Archiv für den Monat: Februar 2024

Grünes Fragezeichen auf dunklem Hintergrund, umrahmt von weiteren Fragezeichen und Cyber Security Elementen

Was lernen wir aus bekannt gewordenen Cyberattacken?

Schreibe eine Antwort

Im Rahmen des World Economic Forum 2024 hat Emma Charlton in ihrem Artikel „2023 was a big year for cybercrime – here’s how we can make our systems safer“ auch fünf gravierende Cyberattacken kurz beleuchtet.

Ich möchte diesen Artikel zum Anlass nehmen die Einfallstore für die Cyberattacken zu untersuchen um daraus Lehren ziehen zu können. Ich habe dabei die Reihenfolge und Bezeichnungen der Attacken aus dem Artikel beibehalten.

1. Theft of US State Department records

Dass der Fokus bei dieser Attacke auf dem Aussenministerium der Vereinigten Staaten liegt dürfte der verwendeten Quelle bleepingcomputers.com geschuldet sein. Tatsächlich waren dutzende Organisationen von diesem Datenleck betroffen.

Vermutlich die chinesische Storm-0558-Gruppe ist in den Besitz eines Microsoft-Schlüssels gelangt. Dieser wird normalerweise in einem abgeschotteten Produktiv-System verwendet. Der genaue Hergang kann nicht sicher nachvollzogen werden, da die Protokollierung nicht so weit reicht, aber es wird folgender Ablauf vermutet (stark vereinfacht): Als Inhalt eines Crash-Dumps, der vermeintlich keine sensiblen Daten mehr enthalten sollte, gelang der Schlüssel in einen weniger geschützten Bereich. Dieser wurde dann über einen kompromittierten Zugang eines Microsoft-Ingenieurs ausgelesen. Über den Angriffsvektor auf den Microsoft-Ingenieur konnte ich keine genaueren Angaben finden.

Fazit

Eine Verkettung von Fehlern hat diesen Angriff ermöglicht. Den heikelsten Punkt sehe ich aber darin, dass Crash-Dumps aus abgeschotteten Produktiv-Systemen in einem weniger geschützten Bereich untersucht werden. In den Routinen, welche die sensiblen Daten entfernen sollten, können weiterhin Fehler auftreten, so dass ähnliche Probleme wieder auftauchen können.

Quellen

https://www.bleepingcomputer.com/news/security/microsoft-breach-led-to-theft-of-60-000-us-state-dept-emails/
https://www.bleepingcomputer.com/news/microsoft/hackers-stole-microsoft-signing-key-from-windows-crash-dump/
https://www.heise.de/news/Hackerangriff-aus-China-auf-Dutzende-Organisationen-und-auch-Staaten-9213658.html
https://www.heise.de/news/Neue-Erkenntnisse-Microsofts-Cloud-Luecken-viel-groesser-als-angenommen-9224640.html
https://www.heise.de/news/Gestohlener-Microsoft-Schluessel-stammte-aus-einem-Crash-Dump-9297240.html
https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/

2. DarkBeam’s data protection lapse

Beim Datenleck von DarkBeam waren mehr als 3,8 Milliarden Datensätze betroffen. Es handelte sich dabei um E-Mail-Adressen oder Benutzernamen und das zugehörige Passwort. Ob das Passwort dabei geschützt oder als Klartext abgelegt war war aus den von mir konsultierten Quellen nicht ersichtlich.

Ursache für das Datenleck war ein ungeschütztes Elasticsearch/Kibana-Interface. Laut Mutmassungen wurde nach Wartungsarbeiten vergessen das Passwort wieder zu setzen. Dies stellt aber bei mir die Frage warum der Passwortschutz für Wartungsarbeiten überhaupt entfernt werden muss. Dies fördert Fehler und entsprechende gravierenden Konsequenzen.

Fazit

Auf den ersten Blick ist hier klar menschliches Versagen die Ursache. Es sollten aber unbedingt die Prozesse überdacht werden um in Zukunft solche Fehler zu verhindern oder zumindest die Auswirkungen zu mindern. Insbesondere von einer Firma, die sich im Security-Bereich bewegt sollte dies erwartet werden dürfen.

Quellen

https://techreport.com/news/darkbeams-alarming-data-breach-exposes-3-8-billion-records/
https://cybernews.com/security/darkbeam-data-leak/
https://www.idstrong.com/sentinel/darkbeams-alarming-data-breach/

3. Royal Mail’s ransomware attack

Am Anfang des Jahres war Royal Mail, der nationale Postdienst im Vereinigten Königreich, Opfer einer Ransomware-Attacke. Die Hackergruppe LockBit verschlüsselten dabei wichtige Dateien und drohten damit Daten zu veröffentlichen. Sie verlangten 80 Millionen Dollar Lösegeld, was Royal Mail aber nicht gewillt oder nicht möglich war zu zahlen.

Über den Angriffsvektor wurde nicht informiert, es ist aber anzunehmen dass über Phishing Zugangsdaten erschlichen wurden oder per E-Mail die Schadsoftware ins System gelangte.

Fazit

Da hier vermutlich Phising der Angriffsvektor war wäre hier als Massnahme Schulung der Mitarbeiter und, falls nicht schon eingeführt, Zwei-Faktor-Authentisierung vorzusehen.

Quellen

https://www.theguardian.com/business/2023/jan/12/royal-mail-ransomware-attackers-threaten-to-publish-stolen-data
https://www.theguardian.com/business/2023/feb/21/royal-mail-international-deliveries-cyber-attack-ransom-strikes
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-claims-royal-mail-cyberattack/

4. MOVEit data theft

Die CL0P Ransomware Gruppe hat im Mai 2023 eine SQL injection zero-day-Lücke ausgenutzt um Software in der MOVEit Transfer Webanwendung zu installieren. Mit Hilfe dieser Webanwendung war es der Gruppe möglich Daten zu sammeln und zu stehlen. Dabei scheinen mehr als 2000 Organisationen von der Attacke betroffen zu sein. Die CL0P Gruppe versuchte unter Androhung der Veröffentlichung der Daten bei den Organisationen Geld zu erpressen. Um überhaupt initialen Zugriff auf die Systeme zu erlangen wurden Daten mittels Spear-Phising gesammelt.

Fazit

Als Betreiber einer Infrastruktur ist es unmöglich zero-day-Lücken zu verhindern, da man vom Hersteller der Software abhängig ist. Indem man sich über Sicherheitslücken in der eingesetzten Software informieren lässt, den Datenverkehr auf Unregelmässigkeiten überwacht und einen Notfallplan vorbereitet hat kann man schnell und besonnen reagieren und so die Auswirkungen einer Sicherheitslücke minimieren.

Quellen

https://www.ncsc.gov.uk/information/moveit-vulnerability
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a
https://www.inside-it.ch/erste-opfer-der-moveit-luecke-in-der-schweiz-20230616

5. Indonesia’s stolen passport records

Ein Hacker hat über 34 Millionen Passport-Daten gestohlen. Dabei handelt es sich um Namen, Geburtsdatum, Geschlecht des Besitzers sowie Nummer, Ausstell- und Ablaufdatum des Passes. Mit diesen Daten kann entsprechend Identitätsdiebstahl begangen werden.

Ob der Hacker über eine Sicherheitslücke, mittels Phishing erlangte Zugangsdaten oder eine Mischung von beidem zu den Daten gelangte konnte ich den Berichten nicht entnehmen. Vielleicht war es den zuständigen Behörden selber noch nicht klar über welchen Weg die Daten zum Hacker kamen.

Fazit

Als Kunde oder Bürger ist man den Organisationen, denen man seine persönlichen Daten anvertraut, ausgeliefert. Man kann nur möglichst Daten-sparsam unterwegs sein, das heisst sich nur registrieren wenn es anders nicht geht und nur die Daten angeben die zwingend nötig sind. In diesem Zusammenhang möchte ich auch darauf hinweisen, dass man für jeden Dienst ein eigenes Passwort verwenden sollte, so dass mit einem Datenleck nicht auch andere Konten gefährdet sind.

Aber wenn man einen Pass benötigt muss die Behörde natürlich die entsprechenden Daten verarbeiten um den Pass ausstellen zu können.

Quellen

https://www.cpomagazine.com/cyber-security/34-million-indonesian-passports-exposed-in-a-massive-immigration-directorate-data-breach/
https://asianews.network/hacker-breaches-data-of-34-million-indonesian-passports/

Gesamtfazit

So unterschiedlich diese fünf Cyberattacken sind, so unterschiedlich sind auch die Fazite aus ihnen. Die „Silver Bullet“, mit der man alle Probleme lösen kann, gibt es nicht. Nur indem man auf allen Stufen Vorkehrungen trifft kann man das Sicherheitsnetz so eng knüpfen dass die Risiken von Cyberattacken bezüglich Auftretenswahrscheinlichkeit und Auswirkung minimiert werden.