Gerade ist eine 'Cloud Hopper' genannte Hacking-Kampagne, die mutmaßlich im Zusammenhang mit der chinesischen Regierung gebracht wird, öffentlich geworden. Die erfolgreichen Hacks von Cloud-Diensten betreffen einige der weltweit größten Technologie-Dienstleister, darunter IBM und HPE. Ausgehend vom erfolgreichen Hack dieser Dienstleister wurden Kunden dieser Firmen angegriffen, um über deren Cloud-Dienste unzählige Firmen- und Regierungsgeheimnisse zu stehlen.
Anzeige
Die Information wurde durch einen Artikel der Nachrichtenagentur Reuters öffentlich, die in diesem Tweet darauf hinweisen.
A hacking campaign connected to China's government penetrated some of the world's biggest technology service providers, including IBM and HPE. From there, it spread to ensnare those firms' clients, plundering reams of corporate and government secrets https://t.co/AhFmQKV0pE pic.twitter.com/Mgxy1868vm
— Reuters Top News (@Reuters) 26. Juni 2019
Nach einem erfolgreich Hack von mutmaßlich chinesischen Cyber-Spionen, die von 2014 bis 2017 fünfmal zuschlugen, begann das Sicherheitspersonal des schwedischen Telekommunikationsriesen Ericsson die Kampagnen nach verschiedenen Weinsorten zu benennen.
Operation 'Pinot Noir' bei Ericsson über die HPE-Cloud
Es war im im September 2016, als das Cybersicherheitsteam des Unternehmens die Pinot Noir-Operation bei Ericsson entdeckte. Nachdem das Team ein Jahr zuvor eine Welle von Angriffen erfolgreich abgewehrt hatte, bemerkte Ericsson, dass die Eindringlinge zurück waren. Aber diesmal hatte man sogar mehr Erfolg, denn man konnte feststellen, wie die Angreifer in die internen IT-Netzwerke kamen. Die Angriffe erfolgten durch eine Verbindung zum IT-Dienstleister Hewlett Packard Enterprise (HPE).
Anzeige
(Quelle: Pexels Markus Spiske CC0 Lizenz)
Teams von Hackern, die mit dem chinesischen Ministerium für Staatssicherheit in Verbindung gebracht werden, waren in den Cloud-Computing-Dienst von HPE eingedrungen und nutzten ihn als Startplatz für Angriffe auf HPE-Kunden. Durch den erfolgreichen Hack der HPE-Cloud konnten sie jahrelang unzählige Firmen- und Staatsgeheimnisse plünderten. Oder platt ausgedrückt: Es geht um Industrie- und allgemeine Spionage.
Zusammenhänge werden durch US-Anklage öffentlich
Die als "Cloud Hopper" bekannt gewordene Hackerkampagne ist Gegenstand einer Anklage in den USA im Dezember 2018. Dort werden zwei chinesische Staatsangehörige des Identitätsdiebstahls und Betrugs beschuldigte. Die Staatsanwälte im Verfahren beschreiben eine aufwendige Operation, die mehrere westliche Unternehmen zum Opfer fiel, nennen aber keine Firmennamen und Regierungen, die gehackt wurden.
Reuters konnte aber zwei Unternehmen, Hewlett Packard Enterprise und IBM, als Ausgangspunkt identifizieren. Doch die Kampagne umfasste mindestens sechs weitere große Technologieunternehmen und berührte fünf der zehn größten Technologiedienstleister der Welt.
Laut Reuters wurden durch "Cloud Hopper" über die Technologie-Unternehmen Kunden wie Fujitsu, Tata Consultancy Services, NTT Data, Dimension Data, Computer Sciences Corporation und DXC Technology kompromittiert. HPE hat seinen Dienstleistungsbereich im Rahmen einer Fusion mit der Computer Sciences Corporation im Jahr 2017 zur Gründung von DXC ausgegliedert.
Die Operationen sind laut US-Staatsanwälte ein Versuch, die chinesischen wirtschaftlichen Interessen zu stärken. "Dies war der Diebstahl von Betriebs- oder Geschäftsgeheimnissen zum Zwecke der Förderung einer Wirtschaft", sagte der ehemalige australische National Cyber Security Adviser, Alastair MacGibbon. Laut MacGibbon geht es um "das Lebenselixier eines Unternehmens."
Eine der gehackten Firmen ist Ericsson, die im strategisch kritischen Mobilfunkgeschäft mit chinesischen Unternehmen konkurrieren. Weitere Beispiele sind das Reisereservierungssystem Sabre, der amerikanische Marktführer bei der Verwaltung von Flugzeugbuchungen, und der größte Schiffsbauer der U.S. Navy, Huntington Ingalls Industries, der die amerikanischen Atom-U-Boote auf einer Virginia-Werft baut.
Deprimierende Schlussfolgerungen
Die Geschichte wirft ein Schlaglicht auf bestimmte Aussagen und Entscheidungen, die in letzter Zeit in den USA getroffen wurden. Das Ganze endete im Bann des chinesischen Ausrüsters Huawei (siehe Die Causa Huawei und die Industriespionage). Ob es Zufall ist, dass gerade ein Hack von Managed Service Providern (siehe Managed Service Providern (MSP) gehackt, Ransomware an Kunden verteilt) oder von Telefongesellschaften (siehe Hacker stehlen Meta-Daten-Aufzeichnungen von Telefonaten) bekannt wurde?
Man kann – und wird – natürlich argumentieren: Es ist nicht bewiesen, dass die Hacker im Auftrag der chinesischen Regierung unterwegs waren. Und das alles als Propaganda der USA abtun. Selbst Reuters konnte nicht das volle Ausmaß des durch die Kampagne verursachten Schadens feststellen. Viele der gehackten Opfer sind sich nicht sicher, welche Informationen gestohlen wurden.
Was man aber als Schlussfolgerung ziehen kann, fällt in die gleiche Kerbe, vor der ich seit Jahren hier im Blog gewarnt habe: Cloud-Dienste und der Wahn, alles und jedes zu vernetzen. Reuters schreibt denn auch, dass die Cloud Hopper-Angriffe beunruhigende Lektionen für Regierungsbeamte und Technologieunternehmen enthalten. Denn:
- es gibt einen US-China-Pakt von 2015, der darauf abzielte, von gegenseitiger Wirtschaftsspionage abzusehen (das Papier ist für die Tonne).
- chinesische Hacker (u.a. der Gruppe APT10) konnten die Angriffe trotz einer Gegenoffensive von Top-Sicherheitsspezialisten fortsetzen.
Die Firmen stehen also intensiv im Fadenkreuz der Hacker und es ist nur eine Frage der Zeit, bis sie gehackt werden. Zudem gibt es eine weitere Erkenntnis, dass das Ganze durch die Beteiligten verschlimmert wurde. Denn die gehackten Dienstanbieter haben Informationen von Hackern zurückgehalten, teilweise, aus Sorge vor einer rechtlichen Haftung, aber auch, weil sie einen negativen Einfluss auf die 'Firmenreputation' befürchteten. Das wird wohl in Aufzeichnungen und Interviews, die im Rahmen der US-Anklage deutlich. Dieses Versagen, so sagen Geheimdienstler, stellt die Fähigkeit westlicher Institutionen in Frage, Informationen so zu teilen, wie es zur Verteidigung gegen aufwändige Cyber-Invasionen erforderlich ist. Selbst jetzt noch wissen viele Opfer nicht, dass sie vom Hack betroffen sind.
Zudem: In der aktuellen Anklage werden die Chinesen an den Pranger gestellt. Aber auch Nordkorea, Russland, Iran und Israel haben sehr aktive Hacker-Armeen. Und wie sieht es mit der (Industrie-)Spionage durch die Five Eyes (die Geheimdienste der USA, Großbritannien, Kanada, Australien und Neuseeland aus? Spionieren die nicht, weil es die Guten sind – oder ist das weniger schlimm?
Die obige Kampagne hebt gnadenlos die Sicherheitsschwachstellen hervor, die mit Cloud Computing verbunden sind. Die immer beliebteren Praxis bei der Unternehmen, mit externen Anbietern Verträge über Remote-Computerdienste und Datenspeicherung abschließen, reißt drastische Sicherheitslücken auf. Man kann es auch anders ausdrücken: Das System der Cloud-Dienste und der Trend zur Vernetzung zeigt, dass der ganze Ansatz aus Sicherheitsaspekten drastisch gescheitert ist. Und ich sehe, angesichts der auf Chip-Ebene bekannt gewordenen Schwachstellen wie RowHammer, Spectre, Meltdown auch nichts, was auf Entwarnung hindeutet. Aber noch ist nicht absehbar, dass die IT der Firmen umsteuert. Es könnte aber sein, dass das ganze Cloud-Zeugs in 10 Jahren tot ist. Oder wie schätzt ihr das ein?
Ähnliche Artikel:
Die Causa Huawei und die Industriespionage
Neues zur Causa Huawei – Übergangslösung bis August
Google setzt Zusammenarbeit mit Huawei aus
Managed Service Providern (MSP) gehackt, Ransomware an Kunden verteilt
Hacker stehlen Meta-Daten-Aufzeichnungen von Telefonaten
Spionage: Computer über Lieferketten infiltrieren
Spionage: Verizon USA unter Druck wegen Huawei-Phone
Amazon, Apple und die China-Spionage-Chips …
EU-Kommissar mahnt zur Vorsicht gegenüber Huawei
Verwirrung um von Vodafone entdeckte Huawei 'Backdoor'
Schwere Sicherheitslücken im Huawei PCManager für Windows
Anzeige
Erst letztens hatte ich ein Gespräch mit einem Softwareanbieter /-Supporter. Er meinte nach unserer 2 stündigen Installationsorgie: hoffentlich kommt bald die Cloud-Version.
Diese Firmen müssen sich dann nicht mehr mit den vielfältigen, lokalen Installationsproblemen rumärgern. Browserkompatibilität – fertig. Diesen Fakt und daß man seine Daten im Falle einer lokalen Katastrophe (Brand, Einbruch) außerhalb hat, sind mMn die einzigen Pro-Argumente für Cloud.
Ich stimme dem Artikel komplett zu, bis auf den letzten Satz. Der Vernetzungsirrsin wird weiter gehen. Man kann damit ja Personalkosten sparen. Letztendlich bauen "Coud-Architekten" ihr eigenes berufliches Grab. Die Landschaften sind inzwischen so komplex geworden, dass eine winzige Änderung irgendwo das ganze einem um die Ohren lassen kann, die Netze werden mit Workarrounds zusammengehalten, das ist teils unfassbar. Man hetzt eigentlich nur noch von einem Sicherheitsupdate zum nächsten! Don Quichote und die Windmühlen.
Völlig überraschend locken zentral gehortete Information "Bankräuber" an ;-)
Um das zurückzudrehen, muss ein "business case" gerechnet werden und die die große Frage ist, wie beziffert man den Verlust von Geschäftsgeheimnissen, Image, Reputation etc.?
Vorher müssten aber die jeweiligen CIOs ausgetauscht werden, die statt der Ingenieur-Sicht für das Unternehmen primär die Kataloge der Anbieter und Zahlen/Kosten im Blick haben. Da es kaum wirksame Normen und Reglementierungen wie bei Maschinen, Fahrzeugen oder Luftfahrt gibt, werden offenbar gerne "drei von vier Bremssättel" eingespart und die Kontrolle über den Vierten ausgelagert, weil es laut Folien der Anbieter super funktioniert.
Wie in anderen Bereichen auch: Wir haben Folien-Managern das Feld überlassen und ernten die Wrackteile, wenn deren Pläne mit der Realität in Berührung kommen. Die sind dann schon über alle Berge das nächste große Ding vor die Wand fahren. Natürlich gedeckt von denjenigen, die trotz Verantwortung mit noch weniger Ahnung auf solche Scharlatane gehört haben. Schlechtes Management erkennt man unverändert an der Zahl externer Berater.
"Aber noch ist nicht absehbar, dass die IT der Firmen umsteuert."
