zurück zur Übersicht

Oktober 2018: in der Tat ein bedeutender Monat

Der Oktober begann laut, mit Spionen und Hackern, die man tief in die europäischen Gebiete schickte und die wirklich Unheil anrichteten. Bei solchen Ereignissen könnten wir vergessen, dass es Dinge gibt, die näher an der Heimat und für unser Risiko relevanter sind. Zum Beispiel brach am selben Tag eine große Geschichte über Hardware-Spionage aus. Hier ist ein Überblick über die unterschiedlichsten Ereignisse, die sich auf die infosec-Bedrohungslandschaft auswirken. Der Oktober wird als großer Monat in die Geschichte eingehen.

Versuchte OPCW Hacks & Entsendung von Spionen

Es wäre schwierig, die Nachrichten aus den Niederlanden Anfang Oktober zu ignorieren: 4 Spione hat man erwischt, als sie versuchten, sich in die Organisation für das Verbot chemischer Waffen (OPCW) in Den Haag zu hacken. Da Angriffe aus der Ferne in der Geopolitik an der Tagesordnung sind, wird die Entsendung von Attentätern und Hackern und Spionen nun offen durchgeführt. Die versuchten Angriffe, die wir Russland zugeschrieben haben, verbanden APT28 mit früheren Angriffen derselben Gruppe. Zu diesem Thema hat man bereits viel gesagt, und wir selbst haben diesem Thema einen Podcast gewidmet (siehe Septemberausgabe, S01E05). Darin diskutieren wir eine Zeitleiste und stellen Ereignisse in einen Kontext.

Mehr Informationen dazu: How Russian spies bungled cyber-attack on weapons watchdog

Schwachstellen: libssh

Am 16. Oktober gab man eine kritische Schwachstelle in libssh, einer C-Bibliothek, die das SSHv2-Protokoll implementiert, öffentlich bekannt. Die Schwachstelle, die mit der Kennung CVE-2018-10933 versehen ist, betrifft alle Versionen von libssh 0.6 und höher und ermöglicht es einem Angreifer, den Authentifizierungsprozess über SSH zu umgehen. Dies ist im Wesentlichen ein „Open, Sesam“, der Ihnen Zugang ohne Zugangsdaten ermöglicht. Der Bypass erfolgt, indem dem SSH-Server eine Nachricht von SSH2 MSG USERAUTH SUCCESS anstelle der regulären Nachricht von SSH2 MSG USERAUTH REQUEST präsentiert wird, die zum Start der Authentifizierung gegeben wird. Libssh ist nicht sehr verbreitet, z.B. openssh (der beliebte Secure Shell Service) verwendet es nicht. SecureLink CDC empfiehlt seinen Kunden, gefährdete Systeme sofort zu patchen, da die Schwachstelle so trivial zu nutzen ist.

  Mehr Informationen dazu: Trivial authentication bypass in libssh leaves servers wide open

Im bisherigen Verlauf des Jahres 2018: Diebstahl von elektronischer Währung von fast einer Milliarde Dollar.

Laut mehreren Berichten nimmt der Diebstahl von Kryptowährungen zu. Durch die gezielte Ausrichtung der Börsen und ihrer Kunden werden Raubüberfälle größer und häufiger, mit einem Anstieg von 250% gegenüber 2017. Es gibt mehrere gute Gründe für Kriminelle, die auf elektronische Währung aus sind:

  • Es handelt sich dabei schlicht um niedriger hängende Früchte als die traditionelle Währung. Dennoch machen Börsen und Handelsplattformen nirgendwo die gleiche Erfahrung mit Betrug wie traditionelle Banken.
  • Ein Prozentsatz der Münzen ist kriminell. Alles, was Sie von Kriminellen stehlen, ist dabei außen vor.
  • Kriminelle können einige der alten Tricks anwenden, die sie vor 10 Jahren entwickelt haben. Von der Überwachung der Zwischenablage (Ersetzen von Bitcoin-Adressen durch eigene) bis hin zu einfachen Web-Injects.
  • Der Geldwäscheprozess ist einfacher.

Die APT38-Gruppe von Nordkorea steht im Verdacht, viel, wenn nicht die meisten dieser großen Bitcoin-Raubüberfälle zum Zwecke der Staatsfinanzierung zu unternehmen. Letztlich scheint es heute so, dass Ihre Gelder in einer Bank sicherer sind als in einer Bitcoin-Wallet. Zumindest, bis der Bitcoin-Austausch erwachsen wird.

Mehr Informationen dazu:

North Korean hacker crew steals $571M in cryptocurrency across 5 attacks
Cryptocurrency theft hits nearly $1 billion in first nine months: report

Ein weiterer Windows Zero Day

Ein neuer Zero-Day Exploit unter Windows wurde Ende Oktober (wieder) auf Twitter veröffentlicht. Die Schwachstelle ermöglicht es Angreifern mit geringen Zugangsrechten, ihre Berechtigungen auf Zielsystemen durch die Nutzung von Microsoft Data Sharing (dssvc.dll) zu erhöhen. Der vom Forschenden freigegebene PoC-Exploit-Code erlaubt es jedoch nur einem niedrigprivilegierten Benutzer, kritische Systemdateien zu löschen. Diese wären normalerweise nur mit Administratorrechten löschbar. Die Schwachstelle kann man für DLL-Hijacking in Drittanwendungen verwenden, da Anwendungs-DLLs gelöscht werden können und das System dazu verleitet wird, nach ihnen in vom Benutzer beschreibbaren Locations zu suchen. Da der Datenfreigabedienst unter Windows 10 und Server 2016 startet, betrifft die Schwachstelle nicht ältere Versionen von Windows, einschließlich 7 oder 8.1. Da der Fehler öffentlich auf Twitter veröffentlicht wurde, hat er alle Windows-Benutzer bis zum Sicherheits-Patch Dienstag des nächsten Monats, der am 13. November stattfindet, für Hacker anfällig gemacht.

Angebliche Spionage durch heimliches Hinzufügen von Chips zu den Mainboards.

Am selben Tag wie der OPCW-Hack, dem 4. Oktober, brach eine weitere große Geschichte aus. Das von Bloomberg geschriebene Buch beschreibt, wie die chinesische Lieferkette durch das heimliche Anbringen von Spionagechips an Leiterplatten kompromittiert wird. Super Micro, ein in den USA ansässiger Hardwarehersteller, befand sich angeblich auf der Empfängerseite dieser „kostenlosen Extras“. Da sie so ziemlich die gesamte Big Tech, wie Amazon und Apple, beliefern, schien es für eine Sekunde so, als ob chinesische Bedrohungsakteure die gesamte Big Tech gefährden würden.

Fast sofort leugneten die großen Technologieunternehmen die Bloomberg-Reklamationen. Daraufhin begannen Leute, die Bloomberg-Journalisten zu unterstützen. Die Ereignisse, nach dieser anfänglichen Aufmerksamkeit der Presse und der Öffentlichkeit, führten letztlich zu einem FBI-Briefing des US-Senats.

Diese Berichte haben nun die ursprünglichen Nachrichten heruntergespielt, aber ein unbehagliches Gefühl bleibt bestehen: Bloomberg soll eine angesehene Nachrichtenquelle sein. Die chinesische Spionageaktivität nimmt, laut vielen Organisationen mit Sichtbarkeit zu diesem Thema, zu. Dazu kommt, dass ein großer Teil der Hardware, die Sie und ich täglich benutzen, aus China stammt. Angriffe auf Lieferketten sind also durchaus ein heißes Eisen, obwohl die dargestellten Nachrichten als etwas zu hysterisch eingestuft werden können.

 

Mehr Informationen dazu:

https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies?srnd=businessweek-v2
https://www.scmp.com/tech/article/2169758/amazon-and-super-micro-back-tim-cook-and-call-bloomberg-withdraw-china-chip

Emma Blid, CDC analyst

Eward Driehuis, CRO


Picture ©: GettyImages-852685678-cmannphoto

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer