Det amerikanske programvareselskapet Ivanti advarte mandag kundene sine om oppdagelsen av ytterligere en kritisk sårbarhet i selskapet Ivantis programvare Endpoint Manager Mobile (EPMM), tidligere kjent som MobileIron Core. Sårbarheten, som ble oppdaget av det norske sikkerhetsselskapet Mnemonic utnyttes aktivt, ifølge Ivanti.

Fra før er det kjent at hackerne har utnyttet to nulldagssårbarheter siden april i år – og at et tyvetall selskaper ifølge NSM har benyttet seg av programvaren. En nulldagssårbarhet er et sikkerhetshull som ikke er kjent for sikkerhetsmiljøene fra før, og som gjerne benyttes av avanserte aktører for målrettet hackingvirksomhet.

Veldig mange er sårbare

Nå bekrefter NSM at flere norske virksomheter faktisk er blitt hacket etter angrepet som ble oppdaget hos 12 norske departementer i juli.

– Ja, det er andre enn Departementenes sikkerhets- og servicesenter (DSS) som er berørt. Først og fremst er det veldig mange som er sårbare, hvis vi tar det store perspektivet først. Og så er det andre virksomheter som også er kompromittert, bekrefter NSM-sjef Sofie Nystrøm overfor DN.

Hackerne har dermed utnyttet tilgangen de har kunnet skaffe seg gjennom sikkerhetshullet som ikke tidligere var kjent, og brukt det for å få tilgang til flere norske virksomheter enn det som hittil har vært kjent.

– Det betyr at man har klart å utnytte sårbarheten. Det er flere som er kompromittert, trolig av samme aktør hos andre virksomheter i Norge. Vi kan ikke gå lenger enn det, sier Nystrøm.

– Vi forventer at det kommer flere, både nasjonalt og internasjonalt, legger hun til.

En vedvarende aktør

På spørsmål om de rammede norske virksomhetene er private eller offentlige selskaper, svarer NSM-sjefen:

– Jeg kan ikke kommentere ytterligere på hvilken type virksomheter det er. Men jeg tror vi skal være klare på at DSS er den største, og som vi har jobbet flere uker med. Det er den største kompromitteringen av sitt slag i dette komplekset, sier Nystrøm.

– Det er fortsatt i utvikling, og vi er ikke ferdige med denne hendelsen. Det er en avansert aktør som har brukt mye ressurser, sier Nystrøm.

Den amerikanske cybermyndigheten CISA har gått ut offentlig med at trusselaktøren som har utnyttet sårbarhetene i Ivantis programvare er en såkalt APT-aktør, en «avansert, vedvarende trusselaktør». Begrepet refererer til godt organiserte og ofte statsstøttede grupper som utfører langvarige og målrettede cyberangrep. I motsetning til vanlige nettkriminelle, har de gjerne spesifikke mål, betydelige ressurser og tid, og avanserte ferdigheter.

Flere nulldagssårbarheter

Ifølge NSM har de øvrige norske virksomhetene tjenesten vet om, adressert sårbarheten.

– Alle vi har varslet har lukket sårbarheten. Men det er sikkert mange vi ikke kjenner til også. Det er under utvikling, sier Nystrøm.

Hackerne har benyttet seg av en såkalt nulldagssårbarhet i angrepet mot departementene, et sikkerhetshull som tidligere ikke var kjent for sikkerhetsekspertene.

Nasjonal sikkerhetsmyndighet bekrefter samtidig overfor DN at angriperne har benyttet seg av ikke bare én, eller to – men trolig enda flere slike nulldagssårbarheter. Dette indikerer at profesjonaliteten og graden av sofistikasjon også er større enn hva som hittil har vært kjent. Nystrøm vil imidlertid ikke avsløre hvor mange nye nulldagssårbarheter som er blitt oppdaget, utover de to som offisielt er blitt annonsert.

– Det er under utvikling, men vi har bekreftet offentlig at det er minst to sårbarheter, og to er de offentlig tallene, sier Nystrøm.

– Men det kan være snakk om flere nulldagssårbarheter enn to?

– Det kan være flere.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.