[JustisCERT-varsel] [#018-2022] [TLP:CLEAR] Krigen i Ukraina berører norske virksomheter - Sørg for tilstrekkelig sikkerhet mot cyberoperasjoner
JustisCERT ønsker å varsle om at pro-russiske hackergrupper nå utfører cyberoperasjoner mot de som ikke åpent støtter Russlands angrep på Ukraina. Digitale tjenester tilhørende norske virksomheter er nå et mål og det anbefales derfor at virksomheter iverksetter tiltak for å øke sin motstandsevne mot cyberoperasjoner. Angrepene som er observert til nå, har i stor grad som mål å ødelegge mest mulig (destruksjon/destabilisering) og det er derfor svært viktig at virksomheter har en sikkerhet som kan bidra til å beskytte tjenester/data tilstrekkelig.
I tillegg til å øke egen sikkerhet anbefaler JustisCERT at virksomheter går over sine (beredskap-)planer for hva man skal gjøre og hvem man skal kontakte ved en eventuell hendelse. Planene bør inkludere muligheten for at virksomheten blir utsatt for løsepengevirus eller wiper skadevare (f.eks. HermeticWiper/WhisperGate/IsaacWiper [1]). [2]
Ta kontakt med JustisCERT og/eller Nasjonal sikkerhetsmyndighet (telefon 23 31 07 50) ved en hendelse!
Berørte produkter er:
- Alle digitale tjenester/løsninger tilhørende land som ikke støtter den russiske invasjonen
Anbefalinger:
- Følg prinsippene «Zero Trust» over alt i størst mulig grad [3]
- Prioriter systemer som er eksponert mot internett og andre nett som virksomheten ikke stoler på først
- Patch/oppdater all software/hardware så snart som mulig når det kommer sikkerhetsoppdateringer og verifiser at siste sikre versjon benyttes over alt
- Avinstaller programvare som ikke benyttes
- Software/hardware som ikke kan oppdateres må snarest kobles fra internett/skrus av. Erstatt slike løsninger og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede.
- Revider sentrale brannmurregler og verifiser at kun nødvendig utgående/inngående trafikk er tillatt, ingen ting annet
- Sørg for at nødvendig utgående/inngående trafikk logges av sentrale brannmurer
- Begrens hvem som kan nå virksomhetens internetteksponerte løsninger ved bruk av Geo-blokking (velg f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
- Aktiver IPS-signaturer, URL-filtrering, DNS-filtrering og annen sikkerhetsfunksjonalitet i brannmurer som kan bidra til å beskytte internetteksponerte løsninger
- Ikke eksponer admingrensesnitt mot internett eller andre nett som virksomheten ikke stoler på
- Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
- Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
- Følg opp sikkerhetsalarmer fra antivirusprodukter/brannmurlogger/overvåkningsverktøy
- Sørg for regelmessig sårbarhetsskanning av minimum alle eksponerte tjenester for raskt å kunne avdekke og lukke sikkerhetshull som oppdages. JustisCERT tilbyr dette for løsninger eksponert på internett i vår sektor og varsler virksomheten ved funn av sårbarheter (virksomheten må selv melde inn IP-adresser/ranger/DNS-navn som skal skannes og holde disse oppdatert ved å sende informasjonen til post@justiscert.no).
- Sørg for sikker konfigurasjon på alt av utstyr og software, som blant annet:
- Skru av alle tjenester/funksjoner som ikke er helt nødvendig for daglig drift
- Verifiser at det ikke benyttes legacy tjenester og/eller funksjoner inkludert usikre krypteringsformer/autentiseringsmetoder/protokoller
- Sørg for at det benyttes kryptering over alt i alle nett
- FTP, Telnet og andre tjenester som ikke tilbyr kryptering skal være deaktivert
- Deaktiver muligheten for å kjøre makroer i alle Office-installasjoner
- Deaktiver muligheten for å kjøre ActiveX i alle Office-installasjoner
- Herde Office-installasjoner i henhold til anbefalinger fra f.eks. Australian Cyber Security Center [4]
- Ha kontroll på tilganger/rettigheter. Ikke ha medlemmer i eksempelvis AD-grupper med utvidede rettigheter dersom dette kan unngås (meld de inn ved behov, og ut igjen når oppgaven er utført) og deaktiver/slett alle kontoer som ikke er i bruk.
- Skru av muligheten for bruk av 2-trinnsbekreftelse (MFA/2-faktor) via taleanrop og deaktiver mobilsvar/personsvar for alle ansatte
- Verifiser at virksomheten benytter MFA/2-faktor på alle eksponerte tjenester som tillater pålogging, også på tilganger til leverandører og andre 3.parter (f.eks. VPN)
- Bruk gode passord/setninger på alle kontoer (minimum 16 tegn for vanlige brukere, 18 tegn for administratorkontoer og 29 tegn for servicekontoer)
- Verifiser virksomhetens rutiner for sikkerhetskopiering/backup og gjenoppretting slik som at:
- Alle ønskede data/servere er sikkerhetskopiert
- Backupserver er isolert og kun nødvendig trafikk er tillatt
- Sikkerhetskopier er godt nok beskyttet og/eller er offline dersom det er mulig
- Sikkerhetskopier lar seg gjenopprette
- Virksomheten har oversikt over hvor lang tid det tar å gjenopprette ulike systemene
- Virksomheten har oversikt over avhengigheter mellom systemer og tjenester og en plan for hvilken rekkefølge gjenoppretting av systemene må gjennomføres på ved bortfall
- Virksomheten har oversikt over hvilke ressurser man er avhengig av for å gjennomføre dette arbeidet
- Dersom virksomheten har on-prem AD, ta i bruk «Local Administrator Password Solution» (LAPS) på klienter og servere om mulig
- Se «NSMs grunnprinsipper for IKT-sikkerhet» for flere tips til god sikkerhet [5]
Informer de ansatte/innleide i virksomheten om det økte trusselbildet:
- Gjør ansatte/innleide oppmerksom på at pro-russiske hackergrupper har som mål å angripe/skade alle som ikke støtter Russland. Det betyr at norske virksomheter og du som ansatt/innleid er et mål.
- Gjør ansatte/innleide oppmerksom på at de må forvente å se en økning i angrep fremover (f.eks. phishing pr epost og SMS, malware som vedlegg i epost eller som de får beskjed om å laste ned fra nettsider som gjerne ser helt legitime ut)
- Gjør ansatte/innleide oppmerksom på at de er en viktig sikkerhetsbarriere mot angriperne og at de raskt må informere IT/Servicedesk/vaktnummer hos virksomheten dersom de opplever at sin enhet, filområder eller systemer f.eks. blir utsatt for skadevare, filer forsvinner/blir kryptert eller tjenester/nettsider plutselig ser annerledes ut (defacing av nettsider, dvs virksomhetens nettløsninger/tjenester er erstattet med f.eks. russisk propaganda).
- Gjør ansatte/innleide oppmerksom på at de må være mer forsiktige enn vanlig, «STOPP. TENK. KLIKK?» er en god huskeregel
- Gjør ansatte/innleide oppmerksom på at de må holde sine telefoner/nettbrett/PCer inkludert programvare/apper på disse oppdatert
- Gjør ansatte/innleide oppmerksom på at de aldri skal oppgi brukernavn, passord eller 2-faktor-koder til noen
- Gjør ansatte/innleide oppmerksom på at de aldri må godkjenne 2-faktor-forespørsler (f.eks. i push varslinger i app/BankID på telefon) som de ikke har initiert selv
- De pro-russiske angriperne ønsker i dette tilfellet gjerne å ødelegge/skade mest mulig og benytter stort sett en/flere av følgende fremgangsmåter for å oppnå dette:
- Virksomhetens eksponerte tjenester med sårbarheter blir kompromittert. Herfra hopper angriperne videre til andre systemer/interne nett/servernett i virksomheten før de iverksetter sine ødeleggelser.
- Gjennom skadevare som ansatte/innleide blir lurt til å laste ned fra en nettside (gjerne en nettside som ser helt legitim ut) eller får tilsendt i en epost/SMS og deretter kjører
- Via phishingsider som ser ut som ekte påloggingssider (f.eks. Microsoft/Google/Apple osv) hvor de ansatte/innleide blir lurt til å oppgi brukernavn/passord/MFA som angriper kan bruke videre i sitt angrep
Kilder:
[1] https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ukraine-wiper-malware-russia
[2] https://nsm.no/losepengevirus
[3] https://en.wikipedia.org/wiki/Zero_trust_security_model
[4] https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-365-office-2021-office-2019-and-office-2016
[5] https://nsm.no/grunnprinsipper-ikt