[English]Keine Ahnung, ob der US Cloud- und Sicherheitsanbieter JumpCloud in Europa und im deutschsprachigen Raum eine nennenswerte Kundenbasis hat. Ich nehme es aber mal hier im Blog mit auf: JumpCloud hat gerade eingestanden, dass es Opfer einer (bereits im Juni 2023 gestarteten) APT Hackergruppe geworden sei. Eine "kleine Anzahl" an Kunden sei von diesen Hackern erfolgreich angegriffen worden. Diese konnten sich per Spear-Phishing auf Administratorkonten Zugriff auf die Infrastruktur zu einer Befehlsinjektion verschaffen.
Anzeige
Der Angriff auf JumpCloud
Kürzlich hat JumpCloud alle API-Keys für seine Unternehmenskunden zurückgesetzt, was laut nachfolgendem Tweet sehr viele Kunden wie cars[.]com, GoFundMe etc. tangiert. Hintergrund war ein erfolgreicher Angriff auf die Infrastruktur des Anbieters.
Das US-Unternehmen JumpCloud schreibt in einer Meldung vom 12. Juli 2023, dass man am 27. Juni 2023 um 15:13 Uhr UTC anomale Aktivitäten auf einem internen Orchestrierungssystem (wohl für seine Kunden) entdeckten. Diese Aktivität umfasste den nicht autorisierten Zugriff auf einen bestimmten Bereich der JumpCloud-Infrastruktur. Zu diesem Zeitpunkt, schreibt das Unternehmen, habe es keine Anzeichen für eine Beeinträchtigung von Kunden gegeben.
Angriff per Spear-Phishing-Kampagne
Die Analyse ergab, dass der Ausgangspunkt eine Spear-Phishing-Kampagne (wohl auf Administratorkonten des Anbieters war, die von dem Bedrohungsakteur am 22. Juni 2023 durchgeführt wurde. Die Angreifer befanden sich da bereits bis zu fünf Tage im System, so das der US-Anbieter vorsorglich beschlossen habe, die Anmeldedaten zu ändern und die angegriffene Infrastruktur wiederherzustellen.
Anzeige
Zudem gibt der Anbieter an, eine Reihe anderer Maßnahmen zur Sicherung des internen Netzwerks und der Umgebung ergriffen zu haben. Außerdem wurden der vorbereitete Notfallplan aktiviert und ein Incident Response (IR) Partner beauftragt, alle Systeme und Protokolle auf mögliche Aktivitäten zu analysieren. Zu diesem Zeitpunkt wurden laut Anbieter auch die Strafverfolgungsbehörden kontaktiert und in die Ermittlungen einbezogen.
Angreifer weiter im System
Das Ganze ist jetzt mehrere Wochen her. Leider hat sich die Hoffnung, dass damit das "Problem" (laut Anbieter durch einen staatlichen Akteur als Angreifer verursacht) durch das Zurücksetzen der Anmeldedaten und wiederherstellen der Infrastruktur beseitigt wurde, nicht erfüllt. Denn am 5. Juli 2023 entdeckte man um 03:35 UTC bei einer kleinen Gruppe von Kunden ungewöhnliche Aktivitäten im Bereich, den JumpCloud als "Befehls-Framework" bezeichnet.
Kundeninstanzen gezielt angegriffen
Zu diesem Zeitpunkt hatte das Sicherheitsteam aber bereits Hinweise auf Auswirkungen des Angriffs bei Kunden. In Zusammenarbeit mit diesen Kunden versuchte der Anbieter zusätzliche Sicherheitsmaßnahmen vorzunehmen. Gleichzeitig wurde beschlossen, eine Zwangsrotation aller Admin-API-Schlüssel durchzuführen, die am 5. Juli um 23:11 Uhr UTC begann. Die Kunden wurden sofort über diese Maßnahme informiert.
Der Anbieter JumpCloud schreibt in seiner Meldung, dass die Analyse eine Dateninjektion in das interne Befehls-Framework als Angriffsvektor aufgedeckt habe. Details werden aber keine genannt. Laut JumpCloud soll der Angriff gezielt bestimmten Kunden betroffen haben.
Der Anbieter zieht den Schluss, dass es sich um hochentwickelte und hartnäckige Angreifer mit fortgeschrittenen Fähigkeiten handelt (staatlicher Akteur). Aufgrund der Analysen konnte JumpCloud eine Liste von IOCs (Indicators of Compromise) erstellen, die bei dieser Kampagne beobachtet wurden. Wie groß der Schaden für die angegriffenen Kunden ist, geht aus der Mitteilung nicht hervor.
Wer ist JumpCloud
JumpCloud ist eine 2013 gegründete Firma für Cloud-Sicherheitssoftware und Cybersicherheit und bietet Lösungen für kleine und mittelständische Unternehmen sowie für multinationale Konzerne. Der Anbieter arbeitet außerdem eng mit Bildungseinrichtungen, Non-Profit-Organisationen und Regierungsbehörden zusammen. Das Unternehmen soll seit 15 Jahren auch in Deutschland aktiv sein.
Die Lösung JumpCloud Directory-as-a-Service ist Active Directory und LDAP in einer neuen Form. Darüber verwaltet und verbindet JumpCloud Nutzer laut dieser Seite sicher mit ihren Systemen, Anwendungen, Dateien und Netzwerken. Dort heißt es auch, dass JumpCloud Nutzer und ihre Systeme auf Mac, Linux oder Windows verwaltet. Der Anbieter bietet Zugriff auf Cloud- und Vor-Ort-Ressourcen wie Office 365, G Suite, AWS, Salesforce und Jira. Mit nur einem Login sollen Nutzer über RADIUS- und Samba-Server auf Netzwerke und Dateifreigaben zugreifen können.
Anzeige
"JumpCloud" – ROFL – der Name – köstlich. Mehr davon.
Phishing? Das heißt, ein Dienstleister für Cloud-Sicherheit verfügt nicht über MFA, TPM und HSM zum Schutz der eigenen Infrastruktur?
Die ganze IT-Sec-Szene ist so lächerlich. Sicher ist gar nichts. Erst recht nicht digital gespeicherte Daten. Alle wissen alles. Wir sollten alle Passworte ersatzlos abschaffen. Hilft sowieso nichts. Erhöht aber den Komfort.
Und was nützt dir all das wenn MFA, TPM und HSM verwendet wird? API Tokens sind lang gültig oder wieviele Admins meinst würden täglich/stündlich auf der Matte stehen und den Token über eine MFA zu rotieren?
Laut diesem Reuters-Artikel wird der Hack Nordkorea angelastet. Ziel war es, Crypto-Währung zu stehlen.