zurück zur Übersicht

Low-Five: Top Hacks im März

Der März ist normalerweise ein arbeitsreicher Monat für Angreifer und Verteidiger gleichermaßen. Wir fanden, dass dieser Monat ein bisschen ruhiger war, als wir erwartet hatten … Die Winterpause ist dennoch eindeutig vorbei. Hier finden Sie die wichtigsten Vorfälle der letzten Wochen.

Angriff auf Deutschland und Guccifer 2.0 opsec scheitern

Am 1. März bestätigte die Bundesregierung in Deutschland einen laufenden Cyber-Angriff auf ihre Infrastruktur, die zum Verlust sensibler Regierungsdaten führte. Der Angriff wurde angeblich von einer russischen Cyber-Spionage-Gruppe namens Fancy Bear, auch APT28 genannt, durchgeführt. Sie haben eine Vorgeschichte politischer Ziele, besonders was Whalen angeht, wie kürzlich in der Einmischung bei den Wahlen 2016 in den USA gezeigt wurde. Wenn Sie ein Deutscher sind, ist das ziemlich relevant. Wenn Sie Europäer sind übrigens auch. In den letzten Monaten wurde der APT28 eine Menge Aktivität zugeschrieben, und Russland war auch auf der Empfängerseite von Angriffen.

Die Sache wird langsam überaus spannend, speziell in Bezug auf Guccifer 2.0. Dieser „einsame rumänische Hacker“ bekannte sich zu dem DNC-Hack, der die US-Wahl 2016 durcheinanderbrachte. Seine Erzählung widersprach den verbreiteten Spekulationen über eine russische Einmischung, und der Crowdstrike-Untersuchung, die darauf hinwies, dass Russland der Täter sei. Im März berichtete Daily Beast, man habe Beweise gefunden, dass Guccifer 2.0 eigentlich kein Rumäne sei, sondern ein Offizier von Russlands militärischem Nachrichtendienst GRU. Ein Opsec-Fehler führte zu dieser Erkenntnis. Dieser Fehler war darauf zurückzuführen, dass der Hacker einmal kein VPN verwendete und damit seine IP-Adresse offengelegt wurde, die mit einer Identität korreliert werden konnte. Es klingt lächerlich dumm, aber wir haben Kriminelle unter Druck gesehen, die diesen Fehler mehr als einmal machen. Guccifer 2.0 ist nun auf US-Sonderermittler Muellers Schreibtisch gelandet. Das Ganze klingt wie ein Spionagethriller des Kalten Krieges, der in Echtzeit abläuft. Wir beobachten die Ereignisse gespannt weiter und berichten.

Explosive Attacke auf die Saudis gescheitert

Erst letzten Monat haben wir argumentiert, dass physische Sicherheit und IT-Sicherheit konvergieren. Die Saudis haben diese Lektion auf die harte Tour gelernt, als sie einen gezielten Cyberangriff gegen eine petrochemische Fabrik erlebten. Die Absicht des unidentifizierten Gegners bestand darin, Operationen zu unterbrechen, um eine Explosion auszulösen, die maximalen physischen Schaden und wohl auch Todesopfer verursachen sollte. Es ist noch nicht bekannt, wie der Angriff stattfand und die Sicherheitsbarrieren durchbrochen wurden. Diese Art von Angriffen wird als sehr gefährlich angesehen. Aufgrund eines menschlichen Fehlers, einem Fehler im Computercode des Angreifers, wurde die beabsichtigte Explosion verhindert. Glücklicherweise für die Saudis sind sogar böse Leute letztlich nur Menschen.

Kryptojacking mit GhostMiner

Wir haben in den letzten Monaten einen Trend von bösartigen Kryptowährungs-Minern bemerkt, der sich jetzt mit einer Dateilosen Malware namens GhostMiner weiterentwickelt, die auf Server mit Oracle WebLogic, MSSQL und phpMyAdmin abzielt. Bisher einzigartig bei GhostMiner ist die Methode, die Erkennung durch Antivirenprogramme zu vermeiden, indem versteckte Techniken verwendet werden, die den schädlichen Code im Speicher ausführen und alle anderen Kryptowährungs-Miner entfernen, die im System entdeckt werden können. Unser Rat? Gutes, altmodisches Update und Patch-Management, Netzwerkhygiene und nicht nachlassen in der Abwehr, nur weil die Mining-Malware keine Dinge zerstört.

Ransomware immer noch nicht tot?

Nee. Am 26. März hat eine neue Art von Ransomware, AVCrypt genannt, Endpoint Protection-Lösungen wie Windows Defender und Malwarebytes zum Ziel. Die Dienste werden vor der Verschlüsselung von der Malware deinstalliert, um eine Entdeckung zu vermeiden. Der Schädling an sich wurde indes als ineffektiv eingestuft und es besteht der Verdacht, dass er sich eigentlich noch in der Entwicklung befindet. Es wird jedoch wahrscheinlich nicht lange dauern, bis ähnliche Varianten entdeckt werden, die besser funktionieren als AVCrypt.

Web-Schnittstellen für bekanntgewordene Passwort-Dumps führen zu Panik in NL

Als wir im Dezember über die 1,4 Milliarden gestohlenen Passwörter in einer ordentlichen Datenbank bloggten, fragten wir: interessiert uns das? Antwort: Ja, aber nicht mehr als üblich. Die Leute zuckten mit den Schultern und gingen zur Tagesordnung über.

Vier Monate später, hat ein anonymer holländischer Hacker die besagte Datenbank heruntergeladen, nach (.NL | .nl) durchsucht und 3.3M niederländische Passwörter gefunden. Er erstellte ein Webinterface und rief einige Journalisten an, und die Nachrichten explodierten förmlich. Wir erkennen widerwillig an, dass dies ein guter Weg ist, Aufmerksamkeit zu erregen. Der Vorteil ist: Ein weiterer Weckruf für viele, dass ihre Passwörter unsicher sind.

Die schlechte Nachricht: Die Panik war unnötig, und es besteht immer noch ein Missverhältnis zwischen Infosec und der Presse. Dies wurde veranschaulicht, als jemand anderes eine andere Webschnittstelle erstellte und vollständige Klartextpasswörter zurückgab. Während die Informationen für jeden Geek zur Verfügung stehen, ergibt sich ein ethisches Problem. Jeder, der nicht technisch versiert ist, kann jetzt alte Passwörter von Freunden, Nachbarn, Polizisten, die sie kennen, VIPs usw., nachschlagen. Und versuchen, sie zu benutzen. Würden Sie dem Vorschub leisten wollen?

Wenn Sie in den letzten 10 Jahren Online-Dienste genutzt haben, besteht eine gute Chance, dass Ihr Passwort gestohlen und bekannt ist. Verwenden Sie also keine Passwörter mehrfach, verwenden Sie einen Passwort-Manager und gegebenenfalls für kritische Bereiche 2-Faktor-Authentifizierung.

 


https://securelink.net/resources/trending/january-2018/

https://twitter.com/GUCCIFER_2

https://www.forbes.com/sites/samarmarwan/2017/07/11/crowdstrike-helped-trace-the-dnc-hack-to-russia-now-business-is-booming/#7465613b4434

https://www.thedailybeast.com/exclusive-lone-dnc-hacker-guccifer-20-slipped-up-and-revealed-he-was-a-russian-intelligence-officer

https://www.express.co.uk/news/world/935815/dnc-hacker-guccifer-2-mueller-investigation-donald-trump-election-russia-spy

https://securelink.net/resources/trending/1-4-billion-passwords-discovered-should-you-care/

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer