Ukesnytt digital sikkerhet - Uke 15

Iranske aktører forstyrrer industrielle kontrollsystemer

Iransk-tilknyttede aktører angriper operasjonell teknologi og manipulerer prosjektfiler på industrielle kontrollsystemer for å forårsake driftsstans.

CISA rapporterer at angripere systematisk utnytter internetteksponerte mobilmodemer for å nå PLS-er på tvers av kritisk infrastruktur. Trusselaktørene endrer data på SCADA- og HMI-skjermer og interagerer direkte med kontrollenhetene. Aktiviteten fører til reelle produksjonsstopp og økonomiske tap for de berørte virksomhetene.

Hva så?

Hendelsene viser at angripere aktivt søker etter svakt sikret operasjonell teknologi (OT). Norsk industri, energisektor og vannforsyning som benytter fjerntilgang for vedlikehold, kan derfor være utsatt. Systemer som eksponerer administrative grensesnitt direkte mot internett bør isoleres for å redusere eksponering.

Kilde: https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097a (Publisert: 07.04.2026)

Kunstig intelligens avdekker tusenvis av ukjente nulldagssårbarheter

Anthropic demonstrerer at deres nye KI-modell radikalt senker terskelen for å finne og utnytte dype sårbarheter i utbredt programvare.

Gjennom prosjektet Glasswing har modellen Claude Mythos identifisert tusenvis av kritiske nuldagssårbarheter i alle sentrale operativsystemer og nettlesere. Noen av feilene, inkludert en sårbarhet i OpenBSD, har forblitt uoppdaget i 27 år til tross for utstrakt bruk av automatiserte testverktøy. Modellen utfører også komplekse, selvstendige nettverksangrep.

Hva så?

Tradisjonell sikkerhetstesting utfordres når maskinlæring kan analysere kodebaser med enorm hastighet og presisjon. Kriminelle aktører får tilgang til samme teknologi. Norske sikkerhetsteam må forberede seg på en kraftig økning i antallet ukjente sårbarheter som utnyttes. Fokuset må dreies fra utelukkende patching av kjente feil til kontinuerlig overvåking, strengere nettverkssegmentering og umiddelbar isolering av unormal aktivitet.

Kilde: https://www.anthropic.com/glasswing (Publisert: 08.04.2026)

Russisk etterretning massekaprer rutere for å stjele Microsoft-sesjoner

Den statssponsede gruppen Forest Blizzard utnytter sårbarheter i rutere på hjemmekontor for å omdirigere DNS-trafikk og stjele aktive autentiseringstokener.

Sikkerhetsforskere fra Lumen og Microsoft har avdekket over 18 000 kompromitterte rutere, primært fra Mikrotik og TP-Link. Aktørene, trolig tilknyttet russisk militæretterretning (GRU), endrer DNS-innstillingene uten å installere skadevare. Omdirigeringen brukes til å samle inn sesjonsdata fra ansatte i regjeringsorganer, utenriksdepartementer og kritiske virksomheter. Det er ikke kjent om dette også har skjedd i Norge.

Hva så? Kampanjen rammer utdatert utstyr hos ansatte utenfor det beskyttede bedriftsnettverket. Tyveri av Microsoft-tokener lar angriperne omgå multifaktorautentisering og logge seg rett inn i virksomhetens Office-miljøer. Risikoen øker for norske virksomheter som tillater pålogging fra ukjente eller private nettverk uten strenge krav til enhetskontroll.

Kilde: https://krebsonsecurity.com/2026/04/russia-hacked-routers-to-steal-microsoft-office-tokens/#more-73422 (Publisert: 07.04.2026)

Forsyningskjedeangrep mot populært sikkerhetsverktøy rammer programvareutviklere globalt

En angriper tok kontroll over Trivy, et mye brukt verktøy som automatisk sjekker programvare for kjente sårbarheter, og plantet skadevare i den offisielle oppdateringen. Norske virksomheter som bruker verktøyet i sin programvareutvikling, bør handle umiddelbart.

19. mars 2026 klarte en angriper å bryte seg inn i infrastrukturen bak sikkerhetsverktøyet Trivy, som brukes av utviklingsteam verden over til å skanne programvare for sikkerhetshull. Angriperen publiserte en falsk oppdatering (versjon 0.69.4) gjennom de offisielle kanalene, slik at den fremsto som en legitim utgivelse. Den falske oppdateringen inneholdt skjult skadevare som stjal passord, tilgangsnøkler og andre hemmeligheter fra systemene der den ble kjørt. Bakgrunnen var at produsenten Aqua Security ikke hadde byttet alle passord grundig nok etter et innbrudd i februar, noe som ga angriperen en vei inn på nytt. Skadevaren spredte seg videre: de stjålne tilgangsnøklene ble brukt til å infisere dusinvis av andre programvarepakker med en selvspredende orm kalt CanisterWorm. Sårbarheten er vurdert som kritisk (CVE-2026-33634, alvorlighetsgrad 9.4 av 10). Det amerikanske cybersikkerhetsbyrået CISA krever utbedring innen 9. april 2026.

Hva så?

Trivy kjører typisk som en del av den automatiserte byggeprosessen der virksomheter utvikler og oppdaterer programvare, en prosess som har bred tilgang til passord, tilgangsnøkler og andre sensitiv informasjon i virksomhetens systemer. Norske virksomheter som bruker Trivy bør umiddelbart sjekke med sine utviklingsteam om verktøyet ble oppdatert i perioden 19.–22. mars. Alle passord og tilgangsnøkler som utviklingsmiljøet hadde tilgang til, må antas å være kompromittert og byttes ut. Sikre versjoner er tilgjengelige fra produsenten. Hendelsen er også en påminnelse om å aldri stole blindt på automatiske oppdateringer av tredjepartsverktøy. Selv sikkerhetsverktøy kan bli angrepsvektorer.

Kilde: https://www.aquasec.com/blog/trivy-supply-chain-attack-what-you-need-to-know/ (Publisert: 4. april 2026)