[JustisCERT-varsel] [#020-2022] [TLP:CLEAR] Oppdatert situasjonsbilde ifb. med krigen i Ukraina fra NCSC
JustisCERT deler informasjon fra Nasjonalt Cybersikkerhetssenter (NCSC).
Varsel fra NCSC:
NCSC ønsker å formidle et oppdatert situasjonsbilde til varselmottakere, samt tilhørende råd og anbefalinger. NCSC-pulsen forblir på nivå to (2).
NCSC følger utviklingen tett. Ved konkrete cyberhendelser eller andre forhold som endrer risikobildet vurderes hensiktsmessig varsling. Varsling gjøres direkte til enkeltvirksomheter, sektorer eller bredere i tråd med situasjonsbildet.
NCSC vurderer fortsatt at cyberoperasjoner som rammer ukrainske mål potensielt kan få indirekte konsekvenser for norske virksomheter gjennom verdikjeder eller andre knytninger på tvers av systemer og landegrenser. Cyberoperasjoner fremstår som en integrert del av virkemiddelbruken som observeres, og det har siden januar vært rapportert om flere cyberoperasjoner mot mål i Ukraina [1].
NCSC ønsker å fremheve følgende rapporteringer fra åpne kilder:
- Kompromitterte e-postkontoer tilknyttet ukrainske myndighetsorganer har blitt brukt til å rette phishing-e-poster mot europeisk tjenestepersonell involvert i flyktningelogistikk [2].
- Gjennom tidligere varsler har NCSC gjort oppmerksom på wiper-skadevarene WhisperGate og HermeticWiper. Sistnevnte har blitt observert hos en rekke ukrainske mål, men skal også ha rammet virksomheter i tredjeland [3,4].
- ESET rapporterer om en ytterligere wiper-skadevare de kaller IsaacWiper og har publisert detaljer og tilknyttede indikatorer på sine nettsider [4].
NCSCs vurdering er fremdeles at risikoen hovedsakelig ligger hos virksomheter med knytninger til en eller begge de stridende partene. Vi oppfordrer spesielt norske virksomheter med relasjoner, tilstedeværelse, systemer, tjenester eller annen virksomhet i områder som er direkte berørt av konflikten til å iverksette ekstra risikoreduserende tiltak. Eksempler på tiltak kan som nevnt tidligere være ekstra overvåkning, isolering av trafikk, hvitelisting og fortløpende vurdering av behovet for tilgang til/fra aktuelle organisasjoner og land.
På nsm.no/digitalberedskap har vi samlet ressurser som kan være nyttige for virksomheter med behov for råd og veiledning i tilknytning til situasjonen. Her finner man blant annet
- Råd til virksomheter med ansatte, leverandører eller kontorer i Ukraina [5].
- En liste over tiltak man bør prioritere for å raskest mulig øke beredskapen når man først står i en skjerpet situasjon [6].
For øvrig oppfordres virksomheter til å ha lav terskel for å kontakte NCSC eller sine respektive responsmiljø/SRM dersom det observeres aktivitet man mistenker kan relateres til situasjonen i Ukraina. Slik rapportering er avgjørende for at NCSC kan vedlikeholde et nasjonalt situasjonsbilde.
Med vennlig hilsen,
Nasjonalt cybersikkerhetssenter
Referanser:
[1] https://msrc-blog.microsoft.com/2022/02/28/analysis-resources-cyber-threat-activity-ukraine/
[4] https://www.welivesecurity.com/2022/03/01/isaacwiper-hermeticwizard-wiper-worm-targeting-ukraine/