Cybervorfall bei abe-brand.de; Störung bei dsbmobile.de; Schwachstelle bei Abus Sicherheitskamera; Android-Geräte mit Trojaner

Sicherheit (Pexels, allgemeine Nutzung)Beim Dienstleister dsbmobile.de gibt es eine Großstörung des Rechenzentrums/Dienstes (Anbieter Mivitec), mit Auswirkungen auf das "Digitale Schwarze Brett®" und die DSBmobile®-App. Zudem muss es beim Systemhaus und Beschaffungslogistiker abe-brand.de einen Cybervorfall gegeben haben. Die Ransomware-Gruppe Lockbit 3.0 droht mit der Veröffentlichung von Daten. Und zu den Sicherheitskameras von ABUS gibt es ebenfalls eine Sicherheitsmeldung. Und eine Untersuchung hat ergeben, dass bestimmte Android-Geräte (Smartphones) mit Trojanern in der Firmware ausgeliefert werden. Ich fasse mal einige Meldungen in einem Sammelbeitrag zusammen.


Anzeige

Cybervorfall bei abe-brand.de?

Die Webseite abe-brand.de gehört zu Associated Brands Europe(ABE GmbH) mit Standort in Willich. ABE GmbH Associated Brands Europe bietet bietet Büroartikel, Möbel, Papiere und Verpackungen, Briefumschläge, Werbematerialien und verwandte Produkte an und beliefert Kunden in Europa.

ABE GmbH Associated Brands Europe

Obiger Screenshot zeigt die Webseite dieses Anbieters. Das Unternehmen scheint Opfer eines Ransomware-Angriffs durch die Lockbit 3.0-Gruppe geworden zu sein. Ein Blog-Leser hat mich in einer persönlichen Nachricht auf Facebook auf einen Cybervorfall aufmerksam gemacht (danke dafür). Der schrieb: In den üblichen Medien geht noch nichts rum und auf deren Homepage auch nicht. Der Leser hat mir nachfolgenden Screenshot der Lockbit 3.0-Gruppe zukommen lassen. Dort droht Lockbit 3.0 mit der Veröffentlichung von Dateien, wenn bis zum 4. Juni 2023 kein Lösegeld gezahlt wird.

Lockbit-Datenveröffentlichung


Anzeige

Auch auf breachsense.io ist die Information hier zu finden. Auf der Webseite des Unternehmens konnte ich bisher nichts diesbezügliches an Informationen lesen. Lockbit versucht wohl Druck auf das Unternehmen auszuüben, um ein Lösegeld zu erpressen.

Großstörung bei dsbmobile.de – Mivitec

Blog-Leser Boris hat mich vor einigen Stunden per Mail über eine Großstörung bei dsbmobile.de informiert und schrieb: "Der Stundenvertretungsplan meiner Kinder aktualisiert sich seit Freitag nicht mehr. Anscheinend wurde hier der RZ-Dienstleister gehackt." Mein Dank an Boris für den Hinweis und den Link zur Homepage des Dienstleisters.

Großstörung bei dsbmobile.de

Auf der Webseite des Anbieters findet sich ein Banner mit folgendem Text und der Systemstatus diverser Dienste steht aktuell auf Störung:

Aufgrund einer Großstörung bei unserem Rechencenter-Anbieter stehen die Services des Digitalen Schwarzen Brettes®, der DSBmobile®-App sowie der Mediabox momentan nicht wie gewohnt zur Verfügung. Wir arbeiten mit Hochdruck an einer Lösung und bitten die Unannehmlichkeiten zu entschuldigen. Den aktuellen Status der Störung können Sie hier einsehen: Status-Seite

Auf der Webseite findet sich am Seitenende dann nachfolgende Statusinformation vom 23. Mai 2023:

Liebe Kunden,

hiermit möchten wir Sie über die aktuellen Entwicklungen rund um die Cyberattacke auf den Betreiber unseres Rechenzentrums und die damit verbundene Störung des Digitalen Schwarzen Bretts®, der DSBmobile®-App und der Mediabox informieren.

Es besteht kein Risiko, dass das Netzwerk Ihrer Institution von dem Angriff auf unser Rechenzentrum betroffen ist. Unsere Server wurden vom Netz genommen und isoliert und das Routing der DSB® und Mediaboxen umgeleitet, sodass auch dann keine Gefahr einer Störung besteht, wenn die existierenden Server wieder hochgefahren werden. Sie müssen Ihre DSB® daher nicht vom Netz nehmen oder ähnliche Vorkehrungen treffen. Außer der Meldung an Ihren Datenschutzbeauftragten, wie in unserer gestrigen Mail ausgeführt, können und müssen Sie aktuell keine weiteren Maßnahmen ergreifen.

Die Cyberattacke betrifft ausschließlich das Digitale Schwarze Brett®, die DSBmobile®-App und die Mediabox. Alle weiteren Produkte aus dem Lösungsportfolio von heinekingmedia, einschließlich der schul.cloud und der tafel.cloud®, sind von dem Vorfall nicht betroffen.

Unser Team arbeitet weiterhin mit Hochdruck am Aufbau einer neuen Infrastruktur, die als Absicherung dient, sollten die bestehenden Systeme nicht weiter genutzt werden können.

Selbstverständlich halten wir Sie weiterhin über die neusten Erkenntnisse auf dem Laufenden und werden Ihnen morgen um 13 Uhr ein neues Update zur Verfügung stellen. Den aktuellen Stand der Systeme können Sie auch jederzeit online auf unserer DSB-Status-Website einsehen: https://heinekingmedia.de/systemstatus-dsb/.

Wir bedanken uns für Ihr Verständnis und Ihre Geduld.

Mit freundlichen Grüßen

Markus Doetsch
Group CEO heinekingmedia

Der erste Statuseintrag datiert vom 19. Mai 2023 und berichtet von einer Störung im Rechenzentrum und enthält folgende Information.

Liebe Kunden,

nun herrscht ein Stück weit Gewissheit: Der Anbieter unserer Rechenzentren, Mivitec, ist in der vergangenen Nacht Opfer eines gezielten Cyberangriffes gewesen. Dies hat zur Folge, dass Sie zurzeit keinen Zugriff auf das DSBcontrol (Content-Management-System) haben und somit keine neuen Inhalte auf Ihren Digitalen Schwarzen Brettern, Ihren DSBmobile-Apps und Ihren Mediaboxen ausspielen können. Bei unserem Rechenzentrumsbetreiber Mivitec sind seit den frühen Morgenstunden Cyber-Security-Experten im Einsatz, diese stehen im engen Austausch mit den vor Ort befindlichen Ermittlungsbehörden sowie mit den verantwortlichen Datenschutzbehörden.

Auf Seiten der heinekingmedia GmbH haben wir seit heute Morgen einen Krisenstab unter der Leitung unseres Group-CEOs Markus Doetsch und mit Beteiligung der internen Experten eingerichtet. Ab sofort koordiniert dieser Krisenstab alle notwendigen Maßnahmen, sowie den engen Austausch mit dem Anbieter unserer Rechenzentren und den zuständigen Behörden. Der Krisenstab wird so lange bestehen bleiben, bis die Systeme bei allen Kunden der heinekingmedia-Gruppe wieder uneingeschränkt laufen. Zum jetzigen Zeitpunkt können wir noch keine Einschätzung abgeben, wie lange diese Schritte dauern werden.

Hier auf dieser Status-Website werden vollumfänglich die aktuellen Informationen veröffentlicht, weshalb wir Sie ausdrücklich darum bitten möchten, von Anrufen bei unserem Support und Kundenservice abzusehen, da es zu einem extrem erhöhten Aufkommen und damit verbundenen langen Wartezeiten kommt.

Alle Kunden, die Ihre DSB-Systeme auf eigenen Servern betreiben (On-Premise) sind von dieser Störung nicht betroffen.

Am Samstag erhalten Sie von uns um 13 Uhr weitere Informationen zu dem aktuellen Status der Systeme und unserem Rechenzentrum-Anbieter Mivitec.

Wir danken für Ihr Verständnis und Ihre Geduld.

Mit freundlichen Grüßen,
Ihr heinekingmedia-Team

Weitere Details liegen mir zu diesem Cybervorfall bisher nicht vor. Ergänzungen: Der Merkur hat in diesem Artikel einige Informationen, bezogen auf eine Schule in München zusammen getragen. Der Blog-Leser kommt aber aus einem Nachbarort von mir, lebt also im Umland Frankfurts, es sind also auch hessische Schulen betroffen. Vermutlich sind alle Schulen betroffen, die die erwähnten Dienste und die App verwenden.

Rechenzentrum von Mivitec betroffen

Eine weitere Quelle berichtete im Hinblick auf die Störung beim Münchner RZ Mivitec, dass da wohl massive Probleme bestehen. Mivitec gehört seit 2021 zu myLoc, und die "Störung" scheint wohl großflächig zu sein. Bei myLoc gibts nur diesen Hinweis:

Sehr geehrte Damen und Herren,

aktuell liegt leider eine Teilstörung der VMWare Cloud in München vor.

Wir analysieren derzeit das Problem und arbeiten weiter mit Hochdruck an der Entstörung.

Wir halten Sie über unseren Status auf dem Laufenden.

Der Anbieter Mivitec selbst sei "down", die Tunnel von Mivitec zu den Kunden der Betreiber sind ebenfalls down (geht wohl seit Freitag so). Aussage meiner ungenannt bleiben wollenden Quelle, die mit Fehlersuche in diesem Bereich für einen Anwender betraut war, lautet: "Scheinbar – so heisst es – sei ein gezielter Angriff auf die Infrastruktur erfolgt und wohl so ziemlich alles verschlüsselt".

Der Anbieter weiss selbst wohl wenig, aber dass LKA, das BSI, sowie externe Spezialisten wurden eingeschaltet. Von meiner Quelle habe ich die Schätzung des Anbieters der Service-Cloud, "dass vor Freitag nichts geht" – der Anbieter Mivitec.de ist weiterhin tot. Kunden, die dort Cloud-Leistungen gebucht haben, stehen nun "im Regen".

Schwachstelle bei Abus Sicherheitskamera

ABUS dürfte vielen Lesern als Hersteller von Schlössern und Sicherheitstechnik bekannt sein. Mit der Cybersicherheit seiner modernen Produkte tut sich dieser Traditionshersteller aber einigermaßen schwer und fällt durch Sicherheitslücken in elektronischen Schlössern auf. Als Teil seines "Industry Solution"-Portfolios bietet ABUS auch einige Hightech-Lösungen an, wie z. B. netzwerkfähige Kameras. Leider weisen diese Kameras einige der gleichen Schwachstellen auf wie viele ähnliche Kameras.

Ein anonymer Blog-Leser hat mich auf einen Beitrag des SANS Internet Storm Center vom 23. Mai 2023 in Form des Beitrags Probes for recent ABUS Security Camera Vulnerability: Attackers keep an eye on everything hingewiesen (danke dafür). Im Februar 2023 hat Peter Ohm eine Sicherheitslücke, die ABUS-Kameras betrifft, auf der Mailingliste Full Disclosure veröffentlicht. Die Enthüllung umfasst drei verschiedene Schwachstellen,

  • Lokale Dateizugriffe: Diese Schwachstelle kann genutzt werden, um beliebige Dateien zu lesen.
  • Remote Command Injection: Diese Sicherheitslücke ermöglicht die Einschleusung beliebiger Befehle. Anstelle eines Semikolons könnte ein Angreifer auch eine Pipe oder einen CR-Zeichen verwenden.
  • Wartungszugang mit festen Zugangsdaten, über die Angreifer (bei Kenntnis) auf die Funktionen der Sicherheitskamera für industrielle Anwendungen zugreifen können.

Die Details lassen sich im verlinkten Artikel nachlesen. Interessant ist, dass Remote Code Execution-Schwachstelle wohl seit dem 22. Mai 2023 angegriffen wird. Jedenfalls habe ein Sensor Exploit-Versuche auf Geräte über diese Schwachstelle aufgezeichnet. Alle Angriffe gehen von einem unkonfigurierten Server (45.95.147.229) in den Niederlanden aus. Dieser Server hat in der Vergangenheit versucht, verschiedene gängige Sicherheitslücken auszunutzen.

Ein Honeypot zeigte in den Log-Dateien, dass Angriffe wohl seit 2015 stattfinden. In diesem Jahr veröffentlichte CORE Security eine sehr ähnliche Schwachstelle in "Air Live"-Kameras. Eine weitere Suche zeigt, dass diese Schwachstelle auch in Zavio-IP-Kameras aus dem Jahr 2013 gefunden wurde. Es wird vermutet, dass dieselbe Firmware/Hardware unter verschiedenen Marken weiterverkauft wird.

Behebt ein Hersteller die Schwachstelle, ist keineswegs garantiert, dass andere Hersteller, die dieselben Geräte verkaufen, sich überhaupt die Mühe machen zu prüfen, ob sie ebenfalls anfällig sind, schreibt das SANS Internet Storm Center. Es wird vermutet, dass ABUS wahrscheinlich nur die Verkaufsorganisation ist, die sich nicht dafür verantwortlich fühlt, zu prüfen, ob das, was sie verkauft, auch nur im Entferntesten geeignet ist, an ein Netzwerk angeschlossen zu werden.

Der Ratschlag der Sicherheitsfachleute: Als Benutzer einer solchen Kamera müssen Sie sicherstellen, dass Sie Ihre Firmware auf dem neuesten Stand halten und vermeiden, diese Kameras dem Internet auszusetzen. Und wie ABUS es ausdrückt: "KEEP AN EYE ON EVERYTHING.", vor allem auf Ihre Verkäufer.

Ab Werk infizierte Android-Geräte gefunden

Die Tage bin ich auch auf den Artikel Lemon Group's Cybercriminal Businesses Built on Preinfected Devices von Trend Micro (TM) gestoßen. Nach einem Bericht über mobile Geräte, die für eine Betrugskampagne verwendet wurden, haben die Sicherheitsforscher von TM eines der Geräte analysiert. Auf diesem Geräte waren zwei verschiedene Loader vorinstalliert, mit denen andere Komponenten von zwei verschiedenen Bedrohungsgruppen heruntergeladen werden konnten. Im Bericht, der auf Black Hat Asia 2023-Konferenz im Mai vorgestellt wurde, haben die Sicherheitsforscher alle Details zu weiteren Systemen, die von den Bedrohungsakteuren verwendet werden, zu ihren Unternehmen und anderen kommerziellen Frontends, die in Betrieb sind, zu Monetarisierungskanälen, Telegram-Gruppen und Mitarbeiterprofilen ermittelt.

Ars Technica hat diesen Artikel zu den Erkenntnissen veröffentlicht. Bei heise hatte ich das Thema bereits vor einigen Tagen im Artikel Malware ab Werk: Android-Trojaner vermietet Opfer-Smartphones minutenweise gesehen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Cybervorfall bei abe-brand.de; Störung bei dsbmobile.de; Schwachstelle bei Abus Sicherheitskamera; Android-Geräte mit Trojaner

  1. Stefan sagt:

    @Günter Born:
    Bei den infizierten Android Geräten sollte erwähnt werden, um welche Hersteller es sich handelt.

    Eine Liste findet man bei techspot vom 12.05.2023.
    Es sind nur chinesische Hersteller:

    "This behavior has been observed in numerous Chinese brands as well as big names like Oppo, OnePlus, Realme, and Xiaomi. Some, like Chinese-owned Gigaset, which sells phones in the EU, were found to have buried a malware auto-installer in a system update app."

    https://www.techspot.com/news/98667-millions-android-phones-come-pre-installed-malware-there.html

    Daher erwähnt heise auch:
    "Sie führen lediglich aus, dass Käufer von High-End-Android-Smartphones vor solchen Manipulationen sicherer sind. Google, Samsung & Co. kontrollieren ihnen zufolge ihre Lieferkette besser."

    Trend Micro lässt gerne solche entscheidene Informationen weg, nur um entsprechend Furcht oder Hass zu schüren.
    Wie jemand auf Reddit richtig schreibt, am Ende will Trend Micro nur seine Produkte verkaufen.
    Solche Hiobsbotschaften bringt Trend Micro jedes Jahr.

    https://www.trendmicro.com/vinfo/us/security/news/mobile-safety/android-devices-found-preinstalled-with-adware-cosiloon

    https://www.trendmicro.com/vinfo/in/security/news/mobile-safety/android-security-click-fraud-apps-drove-100-malware-increase-in-google-play-for-2018?search=malware+android

  2. Mario sagt:

    noch eine weitere "schöne" Meldung aus dem Security bereich:
    Zyxel hat einen bufferoverflow (vermutlich) im IPSEC VPN, der heute mit einem temporären Fix behoben wurde:
    https://support.zyxel.eu/hc/en-us/articles/11616709217810

    • Henry Barson sagt:

      Dazu hat fefe schon was abgeliefert:
      https://blog.fefe.de/?ts=9ab5724e
      tl;dr Kategorie grober Dummfug!

      • Anonymous sagt:

        tl;dr fefe schliesst also aus, dass solche Daten regelmässig an Qualcomm gesendet werden?

        1. Eindeutige ID
        2. Name des Chipsatzes
        3. Seriennummer des Chipsatzes
        4. Version der XTRA-Software
        5. Ländercode des Mobiltelefons
        6. Code des Mobilfunknetzes (zur Identifizierung des Landes und des Mobilfunkbetreibers)
        7. Typ des Betriebssystems und Version
        8. Gerätemarke und -modell
        9. Zeit seit dem letzten Start des Anwendungsprozessors und des Modems
        10. Liste der Software auf dem Gerät
        11. aktuelle IP-Adresse

        • Henry Barson sagt:

          Keine Name, kein Geschlecht, kein Geburtstag, keine religiöse/politische Weltanschauung, …

          Vom aufgezählten Technik Schnickschnack enthält keines ein privates Datum.

          • Anonymous sagt:

            11. aktuelle IP-Adresse

            Siehe DSGVO.

          • Henry Barson sagt:

            Pffff, dank Mitarbeiter-WLAN, Hotspots überall in Hülle und Fülle, bspw. Supermarkt/Drogerie, Einkaufscenter, sogar im Baumarkt-Gartencenter um die Ecke und auch zu Hause/bei Privatanschlüssen immer weiterverbreitetem CG-NAT ist die IP noch das uninteressanteste Datum (man beachte wann und vor allem wie lange die DSGVO "ausgebrütet" wurde!), viel interessanter sind da noch Tracking-Apps (allein die ganzen "Fitnesstrackereien, die Leute freiwillig und ungeniert in irgendwelche KLAUTS hochladen, damit man es auch im WhatsApp-Status präsentieren kann) und -Cookies, die ja dank dieser grandiosen DSGVO jeder einfach nur noch merkbefreit abnickt. Und dann gibt es ja noch die quasi-obligatorischen Apple-ID-/Google-Konten, die mir persönlich viel mehr Bedenken bez. DSGVO bereiten.

    • Günter Born sagt:

      Ich hatte einen Beitrag zum Thema irgendwo im Web gesehen, das aber nicht mehr thematisiert. The Register hat das im Artikel The truth about those claims of Qualcomm chips secretly snooping on you

  3. M sagt:

    Beim Hoster United-Hoster.de kam es ebenfalls zu einem Sicherheitsvorfall. Deren Hosted-Exchange Server sind seit Samstag 20.05.2023 nicht erreichbar.
    Leider sind nähere Informationen (noch) nicht veröffentlicht. Ein paar genauere Details gibt es auf deren Twitter und einer zitierten Antwort aus einem Ticket.
    https://twitter.com/unitedhoster/status/1659831112582180865?cxt=HHwWgsDRycnm84guAAAA

    Dabei liest man noch folgendes: "Sollten Sie MS Outlook verwenden, lassen Sie dort bitte sämtliche Nachrichten unverändert."
    Dies macht die Sache noch etwas bedenklicher.

    • M sagt:

      @Herr Born
      Vielleicht ist dieser Vorfall bei United Hoster auch etwas für Ihren Blog. Die Kunden beschweren sich derzeit über das intransparente Verhalten des Anbieters. Auch ein totaler Datenverlust steht noch im Raum und wurde bisher auch nicht kommentiert. Auf der Webseite gibt es auch keinen Hinweis, lediglich die nicht Erreichbarkeit des Dienstes.
      Nach bald 5 Tagen ist dies doch sehr ernüchternd.

      • EWC1111 sagt:

        United Hoster ist gehackt worden. Habe die Bestätigung heute nach vielfachen Anfragen meinerseits als Supporter für einen Kunden bekommen. Es seien "nur" die Hosted Exchange Server betroffen. Sind komplett verschlüsselt mit einem neuartigen unbekannten Algorithmus.
        Daten wären nach jetzigem Stand keine abgegriffen worden. Es wird eine neue Exchange Umgebung aufgebaut und für die Kunden eine Notlösung via Webmail eingerichtet. Man solle mit Outlook einen Export in eine pst Datei als Backup wegspeichern welche dann später wieder importiert werden kann. Stand heute 16:00 Uhr

  4. Anonymous sagt:

    Alle Server, die im Mivitec Rechenzentrum stehen sind betroffen. Daher dürften auch viele weitere Firmen von dem Cyber Security Angriff betroffen sein nicht nur Heinging.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.