[English]Japans größter Überseehafen in der Stadt Nagoya ist Opfer einer Ransomware-Attacke (vermutlich von Lockbit 3.0) geworden. Das NUTS-IT-System, welches an allen Containerterminals des Hafens verwendet wird, funktioniert seit dem 4. Juli 2023 (Unabhängigkeitstag in den USA) nichts mehr. Die Betreiber geben sich aber optimistisch, die IT für den Betrieb des Hafens bis zum kommenden Donnerstag (6.7.) wieder am Laufen zu haben. Nachtrag: Wow, der Hafen von Nagoya ist wirklich zurück und arbeitsfähig.
Anzeige
Ich bin bereits heute früh bei der morgendlichen Presseschau auf diesen Artikel von Nikkei Asia gestoßen – zudem hat mich ein Leser in den Kommentaren auf den englischsprachigen Artikel der japanischen Seite The Manchi hingewiesen (danke dafür).
Lockbit 3.0 für Angriff auf Hafen verantwortlich
Die aus Russland operierende Cybergang, Lockbit 3.0, hat es wohl geschafft, einen erfolgreichen Angriff auf die IT-Systeme des Seehafens der japanischen Stadt Nagoya durchzuführen. Der Systemausfall wurde sich am Dienstag, den 4. Juli 2023, gegen 6:30 Uhr, bemerkt, als ein Angestellter nicht in der Lage war, einen Computer zu starten. Das teilte die Hafenbehörde in einer Stellungnahme (japanisches Dokument eingestellt von Bleeping Computer) mit. Betroffen vom Ausfall ist das in allen Containerterminals des Hafens Nagoya eingesetzte Terminalsystem (NUTS, steht für Nagoya United Terminal System).
Später wurde eine irgendwie an einen Drucker gesendet Nachricht entdeckt, dass das Computersystem mit Ransomware infiziert sei, teilte sagte eine mit dem Fall vertraute Quelle den japanischen Nachrichtenagenturen mit. Die Gruppe LockBit 3.0 habe Lösegeld für die Wiederherstellung des Systems gefordert, heißt es in den oben verlinkten japanischen Medien, obwohl die Mitteilung der Nagoya Harbor Transportation Association keine Angaben zur Ransomware-Gruppe gemacht hat. Die lokale Polizei habe eine Untersuchung bezüglich des Vorfalls eingeleitet.
Aktuell kann der Hafen in der zentraljapanischen Präfektur Aichi nach Angaben seines Betreibers, der Nagoya Port Authority, keine Container von Anhängern mehr be- und entladen – denn die benötigte IT-Infrastruktur ist durch den Lockbit 3.0-Angriff lahm gelegt. Der Betreiber gibt aber (optimistischer weise) an, dass man den Betrieb am Donnerstagmorgen, den 6. Juli 2023, wieder aufzunehmen gedenkt. Konkret liest sich die japanische Stellungnahme so:
Anzeige
Alle betroffenen Parteien arbeiten derzeit an der Wiederherstellung des Systems mit dem Ziel, das System bis zum 5. Juli (Mittwoch) um 18:00 Uhr wiederherzustellen und die Arbeit am 6. Juli (Donnerstag) um 8:30 Uhr wieder aufzunehmen.
Das ist die Sprache Japans, die ich bei meinen Arbeitsaufenthalten in den 90er Jahren kennen lernen durfte – da werden Termine bis auf die Minute genau vorgeplant – doof, wenn die dann nicht eingehalten werden können. Aufgrund des Systemausfalls wurde das Be- und Entladen von Containern mit Trailern am Terminal nach Bekannt-werden des Sicherheitsvorfalls ausgesetzt, und das Be- und Entladen von Containerschiffen, die in den Hafen einlaufen, wird vom Hauptvertragshafenbetreiber durchgeführt.
Anmerkung: Wir haben den 5. Juli 2023, 17:13 Uhr deutscher Zeit – in Japan ist man uns einige Stunden voraus, die haben kurz nach Mitternacht. Die japanische Mitteilungsseite der Nagoya Harbor Transportation Association enthält keine Angaben, dass das Problem behoben wurde.
Terminalsystem arbeitet wieder
Nachtrag: Die Japaner haben mich erneut überrascht. Der Hafen von Nagoya ist wirklich zurück und mit den Verladle-Kais wieder arbeitsfähig. Ich musste heute früh (Donnerstag, den 6. Juli 2023, um 6:00 Uhr deutscher Zeit) natürlich mal nachsehen, ob in Japan bereits die Sonne aufgegangen ist (war in der Tat der Fall). So nebenbei habe ich auch geprüft, ob der Hafen von Nagoya wieder arbeitet – war ja angekündigt.
Mir blieb die Spucke weg, nippon.com berichtet in diesem 3 Stunden alten Artikel, dass das Containerterminalsystem im Hafen von Nagoy nach dem Cyberangriff von Lockbit 3.0 wieder arbeitsfähig sei. Der Artikel geht auf eine Mitteilung der Nagoya Harbor Transportation Association vom heutigen Donnerstag zurück.
Das System wurde am Donnerstag (6.7.2023) gegen 7 Uhr Ortszeit wieder in Betrieb genommen, zwei Tage nachdem der Ausfall am Dienstag (4.7.2023) gegen 6:30 Uhr Ortszeit begann. Es wird erwartet, dass der Containerumschlag im Hafen von Nagoya nach der durch den Angriff verursachten Unterbrechung im Laufe des Donnerstags wieder aufgenommen werden kann.
Im Artikel wird erneut angegeben, dass ein für den Hafen tätiges Unternehmen eine Nachricht erhalten habe, die von der aus Russland operierenden Ransomware-Gruppe LockBit stamme. In der auf Englisch verfassten Nachricht wurde Geld für die Wiederherstellung des Systems gefordert. Offenbar hatten die IT-Leute des Nagoya United Terminal-Systems (NUTS) sehr gut ausgearbeitete Notfallpläne für eine Wiederaufnahme der Operation, so dass kurz nach Erkennung der Ransomware-Infektion Angaben über die Wiederherstellung gemacht werden konnten. Hut ab, wenn sich das a la long bewarheitet.
Lockbit 3.0 und Hafen Nagoya
Lockbit ist der Name einer russischsprachigen Gruppe, welche Ransomware-as-a-Service betreibt. Im Jahr 2019 trat Lockbit erstmalig mit einer Schadsoftware Namens ABCD auf. Seit dem Jahr 2020 wird von der Gruppe die Verbreitung von Schadsoftware las Dienstleistung auf Provisionsbasis angeboten.
Lockbit 3.0 ist die Bezeichnung für die im Juni 2022 veröffentlichte Ransomware-Generation. Im Juli 2022 gelang Lockbit eine Ransomware-Infektion mit Lockbit 3.0 beim Autozulieferer Continental AG (siehe LockBit 3.0 Angriff auf Continental – Hinweise von Blackberry). Weiterhin wurde Fiege – ein auch in China tätiger Logistiker – Opfer dieser Ransomware. Ich habe hier im Blog einige Artikel zu Ransomware-Vorfälen mit Lockbit. Die Gruppe versucht die Opfer auch durch die Veröffentlichung von beim Angriff (vor der Verschlüsselung der Systeme) erbeuteter Daten zur Zahlung von Lösegeld (Ransome) zu bewegen.
Der Überseehafen der japanischen Stadt Nagoya (Präfektur Aichi) ist der größte Hafen Japans. Die Fläche des Hafens beträgt 42,133 Quadrat-Kilometer. Der Hafen verfügt über 290 Kais, 21 Piers und fünf Containerterminals (Tobishima Pier South Container Terminal, Tobishima Pier North Container Terminal, NCB Container Terminal, Nabeta Pier Container Terminal und Tobishima Pier South Side Container Terminal).
Auf den Hafen entfallen rund 10 % des gesamten japanischen Handelsvolumens. Die Toyota Motor Corporation, einer der größten Automobilhersteller der Welt, nutzt diesen Hafen für den Export der meisten seiner Fahrzeuge. Eine Beeinträchtigung des Betriebs hat also gravierende Folgen.
Ähnliche Artikel:
LockBit 3.0 Angriff auf Continental – Hinweise von Blackberry
Lockbit-Angriff auf Fiege (Dienstleister von Zalando)
Russisch-canadisches Lockbit-Mitglied (Partner) in Kanada verhaftet
Lockbit-Angreifer missbrauchen Windows Defender, um Cobalt Strike zu laden
Mandiant: Von LockBit gehackt, oder doch nicht?
Analyse: Linux- und ESXi-Varianten der LockBit-Ransomware
Anzeige
Ziel vom 6.7. ist – sagen wir es mal – sehr optimistisch… wenn die das effektiv schaffen sollten (und auch alle unverschlüsselten Geräte auf fremden Zugriff überprüft und auch bereinigt haben), muss ich sagen "Hut ab für diese Leistung gebe ich in meiner Stammkneipe einen aus"
Hallo Fred,
wo ist deine Stammkneipe?
Vermutlich irgendwo in Nagoya – in irgend einem Viertel, wo die japanischen Angestellten nach Feierabend zum Saufgelage (äh zur Beziehungspflege) einfallen. Mit etwas Glück hat er eine ganz kleine Kneipe mit wenigen Sitzplätzen ausgewählt. Aber hey, ich formuliere es mal so: Es kann schon eine echte Herausforderung sein, den Abend mit dem Schlachtruf "Kampai" mit warmem Sake und Asahi-Bier zu bestreiten. Hab da durchaus Begegnungen der "dritten Art" erlebt und unser japanischer Stammwirt stellte irgendwann ganz betrübt fest, dass seine Kübelpflanzen in einer bestimmten Ecke nach einiger Zeit zu kümmern anfingen. Also vielleicht auf grünen Tee abonnieren oder nochmals nachdenken ;-).