på et 800-nummer så raskt som mulig. Her ble de møtt av en norsktalende kvinne, som ville hjelpe dem med å stoppe svindelen.

Kundene ble tidlig i samtalen bedt om å «bekrefte identiteten sin» med BankID, noe de også gjorde – uten å forstå at kvinnen i realiteten var en svindler. Dermed hadde de kriminelle aktørene alt de trengte for å logge seg inn på nettbanken. Mens kvinnen «hjalp» kunden på telefonen, ble kontoen tømt.

Her har kriminelle aktører gått til det skritt å opprette et 800-nummer, en nummertype mange forbinder med nettopp bedrifter – og dermed stoler litt ekstra på. Når SMS-en i tillegg har «bankens navn» som avsender, er det lett å gå i fella.

Den klassiske fremgangsmåten for svindel er snudd på hodet. I stedet for at kriminelle aktører ringer til ofrene, får de ofrene til å ringe til seg. Når telefonen ringer, vet dermed aktørene at de har fått noen på kroken.

Fra Olga-svindel til Politisvindel

En annen metode som har kommet til i løpet av 2021 er «Politisvindel». Metoden er en videreutvikling av den mer kjente metoden «Olgasvindel» der svindlere søker å ringe til eldre kvinner, ved å gå etter ofre med navn som Olga, Sigrid, Gerd eller Kari. De utgir seg for å ringe fra banken deres, og målet er å få dem til å oppgi koder, passord og annen sensitiv informasjon.

Telenor og andre operatører har vedvarende gjort det vanskeligere å spoofe og misbruke bankenes numre, og når nok dører er lukket, beveger de kriminelle aktørene seg videre.

Misbruk av politiets telefonnumre er blitt svært populært blant kriminelle aktører, da et anrop fra ordensmakten gir stor grad av troverdighet. De nettkriminelle er dyktige til å skape overbevisende historier og forestillinger. Historiene kan for eksempel være at man har blitt utsatt for lånebedrageri, som gjør at etterforsker trenger innloggingsdetaljer og BankID for å løse «politisaken» og begrense tapet.

De fleste vil skvette til om de ser politiets offisielle nummer i displayet når det ringer.

Om det ringer fra «politiet» er det heller ikke naturlig for de aller fleste å utfordre denne autoriteten, spesielt ikke om det de sier stresser en. Elementet med stress er noe som går igjen i de fleste svindelforsøk. Ofte vil de fortelle at noe står på spill, som at en er i ferd med å bli svindlet eller at kontoen er sperret. Ved å si at dette haster, forsøker de å fremprovosere en overilt handling.

Flubot

Våren 2021 så vi for første gang Flubot-viruset i Norge. Da hadde det allerede sirkulert i andre europeiske land i noen måneder.

Flubot er et Android-virus som spres via SMS og er laget for å detektere og imitere bank- og crypto-

valuta-applikasjoner.

Viruset skjuler seg i forskjellige apper (DHL, Voicemail osv) som lastes ned fra kompromitterte, legale nettsider.

De første innkommende SMS-ene med lenker til viruset kom fra tyske nummer, men det tok ikke lang tid før vi så at SMS-er med link til viruset spredte seg mellom norske nummer.

Før viruset kan installeres, må brukeren gi flere godkjenninger og overstyre sikkerhetsmekanismer. Blant annet må man gi tillatelse til nedlastning av ukjente apper, man må gi utvidede tillatelser til den aktuelle appen og man må godkjenne advarsler av typen «Denne filtypen kan skade enheten din. Vil du likevel installere?».

Dersom viruset blir installert, får det fullstendig kontroll over den infiserte terminalen ved blant annet å:

• Installere ny meldingsapp som overstyrer eksisterende. Dette medfører at innkommende SMS til en infisert terminal ikke vil kunne leses av brukeren, men vil kunne videresendes og leses av andre

• Formere seg ved å sende spam-SMS til kontakter som lastes ned fra en Command&Control- server (C2)

• Sende offerets kontaktliste til C2-server

• Detektere bank- og kryptovaluta-apper på den infiserte terminalen

• Åpne falske “overlays” når offeret åpner bank/kryptoapper; det vil si visuelle elementer som tilhører viruset, og som legger seg helt eller delvis oppå appen

• Logge offerets kredittkortinformasjon og sende denne til C2-server

• Slå av Google Play Protect

Utvikling

Vi har sett at SMS-ene har kommet i flere bølger, gjerne med forskjellig innhold og app.

De første meldingene var relatert til pakkehenting og DHL-app, den ble etterfulgt av en bølge med voicemail relatert innhold med tilhørende app, før det så kom en bølge med videorelatert innhold med Flash Player app.

Skaperne bak viruset har også laget en variant som ser ut som en sikkerhetsoppdatering mot nettopp Flubot.

Hva gjør vi som operatør og hva kan kundene gjøre?

Fra første stund har vi som operatør forsøkt å begrense spredningen av viruset.

Dette kan gjøres ved å blokkere SMS med lenke til viruset, samt blokkere tilgang til nettadressene der viruset kan lastes ned.

Blokkering av nettadresser (i Nettvern) viste seg raskt å være en veldig vanskelig oppgave da lenkene endret seg hele tiden. I tillegg peker de gjerne til legale nettsider som har blitt kompromittert.

Den største innsatsen har derfor blitt lagt på å blokkere SMS med skadelig innhold; både innkommende SMS fra andre operatører og blokkering av våre egne, infiserte kunder.

Svindlerne tilpasser seg stadig operatørenes forsøk på å hindre spredningen av viruset.

Det at viruset stadig utvikler seg gjør også vår jobb i å hindre spredning vanskelig.

Ultimo april 2022 så vi en ny utvikling av Flubot der den spres også via MMS. Siden MMS og SMS bruker forskjellig teknologi så vil en sperre for SMS ikke påvirke utsending av MMS.

Antall blokkerte meldinger varierer stort fra uke til uke. I enkelte perioder har vi blokkert flere millioner SMS per dag, mens i roligere perioder er tallet betydelig lavere. Hittil i år har vi blokkert i underkant av 20 millioner Flubot-meldinger.

Det er også lagt mye innsats i å informere våre kunder om Flubot, både hva det er og hva man bør gjøre hvis man får viruset installert på sin mobiltelefon.

For ordens skyld: Det man må gjøre hvis man får Flubot på telefonen er å starte mobilen i «Sikker Modus» (Safe Mode) og så fjerne den aktuelle appen, da den ikke vil la seg avinstallere i «vanlig» modus.

1. juni publiserte Europol en pressemelding om at de har klart å pågripe personene bak Flubot og dermed satt en stopper for denne langvarige kampanjen. Dette sammenfaller med og forklarer en nedgang i antall blokkerte meldinger i vårt nett. Vi håper og tror at dette er det siste vi har sett av Flubot, men vi må nok være forberedt på at liknende virus vil dukke opp også i fremtiden.

Ransomware – en vedvarende trussel som stadig tilpasser seg

Da forrige utgave av Digital sikkerhet ble utgitt, var vi inne i en bølge med større ransomware-angrep mot vestlige mål som til dels truet samfunssikkerhet og helse. Dette gjaldt for eksempel angrepene mot Colonial Pipeline-rørledningen i USA, det irske helsevesenet, kjøttvareindustrien i USA og amerikansk politi.

Noen av ransomware-bandene skjønte etter en bølge med større angrep at de hadde gått for langt, og at politi og myndigheter var i ferd med å mobilisere mot dem. Etter angrepet mot Colonial Pipeline beklaget for eksempel grupperingen som stod bak, DarkSide, at angrepet hadde fått så store konsekvenser og de lovet at det ikke lå noe politisk bak aksjonen. Mange mistenkte etter hvert at oppsvinget i alvorlige ransomware-angrep kunne være en del av en statsstøttet kampanje fra Russland, med et økonomisk motiv kun brukt som kamuflasje.

Både myndigheter og teknologibedrifter i flere land skjønte at noe måtte gjøres. I april opprettet Institute for Security and Technology «Ransomware Task Force» (RTF) i samarbeid med representanter fra teknologi- og sikkerhetsbedrifter, regjeringer, politi og internasjonale organisasjoner. I sin første rapport anbefalte gruppen at politiet prioriterer denne typen saker, at organisasjoner pålegges å informere myndighetene om betalinger av løsepenger og å pålegge kryptovalutabørser å vite hvem kundene er og overvåke transaksjoner, altså strengere KYC (Know Your Customer)/AML (Anti-Money Laundering).

Justisdepartementet i USA kunngjorde i mai at de nå etterforsket angrep med ransomware på samme nivå som terrorisme. De opprettet også en egen «task force» for å koordinere etterforskning av angrepene. Myndigheter i flere land gjorde det klart at videre angrep mot helsevesenet eller kritisk infrastruktur ville få alvorlige konsekvenser for de som står bak.

Etter hvert som risikoen økte, distanserte den kriminelle undergrunnen seg mer og mer fra ransomware-fenomenet for å unngå oppmerksomhet fra myndighetene. I flere undergrunnsforum ble det forbudt å diskutere ransomware eller reklamere for eller selge verktøy for å gjennomføre angrepene. De store ransomware-bandene REvil og Avaddon offentliggjorde uttalelser der de lovet å ikke ramme organisasjoner innen helse, kritisk infrastruktur, myndigheter og ideelle organisasjoner.

Utover sommeren 2021 ble det stille fra de mest kjente grupperingene. DarkSide, som stod bak det velkjente angrepet mot Colonial Pipeline i USA, gikk for eksempel under jorden i mai. Dette skjedde etter en politiaksjon der server-infrastrukturen til gruppen ble beslaglagt, sammen med flere millioner dollar i kryptovaluta. En annen kjent aktør, Babuk, påsto at de hadde gitt kildekoden til en annen gruppe og at de skulle avslutte sin virksomhet. Noen av gruppene ble nok faktisk nedlagt, med det resultatet at mange av medlemmene gikk til andre grupper eller startet nye. Andre skiftet navn og infrastruktur for å avlede myndigheter og politi.

I september utga IT-sikkerhetsselskapet Bitdefender et gratis dekrypterings-verktøy for å dekryptere alle data fra angrep utført av ransomware-banden REvil. Dette lar alle ofrene gjenopprette filene sine fra tidligere angrep gratis. Det antas at myndigheter fikk tak i det etter innbrudd i REvils infrastruktur. I oktober tok FBI, Secret Service, US Cyber Command sammen med politimyndigheter fra flere land kontrollen over infrastrukturen til REvil og tvang denne ned. Etter aksjonen kom det ikke noen nye angrep fra REvil. REvil stod blant annet bak det store ransomware-angrepet mot Kaseya og deres kunder.

Det amerikanske finansdepartementet kunngjorde i september tiltak mot bruk av digitale valutaer i ransomware-angrep og andre økonomiske forbrytelser, inkludert de første sanksjonene noensinne mot en børs for kryptovaluta. Departementet opplyste at om lag 40 prosent av transaksjonene på den sanksjonerte kryptovaluta-børsen som opererer i Russland – Suex – involverte ulovlige aktiviteter. De nye sanksjonene blokkerte alle handler som involverer Suex og amerikanske personer og firmaer. Senere har amerikanske myndigheter også sanksjonert krypto-børsen Chatex.

I oktober deltok mer enn 30 land i et møte arrangert av amerikanske myndigheter for å styrke forsvaret mot ransomware og danne alliansen «Counter-Ransomware Initiative». Det ble diskutert hvordan de kunne forstyrre løsepengevirus-aktører sin infrastruktur, styrke forsvaret mot løsepengevirus, bruken av kryptovaluta til å hvitvaske pengene og legge press på land som gir løsepengevirus-aktører muligheten til å operere derfra. Russland og Kina fikk ikke være med på møtet, siden de blir sett på som land som ikke slår hardt nok ned på denne typen virksomhet. Den nye alliansen ønsker å legge press på dem slik at aktører ikke kan operere trygt fra disse landene lenger.

I oktober 2021 slo Europol til mot 12 medlemmer av en ransomware-bande i Ukraina og Sveits. Banden hadde over 1800 ofre i 71 land. Blant ofrene var blant annet Norsk Hydro, som ble angrepet med ransomware-verktøyet «LockerGoga» i mars 2019. Kripos var med på den vellykkede aksjonen mot banden i Ukraina.

Tidlig i januar 2022 opplyste FSB at de hadde slått til mot REvil-gruppen i Russland. Flere medlemmer ble arrestert og myndighetene beslagla Rubler og kryptovaluta verdt rundt en halv million dollar. President Biden hadde tidligere i 2021 advart Putin i en telefonsamtale om alvorlige konsekvenser dersom ransomware-angrepene utført fra russisk territorium fortsatte. I etterkant har det blitt stilt spørsmål ved troverdigheten og den relle effekten operasjonen mot REvil egentlig hadde.

Ransomware-bandene har i løpet av det siste året også lagt til enda et pressmiddel for å få firmaene til å betale. Fra før var det vanlig at aktøren først stjal store mengder sensitive data fra den rammede bedriftens interne nettverk, like før de interne systemene ble kryptert, altså gjort utilgjengelige.

Angriperne krever penger både for å dekryptere data slik at de igjen blir tilgjengelig for bedriften, men også for ikke å selge, dele eller publisere informasjonen de har stjålet. Den tredje og nye komponenten som ble vanlig utover i 2021 var at det ble utført et større DDoS-angrep (tjenestenektangrep) som en del av angrepet. Denne nye pakken med utpressingsmetoder ble kalt «triple extortion», altså trippel-utpressing. Denne siste teknikken legger ekstra press på bedriften ved at både ansatte og kunder av bedriften kan få problemer med å nå tjenestene bedriften tilbyr. Selv om ikke alle systemene i bedriften er tatt ned ved hjelp av ransomware og kryptering, kan angriperne lamme det som er igjen av ressurser ved å fylle Internettforbindelsen med søppeltrafikk. I noen tilfeller truer også angriperne med å utføre DDoS-angrep mot kunder og leverandører av den rammede bedriften.

Mange av ransomware-operatørene har egne «lekkasje-nettsteder» der de legger ut data fra sine ofre offentlig. Ofrene blir truet med lekkasje av enda mer informasjon, dersom de ikke betaler. Grafen på side 32 er fra analyseselskapet Recorded Future og viser hvor mange kunder som har fått lekket sine data i løpet av de siste to årene. Ikke alle angrepene er med i grafen, da flere av bandene opererer mer i det skjulte. Grafen viser at det fortsatt er mange angrep, men det siste halve året har det vært færre angrep som har rammet kritisk infrastruktur og som har gått ut over store mengder mennesker. Økt kapitalkontroll samt arrestasjoner og beslagleggelse av utstyr fra myndigheter ser ut til å ha hjulpet noe.

I april 2021 la sikkerhetsselskapet Mandiant fram en oversikt over bruken av zero-day-sårbarheter. En sårbarhet får denne benevnelsen når den plutselig blir utnyttet i angrep før produsenten eller andre har blitt kjent med at den finnes. En zero-day-sårbarhet som kan brukes mot et populært mål, som iPhone-telefoner eller Exchange-servere, kan ofte selges for mer enn én million dollar. Det siste tiåret er det stort sett nasjonalstater som har kjøpt eller utviklet og deretter brukt denne typen svakheter. I løpet av det siste året har imidlertid dette endret seg. En tredjedel av trusselaktørene som benyttet seg av zero-day-svakheter i 2021 var motivert av penger, altså typisk ransomware-grupper. Disse gruppene tjener millioner av dollar på sin virksomhet og kan etter hvert betale kompetente personer godt for å identifisere eller selge denne typen sårbarheter, og kode for å utnytte dem. Utnyttelse av slike sårbarheter kan det være svært vanskelig å beskytte seg helt mot; men god monitorering, sikkerhetsbarrierer i flere lag og en sikkerhetsarkitektur som begrenser og bremser angrepet, vil redusere skadepotensialet.

Lapsus$ – guttegjeng bryter seg med letthet inn hos de største tech-selskapene

I mars dukket en ny hacker-gruppe opp på Internett og fikk fort mye oppmerksomhet ved hjelp av en rekke innbrudd i kjente bedrifter. Den kjente hardware-leverandøren Nvidia ble hacket, og persondata til mer enn 71.000 ansatte ble lekket. Senere i måneden ble Microsoft rammet, og kildekode til Cortana og Bing ble lagt ut offentlig. Sertifikater for å signere kode ble også stjålet fra både Nvidia og Microsoft og brukt til å signere malware, for å gjøre det lettere å bryte seg inn hos andre mål. Samsung ble også offer for banden, og det ble lagt ut 190 GB med kildekode, blant annet algoritmene til deres biometriske ID-system, kildekode fra Qualcomm og all kildekode for autentisering og verifisering av Samsung-brukere.

Mobiloperatøren T-Mobile fikk også besøk av hacker-gruppen flere ganger, siden de så på tilgangen her som nyttig for å utføre SIM-swap angrep, altså å få flyttet ofres mobilabonnement til SIM-kort kontrollert av angriperen, for deretter å få tilgang til kontoene deres ved hjelp av passord-reset.

Lapsus$ brøt seg for det meste inn hos sine ofre ved hjelp av sosial manipulering og ved å kjøpe tilgang til brukernavn og passord fra markeder på det mørke nettet. Når en PC hos en bedrift blir infisert av malware, lastes ofte alt av lagrede tilgangskapsler (cookies) og brukernavn/passord opp og legges ut for salg. Lapsus$ prøvde også å rekruttere innsidere til å gi dem tilgang til interne nettverk hos store bedrifter. Etter å ha fått tak i intern informasjon, utførte de utpressing mot bedriftene mot å la være å offentliggjøre stjålet informasjon. De var også ute etter anerkjennelse. Gruppen arrangerte for eksempel offentlige avstemninger om hvilken teknologi-gigant de skulle angripe i neste omgang.