ESET ”Virtual World 2020”

Nyligen arrangerade ESET – Virtual World 2020 – ett webinar som pågick i dagarna tre. Ämnesområdet var Cybersäkerhet men dessutom gjordes det flera intressanta kopplingar till den pågående pandemin.

ESET ”Virtual World 2020” 1Miroslav Mikus, Chief Sales Officer på ESET, hälsade oss varmt välkomna med olika hälsningsfraser eftersom eventet sändes globalt och deltagarna befann sig i alla delar av dygnet. Inte mindre än 2 500 deltagare hade registrerats sig. Ett stort antal av dessa var journalister eftersom vi var en av målgrupperna för den första dagen. Dag 2 vände sig programmet, i första hand, till SMB (Small and Medium Business) och MSP (Managed Service Provider). Den tredje dagen behandlades huvudsakligen aktualiteter för Enterprise (Stora företag) och Konsumentmarknaden.

Miroslav gjorde, med glimten i ögat, en koppling till att vi kunde se det fullmatade tredagarsprogrammet som ESET:s eget Netflix-utbud. Välj och vraka bland flera livestreamade samt förinspelade Keynotes och föredragshållare. För att ändå skapa största möjliga känsla av närhet fanns det möjlighet att löpande skicka in frågor och en Facebookgrupp hade skapats för att fungera som ett alternativ till det mingel som erbjuds vid fysiska event. Miroslav bad oss att dela bilder där för att förstärka känslan av att vara tillsammans.

Ingen slipper undan

I sitt inledningsanförande sa Miroslav skämtsamt att det var lite ironiskt att ESET också hade drabbats av Coronavirusets framfart eftersom de är en av de ledande leverantörerna av Antivirus och andra säkerhetslösningar.

Näste talare Richard Marko, Chies Executive Officer på ESET, tog upp den tråden och var väldigt öppen med att även ESET självklart hade drabbats. De har 23 kontor världen över och för att hålla koll på hur den egna verksamheten drabbades gjorde de en grafisk översikt där samtliga kontor klassades in i tre olika nivåer; öppet, delvis öppet samt stängt. Det första ESET-kontoret som fick stänga var i Milano, Italien, som dessutom är det yngsta. Nu börjar glädjande nog de kontor som varit stängda att öppnas igen.

Richard berättade att den upparbetade kompetens som de besitter när det gäller beräkningar av virusspridning inom IT till stora delar går att överföra på bakteriella virus. ESET har nyligen tagit fram 100 000 test-kit åt sjukvården. Han avslutar stolt med att berätta att flera stora aktörer, bland annat Chrome och Google Play, har valt dem som leverantör av säkerhetslösningar samt att fler än två miljarder enheter världen över skyddas av ESET.

Sociala medier är en riskfaktor

Det är dags för nästa föredragshållare att äntra scenen i den publiktomma studio som detta webinar sänds ifrån. Det är Juraj Malcho, Chief Technology Officer på ESET, som ska prata om AI (Artificiell Intelligens) och sociala medier.

En av hans funderingar levereras med en stor portion humor samtidigt som han lyckas att få fram allvaret, när han säger:

”Förut var det bara dina närmaste vänner och anhöriga som visste om du var en idiot!”.

Lösryckt ur sitt sammanhang kan det verka lite arrogant, det som Juraj säger, men om vi stannar upp och funderar på hur vi agerar och kommunicerar på sociala medier så framstår han påstående i en helt annan dager. Utan att peka finger åt någon får han oss att inse att vårt beteende på nätet avslöjar hur pass vaksamma och försiktiga vi är på det informationsflöde som vi ständigt utsätts för. Glöm inte bort att till skillnad från alla hederliga människor har de cyberkriminella ”all tid i världen” att analysera och hitta de svagaste länkarna.

I många sammanhang på Internet får vi förslag på artiklar och information som passar de åsikter som vi tidigare gett uttryck för. De kan redan vara påverkade och/eller skapade av AI. Juraj berättar även att, till skillnad från förr, är dagens spam skickligt gjorda och svåra att upptäcka. Han höjer även ett varningens finger för att många enheter i IoT-lösningar är svagt skyddade och inom framför allt industrin är det alldeles för vanligt att enheterna helt saknar skydd (!). Han ställer också den retoriska frågan: Vad händer om nättrollen övergår till automation på de sociala medierna?

Troligen är det ingen som har svaret idag men det står helt klart att ESET och övriga aktörer inte saknar utmaningar när det handlar om cybersäkerhet, bland annat avseende vårt eget beteende.

Med smicker kan man komma långt

ESET ”Virtual World 2020” 2
Jean-Ian Boutin, Head of Threat Research på ESET Kanada

Att den mänskliga faktorn alltför många gånger är den svaga länken när det handlar om säkerhet blir vi påminda om när Jean-Ian Boutin, Head of Threat Research på ESET Kanada, tar över våra bildskärmar. Han befinner sig inte i samma studio som de tidigare föredragshållarna. Han sänder live från Kanada och har fått ställa väckarklockan för att gå upp extra tidigt. En detalj som påminde oss om att detta verkligen var ett event i direktsändning från flera platser på jordklotet med mottagare över hela världen.

Jean-Ians föredrag handlar om en konkret attack, Operation In(ter)ception, riktad mot europeiska aktörer inom försvars- och flygindustrin. Två områden fulla av information som kan generera inkomster i form av till exempel utpressning och bedrägerier. Återigen påminns vi om den mänskliga faktorn. Han ger oss ett verkligt exempel på hur de kriminella använder sociala medier som språngbräda. I detta fall råkar det vara med hjälp av LinkedIn men Jean-Ian är väldigt tydlig med att det inte beror på den plattformen. Det beror på hur vi människor fungerar. Så här gick det till:

En anställd (Offret) på ett rymdbolag blir kontaktad via LinkedIn av någon (Bedragaren) som säger sig representera ett respekterat företag i branschen. Kontakten har sett offrets CV och är mycket intresserad av att anställa offret. Ett av de inledande verktygen är smicker med fraser som – Vi välkomnar elitmedarbetare som du själv. Därefter är målet att få offret att öppna en bifogad fil. Det kan till exempel gå till så att bedragaren skickar med en fil som uppges innehålla löneuppgifter och där framgår vad olika tilltänkta anställningar skulle innebära i lönekuvertet. En annan varningssignal är att bedragaren sätter offret under press genom att till exempel skriva – Jag sitter vid datorn nu. Öppna filen direkt så kan vi fortsätta vår dialog.

Vad händer när intrånget är ett faktum?

Väl inne i offrets dator skaffar sig bedragaren snabbt allt större rättigheter bland annat genom att byta lösenord. I just det fall som Jean-Ian beskriver tog bedragaren hjälp av en lösenordskyddad Dropbox för att spara undan de dokument och den information som de ville komma åt. När bedragaren har lyckats säkerställa att de har kontroll över en massa viktig information är de noga med att städa efter sig. De LinkedIn-profiler och Dropbox-arkiv som de använt tas bort. Detsamma gäller övriga spår som de har skapat. Därefter vidtog den sista fasen i denna attack, så kallad Moonlightning (utpressning). Bedragaren hade, bland annat, kommit över ett stort antal fakturor och skickade ut de igen, från offrets egen e-post, med tilläggsinformation om att offrets företag hade bytt bank och att fakturan skulle betalas till en annan bank. Därmed var attacken fullbordad och allt började med lite smicker av en medarbetare.

