[English]Die Vereinten Nationen wurden 2019 gehackt, also so richtig. Möglich wurde das, weil nicht gepatcht worden war. Und dann wollte man das alles unter der Decke halten.
Anzeige
Alter Falter, so was aber auch. Vor zwei Wochen kam mir noch diese Meldung von Bleeping Computer unter die Augen. Die Botschaft: Die Vereinten Nationen sind über Phishing-Angriffe im Visier der Emotet Malware. Nun ja, wir alle kriegen früher oder später eine Phishing-Mail mit solcher Malware.
The UN got hacked and they tried to keep it quiethttps://t.co/j4zMF7nm0j pic.twitter.com/L8s1g5ecWJ
— Catalin Cimpanu (@campuscodi) January 29, 2020
Eben bin ich gleich durch zwei Quellen, den obigen Tweet und diesen Artikel auf die Information gestoßen, das die Vereinten Nationen im Juli 2019 gehackt wurden. Kam alles durch Zufall ans Tageslicht, weil Journalisten von The New Humanitarian bei einer Recherche auf einen vertraulichen Bericht stießen, der den Hack beschrieb.
Chronologie des Hacks
Ab Juli 2019 brachen Hacker in Dutzende von UN-Servern ein. Am 30. August 2019 gaben IT-Leute, die in den Genfer Büros der UNO arbeiten, eine Warnung an ihre technischen Teams über einen Hacker-Vorfall heraus:
Anzeige
"Wir gehen davon aus, dass die gesamte Domäne kompromittiert ist. Der Angreifer zeigt bisher keine Anzeichen von Aktivität, wir gehen davon aus, dass er seine Zugänge eingerichtet hat und sich nun ruhend gibt."
Unter den dutzenden kompromittierten UN-Servern waren auch Systeme in den Menschenrechtsbüros und der Personalabteilung. Dabei wurden auch Administratorkonten übernommen, so ein vertraulicher UN-Bericht, der New Humanitarian vorliegt. Der Hack ist einer der größten, der jemals in der UN bekannt wurde.
Beim Hack wurden Personaldaten, die Krankenversicherungsdaten von Mitarbeitern und die Daten von Handelsverträgen kompromittiert. Die Mitarbeiter wurden gebeten, ihre Passwörter zu ändern, aber niemand informierte sie über den Hack. Aufgrund der diplomatischen Immunität ist die UNO nicht verpflichtet, den Hack öffentlich zu machen oder die Betroffenen zu benachrichtigen.
Die schmutzigen Details
Im Bericht steht laut dem verlinkten Artikel, dass der Angriff mit einem einfachen Patch zur Behebung eines Softwarefehlers hätte vermieden werden können. Und die UN-Verantwortlichen waren seit Jahren vor größeren Schwachstellen gewarnt worden. Hat mich dann doch neugierig gemacht.
SharePoint vulnerability CVE-2019-0604 from a year ago has been used to hack the UN. Three different UN agencies got owned, about 20 domain admin accounts accessed and implants on 40 servers. They didn't disclose. https://t.co/teGFqahVhK
— Kevin Beaumont (@GossiTheDog) January 29, 2020
Sicherheitsforscher Kevin Beaumont wurde von dem Medium zur Analyse des vertraulichen UN-Berichts herangezogen. Er hat den obigen Tweet veröffentlicht, der Details offen legt. Die SharePoint-Schwachstelle CVE-2019-0604 war nicht gepatcht worden – über die hatte ich im Mai 2019 im Artikel Schwachstelle CVE-2019-0604 gefährdet SharePoint berichtet.
Hat wohl dazu geführt, dass die UN nach dem Angriff mehrerer Systeme komplett neu aufbauen musste. Weitere Details und die Folgen dieses Hacks, der sehr ausgefeilt war und staatsnahen Gruppen zugeschrieben wird, wird in diesem Artikel berichtet.
Anzeige
Ein weiterer jungferlicher Rechner vom Hersteller mit Windows 2000 Professional. Fritz-Card war drin. 4-Port-Netzwerkkarte von Compu-Shack eingebaut. Alles sauber erkannt. Da der Rechner aber als Router arbeiten soll, wollte ich nun die IP-Adressen einrichten. Dazu muss man bei dieser Karte, die 4 Stück 21143-Chips enthält, aber nur einen PCI-Steckplatz belegt, die MAC-Adressen per Hand überschreiben, da der Hersteller keine Treiber zur Verfügung stellt, und die Standard-Treiber verwendet werden müssen. Das hat funktioniert, nachdem ich korrekt auch die Vornullen eingegeben hatte. Aber sobald ich die IP-Adresse für ein Port eingegeben hatte, wurden die anderen auf DHCP zurückgestellt. Das Spielchen machte ich eine Weile in verschiedener Reihenfolge mit, bis ich dann die Geduld verlor und mich an die nächste Aufgabe machte: RAS einrichten. Der RAS schien erst mal zu laufen bis zur Authentisierung beim Internetprovider, aber dann kam keine Kommunikation zustande wegen angeblichen Protokollfehlers. Habe mich beim Kunden total zum Löffel gemacht. Musste den Rechner wieder einpacken. Da es sich um einen größeren Auftrag handelte mit der Bedingung, erst bei vollständiger Funktion zu bezahlen, fehlen nun mehrere Wochen größere Beträge. Verzweifelt dann fdisk (die wichtigsten Befehle fangen mit „f" an!) gemacht, Recovery-CD zum Fenster rausgeworfen und von einer ordentlichen CD neu installiert. Standard-Eingaben getätigt – und alles lief. Lediglich für die Routerei musste ich noch den Routing-Dienst auf automatischen Start setzen.
Ähhh…
ich glaub er macht sich einen Spaß daraus, einfach irgendwas zu posten
FYI: Ich habe ihm eine Mail geschickt – wenn er weiter quer mit Artikel-fremden Themen kommentiert, werde ich den Alias zum Kommentieren sperren – wäre eigentlich.
Das sind dann die Aufgaben, die ein Hausmeister auch noch wuppen muss – vieles hinter den Kulissen des Maschinenraums bekommen Blog-Leser ja nicht mit.
kann ich mir vorstellen
ich glaube aber den Troll interessiert es gar nicht, dass er das nicht soll und was wenn er einen anderen Alias nutzt …
Dann lösche ich die Kommentare – unmoderiert geht da dann eh nichts mehr im Blog rein. Da habe ich schon meine Möglichkeiten – baue aber auf den goodwill meiner Leserschaft.
"(die wichtigsten Befehle fangen mit „f" an!)"
*D*iskpart
*L*ist Disk/Partition/Volume/VDisk
*S*elect Disk/Partition/Volume/VDisk
*C*lean
Mhm…nö! :P
Davon ab: Dein Auftrag kam doch bestimmt von einem deutschen Unternehmen in den letzten drei Jahren, oder? Klingt ja fast nach Bank…
Mal wieder ein "dreifaches Hoch" auf die vielgelobte und möglichst 100 %ige Digitalisierung…!
Mal sehen, wie lange es noch dauert bis dann "endlich" mal ne richtig fette Bombe hochgeht… So etwas wie: Halb Europa mal zehn Tage ohne Strom – wegen einer bekannten, aber ungepatchten Sicherheitslücke, oder so… Und noch fettere Bomben sind ja durchaus auch denkbar – hoffentlich nur denkbar…! So langsam alles nur noch der blanke Horror und Wahnsinn!
Das Problem liegt wohl daran, dass es bei der UNO keine richtige Struktur in der Verantwortlichkeit gibt.
Sodann wird eben mal schnell ein E-Mail geöffnet (was in dieser Institution nicht sein darf) und weiter geht es mit den Mitarbeitern. Korruption ist allerseits gängig, egal wie.
Wenn man die Berichte von Willi Lemke vor Augen hat (bzw. im Sinn), so wundert mich bei der UNO gar nichts mehr. Da ging es zwar nicht um IT, aber einen generellen Einblick, der einen doch schon verwundert.