Siltent Crow skriver på Telegram: «Vi erklærer den vellykkede gjennomføringen av en langvarig og storstilt operasjon, som et resultat av at Aeroflots interne IT-infrastruktur ble fullstendig kompromittert og ødelagt». «Ære være Ukraina! Lenge leve Hviterussland!».

Russiske myndigheter har på sin side bekreftet at angrepet var årsaken til IT-problemene. Russland har opprettet en straffesak.

Dette er en skikkelig blunder for Russland, og det som er et majoritetseid statlig selskap. Hackergruppen Silent Crow hevder de har vært inne i Aereflot sitt nettverk i et helt år. Hackerne skal ha bygget opp tilgang til Aeroflot sine mest kritiske systemer. Silent Crow sier de har ødelagt 7000 servere og skaffet kontroll over personlige datamaskiner av ansatte, inkludert personer med senior-tittel.

Det er svært mye data som skal ha blitt stjålet, blant annet store databaser, mange dokumenter og e-poster tilsvarende flere titalls millioner filer. Silent Crow skriver på Telegram at alle russere som noen gang har fløyet med Aeroflot nå også er stjålet. For Russland som land, så er dette data som de helst ikke vil at andre lands etteretningstjenester kommer over. Derfor kan man trygt si at det er en krise for Russland med alle disse persondataene som kommer på avveie. For amerikanske etterretningsorganisasjoner vil det være en drømmepakke å få overlevert alle disse dataene fra Siltent Crow og Belarusian Cyber Partisans.

Det var ikke bare Aeroflot som ble rammet av angrepet. For det rammet også underselskapene Pobeda og Rossiya. Førstnevnte omtales som et ultralavprisselskap. Rossiya er på sin side et av de eldste flyselskapene i Russland.

Hackerangrepet har ført til stor frustrasjon i Russland, og på mange flyplasser kan man se slitne russere som ikke kommer seg noen vei. Spørsmålet er hvor lang tid det vil ta før flyselskapet er oppe å går igjen. Det vil potensielt kunne ta lang tid før selskapet har normal drift. Alle persondata er potensielt borte vekk, og mer bruk av penn og papir en periode skal en ikke se bort fra.

Talsmann for Kreml, Dmitrij Peskov kalte situasjonen for ganske alarmerende. Sikkert et ønske om å ikke skape panikk. Et ord som dramatisk ville kanskje vært mer beskrivende. Peskov uttalte også at hackertrusler er en vedvarende risiko for alle store selskaper som leverer tjenester til befolkningen. Anton Nemkin, en russisk politiker som er medlem av Statsdumaens komité uttaler at «det viser hvor sårbar den digitale infrastrukturen i Russland er».

Vestlige sanksjoner har begrenset mange russere, men også selskaper som Aeroflot. Selskapet har ikke kunnet operere i alle land, men på tross av dette, så er Aeroflot på topp 20 av flyselskaper i hele verden.

Hvem er Silent Crow?

Silent Crow er en gruppe hackere som ga lyd fra seg på Telegram første gang første juledag 2024. Etter bare noen uker hevdet de å ha gjort sitt første angrep. I januar 2025 angrep Silent Crow Russland sitt eiendomsregister, Rosreestr. I dette angrepet, så klarte Silent Crow en enorm mengde e-poster i følge dem selv. Faktisk så mange som 2 milliarder e-poster. Samme måned tok Silent Crow på seg skylden for et angrep på det russiske telekomselskapet Rostelcom. Her ble kundeinformasjon lekket gjennom en av Rostelcom sine leverandører. Selskapet hevdet på sin side at ingen sensitive data ble stjålet.

Men Silent Crow stopper ikke der. Andre påståtte mål de har angrepet er eksempelvis Moskva sitt departement for informasjonsteknologi. I tillegg skal de ha utført angrep mot Alfa Bank og Kia Russland. Alfa Bank er Russlands største bank for privatpersoner.

Hva er målet og motivasjonen til Silent Crow?

Silent Crow er en pro-ukrainsk hackergruppe som er aktivistiske hackere. De retter seg mot Russland og deres allierte. Denne meldingen la Silent Grow ut etter angrepet på flyselskaper Aeroflot: «Dere er ikke i stand til å beskytte selv deres mest kritiske infrastruktur. Til alle medlemmer av det undertrykkende apparatet – deres digitale sikkerhet er meningsløs. Dere har lenge vært under observasjon».

Silent Crow har aldri krevd løsepenger fra ofrene sine. Dette har ført til spekulasjoner om Ukraina støtter gruppen, men Kiev har ikke kommentert dette.

Silent Crow har etter hva som kommer fram ikke samarbeidet med Belarusian Cyberpartisans før, så dette skal være første gang. Men dette kan vi ikke vite med 100 % sikkerhet.

Belarusian Cyberpartisans er en godt etablert hackergruppe fra Hviterussland som ble etablert allerede i 2022. Det var året Russland lanserte sin fullskala invasjon av Ukraina. Belarusian Cyberpartisans beskriver seg selv som «et svært organisert hacktivistkollektiv som kjemper for frigjøring av Hviterussland fra diktatorisk styre.»

Hvordan har Russland svart på hackerangrepet?

Det har ikke vært noen krisemaksimering fra Kreml sine talsmenn, men det er nok urovekkende for Russland. Kreml beskrev angrepet som «bekymringsfullt». Anton Gorelkin, en russisk lovgiver, beskriver hendelsen som en «vekker», og han oppfordret til forsterkning av landets cyberforsvar. Videre uttaler han at «vi må ikke glemme at krigen mot landet vårt føres på alle fronter, inkludert den digitale». Anton Gorelkin uttaler videre at «jeg utelukker ikke at hacktivistene som tok på seg ansvaret for hendelsen, er i tjeneste for uvennlige stater».

Russiske nyhetsformidleren Tass sin nettside 28. juli kl. 22.30. Nettsiden er oversatt med Google Translate til engelsk fra russisk. Kun en sak handler om Aeroflot-skandalen:

Innlegget Aeroflot hacket av Silent Crow og Belarusian Cyberpartisans dukket først opp på Nettnyheter.com.

Sigve Brekke er avtroppende konsernsjef i Telenor, og det er kanskje greit at denne uttalelsen kommer i det han snart skal gå av. For forbrukere som leser denne uttalelsen, så kan man fort sette kaffen i vrangstrupen. For er ikke det å ønske konsolidering og bare 3 aktører i flere markeder det samme som å ønske mindre konkurranse? Det er kanskje ikke overraskende at private selskaper ønsker mindre konkurranse, men nå må vi også huske at Staten er største eier i Telenor.

Nylig kom det også fram at Telenor har mistet mange kunder, så det er kanskje litt desperasjon i ropene fra Telenor? Dersom man beveger seg mot et duopol, så er det en kjensgjerning at konkurransen blir mindre. Ser man på dagligvarebransjen som har tre store aktører, så er det svært liten konkurranse. Mange eksempler tyder på at færre aktører gir mindre konkurranse.

Søker du på Google «Considolation reduces competetion», så får du en rekke eksempler på at konsolidering reduserer konkurranse. Dette skjer i alle bransjer, og er negativt for utvalget forbrukere kan velge mellom, men det på virker også pris i negativ retning.

– Europas befolkning er like stor som USAs. De har tre operatører India har tre. Det bør i alle fall være færre enn de 100 som er nå, uttaler Sigve Brekke.

Hvis man ser på uttalelsen til Sigve Brekke, så er det ingen argumenter som backer opp uttalelsen. For hvem er det best at det er færre operatører? For operatørene selv kanskje?

Her er Danmark et unntak, men i Sverige, Finland og Norge vil jeg si det nå er rasjonell konkurranse. Det er lovende at Ice i Norge har justert prisene sine opp i tredje kvartal. Også lavprismerket til Telia, Oncall, har justert prisene sine opp i tredje kvartal. Det samme har Tre i Sverige gjort. Norden har et sett av operatører som faktisk er interessert i å tjene penger, og ikke bare konkurrere hverandre i hjel, sier Brekke, og kaller også dette for rasjonell konkurranse, uttaler Brekke.

Det at Sigve Brekke kommenterer at det er lovende at Ice har justert opp prisene sine i tredje kvartal kan man nesten begynne å lure på om er greit? Det kan indikere at Telenor ønsker å sette opp prisene. Og med det, så svekker man konkurransen, og kanskje er det noe Konkurransetilsynet bør kommentere på? I dagligvarebransjen er for eksempel aktørene bedt om å ikke kommentere prisendringer de ser for seg.

Innlegget Ønsker Telenor mindre konkurranse i mobiltelefontjenester-markedet? dukket først opp på Nettnyheter.com.

Det er alle produktene som Kaspersky tilbyr som skal være fjernet fra Google Play. Kaspersky Endpoint Security og VPN & Antivirus er eksempelvis ikke tilgjengelig på Google Play i USA og andre verdensregioner. Når vi i Nettnyheter.com gjorde et søk på Google Play, så var alle applikasjoner fra Kaspersky fjernet. Det som i heller kommer opp er konkurrerende applikasjoner av Kaspersky som Norton360, AVG Antivirus, McAfee og Avast.

En Kaspersky-ansatt skal ha bekreftet at Kaspersky ikke er tilgjengelig på Google Play lengre og at de undersøker hvorfor. «Nedlastingene og oppdateringene av Kaspersky-produkter er midlertidig utilgjengelig i Google Play-butikken», skal en Kaspersky-ansatt ha uttalt.

En annen uttalelse Kaspersky kom med er: «Kaspersky undersøker for tiden omstendighetene bak problemet og utforsker potensielle løsninger som sikrer at brukerne av Kaspersky fortsatt kan laste ned og oppdatere applikasjonene fra Google Play».

Kaspersky oppfordrer folk til å laste ned applikasjonen fra andre steder som for eksempel Huawei AppGallery, Xiamo GetApps og Galaxy Store. Det er også mulig å laste ned Kaspersky sine sikkerhetsapper fra Kaspersky sin nettside. Da laster man selve .apk-installasjonsfilen.

For noen måneder siden skal Kaspersky ha uttalt at de skulle stenge ned sin virksomhet i USA. Den amerikanske regjeringen har sanksjonert selskapet og 12 ledere fra selskapet. USA forbød Kaspersky antivirusprogramvare på grunn av nasjonale sikkerhetshensyn.

Google uttaler på sin side at det er denne avgjørelsen som gjør at Kaspersky har forsvunnet fra Google Play. En ansatt i Google skal ha uttalt at det er avgjørelsen fra Bureau of Industry and Security om å legge restriksjoner på Kaspersky som er årsaken til at Kaspersky sine apper er fjernet fra Google Play.

I september skal Kaspersky ha slettet sin programvare fra amerikanske enheter og erstattet det med UltraAV sin antivirusløsning. Dette uten å informere kundene eller å be om tillatelse. Det virker nå i etterkant litt desperat fra Kaspersky å gjøre dette, og kanskje ikke så gjennomtenkt. Hadde Kaspersky bedt om tillatelse, så hadde de nok stått bedre i en eventuell rettsak. Kanskje var det også et siste trekk som ikke hadde så stor betydning siden sanksjoner mot selskapet allerede var innført.

Kaspersky skal tidligere i år ha hatt over 400 millioner brukere. Det har med andre ord vært et ganske populært antivirusprogram på verdensbasis.

Her er Kaspersky sin logo nå i oktober 2024:

Mange husker kanskje Kaspersky sin gamle logo:

Innlegget Google fjerner Kaspersky antivirus fra Play Store dukket først opp på Nettnyheter.com.

Meta er det nye hovedselskapet som eier tjenester som Facebook og Instagram, igjen eid i hovedsak av Mark Zuckerberg. Meta har hele tiden utfordret grensene til EU, men nå får de en ordentlig smekk på seg. Meta må begrense bruken av personopplysninger hentet inn av Facebook. Dette vil i praksis si at norske og andre europeere innen EU blir bedre beskyttet mot at deres informasjon benyttes til personlig målretting. Dette gjør det verre for selskaper som ønsker å treffe deres målgruppe. I teorien kan dette senke Meta, Facebook og Instagram sin konkurransekraft.

Mange husker sikkert Cambridge Analytica-skandalen fra 2014 der data fra Facebook ble brukt til å påvirke valg i for eksempel USA. Selskapet Cambridge Analytica var delvis eid av familien til Robert Mercer som er kjent for å støtte en rekke konservative saker. Cambridge Analytica ble lagt ned i 2018 etter å ha vært involvert i en stor skandale knyttet til bruken av personverndata. Steve Bannon som jobbet for Donald Trump var også tilknyttet Cambridge Analytica i en periode. Denne skandalen kommer nok til å bli brukt i eksempler i årtier framover. Den viser også hvor lite kontroll myndighetene hadde med de store nettjenestene på denne tiden.

Personvernaktivisten Max Schrems har jobbet med saken mot Meta/Facebook/Instagram i lang tid, og EU har konkludert med at Meta har EUs datalagringsdirektiv (GDPR). Max Schrems er åpen homofil og det har vært mulig å bruke personers seksuelle identitet til målretting på Facebook. Det høres kanskje diskriminerende ut at man kan bruke en persons seksuelle identitet til målretting av annonser? Etter vårt syn, så er dette definitivt diskriminerende. At slike data samles inn er i grunn også kritikkverdig, for slik informasjon på avveie kan skape farlige situasjoner i land hvor for eksempel homofili ikke er tillatt.

Etter denne dommen i EU-domstolen, så kan Facebook, Meta og Instagram bruke en liten del av sin datainnsamling til målrettede annonser. Dette gjelder også selv om brukeren selv har gitt sitt samtykke til reklame.

Facebook/Meta har visstnok brukt 5 milliarder euro på å implementere personvern inn i produktene sine. Mye av problemet med Facebook og Instagram er at personvern ikke ble bygd inn fra start. Facebook og Instagram har tjent gode penger i en årrekke på å ha brutt personvernregler. Bøtene Facebook og Instagram har fått på grunn av personvernbrudd er høyst trolig bare en brøkdel av hva de har tjent på misbruke personverndata.

Innlegget Facebook / Meta brøt personvernregler dukket først opp på Nettnyheter.com.

Alarmsystemet som varsler ved trafikkulykke i de fleste biler er koblet opp mot 2G-nettet. Rundt 700 000 biler vil miste sin automatiske oppkobling til nødetatene når 2G-nettet stenger fra utgangen av 2025.

Temaet var oppe i Dagsnytt 18 ettersom dette kan ha store konsekvenser for bileiere. EU har ikke godkjent 4G for Ecall. Telenor mener at en utsettelse av stenging av 2G-nettet ikke vil ha noe å si. Men dersom det ikke finnes en teknologisk løsning som er godkjent, så burde kanskje staten pålegge operatørene å holde 2G-nettet i live til en ny løsning er på plass?

Telenor mener at bilbransjen har sovet i timen, men når ikke 4G-løsningen er godkjent fra EU sin side, så er det vel ikke bilbransjen som har sovet i timen? Da er det vel heller reguleringen fra EU sin side som går for sakte?

Dekningsdirektør Bjørn Amundsen i Telenor påpeker at bilbransjen har visst om 2G-stengingen i mer enn 10 år. Så er spørsmålet hvilken relevans dette har, når det er hos EU ballen ligger.

Den nye reguleringen fra EU vil gjøre at det blir krav om eCall-systemer som er koblet mot 4G/5G. For såkalte M1-biler vil dette tre i kraft fra 1. januar 2026. Dette er personbiler med maksimalt 8 seter. N1-kategorien som gjelder varebiler mindre enn 3,5 tonn vil kravet gjelde fra 1. januar 2027. Kravene gjelder kun for nye biler.

Valgfriheten forsvinner

Telenor har fortsatt 80 000 brukere av 2G-nettet i form av mobiltelefoner. De aller fleste benytter seg nå av 4G- og 5G-telefoner. Telia opplyser på sin side ikke om hvor mange 2G-brukere de har.

Verken Telenor eller Telia opplyser om hva kostnaden for å holde liv i 2G-nettet er. Det burde både Telenor og Telia opplyse om slik at man kan ha en debatt hvor det er lettere å sammenligne kostnad og nytte.

Ettersom det fortsatt er trolig over 100 000 som bruker 2G-nettet for mobiltelefon, så burde man etter vårt syn holde liv i 2G-nettet. Flere unge i dag har faktisk gått over til eldre telefoner fordi mange føler det blir for mye. Kjøper man en gammel telefon, så kobler man seg av fra samfunnet hvor man «skal» være tilstede hele tiden. Det må være lov å velge kun SMS og ringing for de som ønsker det. Og skal man ta det helt ut, så er det 2G-nettet som gir deg den beste opplevelsen av å gå tilbake til «gamledager».

Innlegget Telenor og Telia stenger 2G-nettet i 2025 dukket først opp på Nettnyheter.com.

Samlet sett er det snakk om mellom 300 000 og 400 000 biler uttaler Andreas Bibow Handeland i Bilimportørenes Landsforening (BIL) til digi.no. Planen er at det norske 2G-nettet skal legges ned ved utgangen av 2025. Det er ecall-systemet som automatisk skal ringe opp nødetatene som vil slutte å fungere på flere hundretusen biler dersom 2G-nettet legges ned. Det vil trolig ramme enda flere biler enn det som har estimert uttaler Andreas Bibow Handeland.

Foreningen skal ha bedt om et møte med digitaliseringsminister Karianne Tung. Dette som et forsøk på å få Regjeringen til å utsette den planlagte utfasingen av 2G-nettet. I Sverige har man tatt initiativ til å utsette stengningen av 2G-nettet. Norge er det første landet som skal fase ut 2G-nettet, men konsekvensene av nedstengningen ser ut til å ha vært lite gjennomtenkt. I Sverige vil Telia holde liv i 2G-nettet til utgangen av 2027 på grunn av de konsekvenser en nedstengning vil ha.

Danmark og Finland planlegger også å stenge sine 2G-nett, men det er satt at det skal gjøres før 2030 i disse to landene.

Fra før av har Norge stengt ned 3G-nettet i 2021, men dette ga ikke de store konsekvensene siden mye av utstyret som kommuniserte på 3G, også kunne kommunisere via 2G-nettet. Utstyr som er tilknyttet 2G vil ikke kunne hoppe over til 4G eller 5G. Dette skyldes at det er helt forskjellige teknologier.

Det er ikke bare nødvarsling for biler som vil bli berørt av at 2G-nettet stenger. Trygghetsalarmer og eldre mobiltelefoner vil dermed ikke kunne kommunisere. Fjernstyr oppvarming av hytter er en annen funksjon som vil slutte å fungere, om det er knyttet opp mot 2G-nettet. Andre funksjoner i bil som kommuniserer med servere kan også bli berørt.

Bilindustrien i EU jobber for en utsettelse på 15 år, men det er vel heller tvilsomt at dette vil være mulig å få til. Klarer man å få til en utsettelse på 10 år, så vil mye av utstyr og biler være byttet ut, selv om det fortsatt vil være en betydelig andel som ikke er byttet ut.

Innlegget Nedleggelse av 2G-nettet kan få fatale konsekvenser dukket først opp på Nettnyheter.com.

Fra før av, så målretter Quad7-botnettet seg mot TP-Link-rutere, D-Link og Netgear. Grunnen til at gruppen bak Quad7-botnettet har fått dette navnet er at de har benyttet seg av målrettingsport 7777. ASUS-rutere er også rutere som gruppen retter seg mot.

Det at Quad7 fortsetter å utvikle seg viser at gruppen ikke blir skremt av feilene som ble avslørt av cybersikkerhetsanalyser. De har nå gått over mer til unnvikende teknologier.

Hvilke mål Quad7 har er uklart, men de ønsker muligens å lansere brute-force-angrep på VPN-er, SSH, Telnet og Microsoft 365-kontoer.

Antallet unike IP-adresser som er involvert har sunket drastisk. Fra 16 000 IP-adresser i august 2022 til 7000 i juli 2024. Den geografiske fordelingen av komprimerte enheter viser at de fleste enhetene befinner seg i Bulgaria, deretter Russland, USA, Ukraina, Polen, Brasil og Tsjekkia.

Quad7 målretter seg også mot IOT-løsninger. Dette inkluderer IP-kameraer eller NAS-enheter.

Hvem står bak Quad7-botnettet?

Offisielle rapporter har ikke avdekt hvem som står bak Quad7, men de heteste teoriene går på at det er kriminelle. Det har også blitt nevnt stats-sponsede grupper, men i det siste har den første teorien fått mest omtale.

Innlegget Quad7 botnet retter seg mot SOHO- og VPN-rutere & medieservere dukket først opp på Nettnyheter.com.

Ny skadelig programvare kalt PTSOCKET og FDMTP brukes for å laste ned og stjele informasjon fra hackede nettverk. Forskere har funnet ut at hackerne bruker en variant av HIUPAN-ormen for å levere PUBLOAD malware gjennom flyttbare stasjoner på nettverket.

Mustang Panda er en kinesisk statssponset hackergruppe. Deres fokus er på nettspionasjeoperasjoner. De målretter seg i hovedsak mot statlige og ikke-statlige organisasjoner i Asia-Stillehavet. Organisasjoner i andre områder er også innenfor området til Mustang Panda. Organisasjonen går også under navnene Stately Taurus, Polaris, Earth Preta, Boze president og HoneyMyte.

Ormbasert angrepskjede

Mustang Panda har vanligvis brukt spear-phising-eposter som den første inngangen, men en rapport fra Trend Micro viser at de har tatt i bruk en annen teknikk. Nye angrep fra trusselaktøren spredte PUBLOAD på nettverket gjennom flyttbare stasjoner infisert med en variant av HIUPAN-ormen.

HIUPAN skjuler sin tilstedeværelse ved å flytte alle filene til en skjult katalog og lar bare en tilsynelatende legitim fil (USBCONFIG.exe) være synlig på stasjonen. Dette lurer brukeren til å kjøre USBCONFIG.exe.

PUBLOAD er hovedkontrollverktøyet i angrepene fra Mustang Panda. Angrepene utføres på systemet gjennom DLL-sidelasting, og det etablerer «utoldenhet» ved å modifisere Windows-registeret. PUBLOAD utfører deretter rekogonoseringsspesifikke kommandoer for å kartlegge nettverket.

I tillegg til PUBLOAD, så brukte Mustang Panda ny skadelig programvare. FDMTP fungerer som et sekundært kontrollverktøy. FDMTP er innebygd i datadelen av DLL. Den kan også distribueres gjennom DLL-sidelasting.

Datainnsamling i nyere Mustang Panda gjøres i RAR-arkiver, .DOC, .DOCX, .XLS, .XLSX, .PDF, .PPT og .PPTX-filer.

Trusselaktøren eksfiltrerer informasjonen gjennom PUBLOAD ved hjelp av cURL-verktøyet. Det finnes et alternativ i det tilpassede PTSOCKET-filoverføringsverktøyet, en implementasjon basert TouchSocket over DMTP.

Spear-phishing-kampanje i juni

I juni observerte forskere en rask spear-phishing-kampanje fra Mustang Panda. DOWNBAIT-nedlasteren hentet et lokkedokument og PULLBAIT-malware. Begge deler kjøres i minnet.

Deretter henter og utfører angriperen bakdøren i det første trinnet som kalles CBROVER. Dette er digitalt signert for å unngå å utløse alarm.

Mustang Panda ble observert ved å bruke PLUGX for å introdusere verktøy some «FILESAC», et verktøy brukt til å samle inn dokumentfiler som .DOC, .XLS, .PDF, .DWG, .PPTX og .DOCX og eksfiltrerer dem.

Trend Micro bemerker at det er en annen eksfiltreringsmetode som sannsynligvis involverer misbruk av Microsoft OneDrive. Forskerne bak rapporten klarte ikke å finne verktøyet som ble brukt til oppgave. Hackergruppen har tidligere blitt sett i å misbruke Google Drive for å introdusere skadelig programvare på offentlige nettverk.

Trend Micro-forskere sier at Mustang Panda eller Earth Preta som de sporer det som, har gjort betydelige framskritt i «utrulling av skadelig programvare og strategier, spesielt i kampanjene deres rettet mot statlige enheter». Eksempelvis militære, politi, utenriksdepartement, velferd, den utøvende makt og utdanning i APAC-regionen.

Hackergruppen fortsetter å være svært aktiv og den nye taktikken indikerer at den fokuserer på «svært målrettede og tidssentive operasjoner».

Vi har skrevet en lang rekke med saker om ulike hackergrupper:

• 24. februar 2022: Hackere bruker ny skadelig programvare mot brannmurenheter
• 15. mars 2021: Kinesisk statssponset hackergruppe knyttet til Microsoft Exchange-angrep
• 12. desember 2020: Kinesisk APT mistenkt for angrep mot mongolske myndigheter
• 12. desember 2020: Facebook knytter APT32 til lokalt IT-firma
• 6. oktober 2020: Kinesisk hackergruppe oppdaget – Brukte UEFI bootkit
• 29. september 2020: Palmerworm/Blacktech har infisert organisasjoner i månedsvis
• 19. august 2020: 6000 e-postkontoer tilhørende Taiwans regjering hacket av kinesere
• 15. august 2020: CactusPete hackere angriper banker og militære organiasjoner i Øst-Europa
• 13. august 2020: FBI og NSA har avslørt nytt Linux malware kalt Drovorub
• 13. august 2020: RedCurl har hacket selskaper i tre år
• 10. august 2020: Iranske hackergrupper angriper F5 nettverksenheter
• 2. august 2020: EU sanksjonerer Kina, Russland og Nord-Korea for tidligere hacking
• 5. juli 2019: Kroatias regjering utsatt for hackerangrep
• 7. juni 2019: Hackere kan nå forbigå 2-faktorautentisering

Innlegget Kinesiske hackere bruker ny skadelig programvare i angrep mot regjeringer dukket først opp på Nettnyheter.com.

Under navn som Cadet Blizzard og Ember Bear, har de i følge amerikansk etterretning vært ansvarlige for store angrep på USAs globale kritiske infrastruktur. Hackerne som går under disse dekknavnene er knyttet til enhet 29155, Hoveddirektoratet i Generalstaben. Dette er det som tidligere ble kjent som GRU. Denne militære etteretningsenheten har lenge vært under granskning for sine hemmelige operasjoner av USA, NATO og dets allierte.

FBI, CISA og NSA, alle amerikanske organisasjoner, har avslørt at GRU-hackere, ofte junioroffiserer fra GRU sitt 161 spesialøvingssenter, har vært involvert i cybersabotasje siden 2020. Dette har blitt utført med ledelse og og tilsyn fra de erfarne medlemmene av enhet 29155.

Operasjonene fra enhet 29155 har ikke bare rettet seg mot kritisk infrastruktur, men de har også utført sabotasje- og attentatforsøk i hele Europa.

Whispergate malware og cyberangrep

Gruppen ble for alvor kjent i 2022 da de distribuerte Whispergate. Dette er et virus som sletter data. Det ble sendt ut til ukrainske organisasjoner. Angrepene var en del av en bredere kampanje rettet mot å destabilisere Ukraina og forstyrre innsatsen til NATO og allierte nasjoner for å støtte landet.

Whispergate viste virkelige fram hva de russiske hackerne kunne klare, og markerte et skifte fra cyberspionasje til direkte ødeleggelse av data. Angrepene med Whispergate-malwaret begynte 13. januar 2022. Dets hensikt var å forstyrre Ukrainas forsvar og kritiske tjenester.

Sammenslutningen for felles cybersikkerhet understreker at enhet 29155 er forskjellig fra andre kjente GRU-tilknyttede enheter, som enhet GTsSS (26165) og Sandworm (74455), som var ansvarlig for tidligere hackerangrep i Europa og USA. GTsSS (26165) stod for eksempel bak hackingen av det norske Stortinget i august 2020. Her ble e-poster, kontonumre, bankinformasjon, personnumre og andre personopplysninger fra ansatte og stortingspolitikere stjålet.

29155-gruppen har siden tidlig 2022 rettet fokus mot å forstyrre hjelpearbeidet for Ukraina. Enhet 29155 har utvidet sitt cyberverktøysett til å inkludere metoder som blander spionasje med ødeleggelse. Sammenslutningen for felles cybersikkerhet understreker at hackerne forbedrer sine tekniske ferdigheter og bygger sin erfaring ved å utføre mer avanserte cyberoperasjoner på tvers av ulike globale regioner.

I følge amerikansk etteretning har enhet 29155 vært ansvarlig for et bredt spekter av angrep på tvers av kontinenter som har påvirket NATO-land, sammen med andre i Nord-Amerika, Europa, Sentral-Asia og Latin-Amerika. Taktikken til enhet 29155 har vært å ødelegge nettsider eller kamuflere nettsider med skadelig programvare. De har også lekket stjålne data offentlig og skannet infrastruktur for å avdekke sårbarheter.

Hackerangrepene fra 29155 har ikke vært begrenset til Ukraina, men har foregått over flere sektorer. Offentlige tjenester, energi og finansinstitusjoner har særlig blitt rammet av hackergruppen. Som et resultat av aktiviteten til 29155, så har kritisk infrastruktur på tvers av NATO sine medlemsland stått ovenfor økende risiko for å bli kompromittert.

Federal Bureau of Investigation (FBI) har fulgt aktivitetene til enhet 29155 nøye. FBI skal ha oppdaget 14 000 domeneskanningsforsøk rettet mot minst 26 NATO-land og flere nasjoner i EU. Skanningene skal ha blitt gjort for å identifisere svakheter i kritiske systemer. Dersom svakheter ble funnet, så skulle det utnyttes i fremtidige angrep fra enhet 29155.

USA tilby belønninger for identifikasjon eller pågripelse

USA har sett seg lei av de stadige angrepene som kommer fra enhet 29155. Som et svar på angrepene fra gruppen, så har derfor amerikanerne utlyst belønning på opptil 10 millioner dollar for informasjon som fører til identifikasjon eller pågripelse av fem russiske militære etterretningsoffiserer. Disse fem personene antas å være en del av enhet 29155, som igjen tilhører GRU.

De 5 personene som antas å være en del av GRUs enhet 29155 er:

• Nikolay Aleksandrovich Korchagin
• Dmitry Yuryevich Goloshubov
• Yuriy Denisov
• Denis Igorevich Denisenko
• Vladislav Borovkov

Disse fem offiserene er anklaget for å ha utført cyberoperasjoner som har skadet kritisk amerikansk infrastruktur, med særlig vekt på energi-, regjerings- og romfartssektorene. Cyberaktivitetene til enhet 29155 er også knyttet til sabotasje av vestlige lands innsats for å støtte Ukraina. Samt å forstyrre ulike sektorer som er kritiske for nasjonal sikkerhet.

Det er i tillegg til militæroffiserene en sivil som er på FBI sin ettersøkt-liste. Dette er Amin Timovich, som også har deltatt i Whispergate-angrepene mot Ukraina. Tiltalen og anklagene mot de fem GRU-offiserene framhever alvoret i cyberoperasjonene fra Russland. Beveger de seg i vestlige land, så kan de med stor sikkerhet risikere å bli pågrepet.

Enhet 29155 fortsetter ganske sikkert med de operasjonene de har gjort til nå, så organisasjoner anbefales å forbedre IT-sikkerhet. Dette er umiddelbare handlinger anbefalt av cybersikkerhetsmyndigheter:

• Patching av sårbarheter i i systemer for å lukke potensielle inngangspunkter for nettangrep.
• Segmentere de ulike nettverkene. Dette gjøres for å redusere konsekvenser dersom et datainnbrudd skulle skje.
• Implementere phishing-resistent multifaktorautentisering (MFA) for å styrke kontosikkerheten. Dette gjelder spesielt for tjenester som e-post og virtuelle private nettverk (VPN).

Disse defensive strategiene er spesielt viktig for organisasjoner som er innenfor sektorer som ofte er målrettet av russiske hackere. Dette inkluderer sektorer som transport, energi, helsetjenester og offentlige tjenester.

Globale bekymringer og langsiktige implikasjoner

Russland invaderte Ukraina i februar 2022. Etter dette, så har cyberangrep eskalert i omfang og alvorlighetsgrad. Whispergate malware har blitt mye brukt, men også ødeleggende verktøy som HermeticWiper og løsepengevirus. Alt dette har blitt brukt for å lamme ukrainske systemer. U.S.C. Cybersecurity and Infrastructure Security Agency (CISA) og FBI advarte tidlig om at slik skadevare lett kunne spre seg utenfor Ukraina. Det ville kunne påvirke globale systemer hvis ikke cyberforsvaret var tilstrekkelig forberedt.

4. september kom nyheten om at USA beslaglegger 32 domenenavn. Disse domenene skal ha vært knyttet til russiske desinformasjonskampanjer. Dette fremhever den bredere cyber- og informasjonskrigføringen som blir ført av Russland. Disse 32 domenene var en del av et nettverk som hadde som mål å spre falsk informasjon for å påvirke det kommende presidentvalget i USA i 2024.

Cybersikkerhetsindustrien spiller en viktig rolle

Det er vanskelig for myndigheter selv å samle informasjon og avdekke alt ulike hackergrupper står bak. Derfor spiller cybersikkhetsindustrien en kritisk rolle i å identifisere og dempe trusler fra grupper som 29155. De ledende cybersikkhetsfirmaene i verden sporer kontinuerlig aktivitetene til russiske cyberaktører. Microsoft sporer eksempelvis Cadet Blizzard og Crowdstrike sporer Ember Bear.

De russiske cybergruppene har demonstrert avanserte evner innen skanning, rekognosering, og utnyttelse av sårbarheter i kritiske systemer.

Det globale samfunnet er fortsatt på høy beredskap, mens enhet 29155 fortsetter sine angrep. Å forsterke og forbedre kritisk infrastruktur har aldri vært viktigere. Ja, men kan gjerne si at det er kritisk for mange organisasjoner. Jakten på GRU-offiserene som er involvert i disse angrepene intensiveres. Selv om jakten fortsetter, så gjenstår den største utfordringen. Det går på hvordan man effektivt kan redusere og forsvare seg mot de økende cybertruslene som verden står ovenfor i dag.

Innlegget Russiske Unit 29155 angriper NATO og allierte nasjoner dukket først opp på Nettnyheter.com.

Det er digi.no som melder om oppkjøpet. Nettavisen digi.no gjorde i fjor en kartlegging som viste at av de 10 største domeneleverandørene, så var det bare Domeneshop som hadde norske eiere. Nå ryker det siste selskapet på denne listen, og alle de 10 største domeneleverandørene i Norge har utenlandske eiere.

Domeneshop AS hadde en omsetning på 97 millioner norske kroner i 2023. Med et resultat før skatt på 19,3 millioner kroner, så viser det at det er mye penger i omsetningen av domenenavn. Selskapet oppgir å ha 16 ansatte.

Det er de to norske eierne Dag Øien og Ståle Schumacher som eier selskapet. De to norske gründerne startet selskapet tilbake i 1996. Det er altså et 28 år gammelt eierskap for de to nordmennene. I løpet av de siste 10 årene skal de to eierne ha tatt ut utbytter på mer enn 100 millioner kroner.

Domeneshop oppgir at de har mer enn 125 000 kunder. På registreringen av no-domener, så har firmaet en markedsandel på 45 prosent.

Ståle Schumacher er daglig leder for Domeneshop AS og skal i følge digi.no fortsatt være det framover. Han skal ha blitt aksjonær i Miss Group, det nye eierselskapet til Domeneshop. Det skal også Dag Øien ha blitt.

Det er ikke så mye som blir forandret skal vi tro Domeneshop. Serverne vil fortsatt ligge i Norge, men kundene vil få tilbud om en større «produktportefølje» i følge Domeneshop.no.

Hva er Miss Group?

Miss Group er et svensk selskap som driver med salg av domenenavn og servere. Selskapet ble grunnlagt i 2014 og har med tiden vokst og blitt en av de største aktørene i Skandinavia. Selskapet opererer også I USA, Canada, Bulgaria, Sveits, Storbritannia, India, Finland, Litauen, Spania, Østerrike.

Miss Group har gjort en rekke oppkjøp de seneste årene, både i Norge og andre land rundt om. Domene AS ble eksempelvis solgt i 2023. Også ISPhuset ble kjøp opp av det svenske selskapet. De tre selskapene i Norge som nå Miss Group eier besitter over 50 % av no-domener som er registrert.

Miss Group oppgir å ha over 700 000 kunder og kontorer i 11 ulike land. Miss Group tilbyr servere i 10 ulike land, og med Domeneshop AS med på laget er de oppe i 11. Selskapet hadde over 1 milliard svenske kroner i omsetning i 2023, noe de ønsker å doble til 2 milliarder SEK de nærmeste årene.

Slik ser forsiden til Domeneshop ut den 30. august 2024:

Innlegget Norges største domeneforhandler, Domeneshop er solgt dukket først opp på Nettnyheter.com.