Aktuell knallt es sicherheitstechnisch wieder an allen Ecken und Enden. In den Tupperware-Webshops wurde eine Malware zum Abfischen von Kreditkarten gefunden. Die WHO wird von Elite-Hackern angegriffen – staatliche chinesische Hacker nutzen Sicherheitslücken in Citrix und Zoho aus und aktuell gibt es mit mittleren Osten neuartige Angriffe auf Industrieanlagen, um nur einige Sachen zu nennen.
Anzeige
Citrix und Zoho im Visier chinesischer Hacker
Sicherheitsforscher von Fireeye beobachteten zwischen dem 20. Januar und dem 11. März 2020 bei über 75 Kunden Angriffsversuche der APT41-Gruppe (eine mutmaßlich staatliche chinesische Hackergruppe) auf Schwachstellen in Citrix NetScaler/ADC, Cisco-Routern und Zoho ManageEngine Desktop Central. Zu den Zielländern gehören Australien, Kanada, Dänemark, Finnland, Frankreich, Indien, Italien, Japan, Malaysia, Mexiko, die Philippinen, Polen, Katar, Saudi-Arabien, Singapur, Schweden, die Schweiz, die Vereinigten Arabischen Emirate, Großbritannien und die USA.
Die APT41-Gruppe hat die Industriebereiche Banken/Finanzen, Baugewerbe, Verteidigungsindustrie, Regierung, Gesundheitswesen, Hochtechnologie, Hochschulwesen, Rechtswesen, Fertigung, Medien, gemeinnützige Organisationen, Öl und Gas, Petrochemie, Pharmazie, Immobilien, Telekommunikation, Transport, Reisen und Versorgungsunternehmen ins Visier genommen.
Es ist unklar, ob APT41 das Internet gescannt und versucht hat, das Internet massenhaft auszunutzen, oder ob es gezielt einzelnen Firmen und Organisationen ausgewählt hat, um diese zu hacken. Details zu dieser Kampagne lassen sich in diesem Fireeye-Blog-Beitrag nachlesen.
WHO verzeichnet massive Cyber-Angriffe
Reuters berichtet in nachfolgendem Tweet bzw. in diesem Artikel, dass Elite-Hacker Anfang März versuchten, in die IT-Systeme der Weltgesundheitsorganisation einzudringen.
Anzeige
Exclusive: Elite hackers target WHO as coronavirus cyberattacks spike https://t.co/bPeCM5zPMG
— Aryeh Goretsky (@goretsky) March 25, 2020
Quellen berichteten Reuters von einer Verdoppelung der Cyberangriffe auf die IT-Systeme der WHO. Der für Informationssicherheit Zuständige, Flavio Aggio, sagte, die Identität der Hacker sei unklar und die Bemühungen seien erfolglos gewesen. Er warnte jedoch davor, dass die Hacker-Versuche gegen die Behörde und ihre Partner im Kampf um die Eindämmung des Coronavirus, stark zugenommen haben.
Reuters wurde erstmals von Alexander Urbelis, einem Cybersicherheitsexperten und Anwalt der in New York ansässigen Blackstone Law Group, über die laufenden Cyberangriffe auf die WHO informiert. Dieser hatte um den 13. März herum verdächtige Aktivitäten bei der Registrierung von Internet-Domänen bemerkt und an Reuters gemeldet. Eine Gruppe von Hackern, die er beobachtete hat in diesem Zeitraum eine bösartige Website aktivierte, die das interne E-Mail-System der WHO nachahmt.
Urbelis weiß auch nicht, wer für die Cyberangriffe verantwortlich ist. Weitere Sicherheitsforscher verdächtigten eine Gruppe von Hackern namens DarkHotel, die seit mindestens 2007 Cyber-Spionageoperationen durchführt.
Angriff auf Industrieanlagen im mittleren Osten
In nachfolgendem Tweet macht Aryeh Goretsky auf eine bisher unbekannte Cyberangriffs-Methode aufmerksam, die sich gegen Industriekomplexe im mittleren Osten richten.
Never-before-seen attackers are targeting Mideast industrial organizations https://t.co/mtBYIcI5k1
— Aryeh Goretsky (@goretsky) March 25, 2020
Sicherheitsforscher von Kaspersky Lab haben eine Angriffskampagne aufgedeckt, die bisher ungesehene Malware verwendet, um Organisationen im Nahen Osten, von denen einige im Industriesektor tätig sind, ins Visier zu nehmen. Arstechnica hat in diesem Artikel weitere Details zusammen getragen.
Tupperware-Webseite gehackt
Hacker haben die Website der Marke Tupperware kompromittiert und ein gefälschtes Formular in der Webseite untergebracht. Über dieses Formular konnten die Angreifer an der Kasse die Kartendaten zahlender Kunden beim Abschluss der Bestellung abfischen.
Der Angriff wurde sorgfältig orchestriert, um den Skimmer so lange wie möglich aktiv zu halten – ein klarer Hinweis darauf, dass dies nicht das Werk von gewöhnlichen MageCart-Angreifern ist. Die Tupperware-Webseite war eine Zeit lang gehackt, da die Versuche der Sicherheitsforscher, das Unternehmen zu alarmieren, unbeantwortet blieben. Bleeping Computer hat hier Details dieses Hacks veröffentlicht.
Google Play Store-Apps wegen Click-Betrug entfernt
Google hat nach einem Hinweis von Sicherheitsforschern 24 Spiele-Apps für Kinder und weitere 32 Utility-Apps aus dem Play Store entfernt. Die Check Point Sicherheitsforscher hatten den in diesen Apps versteckten Tekya Clicker entdeckt. Während der Untersuchung blieb die Tekya-Malware-Familie von VirusTotal und Google Play Protect unentdeckt. Denn die Tekya-Malware verschleiert den nativen Code, um der Erkennung durch Google Play Protect zu entgehen.
Die Malware nutzt den 'MotionEvent'-Mechanismus von Android (eingeführt 2019), um die Aktionen des Benutzers zu imitieren und Klicks zu erzeugen. Ziel ist ein Werbebetrug an zahlenden Anzeigekunden von AdMob, AppLovin, Facebook und Unity. Die Apps waren weltweit rund 1 Million mal installiert, so dass da ein hübsches Sümmchen für die Betrüger zusammen kam.
Details zu diesem Fall haben die Sicherheitsforscher vonDie Check Point in diesem Artikel veröffentlicht. Ein deutschsprachiger Artikel zum Thema lässt sich bei heise abrufen.
Trickbot kann Zweifaktor-Authentifizierung umgehen
Warnung an alle Nutzer, die Online-Banking per App betreiben. Die Malware-Autoren hinter dem Banking-Trojaner TrickBot haben eine neue Android-App entwickelt, die einmalige Autorisierungscodes, die per SMS oder relativ sichere Push-Benachrichtigungen an Internet-Banking-Kunden gesendet werden, abfangen und betrügerische Transaktionen durchführen kann.
Die Android-App, die von den IBM X-Force-Forschern "TrickMo" genannt wird, befindet sich in der aktiven Entwicklung und zielt ausschließlich auf deutsche Benutzer, deren Desktops zuvor mit der TrickBot-Malware infiziert wurden. "Deutschland ist eine der ersten Angriffsflächen, auf die sich TrickBot seit seinem Erscheinen im Jahr 2016 ausgebreitet hat", so die IBM-Forscher. "
Es sieht so aus, als ob eine Betrugswelle von Bankkunden ein laufendes Projekt der Bande hinter TrickBot ist, um kompromittierte Konten zu monetarisieren. Details zu diesem Thema finden sich bei The Hacker News.
Notfall Sicherheitsupdate für die Adobe Creative Cloud
Nutzer der Adobe Creative Cloud sind unter Windows aktuell durch eine schwere Sicherheitslücke bedroht. Adobe weist in dieser Sicherheitswarnung auf ein fettes Problem im Launcher hin. Es betrifft Nutzer der Creative Cloud Desktop-Anwendung der Version 5.0 und früher, die unter Windows arbeiten.
Durch die Sicherheitslücke ist es Angreifern möglich, Remote Dateien auf dem Zielsystem zu löschen. Adobe hat ein Sicherheitsupdate für die Adobe Creative Cloud Desktop-Anwendung für Windows veröffentlicht, welches diese, als kritisch eingestufte Sicherheitslücke schließen soll. Die gepatchte Anwendung hat die Version 5.1. Details zur Schwachstelle und Download-Links finden sich in der oben verlinkten Sicherheitswarnung.
Memcached-Sicherheitsupdate
Memcached ist ein ein unter der BSD-Lizenz veröffentlichter Cache-Server, der gerne eingesetzt wird, um Daten aus Datenbanksystemen temporär im Arbeitsspeicher zu hinterlegen und so die Leitung zu verbessern. