zurück zur Übersicht

Low Five: Top Hacks im Dezember

Die Tage in der nördlichen Hemisphäre haben sich verkürzt. Unternehmen arbeiten hektisch daran, ihre Jahresquoten zu erreichen. Einzelhändler bearbeiten mehr Bestellungen als je zuvor. Gleichzeitig wird ein Gesetz verabschiedet, um die Gesetze der Mathematik aufzuheben.

Lasst uns auf den letzten Monat von 2018 zurückblicken. Was war los?

EU-Diplomatenpost gehackt

Ein US-amerikanisches Anti-Phishing-Unternehmen (Area1) stöberte in einem weitgehend nebulösen Verfahren eine große Anzahl an elektronischer EU-Diplomatenkommunikation auf und legte diese der New York Times offen. Die Geschichte konzentriert sich schnell auf den Inhalt dieser Telegramme, da sie sich (wenig überraschend) mit Befürchtungen zu geopolitischen Ereignissen beschäftigen. Das Unternehmen zeigt indes auf chinesische Militärangehörige als Verantwortliche für die Hacks. Während sich der Staub wieder legt (was heutzutage eher Stunden als Wochen dauert), fragen sich die Veteranen der Infosec:

  • Wie kommt es, dass ein Unternehmen, das Phishing verfolgt, plötzlich mit geopolitischen Bedrohungen beschäftigt? Stolperten sie einfach darüber?
  • Wie wurde der Schuldige so schnell ausgemacht? Cyberangriffe zuzuordnen ist ein schwieriger Prozess, warum sind sie dann so sicher?
  • Warum hat eine seriöse Firme sich zuerst an die Presse gewendet anstatt die Opfer zu informieren?

Während die letzte Frage möglicherweise leicht zu beantworten ist („das Richtige tun, bringt Sie nicht in die Schlagzeilen“), liegen die anderen Antworten bisher im Dunklen.

In der Zwischenzeit ist der Inhalt der Telegramme öffentlich und die EU wird schmerzhaft daran erinnert, wie schwer die Kommunikation dutzender souveräner Nationen zuverlässig abzusichern ist.

https://www.nytimes.com/2018/12/18/us/politics/european-diplomats-cables-hacked.html

US-Zeitungen drucken aufgrund von Ransomware nicht

Am vorletzten Tag des Jahres wurde eine weitere unheimlich schnelle Zuordnung veröffentlicht, als mehrere US-Zeitungen von einem Ransomware-Angriff getroffen wurden. Als die Server von Tribune Publishing ausfielen, versäumten mehrere Zeitungen, darunter das Wall Street Journal und New York Times, den Druck. Die verwendete Ransomware war Ryuk, und der Artikel in Forbesberwähnt Hinweise in Richtung Nordkorea.

In dem Artikel wurde auch ein Standard-EU-GDPR-Block in der San Diego Union Tribune zunächst für ein Ergebnis des Hacks gehalten. Dies wurde später allerdings korrigiert. Unter der großen Anzahl von Journalisten, die neuerdings über Ereignisse im Zusammenhang mit Cyber berichten, scheinen sich einige in einer steile Lernkurve zu befinden.

Wie dem auch sei, es ist wichtig sich zu vergegenwärtigen, dass Ransomware Konsequenzen haben kann, die sich sehr konkret auf die physische Welt auswirken.

https://www.forbes.com/sites/daveywinder/2018/12/30/north-korea-implicated-in-attack-that-stops-wall-street-journal-und-neue-york- times-presses

CEO-Betrugs-GmbH

Es ist seit langem allgemein bekannt, dass CEO-Betrug eine der profitabelsten Betrügereien ist. Da es sich bei dem Betrug fast ausschließlich um Social Engineering handelt, meist ohne die Unterstützung von Malware, ist der Vorgang bekanntermaßen schwer digital zu erkennen. Im Dezember erhalten wir über die Sicherheitsfirma Agari einen interessanten Einblick in eine der Gruppen, die sich mit solchen Angriffen beschäftigen: „London Blue“.

Diese Sammlung von Betrügern nutzt viele bekannte Geschäftsstrukturen, um betrügerische Operationen zu verschleiern. Die Abteilung „E-Mail-Marketing“ verschickte die Phishing-Mails, und die „Vertriebsmitarbeiter“ vollendeten dann den Betrug. Die Abteilung „Business Intelligence“ hatte eine Liste von 50.000 C-Level-Zielen in den USA, Spanien, dem Vereinigten Königreich, Finnland, den Niederlanden und Mexiko.

In der Vergangenheit haben wir gesehen, wie andere Gruppen sich in Unternehmensstrukturen organisiert haben (manche davon mit einem gewissen Augenzwinkern, aber immerhin). Die GameOver ZeuS-Bande bezeichnete sich beispielsweise als „Business Club“.

Es zeigt sich jedenfalls, dass das Vertrauen in Ihre C-Level-Kollegen nicht mehr ganz unproblematisch ist.

https://www.zdnet.com/article/thisphishing-scam-group-built-a-list-of-50000-execs-to-target/

Die australische Regierung verabschiedet ein neues (Ent-)Verschlüsselungsgesetz

Weltweit debattiert die Infosec Cummunity lebhaft über das neue und bisher einzigartige australische Verschlüsselungsgesetz. Laut dem Gesetz, das von Leuten geschrieben wurde, die weder Mathematik noch Verschlüsselung studiert haben, sollten Unternehmen „der Regierung helfen“, einzelne verschlüsselte Kommunikationen zu öffnen. Das Gesetz führt weiter aus, das Ziel des Gesetzes sei nicht, die Verschlüsselung zu schwächen. Viele Info-Profis spotteten darüber und sagten, es gäbe so gut wie keine Möglichkeit, dies zu tun, ohne die Verschlüsselung generell für Jedermann zu schwächen.

Malcolm Turnbull, australischer Premierminister, machte mit der Aussage Furore „die Gesetze der Mathematik gelten in Australien nicht“.

Halten wir einen Moment inne und stellen die Prämisse klar. Das Problem ist die Ende-zu-Ende-Verschlüsselung, wie sie in vielen modernen Messenger-Systemen eingesetzt wird. In der guten alten Zeite konnten die Strafverfolgungsbehörden ziemlich alles über eine einfache Drahtverbindung mithören. Heutzutage sehen sie sich einer neuen Realität wahrhaft geheimer Kommunikation gegenüber, die auch von Kriminellen genutzt wird. Ermittler wünschen sich Zugang zu dieser Kommunikationen.

PKI-Systeme wie TLS (SSL) können ohnehin mit einem „Hauptschlüssel“ aufgebrochen werden. Die theoretische Aussage besagt, dass die Strafverfolgungsbehörden einem Chat von Verdächtigen als „unsichtbarer“ Teilnehmer beitreten und somit die generelle Verschlüsselung nicht schwächen.

Wir wissen, da „unsichtbare Teilnehmer“ einen Prozess und einen geheimen Code erfordern, ist das Problem immer noch das Gleiche: Die Strafverfolgung ist nicht immun gegen Verstöße, und selbst wenn die Mathematik nicht geschwächt wird: der Prozess ist es in jedem Fall.

Wir beobachten die Diskussionen und Entwicklungen genau.

https://www.nytimes.com/2018/12/06/world/australia/encryption-bill-nauru.html

Hackerangriff auf hunderte deutsche Politiker

Im Dezember gab es aus der Hackerszene außerdem noch einen besonderen Adventskalender: Über Twitter wurden geklaute Daten hunderter deutscher Journalisten und Politiker häppchenweise veröffentlicht. Dabei waren nicht nur nicht-öffentliche Telefonnummern, Adressen und andere persönliche Informationen, sondern auch Kreditkartendaten, private Korrespondenz und Chatverläufe. Eine pikante politische Note erhält das Ganze zusätzlich dadurch, dass Politiker sämtlicher im Bundestag vertretenen Parteien betroffen sind – mit Ausnahme der AFD.

Zum Zeitpunkt dieses Artikels scheint der Täter inzwischen ermittelt. Ein Zwanzigjähriger ohne IT-spezifische Ausbildung, der unter dem Namen „_0rbit“ unterwegs war, hat ein Geständnis abgelegt. Wie genau der Datendiebstahl von Statten ging wurde aus verständlichen Gründen nicht veröffentlicht. Einziges Detail war der Hinweis, der Täter habe einen VPN-Dienst verwendet, um seine Spuren zu verschleiern.

https://www.tagesschau.de/inland/deutsche-politiker-gehackt-101.html

https://www.zdnet.de/88351153/daten-leak-20-jaehriger-hacker-gestaendig/

 

Beachten Sie bitte auch unseren Threatbuster-Podcast, in dem Eward die Low-Five mit Experten aus der Security-Branche diskutiert. Sie finden die bisher erschienen Podcasts auf der Threatbuster Seite!


Bild: ©iStock/RyanJLane/517360575

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer