Næringslivets
sikkerhets-
råd
Meny

Ukesnytt digital sikkerhet - Uke 36

3. sep 2025
Lesetid: 6 min

Sikkerhetsbrudd, spionasje og KI-drevet skadevare utgjør en økende trussel for norske bedrifter. Nylige hendelser, som en omfattende lekkasje hos programvareselskapet Salesloft og russisk spionasje mot Microsoft 365, understreker hvor sårbare bedrifter er for angrep i den digitale leverandørkjeden. Samtidig advarer eksperter om at kunstig intelligens nå brukes til å utvikle løsepengevirus, og amerikanske myndigheter peker på at kinesiske aktører systematisk angriper kritisk infrastruktur. Dette viser at cybertrusselen blir mer sofistikert og at kampen om cybersikkerhet utspiller seg på flere fronter samtidig.

Omfattende leverandørkjedeangrep: Salesloft-lekkasjen rammer hundrevis av selskaper

Et omfattende datainnbrudd hos programvareselskapet Salesloft har ført til sikkerhetshendelser hos hundrevis av deres kunder, inkludert store teknologiselskaper som Zscaler og Palo Alto Networks. Angrepet utnyttet stjålne autentiseringstokens og avslører den systemiske risikoen i moderne, sammenkoblede skytjenester.

Angrepet handlet om tyveri av OAuth-autentiseringstokens fra Salesloft, som eier den populære AI-chatbot-tjenesten Drift. Disse tokenene fungerer som digitale nøkler som lar ulike applikasjoner, som Salesloft og Salesforce, stole på hverandre og utveksle data uten å dele passord. Med disse nøklene på avveie kunne angriperne få tilgang til kundenes data i tilknyttede systemer. Konsekvensene har vært betydelige, og selskaper som Zscaler og Palo Alto Networks har bekreftet at deres Salesforce-instanser ble kompromittert. For Zscalers del kan angriperne ha fått tilgang til kunders forretningskontakter og innhold fra enkelte support-saker.

Hva så?

Denne hendelsen bør være en vekker for norske bedrifter og viser at en virksomhets sikkerhet også er avhengig av det svakeste leddet i den digitale leverandørkjeden. Problemet her er ikke en tradisjonell sårbarhet, men misbruk av en legitim, tillitsbasert mekanisme (OAuth). For norske virksomheter betyr dette at risikostyring av leverandører må modnes. Man kan ikke bare spørre «er leverandøren sikker?». Man må spørre: «Hvordan integrerer denne leverandøren med våre andre kritiske systemer, og hva er den potensielle skadeomfanget hvis leverandøren blir kompromittert?». Dette krever en strengere tilgangskontroll for tredjepartsapplikasjoner, basert på prinsippet om minimal tilgang.

Lenke: https://thecyberwire.com/newsletters/daily-briefing/14/167

Dato: 1. september 2025

Russisk spionasje: Amazon stanser APT29-kampanje mot Microsoft 365

Amazons sikkerhetsteam har aktivt forstyrret en pågående spionasjekampanje fra den russiske statsstøttede gruppen APT29 (også kjent som Midnight Blizzard). Angrepet var rettet mot Microsoft 365-miljøer og markerer en viktig utvikling der en kommersiell skyleverandør tar en direkte rolle i kontraetterretning.

Den russiske hackergruppen APT29, som er knyttet til Russlands utenlandsetterretning (SVR), benyttet seg av en teknikk kjent som «watering hole»-angrep. De kompromitterte legitime nettsteder for å omdirigere besøkende til ondsinnet infrastruktur. Målet var å lure brukere til å autorisere enheter kontrollert av angriperne gjennom Microsofts autentiseringsflyt, noe som ville gitt dem tilgang til offerets Microsoft 365-konto. Amazons team oppdaget kampanjen på sin AWS-infrastruktur, stengte den ned, og fortsatte å spore og forstyrre aktørens forsøk på å gjenoppbygge den.

Hva så?

Denne saken viser hvordan private eiere av infrastruktur blir en del av de nasjonale sikkerhetsfunksjonene, der en kommersiell aktør som Amazon blir en sentral forsvarer mot statsstøttet spionasje. For norske bedrifter er dette viktig av to grunner. For det første gir bruk av store, globale skyleverandører et beskyttelsesnivå som er langt utover hva en enkelt virksomhet kan oppnå selv. For det andre bekrefter det at bedriftens skymiljøer er en aktiv slagmark i geopolitiske konflikter. NSR mener at det er viktig for bedriftene å følge skyleverandørenes anbefalinger for sikkerhetskonfigurasjon og å benytte seg av de avanserte trusseldeteksjonstjenestene som tilbys.

Lenke: https://www.bleepingcomputer.com/news/security/amazon-disrupts-russian-apt29-hackers-targeting-microsoft-365/ (via The Cyberwire)

Dato: 2. september 2025

Forskere avdekker «PromptLock», et KI-drevet løsepengevirus

Forskere har oppdaget et nytt løsepengevirus under utvikling, kalt «PromptLock», som ser ut til å være det første kjente eksempelet på skadevare som aktivt bruker kunstig intelligens (KI). Selv om det ennå ikke er observert i aktive angrep, varsler det en urovekkende utvikling i trussellandskapet.

Ifølge en rapport fra sikkerhetsselskapet Darktrace, er PromptLock designet for å utnytte KI for å gjøre angrepene mer effektive og vanskeligere å oppdage. Potensielle bruksområder for KI i slik skadevare kan inkludere å generere unike, polymorfe kodevarianter for hver infeksjon for å unngå signaturbasert deteksjon, lage mer overbevisende og persontilpassede phishing-e-poster i sanntid, eller ta autonome beslutninger om hvilke filer på et system som skal krypteres først for å forårsake maksimal skade raskest mulig. Forskningen indikerer at skadevaren er nær ferdigstillelse, noe som gjør trusselen overhengende.

Hva så?

KI i skadevare er i ferd med å gå fra teori til praksis. For norske bedrifter betyr dette at sikkerhetsmekanismene også må utvikle seg. Dagens forsvar mot ondsinnet kode kan vise seg å være utilstrekkelig mot en adaptiv, KI-drevet trussel. I stedet må vi utvikle og ta i bruk KI-drevne sikkerhetsverktøy som kan oppdage unormal atferd og respondere i maskinhastighet, ettersom menneskelige analytikere kan være for trege til å håndtere et KI-drevet angrep.

Lenke: https://blog.talosintelligence.com/link-up-lift-up-level-up/

Dato: 28. august 2025

CISA advarer: Kinesiske aktører angriper kritisk infrastruktur globalt

Amerikanske sikkerhetsmyndigheter, ledet av CISA, har i samarbeid med internasjonale partnere utstedt et omfattende varsel om kinesiske statsstøttede hackere. Aktørene retter seg systematisk mot kritisk infrastruktur, spesielt telekommunikasjon, for å oppnå langvarig og skjult tilgang.

Varselet beskriver hvordan kinesiske statsstøttede aktører utnytter offentlig kjente sårbarheter i nettverksutstyr fra produsenter som Cisco, Palo Alto Networks og Ivanti. Angriperne fokuserer på enheter i nettverkskanten, som rutere og VPN-konsentratorer. Når de først har fått tilgang, modifiserer de enhetenes konfigurasjon for å sikre vedvarende tilgang, ofte ved å opprette skjulte tunneler for datatrafikk eller endre tilgangskontrollister. Målet er å overvåke og stjele data fra nettverk som tilhører telekom-leverandører, myndigheter og transportsektoren. Aktiviteten er sporet tilbake til minst 2021 og er knyttet til flere kinesiske teknologiselskaper som leverer tjenester til Kinas etterretningstjenester.

Hva så?

Dette varselet er en påminnelse til norske virksomheter som opererer kritisk infrastruktur, om at de er høyt prioriterte mål for statsstøttede aktører. Angripernes metode er å utnytte kjente, men upatchede sårbarheter. Dette viser at god «cyberhygiene» er et nasjonalt sikkerhetsanliggende. Dersom man er sen med å patche kritiske sårbarhet på en internett-eksponert enhet, er det en åpen invitasjon til kriminelle og utenlandske etterretningstjenester. NSR anbefaler alle norske nirksomheter å ha et sårbarhetshåndteringsprogram.

Lenke: https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-239a

Dato: 27. august 2025

Kritisk sårbarhet i WhatsApp: «Zero-click»-angrep muliggjør spionvare

WhatsApp har tettet en kritisk nulldagssårbarhet som ble aktivt utnyttet i målrettede angrep mot iOS- og Mac-brukere. Sårbarheten krevde ingen interaksjon fra offeret («zero-click») og kunne brukes til å installere avansert spionvare på enheten.

Sårbarheten (CVE-2025-55177) skyldtes en feil i hvordan WhatsApp håndterte synkroniseringsmeldinger fra tilknyttede enheter. Angripere kunne utnytte denne i kombinasjon med en sårbarhet i Apples operativsystem (CVE-2025-43300) for å få full kontroll over en enhet. Ettersom angrepet var av typen «zero-click», kunne en enhet bli kompromittert kun ved å motta en spesielt utformet melding, uten at brukeren trengte å klikke på en lenke eller åpne en fil. Angrepene skal ha vært svært sofistikerte og rettet mot et lite antall spesifikke individer, noe som tyder på at de ble utført av aktører med store ressurser, som kommersielle spionvareleverandører.

Hva så?

Dette er et tydelig eksempel på at skillet mellom sikkerhet privat og på jobb viskes ut. En sårbarhet i en personlig meldingsapp kan utgjøre en direkte trussel mot bedriftene sikkerhet. Målene for slike kostbare og avanserte angrep er typisk toppledere, politikere, journalister og andre nøkkelpersoner. En bedrifts angrepsflate slutter ikke lenger ved brannmuren; de personlige enhetene og appene til sentrale ansatte er nå en del av den. NSR anbefaler at norske virksomheter må oppdatere sine retningslinjer for bruk av mobile enheter og gi nødvendig opplæring for å motvirke slike trusler.

Lenke: https://www.infosecurity-magazine.com/news/whatsapp-patches-zeroday-zeroclick/ Dato: 1. september 2025

Bjarte Malmedal NSR

Bjarte Malmedal Fagdirektør digital sikkerhet bma@nsr-org.no +47 990 94 838

Takk for at du vil laste ned en rapport fra NSR.

  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
Lukk

Takk!

En epost med lenke til nedlasting av ${ this.publicationData ? this.publicationData.title : '' } er sendt til ${ this.email }.

Lukk