Hoppa yfir valmynd

Tilkynning frá netöryggissveitinni CERT-IS

20. maí 2022
Vegna stríðsástands í Úkraínu er aukin ógn sem steðjar að íslenskum innviðum. 
Eftirfarandi er mat CERT-IS á stöðunni ásamt almennum ráðleggingum til að bregðast við. 

Athugið að þessi greinargerð CERT-IS er eingöngu gerð út frá netöryggisþáttum. 

Inngangur

Ástandsmatið er nánast óbreytt frá því fyrir viku síðan, ekki hefur orðið vart við stigmögnun eða að netógnir færist út fyrir Úkraínu. Þær netógnir sem CERT-IS hefur upplýsingar hafa nánast allar beinst að Úkraínskum stofnunum. 

Ástandsmat og áhættur

22 dagar eru síðan Rússland réðst inn í Úkraínu og í kjölfarið hófu Evrópuríki, NATO ríki og fleiri ríki þvingunaraðgerðir gegn Rússlandi og ýmsan stuðning við Úkraínu. Rússland hefur gripið til mótaðgerða og borið hefur á auknum netárásum og meðal annars frá ógnarhópum sem hafa verið taldir tengjast rússneskum yfirvöldum. Dæmi er um árásir á Norðurlöndum, í Póllandi, á Spáni og í Þýskalandi sem eru taldar tengjast slíkum hópum. Tenging ógnarhópa (e. attribution) við ákveðin atvik eða hernaðaraðgerðir er hins vegar ekki áreiðanleg. 

Áfram er er óvissa um með hvaða hætti aðgerðir munu þróast en að sama skapi að þrátt fyrir stuðning og þátttöku Íslands í aðgerðum og stakar sjálfstæðar efnahagsþvinganir er það áfram mat CERT-IS að Ísland eða íslensk fyrirtæki og stofnanir séu ekki bein skotmörk en að áhrifa muni geta gætt innan íslensks netumdæmis. 

CERT-IS hefur ekki upplýsingar um atvik sem hafi raungerst á Íslandi eða tengt Íslandi, fyrir utan íslenskar ip tölur sem eru reglulega þáttakendur í árásum á erlend fórnarlömb. CERT-IS vaktar stöðuna í samstarfi við önnur stjórnvöld og metur eins og er að ekki sé ástæða til að virkja viðbragðsáætlun Almannavarna. Það mat er í samræmi við mat CERT/CSIRT teyma sem CERT-IS fær upplýsingar frá. 

Mat CERT-IS er áfram þannig að staðan geti breyst hratt og því mikilvægt að vakta ástandið og gefa út ráðleggingar til mikilvægra innviða og annarra til að vera undirbúin ef ástandið stigmagnast og netárásir raungerast. 

Ef til stigmögnunar kemur þá er líklegast að slík stigmögnun sé án neinna undanfara eða yfirlýsinga. Eins og er er það mat CERT-IS að líklegustu afleiðingarnar innan íslensks netumdæmis séu vegna afleiddra áhrifa en ekki beinna árása á landið. Afleidd áhrif gætu þá til dæmis verið vegna: 

  • Tímabundins þjónusturofs á erlendu netsambandi
  • Þjónusturofs hjá erlendum þjónustuaðilum og skýjaþjónustum eða öðrum birgðakeðjum 
  • Óværur berist til aðila innan íslensks netumdæmis tengt ástandinu án þess að vera beinn skotspónn árásar
  • Aukinnar tíðni minni DDoS/RDDoS árása án þess að tengjast beint ástandinu 

Afar mikilvægt er í þessari stöðu að CERT-IS fái án tafa tilkynningar rekstraraðila um öll netöryggisatvik með tölvupósti á cert@cert.is, meðal annars til að flýta viðbragði og samræma viðbrögð. CERT-IS metur allar ábendingar burtséð frá því hversu lítilvægar þær geta virst.  

Vísar

Ný óværa kölluð CaddyWiper [10] hefur greinst sem virðist hafa sama markmið og fyrri óværur, samanber HermeticWiper, IsaacWiper og WhisperGate. Kóðinn virðist hins vegar ekki nota sama kóða og fyrri óværur á neinn marktækan hátt. Óværan getur dreift sér með GPO reglum en skaðar ekki lénsstjóra í windows umhverfi (e. Domain Controller). Markmið óværunnar er að gera gögn ónothæf. 

Ný óværa sem ræðst á rússneskar tölvur hefur einnig verið greind af TrendMicro [11]. Nokkrar útgáfur hafa greinst og allavega sumar gera tilraun til að greina hvort ip talan fórnarlambs tilheyri Rússlandi og hættir þá keyrslu. Vísar koma fram í grein TrendMicro [11]. 

Orðið hefur vart við aukningu í að opnum kóða (e. open source), til dæmis vistuðum á github sé breytt til að andmæla stríðinu í Úkraínu [12]. Þetta hefur gengið undir nafninu 'protestware' og í sumum tilvikum felur breytingin í sér að eyða gögnum á tölvu fórnarlamns, t.d. fyrir pakkann 'vue-cli'. Slíkar breytingar geta leitt til þess að tölvur hætti virkni eða forrit frá þriðja aðila hætti að virka eins og skyldi þó það sé ekki markmið breytingana. 

Ógnarhópurinn Sandworm sem hefur tengingu við rússnesk yfirvöld hefur nýtt sér veikleika í ASUS beinum til að bæta slíkum  búnaði inn í botnet sem gengur undir nafninu Cyclops Blink [13]. Samkvæmt SecurityAffairs þá er ætlun Sandworm að byggja upp nýtt botnet í stað VPNFilter með þessum aðgerðum. Athugið að ógnarhópar eins og Sandworm ganga undir mismunandi nöfnum og oft eru sömu heiti notuð yfir óværu og botnet sem óværan er notuð til að stýra. 

CISA hefur gefið út viðvörun [14] um að ógnarhópar tengdir rússneskum yfirvöldum nýti sér veikleika í sjálfgefnum stillingum í  margþátta auðkenningu (e. MFA) og veikleikann "PrintNightmare" til að komast inn á net fórnarlamba. 

Ráðleggingar

Mat CERT-IS er að þetta ástand sé ekki til styttri tíma heldur muni standa yfir til lengri tíma. Það er því mikilvægt að líta ekki á aðgerðir sem tímabundinn sprett heldur sem langhlaup og fara skipulega í aðgerðir. 

Áhættumat er mikilvægt verkfæri til að stýra áhættum og lágmarka árásarfleti, þar sem slíkt mat byggir meðal annars á líkindum þá vill CERT-IS benda á mikilvægi þess að horfa sérstaklega til þess að bæta áfallaþol þegar kemur að netöryggi, en ekki horfa eingöngu til áhættumats. 

CERT-IS hvetur alla aðila til að fylgjast vel með stöðunni, fara yfir viðbragðs- og neyðaráætlanir, minnka árásarfleti, fylgjast vel  með eftirlitskerfum og leitist við að lágmarka áhættu í samræmi við eftirfarandi ráðleggingar. 

  • Draga úr líkum á alvarlegum netöryggisatvikum [1][2
    Stikkorð: 2FA, öryggisuppfærslur, minnka árásarfleti
    • Athugið að 2FA stillingar geta átt við fyrirtæki sem hýsa og hafa umsjón með lénaskráningum, eins og t.d. ISNIC
    • Við viljum benda sérstaklega á að fara yfir öryggisstillingar í skýjaþjónustum, til dæmis Microsoft 365, Amazon (AWS) og álíka
    • Afvirkja macros og rýna öryggisstillingar í Microsoft Office pakkanum
    • Rýna sérstakle áhættur tengdar birgðakeðjum og verktökum
  • Innleiða getu til að greina og uppgötva innbrot [1
    Stikkorð: Log-kerfi, varnir á endapunktum, eftirlit 
  • Tryggja að hægt sé að virkja viðbragðs- og neyðaráætlanir [1
    Stikkorð: Neyðaráætlun við stóráföllum, aðgengi að lykilstarfsfólki, samfellu í samskiptum, skrifborðsæfingar
  • Auka seiglu gagnvart atvikum, sérstaklega gagnagíslatökum [1]
    Stikkorð: Öruggar afritunaraðferðir, prófanir öryggisafrita, rýna áætlanir um samfellu í rekstri við þjónusturof tölvukerfa 
    • Athuga sérstaklega afritun gagna í skýjaþjónustum og að meta þol gagnvart útfalli á skýjaþjónustum og meta mótvægisaðgerðir 
    • Athuga sérstaklega áföll þar sem lykilorðabankar verða óaðgengilegir 
  • Setja í áhættumat hvort þörf sé á að endurmeta núverandi DDoS varnir [6]
    Stikkorð: DDoS, RDDoS 
  • Rýna eldveggjareglur og sérstaklega reglur um umferð út (e. outbound) út frá bestu venjum 
    Stikkorð: Eldveggir  
  • Vakta og bregðast við veikleikum [3][5
    Stikkorð: Veikleikar 
  • Fræða starfsmenn um vefveiðar (e. phishing/smishing) og þjálfa í því að greina slíkar sendingar. Setja upp kerfi sem geta greint og varað starfsmenn við mögulegum vefveiðapóstum [8][9]
    Stikkorð: Vefveiðar 

Frekari lýsingar og ítarefni koma fram á vefsíðum CISA [1][4][7]. 


Tilvísanir:  
[1] https://www.cisa.gov/shields-up  
[2] https://www.cisa.gov/uscert/ncas/analysis-reports/ar21-013a  
[3] https://www.cisa.gov/uscert/ncas/alerts/aa22-011a  
[4] https://www.cisa.gov/uscert/shields-technical-guidance  
[5] https://www.cisa.gov/known-exploited-vulnerabilities-catalog  
[6] https://otx.alienvault.com/pulse/6218bdb0e0e53a935627f6da/  
[7] https://www.cisa.gov/free-cybersecurity-services-and-tools  
[8] https://netoryggi.is/haettur/vefveidar/  
[9] https://netoryggi.is/um-vefinn/frettir/frett/2020/10/09/Netoryggi-okkar-allra/  

[10] https://www.bleepingcomputer.com/news/security/new-caddywiper-data-wiping-malware-hits-ukrainian-networks/ 
[11] https://www.trendmicro.com/en_us/research/22/c/new-ruransom-wiper-targets-russia.html
[12] https://krebsonsecurity.com/2022/03/pro-ukraine-protestware-pushes-antiwar-ads-geo-targeted-malware/
[13] https://securityaffairs.co/wordpress/129180/apt/cyclops-blink-botnet-targets-asus-routers.html
[14] https://www.cisa.gov/uscert/ncas/alerts/aa22-074a