Es sind ja auch nicht die ITler, die umsteuern müssten sondern die technisch ahnungslosen Manager. Cloud-Dienste und Software-as-a-Service sind gut für deren Vita.
Diese Herrschaften denken nur im Rahmen ihrer 5-Jahres Verträge und werden auch nur am finanziellen Ergebnis dieses Zeitraums gemessen. Eine Dienstleistung/eine Sofware zu kaufen verursacht momentan hohe Kosten und der Einkaufspreis lässt sich nur für eine gewisse Anzahl von Jahren abschreiben. Miete zahlen ist, über einen relativ kurzen Zeitraum von z.B. 5 Jahren betrachtet, billiger und lässt sich die ganze Zeit über steuerlich absetzen.
Dazu kommen noch die eingesparten Personalkosten und eine einfachere und verlässlichere Kalkulierbarkeit der Gesamtkosten, da diese ja vertraglich festgelegt sind und nicht mehr abgeschätzt werden müssen.
Dann gibt es da noch die Lobby der Telekommunikationsbranche und der Hersteller von Netzwerkequipment, die ja alle von steigendem Netzwerkverkehr und dem Ausbau der Verbindungswege (Auf- und Ausbau von Kabel- und Funknetzen sowie Satelliten-Verbindungen usw.) profitieren.
Die Staatskassen werden mit den Steuergeldern einer Boom-Branche ebenfalls gut gefüllt. Auch die Datenhändler sind doch erst mit der Verbreitung von Cloud-Diensten in ihr goldenes Zeitalter gewechselt. Zu guter letzt sind auch die Schlapphüte aller Länder froh, noch nie zuvor konnten sie so einfach an eine solche Menge von Daten aller Art gelangen.
Es gibt also genügend Parteien/Akteure, denen die derzeitige Situation sehr recht ist und die auf keinen Fall das Rad der Zeit zurück drehen möchten. Menschen neigen leider dazu, OFFENSICHTLICHE und BEKANNTE Risiken zu ignorieren und sich stattdessen der unbegründeten Hoffnung hinzugeben, dass "schon nichts passieren wird". Außerdem sind die Mahner sowieso nur hoffnungslose Pessimisten, von denen man sich die gute Laune und vor allem das gute Geschäft nicht kaputtmachen lassen will.
Von daher, es müsste schon etwas sehr gravierendes passieren, bevor hier umgesteuert wird. Pro Woche ein riesiger Daten-Leak, Spionage, Diebstahl und Ransomware-Wellen, Ausfall von Behörden oder wichtigen Institutionen wie Krankenhäusern aufgrund eines Angriffs auf ihre IT-Infrastruktur – man gewöhnt sich an alles.
Ich kann dich beruhigen – ich bin mir inzwischen sicher, genau diese Zeiten werden kommen. Es lässt sich nur noch nicht genau sagen, wann. Aber es ist auffällig, wie das die letzten 2 Jahre in Sachen Sicherheitsvorfälle kulminiert.
https://ksh.wikipedia.org/wiki/Et_k%C3%B6lsche_Jrundjesetz
Et hät noch immer jot jejange!
:-(
Selbst ein so teuer Angriff wie bei der Stadt Baltimore hat nicht zu einem umdenken geführt.
Dann muss der Bürger halt höhere Steuern zahlen. Widerstand? Gleich null. Lethargie allüberall.
"… genau diese Zeiten werden kommen."
Ich habe in meiner Aufzählung eigentlich nur Dinge genannt, die bereits eingetreten sind. Umdenken – Fehlanzeige.
"…Was man aber als Schlussfolgerung ziehen kann, fällt in die gleiche Kerbe, vor der ich seit Jahren hier im Blog gewarnt habe: Cloud-Dienste und der Wahn, alles und jedes zu vernetzen…"
John McAfee warnt auch eindringlich vor den Gefahren der Vernetzung.
Ich auch :-)
Ich habe meine Zweifel dass da zurückgerudert wird. Denn wo sind die Alternativen?
1) Es gibt keine echte Konkurrenz mehr auf diesem Gebiet. Der/Die Markführer investiert/investieren Milliarden und schiebt/schieben alles in die Cloud.
