2017-03-15 17:26

IT-intrångsförsök mot företagen på Lindholmen i Göteborg

Ett kvalificerat intrångsförsök mot företagen på Lindholmen i Göteborg skedde idag. Någon spred ut ett antal USB-stickor med intrångsprogramvaror på av "military grade" enligt uppgifterna till hyresgästerna.
Radiohuset på Lindholmen med SR och SVT, känt från både Midsommargryning och Stjärnklart.
I utskicket till hyresgästerna hos Älvstranden Utveckling AB står det följande:
"Viktig information! It-säkerhetsincident Lindholmen!
Strax efter lunch idag fick vi kännedom om att ett större antal (skrivande stund 7st hittade) preparerade USB-minnen placerats ut på Lindholmen, framförallt mellan färjeläget och gångbron över hamnbassängen.
Enligt preliminära uppgifter är den skadliga koden på minnena av mer avancerad slag sk "military-grade", "crypto-ware". Koden verkar inriktad på att söka upp dokument av tex office formaten (word, excel mfl) och eventuellt kryptera dessa och sedan begära lösensumma (ransomware).

Vi vill med detta informera er att om ni hittar något minne på Lindholmen utan ägare bör ni absolut inte ansluta detta till en dator, utan vidta lämpliga åtgärder.

ÄLVSTRANDEN UTVECKLING AB"
Ett antal högkvalificerade företag finns på Lindholmen. Dit hör även Sveriges Television och Sveriges Radio, samt Chalmers.

Det finns konsultbolag med militära eller försvarsindustriella kunder, såväl ett antal bolag inom Volvosfären på området. Även Ericsson och försvarsföretaget Saab hittas här.

Angreppsvektorn är att man sätter in det upphittade USB-minnet i en Windows-dator, varpå programvara körs på grund av Microsofts usla säkerhet, och denna krypterar alternativt kopierar känsliga filer. Detta påminner för övrigt om det angrepp som ska ha skett mot hemvärnsövningen Geltic Bear tidigare i år, där ett antal USB-stickor hittades i anslutning till övningslokalerna inne på ett militärt skyddsobjekt.

Tillägg: IDG har en artikel där Älvstranden Utveckling inte vill kommentera det hela och hänvisar till polisen, som säger att de inte har hört talas om intrångsförsöket. Det tar väl några veckor innan en sådan anmälan till 114 14 landar på ett bord någonstans. 
Nedanstående kommentarer är inte en del av det redaktionella innehållet och användare ansvarar själva för sina kommentarer. Se även kommentarsreglerna, inklusive listan med kommentatorer som automatiskt kommer raderas på grund av brott mot dessa.

29 kommentarer:

  1. Hoppas polisen får tag i dom. Polisen trålade på Nynäsvägen iallafall efter bilar med smutsiga registreringsskyltar. Skönt och se att skatten gör nytta.

    SvaraRadera
  2. Det är säkert Ryssland ;)

    SvaraRadera
  3. Borde vara företagens IT-administrations ansvar att se till att disejbla autoplay på företagets datorer.

    SvaraRadera
  4. Säkerheten är lika dålig eller hög i samtliga OS och beror på att användaren aktivt trycker förbi säkerhetsvarningar i kombination med för höga rättigheter.
    Svagaste punkten är admins och utvecklare som ofta för sitt arbete skull ligger med admin på en rad noder.

    SvaraRadera
    Svar
    1. Nej. *NIX-system kör inte igång saker på diskar automatiskt. Dit räknas Mac OSX.

      Radera
    2. Högkvalificerade företag med smarta anställda går givetvis inte på sådana finter.
      Antar jag...

      Radera
    3. Linux?

      Förresten, danmark valde ej Archer. Tror du finnarna köper deras 109:or?
      http://defence-blog.com/army/denmark-selects-caesar-self-propelled-155mm-gun-howitzer-installed-on-a-8x8-truck-chassis.html

      Radera
    4. USB-attacker går ofta rakt förbi operativsystemet och direkt mot DMA. Man behöver visserligen ett specialtillverkat USB-minne, men det är knappst svårt att hitta på eBay eller andra ställen.

      Så man är lika oskyddad oavsett operativsystem, och säkerhetsvarningar eller rättighetsnivåer spelar ingen roll.

      Det enda IT-avdelningen kan göra är att helt avaktivera portarna i BIOS, alternativt hälla epoxy i dem.

      https://www.wired.com/2014/07/usb-security/

      Radera
    5. Military grade kan iofs vara att ta över usb-kontrollern. Då skickas ditt skript till nästa lämpliga usb-enhet dvs tangentbordet. Det fungerar i princip på alla OS som stöder usb-tangentbord. För exempel sök på Bad USB. Nackdelen är att det är mer initialt jobb att hacka hårdvara men å andra sidan triggar det inga säkerhetssystem. Det ser ut som att användaren vill starta programmet och skriver alla nödvändiga kommandon för att så skall ske.

      Radera
    6. @Cornu
      Du menar att man aktivt måste slå på den funktionen?
      Min USB-HDD jag har i bilen med MP3or startade i alla fall automatiskt på brorsans iMac.

      Radera
    7. Det handlar inte om old school autoplay utan det är olika typer av avancerade zeroday exploits på device nivå och det gäller alla operativ och arkitekturer. Många säkerhetssajter listar dessa och det är många per dag som upptäckts. Det är också en handelsvara som köps och säljs.
      Det har aldrig varit osäkrare hävdar jag på alla devicer.

      Radera
  5. Borde inte det här snarare ligga på SÄPO:s bord att utreda än den vanliga polisens

    SvaraRadera
    Svar
    1. Handlar mest om vanlig utpressning dvs ransomeware. En underrättelsetjänst använder mycker mer raffinierade metoder.

      Radera
    2. Just därför kan det vara smidigt att använda en extern grupp, som använder 'primitiva' metoder. Blir liksom mindre uppenbart vem som gör ngt och vad syftet är då...

      Radera
    3. Den enklaste förklaringen är den mest troliga som det står i inlägget så har man redan analyserat koden och konstaterat att det är en ransomware. Om nu någon hade tillgång till en riktig zero-day så skulle man inte använda den på detta sätt, den är för värdefull för det.

      Radera
    4. Man kan iofs använda en zero day kombinerat med en ransomware. Då avskrivs (det upptäckta) intrångsförsöket som just en ransomware. Fördelen med detta är att it-avdelningen "avskriver ärendet" och vidtar inte förhöjd beredskap.

      Radera
  6. Den som går på en sån här grej får fanimig skylla sig själv. Darwin jobbar 24/7.

    SvaraRadera
  7. Det här tycker jag var dagens FLASH,

    Fed meddelar att medianränteprognosen för december 2017 är 1,4 procent. För samma månad 2018 kommer den ligga på 2,1 procent och för 2019 3,0.

    Svenska BLT har väl +1-1.5% i ränta i dagsläget, det betyder väl i runda slänga tredubblade räntekostnaden Dec 2019 när bankerna lagt på sitt?

    Vet inte om det fortfarande är ca. hälften av bolåneobligationerna som är tagna i USD med korta löptider men är så fallet så bör RB manöverutrymme vara högst begränsat.

    Skall bli spännande och se hur sverige slingrar sig ur detta, jag tror vägs ände är nådd och att det bara kan bli prisfall men man kan kanske inflatera bort fallet med en lönedriven inflation?

    SvaraRadera
    Svar
    1. Om några år får vi facit i det kloka i att införa negativa räntor under en ganska lång period. Jag gissar att det blir många negativa konsekvenser.

      Jo det är ca hälften av bolånen som finansieras via utlandet och de lär kräva högre räntor framöver.

      Radera
    2. Flash och flash, det är samma förväntningar som före FED-mötet. Ingen har väl missat att USD-räntorna är på väg upp...

      Radera
  8. Känns lite B att bara slänga ut minnena på gatan. Mer chans att lyckas om man smusslar in dem, autentiskt paketerade, i butiker i närområdet och låter folk köpa dem själva. Folk litar förstås mer på "fabriksnya" minnen än på hittegods.

    SvaraRadera
    Svar
    1. Vilket företag köper sina USB på Willys? På gatan antar jag att de i alla fall uppnår mänsklig-nyfikenhets-faktor, kan ju vara någon som har tappat och att där finns några spännande filer från någon konkurrent, eller porr...

      Radera
  9. Även macar kör usb musar och tangentbord. http://gizmodo.com/watching-a-usb-hack-in-action-makes-me-never-want-to-le-1672704228

    SvaraRadera
  10. https://i.imgflip.com/1lh0i3.jpg

    SvaraRadera
  11. nu var det ju inte du men jag fick många kommentarer innan Fed började höja att det aldrig skulle kunna hända, nollräntor forever.

    Tredubbla räntekostnaden säger mig att det INTE är annorlunda denna gång, det blir en krasch precis enligt skolboken trots den nya ekonomins intåg.

    SvaraRadera
  12. Lite mer moderna verktyg som tar sig in i Windows/Mac på 30 s.
    Den lurar datorn att den är en nätverksadapter och på så sätt passerar all nätverkstrafik genom den. Den fungerar både som nätverksproxy, DNS-spoofer och har 1 miljon cookies från olika sajter så den klarar https, protocol downgrade och en hel del andra saker. Just den som visas på bild är prototyp men exakt samma är implementerad på en tumnagelstor usb-enhet som ser ut som en vanligt dongle.

    http://thehackernews.com/2016/11/hacking-any-computers.html

    En annat stort säkerhetshål är alla nätverksanlutna devices som ofta har en linux-stack i sig (bra val och inget fel i sig), problemet är att dessa laddas med sin firmware vid tillverkningstillfället och patchas aldrig och jag lovar att en 3-4 år gammal distro har rätt många kända säkerhetshål. Eftersom dessa ofta sitter på insidan t.ex. i hemmanätverket så det en given attackpunkt vilket också framkom i de nyligen läckta CIA-dokumenten.

    SvaraRadera
  13. Fast är det där inte bara utpressning-skit? Sådana kan du ladda ner på nätet alt. köpa från en mysko person på nätet utan några större problem. Kalla det "military" känns .. lite väl kanske?

    Eller så är det ett skydd, stjäla information men döljer det som utpressning.

    (Vi fick det f ö. på en myndighet, en faktura damp ner i inkorgen som tanterna öppnade, en .js-fil. Direkt logagdes hon ut från nätverket (interna skyddet som slog igång, efter någon minut skulle hon hosta upp bitcoins för att det skulle bli upplåst. IT var på plats direkt, plockade datorn och körde igång igång någon programvara som sunkade ner hela myndighetens nät, men det är bara att gilla läget.

    Sen å andra sidan får vi runt 3-7 sådana i veckan..)

    SvaraRadera
    Svar
    1. Precis, en riktig exploit går på minst $100.000

      http://www.zdnet.com/article/new-macos-proton-rat-strain-discovered-in-the-dark-web/
      http://www.zdnet.com/article/new-biomedical-mac-malware-uses-ancient-code/

      Radera
    2. Om värdet på det som du vill stjäla vida överstiger kostnaden för "hålet", så är det bara att shoppa loss. Eller hur?

      Radera

Related Posts Plugin for WordPress, Blogger...