Gå til innhold

Cyberangrep mot Norge - Avansert eller ikke?


Anbefalte innlegg

Venstres partileder sier at vi må legge vekk naiviteten, i forhold til de dataangrepene som har skjedd mot Norge og norske nettsteder. Fra artikkel i VG:

Quote

– Legg bort naiviteten

Venstre-leder Guri Melby sier at regjeringen må si hvem som står bak så fort de vet det, enten det er snakk om den russiske staten eller organisasjoner.

– Dette er ikke det første angrepet. Det kommer til å komme mange flere, sier Venstre-leder Guri Melby til VG.

Dette er ikke noen som har køddet på gutterommet. Dette er del av en krigføring, sier hun. 

– Vi må legge bort naiviteten og ta problemet på et helt annet alvor enn frem til nå. Slike angrep er en del av verktøykassen Russland bruker for å ramme Vesten og verdiene vi står for, særlig etter krigføringen i Ukraina, sier hun.

Litt lengre ned i artikkelen:

Melby ber om et løft på IT-sikkerhet i samfunnet og mer åpenhet fra de hemmelige tjenestene om konkrete trusler.

https://www.vg.no/nyheter/utenriks/i/bGAG9B/stoere-etter-hackerangrepet-advarer-mot-nye-cybertrusler

Men hva slags angrep var det nå egentlig som ble gjennomført mot "Norge" og "Norske nettsteder", og hva er nå egentlig "norske nettsteder"?

Av det som har stått å lese i avisene så dreier det seg jo bare om DDOS angrep

Dette er jo en type angrep som vanligvis ikke krever noen form for forberedelse eller sofistikert framgangsmåte. Man behøver bare å bestemme seg for en hvilken som helst nettadresse, og så trykke på startknappen, og så gjennomføres angrepet. Det påstås at dette er en tjeneste som kan kjøpes og som er tilgjengelig for enhver som vil betale.

På denne måten så blir jo et DDOS angrep i utgangspunktet til det motsatte av et angrep basert på "Advanced persistent threat".  

Når det gjelder hvordan et DDOS angrep fungerer rent praktisk, så kan man vel sammenligne med en skoleklasse på 25 elever. En elev tar ledelsen og så ber denne eleven de 24 andre elevene om å ta opp mobiltelefonen og ringe opp et sentralbord samtidig. I den tidsperioden som 24 skoleelever ringer opp sentralbordet samtidig, så vil jo sentralbordet kunne være blokkert for legitime brukere, og man får en periode med nedetid.

Det er jo hele tiden tilgjengelig en hel del kapasitet i "markedet for DDOS angrep" og angrepene gjennomføres regelmessig hele tiden. Det er jo sånn sett bare et spørsmål om hvilke mål som blir valgt ut til enhver tid, med mindre det skulle være noe helt spesielt med disse angrepene som har vært nå nylig, mht kapasitet og omfang.

En måte å gjennomføre slike DDOS angrep på, det er jo å benytte seg av såkalte "botnet". Her vil det kunne være aktuelt å ta i bruk et antall "Zombier" som egentlig kan være fordelt rundt omkring over hele verden. Det finnes jo også andre metoder, som for eksempel en mer "manuell framgangsmåte", der man kontrollerer "angrepsscript" som kjører på mange datamaskiner samtidig.

Det typiske for et angrep via botnet, det er jo at den som eier de angripende datamaskinene ikke aner at angrepene skjer, og at dette dreier seg om datamaskiner som kan befinne seg hvor som helst, og som har det til felles at de har litt for dårlig oppsett rundt sikkerhet. De sporene man finner i loggen vil jo ikke i dette tilfellet være fra den som angriper, men fra den som nokså intetanende blir brukt til å gjennomføre angrepet.

Hvis man finner spor i en logg etter et angrep, hvorfor skulle man tro at den som angriper velger å legge igjen spor etter seg selv? Vil det ikke da være mye mer logisk og fornuftig å legge igjen spor etter noen andre, slik at når man sjekker opp hvem som gjennomførte angrepet, så kommer man til feil konklusjon?

Og så var det nå dette med naivitet, og hvem som egentlig er den naive, sitat hentet fra litt lengre ned i artikkelen:

Quote

- Det er ingen tvil om at angrepet som kom i går er en type angrep som er egnet til å skape frykt og kaos. Det er sannsynligvis også hovedhensikten, sier Søreide. 

Men hvem er det nå som skaper frykt og kaos? 

Hva er det som gjør disse DDOS angrepene til noe som er forskjellig fra alle disse andre DDOS angrepene som skjer Internett, regelmessig, hele tiden, bortsett fra at de akkurat nå var rettet mot noen norske adresser?

Har ikke sett noen annet av beskrivelse av disse agrepene i avisene enn som helt alminnelige DDOS angrep, dvs "nesten ingen ting" og også en langt mindre sofistikert type angrep enn det man normalt også vil være utsatt for hele tiden, når man har teknisk utstyr koblet opp mot Internett.

Synes at denne artikkelen hos Nasjonal Sikkerhetsmyndighet, gir et tilsynelatende greit bilde av situasjonen. Her kommer det jo ikke fram noe annet enn at det stort sett dreier seg om den normale støyen som finnes på Internett hele tiden, og at støyen i en periode har blitt rettet mot noen norske webadresser.

https://nsm.no/aktuelt/malrettede-tjenestenektangrep-mot-norske-nettsteder

Nytt sitat:

Quote

Hun sier at regjeringen selv må bestemme om de vil attribuere angrepet mot Russland, som betyr at de mener staten står bak:

Eller kunne det kanskje vært like greit å opplyse vha som er den faktiske og praktiske grunnen til at man tror det er noen bestemt som står bak, i stedet for å ta i bruk fremmedord som "attributere"? Er det slik at man bare kan "bestemme" hvem som står bak, hvis man egentlig ikke vet det sikkert, slik at man kan gi en god (nok) teknisk og praktisk IT faglig begrunnelse? 

Nok et sitat:

Quote

Hun sier at et av de viktigste grepene mot cybertrusler er Norges nye etterretningslov, som lar de hemmelige tjenestene se på datatrafikk som går inn mot Norge.

Hvis nå de typiske egenskapene ved et typisk DDOS angrep, er at det er et indirekte angrep, med andre avsender adresser enn de som reelt står bak angrepet, hva hjelper det da å se på "datatrafikken inn mot Norge"? 

Endret av arne22
Lenke til kommentar
Videoannonse
Annonse

> hva hjelper det da å se på "datatrafikken inn mot Norge"?

Vil tro det gjør det lettere å unngå BGP hijacking og tilsvarende metoder brukt for tjenestenektangrep av større aktører.

NSM har interessant lesestoff på dette her: https://nsm.no/getfile.php/133690-1592904184/Filer/Dokumenter/u-04_ddos_v1.0.2.pdf

Quote

"De fleste angrepene vil bestå av IP-pakker som ikke enkelt kan spores tilbake til hvilken datamaskin de kom fra. Forklaringen på dette, er at angriperen kommanderer dronene til å forfalske sine avsender-adresser; såkalt «IP address spoofing». Dette gjør det vanskeligere for ISP’er å rydde opp og skille angrepstrafikken fra annen legitim trafikk. Den eneste måten å forhindre slik forfalskning, er å få alle verdens ISP’er til å innføre BCP38 («Best Current Practice» nummer 38; tilsvarer RFC2827), som pålegger filtrering av datapakker med forfalsket avsender-adresse. Dette er imidlertid frivillig."

Quote

"... men fordi hele systemet er basert på tillit mellom ISP’ene, er det mulig å overta IP-adresser som er ubrukt eller som tilhører en annen virksomhet. Det eneste man behøver å gjøre, er å etablere en ISP på en vilkårlig lokasjon, for så å koble seg til en annen ISP og hevde at man har fått tildelt et spesifikt IP-adresseområde."

 

Lenke til kommentar

Meget interessant. Dette dreier seg jo om en litt annen måte å gå fram på, for å oppnå den samme effekten som et "tradisjosjelt DDOS angrep", men i denne gang gjennomført på en mer sofistikert måte, slik at man også angriper de "bacbone routere" som får Internett til å fungere. 

Linken over fungerte ikke. Vil se på den senere når den eventuelt begynner å fungere. Jeg fant noen annen info som kanskje kan kaste litt lys over denne typen DDOS angrep:

https://www.cloudflare.com/learning/security/glossary/bgp-hijacking/

Det blir vel fortsatt riktig å snakke om en type DDOS angrep, eller er denne typen angrep kvalitativt noe helt annet enn et DDOS angrep?

I alle tilfeller så er vel denne typen angrep heller å betrakte som et angrep mot Internett og internettets funsjon og virkemåte, enn egentlig et angrep mot bestemte land eller webservere?

Eller vil det være riktig å si at dette er en form for spesifikt rettet mot Internett infrastruktur på et nasjonalt nivå? (skulle jo i utgangspunktet ikke tro det.)

 

 

Lenke til kommentar
1 hour ago, wrd said:

Vil tro det gjør det lettere å unngå BGP hijacking og tilsvarende metoder brukt for tjenestenektangrep av større aktører.

Forsøkte å sjekke litt nærmere. Så vidt jeg kan se så er DDOS angrep og BGB-Hijacking i utgangspunktet nesten to motsatte metoder, som kan gi samme sluttresultat, tjenestenekt. I det ene tilfellet så oversvømmer man en server et CDN med "falske datapakker" og i det annet tilfellet så "stjeler man trafikken", slik at "ingen" datapakker kommer fram til riktig sted. 

Man kunne i teorien tenke seg en kombinasajon av metoder, der man kombinerer egenskapene til et tradisjonelt DDOS angrep, med de teknologiske mulighetene som ligger i en "BGB Hijacking", slik at man oppnår en mer sofistikert og avansert form for DDOS angrep.

Finner ikke noen beskrivelse av at en slik kombinasjon av teknologier og metoder er eller har vært i bruk. Det eneste eksemplet jeg finner i farten på bruk av "BGB Hijacking" er denne beskrivelsen fra 2020 i Telenor sin sikkerhetsblogg:

https://telenorsoc.blogspot.com/2020/05/oppsummering-av-nyhetsbildet-innen.html

https://www.zdnet.com/article/russian-telco-hijacks-internet-traffic-for-google-aws-cloudflare-and-others/

Her ble angrepet først og fremst brukt til å "stjele trafikk". Effekten var vel sannsynligvis også tjenestenekt, men altså ikke noe i retning av "mer avanser DDOS angrep". (Og også tyveri av data.)

Da må man vel kunne legge til grunn at de DDOS angrepene som beskrives nå er av "den gamle enkle sorten" og slik som beskrevet i faglitteraturen for mer en 20 år siden, slik at det det egentlig dreier seg om "demostrasjon av avmakt" og egentlig "mangel på kompetanse" hos den angripende part? - Man tar i bruk noe "billig en enkelt", slik at man kan skape et inntrykk av at man kan gjennomføre cyberangrep.

Det er vel ellers ingen ting som tyder på at "BGB Hijacking" er i bruk i forbindelse med de angrepene som skjer nå?

Edit:

Her fant jeg en kort beskrivelse av "den kombinasjon av metoder" som jeg tenkte på måtte være teoretisk mulig. Er det noe som tyder på at denne metoden er i bruk nå?

https://www.radware.com/security/ddos-knowledge-center/ddospedia/border-gateway-protocol/

Dette ville jo i så fall rent kvalitativt være noe helt ennet enn et klassisk DDOS angrep.

 

Endret av arne22
Lenke til kommentar

Ser ut som hosting serveren NSM bruker er under DDoS angrep (ironisk), så linken er muligens midlertidlig nede.

Wikipedia har en liste over kjente BGP angrep, men vil anta de fleste ikke er offentlig kjent. Om dette er utnyttet i Norge vet bare staten selv.

Angående resten kan jeg ikke svare på da det er langt utenfor mitt kompetanse nivå, men NSM sin artikkel gir mere kontekst så fort den er oppe igjen.

Lenke til kommentar
25 minutes ago, wrd said:

Ser ut som hosting serveren NSM bruker er under DDoS angrep (ironisk), så linken er muligens midlertidlig nede.

Ja, la merke til det det samme og syntes vel også at det var litt ironisk.

25 minutes ago, wrd said:

Om dette er utnyttet i Norge vet bare staten selv.

Tja. Jeg ville nok mene at dette uansett ikke dreier seg om noe "nasjonalt" eller "angrep mot Norge", men heller om et angrep mot Internett som helhet og som i en "midletidig variant" er rettet mot norske nettsteder. Detaljene om hvordan angrepet skjer og planene for å bekjempe angrepet, ligger nok da heller hos de store teknologiselskapene som "kjører Internett" og hos myndighetene hos de store teknologinasjonene, for eksempel USA og andre.

Normalt så pleier det jo å være en forholdsvis stor grad av åpenhet rundt dette, slik at "man" både kan forstå hva som skjer og hvordan man forholder seg til de angrepene som skjer. Det kan jo tenkes at man informere litt mindre nå i disse dager, enn det man normalt pleier å gjøre.

Her har vi en oversikt fra Wikipedia:

https://en.wikipedia.org/wiki/BGP_hijacking

"Norske servere" de kan jo ellers stå hvor som helst i verden, og man kan jo også benytte CDN's slik at serverne ikke er direkte tilgjengelig for angrep. Noen av de siden som har gått ned har jo også kommet med feilmelding fra Cloudflare, har jeg lagt merke til.

Endret av arne22
Lenke til kommentar

Omsider så kom NSM sin webside opp igjen slik at man kunne laste ned og gå gjennom det dokumentet som er linket opp over, altså dette:

https://nsm.no/getfile.php/133690-1592904184/Filer/Dokumenter/u-04_ddos_v1.0.2.pdf

Her var det jo egentlig ganske mye interessant lesestroff, som egentlig går mer i bredden enn i dybden. BGP hijacking er jo bare nevnt sånn litt i forbifarten, uten at det finnes noen videre forklaring omkring praktisk metode i forbindelse med et hacker angrep. 

Dokumentet er jo også datert helt tilbake i 2014, og det som kanskje kan være den praktiske løsningen i dag på mange av de tiltak som foreslås, det er kanskje i dag ivaretatt, dels ved at man kjører servere på serversentere, der det for eksempel finnes DDOS beskyttelse, og så bruker man til dels også "CDN - Content Delivery Network" for å levere data ut til sluttbruker.

Synes det stadig vekk ser ut til å være en "riktig" konklusjon at det ikke skjer noe spesifikt angrep mot Norge eller norske nettresurser, men at det heller skjer et angrep mot "Internett" og den tekniske struktur som ligger bak Internett, og så er "Norge og norske nettsider" bare "det som står på listen over de mål det jobbes mot akkurat nå". 

Dersom det forholder seg slik, så vil dette jo til dels være det motsatte av et angrep basert på "Advanced Persistant Threat" som er spesifikt rettet mot norske bedrifter, nettverkstjenester eller servere, Da ville den tekniske framgangsmåte måtte være veldig forskjellig fra det som vi ser nå. Mye støy og blokkering av websider, ville da typisk erstattes "svært vanskelig å legge merke til og svært vanskelig å detektere", altså "den motsatte angrepsteknikk" i forhold til den man ser demonstrert nå, som ser ut til å være basert på "rettet mot alt og alle" og "mest mulig støy og rabalder".

 

 

Endret av arne22
Lenke til kommentar

Her har vi en artikkel datert 05 Juni som beskriver noen av de mange DDOS angrep som skjer rundt om i verden.

https://www.ec-mea.com/cloudflare-automatically-detected-and-mitigated-largest-https-ddos-attack-on-record/

Så vidt jeg kan se så dreier dette seg alt vesentlig om DDOS angrep av den klassiske typen basert på botnet og zombier.

Det kan vel se ut som at flesteparten av zombiene består av virtuelle maskiner som har blitt kapret med vanlige bruker PC og eventuelt annet teknisk utstyr på andreplass.

I følge loggen så skjer angrepene først og fremst fra Indonesia, Brasil og USA, men det vil da også være typisk for et slik klassisk DDOS angrep at man til en viss grad kan velge hvor angrepet skal komme fra.

Hvis artikkelen lenket opp over eventuelt  beskriver noe som er representativt for dagens DDOS angrep, så understøtter vel det vel en hypotese om at "angrepene mot Norge" egentlig ikke er noe angrep mot Norge, men kanskje heller et eksempel på at "den typiske støyen på internett" ved en anledning har blitt rettet mot norske webadresser. (Selvfølgelig styrt av den som kontrollerer botnettet,)

Noe typisk APT angrep rettet mot Norge eller norske webadresser dreier det seg ikke om. Man er vel heller over i kategorien "rampestreker, støy og rabalder". Noe av det tyiske for et DDOS angrep, det er jo at det er ingen ting som blir ødelagt. Nettstedene og tjenestene blir bare blokkert for et stykke tid.

Det hadde vært meget interessant om det er "noen andre der ute" som har et annet syn på saken, andre opplysninger som leder til en annen konklusjon.

Edit:

Fant noe mer info konkret om angrepene mot de norske webadressene. Konklusjonen er vel fortsatt at angrepsmetodene er "steinalder", teknologisk sett, men at måten det hele organiseres på representerer noe nytt.

https://securityaffairs.co/wordpress/132765/hacking/legion-ddos-norway.html

(Men helt nytt er det jo ikke. Samme måte for å organisere angrepene på har jo også vært i bruk av "andre" gjennom et stykke tid.)

Edit:

En ny oppdatering fra dagbladet.

https://www.dagbladet.no/studio/nyhetsstudio/5?post=99501

Litt mer om de som i følge Dagbladet står bak angrepet:

https://imi.org.ua/en/news/powerful-cyber-attack-impedes-the-work-of-odesa-online-media-outlet-i45436

Endret av arne22
Lenke til kommentar

Der har Telenor sin sikkerhetsblogg kommet med en oppsummering for Juni. De tre første avsnittene handler om DDOS angrep. 

https://telenorsoc.blogspot.com/2022/07/oppsummering-av-nyhetsbildet-innen.html

Edit - Litt mer info om Killnet:

https://en.wikipedia.org/wiki/Killnet

https://www.forescout.com/blog/killnet-analysis-of-attacks-from-a-prominent-pro-russian-hacktivist-group/

Endret av arne22
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...