2) Das Mietmodell scheint den Betriebswirtschaftlern die in den meisten Unternehmen etwas zu sagen haben sympatischer zu sein. Obwohl es nachweisbar in der Vergangenheit deutlich mehr gekostet hat – zumindest wenn man die Software einige Jahre genutzt hat und nicht jede Version eingespielt hat . Wartungspreise von 1/3 der Anschaffungspreise sind schlicht eine Unverschämtheit. Vor vielen Jahren gab es Fehlerkorrekturen umsonst. IT aus der Steckdose ist ja schön und gut – für den Hersteller der Software. Dies sorgt für einen unendlichen Geldfluß und bringt den Kunden in diverse Abhängigkeiten.
3) Die On Premise Software wird immer schlechter und unhandlicher. Man denke an das unsägliche WSUS, die diversen Update Bugs von Windows und Office in der letzten Zeit, die Dauer eines Windows 2016 Serverupdates für das Microsoft wohl keine Lösung mehr bereitstellen lässt.
4) Das Betreiben von internen Infrastrukturen erfordert Spezialisten, die der Markt nicht hergibt bzw. die durch unsägliche Update Orgien, schlecht gewartete und programmierte Software davon abgehalten ihre eigentliche Arbeit zu tun.
5) Diverse größere Datenverluste haben nicht zu einem Umdenken geführt.
Dazu noch ein paar Anmerkungen:
1) IAAS (infrastructure as a service) nimmt den Administratoren die lästigen Arbeiten (Backup, Updates) nicht ab. PAAS (platform as a service) ist nochmals teurer und SAAS (software as a service) ist ebenfalls sehr teuer und bereitet im Hinblick auf Vernetzung mit anderen System Probleme.
2) Der Internetzugang wird zum Nadelöhr. Wo vorher und ein kleiner Teil der Daten das LAN verlassen hat muss nun alles durch. Darüber hinaus erhöhen sich die Latenzen von <1ms im LAN auf zwei oder dreistellige ms Zahlen in der Cloud.
3) Das Backup der Systeme wird in der Regel einem selbst überlassen oder besteht nur rudimentär (z.B. 30 Tage). Es wird dann entweder einfach nicht gemacht oder funktioniert recht gut in die Cloud (als hochkomprimierte Delta, hoffentlich verschlüsselt). Das Problem beginnt genau dann wenn man versucht die Systeme – zurückzuspielen. Wenn das wohin geklärt ist, wird man sich in Gelduld üben lassen und muss ein x-Faches Datenvolumen durch eine recht schmalbandige Internetverbindung schieben.
4) Eine Exit Strategie gibt es selten. Die Betriebswirte wählen meist das vermeintlich günstigste Angebot – oft ist es nur vordergründig günstig. Verkracht man sich mit seinem Provider wird es sehr schwer die Daten und Dienste wieder zurückzuholen oder zu migrieren. Ein u.U. für die Firma tödliches Risiko.
5) Bekanntermaßen betreiben NSA und die Geheimdienste (der USA und anderer Staten) Industriespionage. Wie kann man nur so naiv sein seine Daten und Server auf Plattformen zu betreiben, die größtenteils in den USA stehen bzw. von US Firmen betrieben werden. Eine US-Firma muss auf Anfrage der Behörden auch Daten in anderen Ländern herausrücken und muss darüber Stillschweigen bewahren.
6) Mehrfach sind in der jüngeren Vergangenheit große Cloud Dienste längere Zeit ausgefallen oder konnten aus diversen Gründen nicht erreicht werden. Die Dienste sind (D)DOS Angriffen ausgesetzt und nicht selten gibt es Routingprobleme im Internet.
7) Es ist sehr schwer und (zeitlich) aufwändig zwischen Programmen in der Cloud Daten auszutauschen. Die Schnittstellen sind entweder nicht vorhanden oder in vielen Fällen nicht oder nur rudimentär dokumentiert.
8) Viele Webinterfaces/-frameworks sind langsam und oder benötigen mehr Arbeitsschritte und sind unsägliche Produktivitätskiller.