2025-08-15

Google hackade av ShinyHunters

Google skickade nyligen ut ett mail gällande att dom blivit hackade av gruppen ShinyHunters eller rättare skrivet UNC6240 som påstår sig vara ShinyHunters. Gruppen utnyttjar en typ av Vishing-metod för att erhålla en 8-siffrig token till Salesforce. För det var nämligen en extern instans av mjukvaran Salesforce som hackades, men som innehöll kunduppgifter från bl.a. tjänsten Google Ads. Så här ser mailet som skickades ut, till mig:

Google Threat Intelligence Group (GTIG) noterar också att gruppens taktik har utvecklats löpande. De har gått från att använda Salesforce Dataloader till egna utvecklade script (typiskt i Python), vilket gör det svårare att spåra dem eftersom de använder Mullvad VPN och Tor både vid intrång och exfiltrering av kunduppgifter. Även användningen av komprometterade konton för registrering av attackerade applikationer har ökat.

Google genomförde i juni en forensisk insats mot en av sina Salesforce-instanser som påverkats. GTIG analys visade att endast begränsade, i huvudsak offentliga företagsuppgifter exfiltrerades under en kort tidsperiod innan åtkomsten stängdes av.

Som motåtgärder rekommenderar GTIG bland annat att principen om minsta privilegium tillämpas strikt, att hantering av anslutna appar (connected apps) begränsas och granskas noggrant, att åtkomst regleras via IP-policyer, samt att aktivera stöd från Salesforce Shield (transaction security, event monitoring) utnyttjas för att bevaka och blockera ovanlig aktivitet. Vidare understryks vikten av bred användning av multifaktorautentisering.

2016-11-01

TV4 Nyheterna granskar IT-säkerheten med USB-minne

Under föregående vecka så genomförde TV4 Nyheterna en granskning på ett antal olika myndigheter samt sjukhus. Granskningen gick ut på att en reporter besökte dessa ställen med ett USB-minne och sedan frågade om de kunde skriva ut ett dokument som låg på minnet.

Attacken är allmänt känd sedan tidigare för oss som jobbar med cybersäkerhet och går ut på att antagonisten kombinerar två olika förfaranden, dels social engineering där en individ utnyttjas och luras att stoppa in minnet i en dator. Den delen av attacken använder USB-minnet som en bärare av skadlig kod eller emulerar ett tangentbord (rubber ducky attack).

Även om inslaget lyfter upp en viktig poäng så brister själva förfarandet från TV4. Det är också tråkigt att en av myndigheterna i en intervju påpekar att en individ som har gjort fel.

Om du använder Social Engineering som en attackvektor så kommer alltid en individ att göra fel förr eller senare, därför bör det förutom administrativa rutiner finnas övriga säkerhetshöjande åtgärder som försvårar social engineering-attacker.

Även att påstå som TV4 gör ”ett USB-minne med skadlig kod”, vad för typ av skadlig kod? Tänker de lura någon att klicka på skadlig Exe-program? Öppna ett Word-dokument med makron?

De myndigheter som stoppa in ett USB-minne i en dator är rödmarkerade här:

Men hur kan det bli så att myndigheter och sjukhus brister i sina rutiner, om de har några överhuvudtaget gällande USB-stickor.

Jag tror nämligen att dessa undersökta organisationer inte har genomfört följande:

Utbildat sina anställda och konsulter/leverantörer om säkerhetspolicys, om sådana överhuvudtaget finns. Vi ser exempelvis i TV4-inslaget att ett annat företag har hand om receptionen.
Övat och testat att rutiner fungerar. När testade Er organisation hur många som går på phishing-mail senast?
Införa tekniska metoder att försvåra Social Engineering och USB-attacker.

Viktigt också är att poängtera att bara för att någon pluggar in ett USB-minne i en dator så betyder det inte att systemet är sårbart. Det kan finnas ytterligare åtgärder såsom nedlåsningar, antivirus, vitlistning och fristående system som gör svårt att utnyttja USB-attacker.

Organisationer med höga assuranskrav bör givetvis använda ett ett fristående system för USB-överföringar som ökar säkerheten. Sådana system heter bla. Hunna och Impex från Sysctl AB.

Här kan du se inslagen från TV4: