zurück zur Übersicht

Low Five: Top Hacks im Februar

Crytpo-Mining auf Tesla Servern

Unbekannte Hacker nutzten die Cloud Umgebung von Tesla für Crypto-Mining. Zugriff verschafften sie sich über ein Open-Source-System ohne Passwortschutz. Bei einer allgemeinen Überprüfung sei ein nicht gesicherter und aus dem Internet erreichbarer Account ausgemacht worden, dieser diente als Einfallstor für die Hacker.

Um nicht aufzufliegen, hielten die Angreifer die Prozessorlast absichtlich gering und sollen auch das Stratum Mining Protocol ausgehebelt haben, um die IP Adresse zu verschleiern. Es soll aber weder zu Datendiebstahl noch in irgendeiner Weise zur Sicherheitsgefährdung von Fahrzeugen gekommen sein laut Tesla.

Schwachstelle im µTorrent Client ermöglicht Remote Zugriff für Hacker

Sicherheitsforscher von Googles Project Zero haben eine neue Schwachstelle im µTorrent Client für Windows sowie in der µTorrent Web App entdeckt. Der Ursprung dieser Problematik ist der lokal gehostete HTTP RPC Server auf Port 10000 bzw. 19575, welcher mithilfe von XMLHTTPRequests() über jede beliebige Webseite exploited werden kann. Durch verschiedene Remote Code Executions können Angreifer die Kontrolle über den Client übernehmen und so zum Beispiel Malware auf den Client laden oder Downloadhistorien auslesen. µTorrent hat bereits verschiedene neue Versionen veröffentlicht, welche die jeweiligen Schwachstellen beheben. Nutzern sollten deshalb möglichst schnell auf neuste Version installieren.

Zero-Day-Exploit im Telegram-Messenger

Eine neue Zero-Day Schwachstelle in der Windows Desktop-Version des Telegram-Messenger wird verwendet um Malware zu verbreiten, welche zum Beispiel Cryptomining betreibt oder als Backdoor für Angreifer dient. Mithilfe von versteckten RLO Unicode Buchstaben im Filename wurde Malware so als unscheinbares Bild verteilt. Dabei wird die Reihenfolge der Buchstaben so geändert, dass zum Beispiel aus einer JavaScript-Datei (.js) ein unscheinbares Bild (.png) werden kann. Durch das Öffnen wird die Datei ausgeführt und das Endgerät infiziert. Entdeckt wurde die Schwachstelle von einem Sicherheitsforscher vom Kaspersky Lab bereits im Oktober letzten Jahres, ausgenutzt wird diese jedoch schon seit März 2017.

The „Olympic Destroyer“

Auch die Olympischen Winterspielen waren ein interessantes Ziel für Angreifer. So gelang es unbekannten Angreifern die offizielle Website für die Winterspiele für 12 Stunden offline gehen zu lassen, einen Zusammenbruch von Wi-fi im Pyeongchang Olympiastadion und dem Versagen von Fernsehen und Internet im Hauptpressezentrum. Dies hatte zur Folge, dass Teilnehmer ihre Tickets nicht ausdrucken und keine Informationen zu Veranstaltungen erhalten konnten. Von den Cisco Talos Forschern als „Olympic Destroyer“ bezeichnet, konzentriert sich die Malware darauf Systeme und Daten zu zerstören anstelle Indormationen zu stehlen. Laut der Analyse von Cisco Talos hatten die Angreifer intime Kenntnisse über die Systeme des Pyeongchang-Netzwerks und mussten im Besitz technischer Details der Infrastruktur des Olympischen Spiels wie Benutzername, Domainname, Servername und natürlich das Passwort sein. Die Olympic Destroyer Malware benutzt Credential Stealer, um die erfolderlichen Anmeldeinformation zu erhalten. Anschließend werden PsExec und Windows Management Instrumentation (WMI), zwei legitime Windows-Verwaltungstools für Netzwerkadministratoren, auf andere Systeme verteilt, um die Aktionen auszuführen.

Apple Trojaner entdeckt

„OSX/Coldroot“ – so lautet der Name der Malware für Apple PCs, die Passwörter mitschneidet, Dateien löscht und herunterlädt und den Angreifer in Echtzeit auf den Desktop mitschauen lässt. Ein Sicherheitsforscher entdeckte die Malware, die als Audiotreiber „com.apple.audio.driver2.app“ getarnt ist, und vermutet, dass diese bereits seit 2016 existiert und nach der Installation auf die Anweisungen eines externen Servers wartet. Weder VirusTotal noch Apple kannten die Malware zu diesem Zeitpunkt.

Special: Der [erneute] Bundestags-Hack

Der goldene Hack des Monats geht mutmaßlich nach Russland. Die Hackergruppe APT28 hat, wie jetzt bekannt wurde, bereits über einen längeren Zeitraum das Netzwerk der deutschen Regierung ausgespäht und auch Daten ausgeleitet. Brisant ist dieser Vorfall auch deswegen, weil die Infiltration zum Zeitpunkt der Entdeckung im Dezember schon über ein Jahr aktiv war. In diesen Zeitraum fällt natürlich auch die erfolgte Bundestagswahl. Wahlleiter Dieter Sarreither verkündete noch im Vorfeld der Wahl, diese sei gegen Hackerangriffe gut geschützt. Diese Aussage sollte jetzt möglicherweise überprüft werden.

Nach derzeitigem Stand war das Ziel in erster Linie das IVBB, welches praktisch das Rückgrat der digitalen Kommunikation unserer Regierung darstellt: Intranet, Internetverbindungen, E-Mail Kommunikation und auch die Telefonie werden über dieses Netz abgewickelt. Genutzt wird dieses Netz von Bundesrat, Bundeskanzleramt, den Ministerien, Bundesrechnungshof und diversen Sicherheitsbehörden.

APT28, eine Gruppe hinter der russische Polit-Aktivisten vermutet werden, wird auch für den großen Hackerangriff auf den Bundestag im Jahr 2015 verantwortlich gemacht. (Falls Sie nachlesen möchten: APT-Angriff auf den deutschen Bundestag, sowie unser Beitrag zur „E-Mail-Affäre“ kurz danach).

Angeblich ist der Angriff „isoliert und unter Kontrolle gebracht“ – was immer das in diesem Zusammenhang bedeuten soll. Der für Spionageabwehr zuständige Bundesverfassungsschutz (BfV) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) ermitteln.

Möglicherweise wäre es für die Betroffenen hilfreich, Kevin Börners gestrigen Artikel über aktives Firefighting durch Incident Response Teams zu lesen. Besonders, weil er auch einige Zeilen zum Thema Malware Abwehr Services geschrieben hat.

Hören Sie, wie Profis die genannten Threats einschätzen: Die Low-Five gibt’s jetzt auch zum Nachhören als Podcast!

Mehr Infos auf der Threatbuster-Seite.


P.S.: Danke an Kerstin Hörmann für die Hilfe!

Bild: ©iStockphoto.com/RyanJLane/517360575

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer