Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Appar övervakar Androidtelefoner

| Linda Kante

Mobilsäkerhetsföretaget Lookout har upptäckt fyra olika övervakningsappar som infekterar Androidmobiler. Programvarorna har främst använts för att övervaka det kinesiska minoritetsfolket uigurerna, och har även drabbat användare i Europa. Programvarorna ingår i en kampanj som pågått i flera år och som det finns goda skäl att tro att den kinesiska staten ligger bakom. 

De fyra programvarorna – SilkBean, DoubleAgent, CarbonSteal och GoldenEagle – har av Lookout kunnat spåras så långt tillbaka som till 2015. De används alla främst för att övervaka uigurer i Kina, men Lookout har även funnit exempel på att verktygen använts mot uigurer i andra länder, såväl i grannländer som i Frankrike och Turkiet. Sammanlagt har uigurer i åtminstone 15 länder utsatts för intrång. Dessutom har verktygen även spionerat mot tibetaner och olika muslimska grupper i olika länder.

Övervakningsapparna syftar till att samla och skicka data om användaren till en särskild server. Apparna samlar olika typer av information och använder även flera olika tekniker för att komma åt informationen. Apparna har bland annat spridits med hjälp av lokala appbutiker, vilket bland annat har sin förklaring i att Google Play-butiken inte är tillåten i Kina.

Teckna din prenumeration på Aktuell Säkerhet här

Lookout har hittat en rad omständigheter, bland annat certifikat, kod och annan infrastruktur, som visar att det finns starka kopplingar mellan de olika verktygen som upptäckts. Det finns också band till andra verktyg som använts för intrång i datorer i Kina. Den aktör som ligger bakom attackerna använder dessutom åtminstone fyra ytterligare övervakningsverktyg, HenBox, PluginPhantom, Spywaller och 1 2 3 DarthPusher, som även dessa infekterar Androidenheter.

Enligt Lookout verkar utvecklingen och användandet av verktygen tidsmässigt passa in i kinesiska, statliga satsningar som till exempel ”Strike Hard Campaign against Violent Terrorism”, en statsledd kampanj mot oppositionella som inleddes 2015. De länder där intrången skett stämmer även överens med Kinas lista över ”26 Känsliga Länder”.

Distansarbete leder till slarv med cybersäkerheten

| Linda Kante

En färsk undersökning från Trend Micro visar att anställda tar säkerhetsutbildning på allvar, men trots det ägnar de sig fortfarande åt riskabelt beteende som kan utsätta arbetsgivaren för cyberhot.

Bland svenskarna uppger 71 procent av dem som nu arbetar hemifrån att de är mer medvetna om arbetsplatsens föreskrifter för IT-säkerhet än de varit tidigare. Bland dem som jobbar inom IT, teknologi och telekom är den siffran ännu högre, hela 82 procent. Det är högre än det globala snittet på 65 procent, men det finns dock bevis som tyder på att många trots denna kunskap bryter mot regelverken.

I den nya undersökningen Head in the Clouds, har Trend Micro frågat 13 200 distansarbetande i 27 länder världen över, däribland svenskar, om deras attityd gentemot företagets cybersäkerhet och IT-föreskrifter. Resultatet avslöjar att det är otroligt viktigt att företag fokuserar på att utbilda och lära upp personalen för att säkerställa att säkerhetsrutinerna faktiskt följs.

Teckna din prenumeration på Aktuell Säkerhet här

En stor majoritet av tillfrågade svenskar, 85 procent, anser att de tar direktiven från IT-teamet på allvar och 83 procent håller med om att de själva har del i ansvaret för IT-säkerheten på arbetsplatsen. Men bara hälften av svenskarna, 51 procent, tycker att det är en säkerhetsrisk att använda appar och program som inte är godkända av IT-avdelningen på arbetsdatorn. Här är svenskarna mindre säkerhetsmedvetna än det globala genomsnittet, där den siffran är hela 64 procent. Det är särskilt de unga som inte ser säkerhetsriskerna – i åldersgruppen 18-34 år så få som 37 procent.

Av resultatet blir också tydligt att bara för att de allra flesta är medvetna om riskerna, betyder det inte att de håller sig till reglerna.

Företag efterfrågar bättre analyseringsverktyg för den egna datan

| Linda Kante

En färsk undersökning från Aruba visar att europeiska företag skulle välkomna större möjligheter att använda sin data för att utveckla verksamheten.

Den data företag producerar i sin verksamhet kan – rätt använd – utnyttjas för att förbättra verksamheten, till exempel genom bättre upplevelser för kunderna och ökad effektivitet. Arubas nya rapport visar dock att företagens data ofta är svåranvänd, och många ser att det behövs förändringar för att informationen ska kunna användas för att fatta affärsbeslut.

Rapporten baserar sig på en undersökning med 170 IT-chefer och nätverkstekniker i Europa och Mellanöstern. De flesta tycker inte data används på ett bra sätt i den egna verksamheten. 61 procent säger att ett av största problemen är att de inte ”har kontroll över företagets data”, 51 procent menar att det handlar om att de ”inte kan se alla data tillsammans” och 52 procent att de ”inte kan översätta data till insikter som går att agera på”.

Teckna din prenumeration på Aktuell Säkerhet här

Många såg en stor potential för sina företag att använda data bättre. På en fråga om vad detta kan leda till angav 6 av 10 (60 procent) att data kan ge bättre kundupplevelser, nära 4 av 10 (38 procent) att de kan göra företagen mer effektiva och en tredjedel menar att det kan förbättra produktutvecklingen (35 procent).

Säkerheten är bland de största farhågorna hos de som deltog i undersökningen. Den största risken handlade om att bli hackad (21 %) och en del menade även att de riskerade att bötfällas på grund av att verksamheten inte följer GDPR (12 %). Många angav också att det är oroväckande att ”våra medarbetare inte följer vår policy om data”.

– Medarbetarna är de som ytterst står för säkerheten i verksamheten. Du kan ha den bästa brandväggen och VPN-lösningen på marknaden, men detta spelar ingen roll om en medarbetare sedan klistrar in alla sina lösenord i sin Gmail och deras konto blir hackat, säger futuristen Andrew Grill, en av dem som skrivit rapporten.

– Företagen vet att analyser av deras data kan leda till innovation och produktutveckling. Dessutom kan den förbättra användarupplevelsen för medarbetare och kunder. Numera flyttar såväl data som beslut i allt större utsträckning till nätverkets kant, vilket ställer nya krav på företagens egna system och processer. Vår undersökning visar att verksamheter behöver utbilda sina medarbetare och utforma en effektiv metod för att leda och fokusera – särskilt på datasäkerhet. Pandemin gör det här ännu viktigare, eftersom hemmaarbete nu blivit normen och wi-fi för hemmabruk ofta saknar viktiga säkerhetsfunktioner. Därför ser vi också ett ökat antal attacker mot individer, säger Morten Illum, EMEA-chef på Aruba.

FRA: Förändrad hotbild under våren

| Linda Kante

Underrättelse- och säkerhetstjänster från främmande makt tar genom cyberattacker sikte mot svenska medicin- och forskningsföretag. Det varnar nu Försvarets Radioanstalt, FRA, för. 

– Rent allmänt kan man säga att statliga aktörer är ute efter information som kan stärka det egna landets intressen, säger FRA:s kommunikationschef Ola Billger.

Däremot är FRA förtegen om vilka främmande makter det skulle röra sig om. Ryssland och Kina är dock de två mest förekommande länderna när IT-säkerhetsföretag rapporterar om cyberattacker och dess ursprung. Och att det skulle handla om just dessa två länder blir ännu tydligare då FRA ofta efterfrågar kunskaper i ryska respektive mandarin i de jobbannonser som ligger ute på deras hemsida.

Teckna din prenumeration på Aktuell Säkerhet här

Myndigheten understryker även att coronapandemin har ökat riskerna för att utsättas för cyberattacker. Bland annat på grund av att allt fler jobbar hemifrån och därmed sitter på en uppkoppling som inte är säker.

– Dessutom har krisen tagit väldigt mycket fokus vilket lett till en risk för att man glömmer säkerheten,

.

Sommarvikarier utbildas ej i cybersäkerhet

| Linda Kante

Ny statistik från PwC visar att många företag missar att utbilda sommarvikarier i grundläggande cybersäkerhet. Något som ökar säkerhetsriskerna under sommaren inom många verksamheter.