Jean-Ian summerar det hela med att lyfta fram några varningssignaler:

  • Bristfällig engelska (som är det vanligaste språket i dessa globala attacker)
  • Offrets pressas att svara direkt
  • Märkliga instruktioner om hur en bifogad fil ska hanteras

Han ger oss även några exempel på vad företag och organisationer kan göra för att förebygga ett liknande intrångsförsök:

  • Öka de anställdas allmänna kunskap och insikt om dessa hotbilder
  • Blockera tillgång till stora dokumentarkiv
  • Stryp möjligheten att ladda ner appar
  • Var noga med att alltid ha alla säkerhetslösningar uppdaterade med senaste versionen

När Hackergrupper samarbetar skapas nya utmaningar

Zuzana Hromcová, Malware Researcher på ESET i Kanada, var dagens sista föredragshållare i livesändningen. Hon gav oss en inblick i spelet bakom kulisserna när det gäller spridningen av InvisiMole, ett Malware som blev en stor utmaning att knäcka för Zuzana och hennes kollegor. Det antas att detta virus skapades år 2013 och efter en tid fick ESET upp ögonen för det bland annat för att det ville slå ut deras eget verktyg NOD32.

”De utmanade oss och vi antog den utmaningen”, säger Zuzana bestämt.

En intressant aspekt är att detta verkar vara ett exempel på att två kända hackergrupper slår sina påsar ihop och samarbetar för att nå största möjliga vinst, vilket med andra glasögon innebär att InvisiMole skapade stora skador för de som drabbades. ESET satte ihop ett eget team med en enda uppgift; Besegra InvisiMole!

En av framgångsfaktorerna var att de samarbetade med de företag som fallit offer för detta Malware. På så sätt fick de en bra inblick i hur hackarna arbetade. Efter ett tag insåg de att allt pekade på att två kända grupper av hackare samarbetade. Deras huvudmål var diplomatiska och militära organisationer. Mot denna bakgrund påpekar Zuzana att InvisiMole snarare är ett Spyware vars syfte är att komma över känslig och säkerhetsklassad information.

Trots att det första tecknet på InvisiMoles existens kunde spåras tillbaka till år 2013 kan ESET konstatera att flera koordinerade attacker har genomförts i Östeuropa under perioden september 2019 – juni 2020 och att den kampanjen fortfarande är aktiv. En av de saker som har gjort detta Spyware känt och fruktat är att det har 99 olika kommandon för att ta sig in bakvägen och ta kontroll över såväl kameror, mikrofoner, skärmdumpar, geografisk position samt dokument och web-sändningar. Inte nog med det! I den senaste versionen kan InvisiMole dessutom stjäla foton från uppkopplade Smartphones.

Gamaredon Group, som sannolikt har sitt ursprung i Ryssland, använder Spear Phishing e-mail för att komma in i ett nätverk. Även om de inte är lika sofistikerade som InvisiMole Group ställer de till med stor skada och kanske är den mest negativa effekten att det är de som öppnar vägen in i nätverken för InvisiMole.

Zuzana avrundar med att påminna oss om vikten av att säkerställa att samtliga enheter är skyddade inte bara de mest viktiga. Detsamma gäller för företag med kontor på flera orter och/eller länder. Det är lika viktigt att de små kontoren på mindre centrala orter är lika skyddade som de stora på de centrala platserna. I annat fall utgör de den svaga länken in i organisationens nätverk och de cyberkriminella kommer att hitta den svagheten eftersom det är det som de lägger all sin tid på.

Finns det en pandemieffekt?

Dagen avslutas med en presskonferens som sänds från den publikfria studion där även de föredragshållare som sänt via länk deltar. En av många frågor som har sänts in från journalister över hela världen är om den finns några tydliga tecken på att Covid-19 har bidragit till flera intrångsförsök? Svaret blir att det är svårt att säkerställa men att det självklart har satt IT-säkerheten på nya prov när så många jobbar hemifrån och alltför ofta på datorer som övriga familjemedlemmar har access till. Dessa kan ha ett svagt skydd och vara fulla av dataspel och andra riskfaktorer.

Efter direktsändningen fanns det även möjlighet att ta del av tre förinspelade föredrag i lugn och ro.

Vi avslutar med att sända en tacksamhetens tanke till alla hjältar världen över som riskerar sitt liv inom sjukvården för att bekämpa Covid-19. Vi är samtidigt tacksamma för att ESET och deras medaktörer lägger all kraft på att bekämpa andra typer av hot inom cybersäkerhet.