Cyberattackerna bytte karaktär under 2020 – här är årets västa hack

Det är naturligtvis svårt att gradera och värdera hackerattacker, det finns många olika skalor och sätt att värdera skadorna, men de flesta bedömer att ransomwareattackerna ökade ganska kraftigt under 2020.

På grund av coronapandemin ökade också distansarbetet vilket gett upphov till nya attackytor för angriparna eftersom it-säkerheten i hemmiljön sällan håller samma nivå som på de flesta kontor och andra arbetsplatser. Varningarna och råden för hur medarbetare bör skyddas vid distansarbetet duggade tätt under året, men det är svårt att hitta belägg för att någon organisation blev hackad av just den anledningen.

Tyvärr kommer också 2020 gå till historien som året då vi såg det första dödsfallet på grund av en hackarattack.

I Sverige ser det ut som vi blev relativt förskonade från större attacker, med ett undantag, men det kan också bero på att locket läggs på i många fall, vilket särskilt gäller gisslanattacker. Mörkertalet är stort, det verkar som de flesta företag betalat lösensumman och håller tyst. Den legala dimensionen av lösensummor är också något Computer Sweden tog upp i en artikel under hösten.

Gunnebo bestulna på ritningar

Den attack mot en svensk organisation som blev mest omskriven var den mot säkerhetsföretaget Gunnebo. Gunnebo är framförallt specialiserat på fysiska säkerhetssystem och produkter som lås- och larmsystem, tillträdeskontroll, bankvalv, fysiskt skydd av datacenter och liknande.

Gunnebos it-avdelning upptäckte i slutet av augusti att obehöriga försökte komma åt företagets servrar. Servrarna kopplades bort och företaget anmälde incidenten till Säpo eftersom det kunde röra sig om industrispionage. Enligt de första rapporterna blev driftpåverkan minimal och verksamheten var snabbt igång igen.

Men 27 oktober stod det klart att attacken, som började med ett nätfiske-mejl, fått svåra konsekvenser för Gunnebo och för många av deras kunder. Vid attacken stals mängder av dokument, 38 000 filer som hackarna läckte ut på nätet i september.

Dokumenten handlade om offerter, kontoutdrag och intern redovisning men också ritningar över känsliga anläggningar som ritningar som visar larmsystem på ett SEB-kontor, sekretessbelagda ritningar över Skatteverkets nya kontor i Sundbyberg, detaljer om riksdagens skalskydd, ritningar över en smyckesbutik i Stockholm och ritningar över två tyska bankers valv.

Fler incidenter i Sverige

Optikerkedjan Synsam drabbades av gisslanprogram i mitten av september, eller ett ”utpressningsförsök” som Synsam uttrycker det sin incidentanmälan till Datainspektionen. Den skadliga koden tog sig med all sannolikhet in i Synsams system genom ett nätfiskemejl. Resultatet blev att Synsams betalsystem, mjukvara för synundersökningar och webbsajt slutade fungera under en tid.

Även e-handelsplatsen Tretti.se, genom ägarbolaget Whiteaway Group, råkade ut för ett gisslanprogram, med resultat att ett mindre antal personuppgifter om kunder läckte ut, men Whiteaway Group kunde snabbt återhämta sina it-system genom sitt system för säkerhetskopior.

Nätfiske var även inkörsporten till Västra Götalandsregionens e-postsystem då ett fyrtiotal av deras e-postkonton blev kapade, men av allt att döma blev skadan inte värre än så.

Presidentvalet klarade sig

Ute i världen, och i synnerhet i USA, fick vi se ett antal uppmärksammade cyberangrepp. Det är återigen svårt att gradera och värdera de olika incidenterna mot varandra, men många blev med rätta väldigt omskrivna av olika anledningar.

Vad som dock inte ser ut att ha inträffat var hack och intrång i det amerikanska valsystemet eller andra typer av it-relaterade störningar mot presidentvalet i USA. Det många hade befarat blev inte av, vilket förstås är mycket bra, och antagligen en effekt av att de amerikanska säkerhetsmyndigheterna var betydligt mer på tårna denna gång än innan valet 2016.

Med det sagt vet vi heller inte vad som hände under radarn, och det kom även en ström av varningar från amerikanska säkerhetsmyndigheter och bland annat från Microsoft.

FireEye och SolarWinds

Det blev mot slutet av året som offentliggörandet av två spektakulära incidenter inträffade som skakade säkerhetsindustrin och som kan få förödande konsekvenser, eller antagligen redan fått allvarliga återverkningar.

Det handlar förstås om hacken mot de välrenommerade it-säkerhetsföretagen FireEye och SolarWinds. De bägge incidenterna offentliggjordes samma vecka, men det framgick snart att intrången skett långt tidigare och att händelserna är länkade till varandra.

Det första offentliggörandet kom från FireEye som inte direkt pekade ut en angripare, även om mycket tydde på att hacket utförts av en rysk statssponsrad hackargrupp. Men en knapp vecka senare rapporterade SolarWinds att de råkat ut för en så kallad ”supply chain attack”, alltså att skadlig kod planterats in i de uppdateringar som skickas ut från SolarWinds till deras kunder.

Enligt ett uttalande från SolarWinds vd Kevin Thompson laddades den infekterade uppdateringen ned och installerades av 18 000 kunder mellan mars och juni i år. Själva intrånget i SolarWinds it-system måste alltså ha skett en god tid innan mars. En av de kunder som installerade uppdateringen var FireEye som enligt egen utsago råkat ut för stöld av hemliga cybervapen ämnade för penetrationstester.

SolarWinds drog sig dock inte för att peka ut angriparen – den ryska statssponsrade gruppen APT29 eller ”Cozy Bear”. Angreppet var oerhört sofistikerat, troligen har angriparna rundat SolarWinds två-faktor-autentisering, och gett sig tillträde till företagets byggsystem för uppdateringar. Här bytte de ut en dll-fil mot en egen variant innehållandes en bakdörr.

Det mest trista med dessa fall är de bägge företagens kundlista. Som Computer Sweden skrev i en artikel om fallet: ”Det är klart enklare att lista vilka S&P 500-företag, teleoperatörer, försvarsgrenar och säkerhetskritiska myndigheter som inte står på SolarWinds kundlista”.

I skrivande stund är fallen under upprullning och utredningar pågår. Det återstår att se vilka de fulla konsekvenserna blir, men de flesta bedömare är överens om att detta ser riktigt dåligt ut.

Hacktivister tillbaka

Om du trott att de gamla hacktivisterna Anonymous lagt sina svarta hattar på hyllan för gott så trodde du fel. Under 2020 dök de upp i en ny reinkarnation under namnet Distributed Denial of Secrets eller DDoSecrets.

I juni publicerade gruppen 269 gigabyte med stulna dokument och kommunikation från diverse amerikanska rättsvårdande myndigheter. BlueLeaks som samlingen kom att kallas innehåller över en miljon interna dokument och e-postmeddelanden från över 200 amerikanska myndigheter på federal, delstatlig och lokal nivå, och visar bland annat e-postmeddelanden, ljudinspelningar, videoinspelningar och planerings- och underrättelsedokument.

Enligt den kände säkerhetsanalytikern och bloggaren Brian Krebs stals hela bytet från webbutvecklingsföretaget Netsential.

Twitter: Trumps lösenord och kapade kändisar

maga2020! – där har du lösenordet till twitterkontot tillhörande ”världens mäktigaste man”, tillika den frenetiskt twittrande amerikanske presidenten Donald Trump. Lösenordet gissades fram på fem försök av den nederländske etiske hackaren Victor Gevers, som för övrigt inte är vem som helst utan en välkänd säkerhetsforskare och bland annat ordförande för Nederländska institutet för publicering av sårbarheter.

Men incidenten med presidentens lösenord blev inte det enda problemet för Twitter, om det ens var Twitters problem. Flera av Twitters anställda föll offer för en koordinerad nätfiskekampanj som ledde fram till att en angripare kunde kapa ett antal konton tillhörande mycket kända personer och företag som Bill Gates, Elon Musk, Uber, Apple, Kanye West och Jeff Bezos.

Syftet var att lura folk att skicka pengar till något slags bitcoin-bedrägeri, men resultatet blev att Twitter blockerade all verifierade konton, de med en blå bock, och inte bara kontona för de drabbade kändisarna, allt för att motverka intrånget.

Som en långsiktig åtgärd, och för att stänga av de kapade interna användarkontona, beslöt Twitter att övergå till säkerhetsparadigmet zero trust, alltså att inte lita ens på interna system. De började i toppen av organisationen och arbetade sig nedåt i hierarkin så att varje underordnad fick byta lösenord i närvaro sin överordnade. Twitter kunde sedan återgå till det normala efter en månad.

Som lök på laxen för Twitter visade det sig senare att hacket utförts av en sjuttonåring i Florida som tänk sig att sälja twitterkonton till högstbjudande innan han tänkte expandera verksamheten till att inkludera bedrägeriet.

Första dödsfallet

Tyvärr blev 2020 det år då vi fick uppleva det första dödsfallet som en direkt konsekvens av ett cyberangrepp. Angreppet skedde i Tyskland i form av en gisslanattack mot universitetssjukhuset i Düsseldorf i början av september.

Attacken orsakade att it-systemen på sjukhuset slutade fungera och en patient, under färd med ambulans, fick omdirigeras till ett annat sjukhus. Den förlängda ambulansfärden orsakade att patienten inte hann få vård i tid och avled under färden.

Senare utredningar utförda av tysklands it-säkerhetsmyndighet visade att angriparna utnyttjat en känd sårbarhet i Citrix vpn-mjukvara. Sårbarheten var känd ett halvår innan det inträffade, och varningar utfärdades redan i januari.

Attacken var egentligen ämnad för Heinrich Heine-universitetet, där universitetssjukhuset organisatoriskt ingår, men attacken spred sig till sjukhuset. När polisen i Tyskland informerade hackarna om detta faktum drog de tillbaka sina krav och försåg polisen med krypteringsnyckeln så it-systemen kunde låsas upp. Men det var så dags för den avlidne patienten. Fallet utreds dock fortfarande som mord.

Resor och läckande hotell

En stor läcka av personuppgifter uppdagades då det spanska företaget Prestige Software uppmärksammades om läckan av webbsajten Website Planet. Det visade sig, som många gånger förr, vara en läckande AWS S3 ”bucket” som inte var korrekt konfigurerad. S3-lagringen hade läckt data sedan 2013.

Du må vara förlåten om du inte hört talas om Prestige Software, men du har säkert hört talas om Hotels.com, Booking.com och Expedia. Prestige Software är utvecklare och leverantör av en bokningsplattform som många kända bokningssajter och andra aktörer i resebranschen använder.

Enligt de uppgifter som kom ut bestod läckan av minst tio miljoner loggposter sedan åtminstone 2013. Dessa består i sin tur av personuppgifter och bokningsuppgifter, inklusive kreditkortsuppgifter. Ingen kunde då säga om data verkligen kopierats av obehöriga eller om läckan hann täppas till innan det skett.

Intels företagshemligheter på vift

Den amerikanska kretstillverkaren Intel blev under första halvan av året, osäkert exakt när, bestulna på interna hemliga dokument genom ett hack. Stöldgodset vägde in på cirka 20 gigabyte och bestod bland annat av företagshemligheter som ritningar över kretsar.

Filerna i fråga laddades upp på fildelningssajten MEGA av den schweiziske programmeraren Till Kottman, som i sin tur fått stöldgodset skickat till sig genom hans populära Telegram-kanal där han regelbundet publicerar oavsiktligt läckta data från stora teknikföretag. Enligt publikationen ZDNet, som grävt i saken och talat med experter är stöldgodset äkta.

Åh nej, Marriott, inte igen!

För drygt två år sedan upptäckte hotellkedjan Marriott att de läckt personuppgifter om deras gäster under flera år. Det visade sig sedan att personuppgifter om nästan 340 miljoner gäster kommit i orätta händer. Marriott fick sedan böta 124 miljoner dollar för incidenten, som berodde på illa konfigurerade it-system, och vän av ordning tycker väl att företaget borde ha lärt sig en läxa, men tyvärr.

Denna gång upptäcktes ett dataintrång i slutet av februari, och nu var orsaken nätfiske av några anställdas e-postkonton. Nu blev bytet inte lika stort, ”bara” 5,2 miljoner personuppgifter. Till Marriotts fördel får ändå räknas att de denna gång upptäckte intrånget snabbt och kunde lika snabbt sätta in åtgärder, så någonting hade lärt sig i alla fall.

Läs också: Emulerade mobiltelefoner används för att lura banker på miljonbelopp