Massivt hacker-angrep mot norske nettsteder

Telenor advarer om hackerbølge, og nå må norske bedrifter og kommuner fikse sine servere snarest.

Telenor Security Operations Centre (TSOC) har som oppgave å overvåke store mengder data for Telenors kunder i inn- og utland. Deres sikkerhetseksperter har døgnkontinuerlig vakt, og de har tilgang til store trafikkmengder.

Det gir de gode muligheter til å oppdage hvis det pågår omfattende ulumskheter på internett.

Nå advarer Frank Stien, leder for TSOC, om at det er et omfattende hacker-angrep på gang mot norske nettsteder.

- Vi har sett en ekstrem økning av norske, infiserte nettsteder de siste dagene. Mens vi tidligere snakket om farene ved å surfe på tvilsomme steder – for eksempel porno og gambling, ser vi i dag at det er vanlige nettsteder som blir infisert, sier Stien.

Det dreier seg om en gammel klassiker, ett såkalt SQL-injection-angrep. Det er en sårbarhet som skyldes manglende validering av parametre i webapplikasjoner.

- Disse sårbarhetene er veldig generelle og er derfor tilstede i mange webapplikasjoner, sier Stien til digi.no.

Ved å utnytte disse svakheter kan en angriper få uønsket tilgang til bakomliggende databaser, og det åpner muligheten både for å hente ut informasjon og for å redigere informasjonen som ligger der.

- Vi ser en overrepresentajon hos enkelte bransjer og blandt norske kommuner, sier Stien.

Det skal være snakk om en lang rekke kjente norske bedrifter, samt mange kommuner, som har fått sine servere infisert.

Stien oppfordrer derfor alle som er ansvarlig for servere i norske bedrifter og kommuner om å gå en ekstra runde med sine servere, for å sjekke at de er ordentlig sikret med de siste sikkerhetsfiksene.

Frank Stien advarer mot hackerbølge, og ber alle om å sjekke sine servere.
Frank Stien advarer mot hackerbølge, og ber alle om å sjekke sine servere.

- Det har tatt helt av den siste uken. Vi ser bare toppen av isfjellet, men har registrert over 50 nye infeksjoner de siste 2-3 dagene, sier Stien.

- Vi antar at mange norske privat-PC-er er infisert, sier Stien til digi.no

Privatbrukere bør også ta en ekstra runde for å sjekke at maskinen har blitt oppdatert med alle de siste sikkerhetsfiksene. Dessverre så klarer ikke antivirus-programmene eller anti-spionvaresystemene å avdekke og fjerne alle disse ondsinnede programmene, men man kommer langt hvis maskinen er ordentlig oppdatert.

- Både operativsystemene og seriøse appliasjoner inneholder programmer for å laste ned siste oppdateringer, og dette kan automatiseres. Invester litt tid på å sikre maskinen en gang iblant, sier Stien.

Slik angriper hackerne

    Les også:

Stien forteller at hackerne bruker en teknikk som kan deles i to trinn:

Først infiserer de nettstedet med en SQL-injection for å få redigeringsmuligheter.

Deretter bruker de denne muligheten til å redirigere de besøkende til ett annet fremmed nettsted der det befinner seg fientlig kode som kan utnytte svakheter i brukernes maskiner.

I denne angrepsbølgen bruker hackerne svakheter i Internet Explorer, Quicktime og Flash, i følge Stien.

Maskinene som blir infisert kan i praksis kontrolleres fullstendig av hackerne.

Bakmennene i dette angrepet skal være hackere i Kina. Det er forøvrig en trend at stadig flere angrep kommer fra hackere der.

Enkelte angrep har også kode som hindrer den ondsinnede koden i å infisere klientmaskiner som har kinesisk språk. Et eksempel på dette:

Angrepet skal ikke være målrettet mot norske bedrifter eller organisasjoner. Motivasjonen fremstår som å være en generell rekruttering til såkalte bot-nett.

    Les også:

Til toppen