– Just sommaren är den tidpunkt på året som cyberhoten är som störst och därför är det här oroande signaler som nu kommer från 100 större svenska bolag, där färre än hälften säger att de utbildar sommarvikarierna i grundläggande cybersäkerhet, säger Sam Graflund Wallentin, specialist cybersäkerhet vid PwC.

Enligt en tidigare undersökning från PwC så är det just sommaren som står för de största riskerna för cyberattacker. Ungefär hälften av bolagen nämnde sommarperioden som den mest utsatta delen av året.

– Det är mycket som ska slutföras inför stundande semestrar och tyvärr händer det allt för ofta att cybersäkerheten hamnar i skymundan. Det finns därför stor anledning att se över sina rutiner både när det gäller tekniska system och medarbetares kompetens inom cybersäkerhet, menar Sam Graflund Wallentin och fortsätter;

– Utbildning i cybersäkerhet nedprioriteras tyvärr inte bara inför sommar och semestrar. I många organisationer ges för få återkommande utbildningar för alla medarbetare. Det behövs även mer specialinriktade utbildningar för till exempel inköpsavdelningar, så att de kan hantera risker kopplade till upphandlingar och outsourcing.

I ett samhällsperspektiv så vill Sam Graflund Wallentin även se mer av utbildningsinsatser redan i grundskolan. Företagen håller med, för enligt en aktuell undersökning från PwC, så menar hela 96 procent av de medverkande bolagen att cybersäkerhet bör finnas på schemat redan i grundskolan.

– För att vi ska kunna skapa ett digitalt hållbart samhälle på längre sikt, är det även nödvändigt med fler utbildningar i cybersäkerhet på universitet och högskolor, avslutar Sam Graflund Wallentin.

Avslöjat cyberspionage bygger på ny typ av kodning

| Linda Kante

I februari avslöjades en cyberspionagekampanj mot regeringsdepartement och diplomater i en rad länder. Nu har Kasperskys forskare avslöjat att denna kampanj faktiskt skedde med en helt ny typ av kodning – baserad på en API-lik (Application Programming Interface) arkitektur som gav den skadliga koden möjlighet att uppdatera sig till nya versioner av det angripna systemet, för att kunna verka under lång tid.

När Kasperskys forskare för första gången avslöjade SixLittleMonkeys för flera år sedan märkte de att angriparna använde en metod kallad steganografi – i vilken data skickas i ett dolt format som gör att det kan laddas ned obemärkt.

Efter att ha analyserat årets attackvåg kan forskarna dock konstatera att angreppen den här gången var betydligt mer avancerade än tidigare – med en kodningsteknik som enbart brukar återfinnas hos stora företag.

Teckna din prenumeration på Aktuell Säkerhet här

Angriparna använde sig nu av API:er – som obemärkt skapar en grund för framtida skadliga program och snabba uppdateringar av befintliga skadliga program i offrens nätverkssystem. På detta sätt har angriparna fått möjlighet att kontinuerligt ändra krypteringsalgoritmer och fortsätta sitt spionage under lång tid utan att upptäckas.

– Den här typen av API-lik programmering är väldigt ovanlig inom riktade kampanjer. Det visar på stor kunskap inom mjukvaruutveckling, och att personerna bakom dessa attacker är väldigt sofistikerade. De har helt enkelt tagit cyberspionage till en ny nivå, säger David Jacoby, säkerhetsforskare på Kaspersky.

Skadlig programvara utnyttjar säkerhetshål i Windows

| Linda Kante

Programvaran AcidBox har hittills bara använts i riktade attacker vid enstaka tillfällen över de senaste åren. Men Palo Alto Networks meddelar nu att de upptäckt att den även använder ett sedan tidigare helt okänt säkerhetshål i Windows vilket gör den ovanligt svår att upptäcka för de som angrips. 

AcidBox bygger vidare på en mycket uppmärksammad skadlig programvara som upptäcktes redan år 2014. Bakom denna stod en då okänd aktör som skapade nya hot, Turla Group. Enligt estniska säkerhetstjänsten är Turla en rysk grupp som arbetar åt FSB, den ryska säkerhetstjänsten.

Deras skadliga programvara var det första kända att använda en extern enhet för att sätta den så kallade Driver Signature Enforcement (DSE) ur funktion. DSE har varit en del av Windows sedan 2007 och ska förhindra okända enheter att få tillgång till operativsystemskärnan (även kallad kernel). Turla Group hittade alltså ett sätt att runda detta skydd.

Teckna din prenumeration på Aktuell Säkerhet här

Detta säkerhetshål består egentligen av två olika brister i DSE-programvaran, varav bara en senare lagades i samband med en säkerhetsuppdatering. Senare har Turla Group använt nya typer av skadlig programvara som utnyttjar det säkerhetshål som inte lagats.

Under början av 2019 upptäckte Palo Alto Networks att en ny, okänd grupp upptäckt det andra, ännu existerande säkerhetshålet. Detta har kunnat utnyttjas även för senare versioner av Windows. Den okända gruppen har utnyttjat detta för att attackera minst två olika ryska verksamheter i riktade attacker.

Cyberattacker mot svenska bolag ökar markant

| Linda Kante

Jakob Bundegaard, ansvarig Cyber Security, PwC Sverige
Foto: Kristin Lidell

Allt fler svenska bolag rapporterar att de drabbas av cyberattacker. Närmare två tredjedelar av bolagen säger sig ha blivit utsatta för minst ett angrepp under det senaste året, vilket är cirka 30 procent fler än för ett år sedan. Dessutom räknar bolagen med att cyberbrottsligheten breder ut sig ytterligare under 2020. Detta enligt PwC:s undersökning Cyberhoten mot Sverige 2020.

Teckna din prenumeration på Aktuell Säkerhet här

–  Så många som 63 procent av bolagen i undersökningen uppger att de har varit utsatta för minst en cyberattack under 2019. Det här är tyvärr en tydlig ökning i förhållande till förra årets undersökning då 49 procent gav samma svar, berättar Jakob Bundgaard, ansvarig Cyber Security PwC Sverige och fortsätter;

– Resultaten är självklart alarmerande och vi ser dessutom att väldigt många bolag misstror den svenska förmågan till skydd. 75 procent av bolagen tycker nämligen inte att det svenska samhället är tillräckligt rustat för att klara av de ökade cyberhoten.

Undersökningen visar också att så många som 78 procent av bolagen inte kan ange den totala kostnaden för hantering av cyberattacker. Enligt Jakob Bundgaard så handlar det om att skadorna ofta är större än vad de drabbade först tror. Först kommer de direkta kostnader till följd av till exempel utebliven drift och förlorade arbetstimmar. Redan här är det svårt att mäta omfattningen, men sedan tillkommer även mer långsiktiga konsekvenser som försämrat förtroende och ett svärtat varumärke.

– Vi ser att cyberhoten blir allt mer komplexa och förövarna har också fler olika syften än för bara några år sedan. Det handlar om allt ifrån ekonomisk brottslighet till nationalstater som vill påverka samhället i en viss riktning. Cyberkriminaliteten drar ofta nytta av förändringar i omvärlden och den tilltar även i tider av osäkerhet, vilket vi har sett exempel på under coronakrisen, säger Jakob Bundgaard.

Bland de ökade riskerna finns molntjänster och andra så kallade tredjepartsrisker, det vill säga risker som uppkommer vid till exempel samarbeten och outsourcing. Enligt undersökningen så uppger hela 72 procent av bolagen att de kommer att öka användningen av molntjänster under de kommande 12 månaderna.

– Teknikutvecklingen måste mötas med rätt säkerhetsåtgärder. Den explosionsartade utvecklingen av molntjänster är ett tydligt exempel på ett område där det krävs större fokus på cybersäkerhet. 42 procent av bolagen menar att just tredjepartsriskerna ökade under det senaste året, samtidigt som bara nio procent säger att de minskade, säger Jakob Bundgaard.

Cyberattacker mot gamingsidor fördubblades under april

| Linda Kante

I samband med pandemin har svenskarna spenderat fler timmar än vanligt framför datorn under våren – och många av dem har spelat datorspel. Detta har i sin tur lett till att cyberattackerna mot gamingsidor har nått historiska rekordnivåer under april, det visar en undersökning från Kaspersky.

Under attackerna luras offren att klicka på skadliga länkar, som de tror ska ge dem tillgång till gratisversioner eller uppdateringar av populära spel. I själva verket ges då angripare möjlighet att stjäla lösenord från, och installera utpressningstrojaner och kryptomineringsprogram på, den drabbades dator.

Teckna din prenumeration på Aktuell Säkerhet här

Minecraft är det spel som utnyttjas mest  för attackerna Det användes i mer än 130 000 attacker under april månad. Även Counter Strike: Global Offensive och The Witcher 3 har använts frekvent.

 

De vanligaste IT-säkerhetsincidenterna har ökat

| Linda Kante

Ivanti, som arbetar med att sammanföra olika IT-uppgifter för en bättre digital arbetsmiljö, offentliggör nu en undersökning av vilken påverkan det ökade distansarbetet från hemmen har haft i coronapandemins kölvatten. Undersökningen syftar till att utröna hur IT-avdelningarna påverkas av coronapandemin och omfattar fler än 1 600 IT-proffs från hela världen.  

Undersökningen visar att kraven på kapacitet, antalet säkerhetsincidenter och problemen med kommunikation samtliga har ökat väsentligt. För 63 procent av IT-proffsen har arbetsbelastningen ökat med 37 procent sedan de började distansarbeta. Följande arbetsuppgifter har ökat mest:

Ÿ  74 anger arbetsuppgifter som berör virtuella privata nätverk (VPN).

Ÿ  56 anger hantering av videokonferenser.

Ÿ  48 procent anger åtgärdande av bristande bandbredd.

Ÿ  47 procent anger återställning av lösenord.

Ÿ  47 anger hantering av meddelandelösningar (messaging).

Teckna din prenumeration på Aktuell Säkerhet här

Det stora antalet anställda som distansarbetar är ett problem i sig, oberoende av vad de gör. 43 procent av IT-proffsen rapporterar att 75 procent av de anställda på deras arbetsplatser nu distansarbetar och fler än en tredjedel av IT-proffsen säger att samtliga anställda distansarbetar. Enligt deltagarna i undersökningen innebär det en ökning för distansarbete med 93 procent under de senaste månaderna. Det är en snabb och dramatisk förändring som orsakats av coronapandemin.

Skiftet till distansarbete påverkar hanteringen av IT-säkerhet kraftigt. 66 procent av IT-proffsen rapporterar ett ökande antal säkerhetsincidenter. Här är de tre vanligaste typerna som anges öka:

Ÿ  58 procent anger skadliga mejl.

Ÿ  45 procent anger riskfyllt, ej godkänt, beteende för anställda.

Ÿ  31 procent anger ett ökande antal sårbarheter i mjukvaror.

Ett av fem IT-proffs anger bristande kommunikation som den svåraste utmaningen i den nya arbetssituationen. Förutom problem med kommunikation innebär svårigheterna med att erbjuda kontinuerlig support till distansarbetare att arbetsbelastningen ökat. IT-proffsen har bland annat ägnat sig åt följande arbetsuppgifter:

Ÿ  70 procent har utökat åtkomsten till virtuella privata nätverk åt anställda.

Ÿ  54 procent har införskaffat, konfigurerat och distribuerat nya hårdvaruenheter.

Ÿ  52 procent har skrivit nya beskrivande texter för de anställdas räkning.

Trots den ökade arbetsbelastningen har IT-proffsen angett ett antal fördelar med att arbeta hemifrån. Nästan hälften, 44 procent, tycker att den största fördelen är att slippa pendla till jobbet. 19 procent gillar de flexibla arbetstiderna och 16 procent tycker att de blivit mer produktiva. Lägre krav på strikt klädsel ses som en fördel av 52 procent. Sju procent erkänner att de jobbar i pyjamas.

– Det ökade distansarbetet påverkar IT-proffsen dubbelt upp. De måste dels hitta nya sätt att sköta sina egna arbeten, dels hjälpa andra anställda att jobba på distans. Det ställer ökade krav på effektiva arbetsverktyg, säger Pierre Blom, försäljningschef i Norden för Ivanti.

– Vi ser att det bästa sättet att hantera de aktuella förändringarna är att öka graden av automatisering av IT och att optimera hanteringen av IT-resurser. Det gör att man kan garantera att anställda blir både produktiva och säkra, säger Phil Richards, säkerhetschef på Ivanti.

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29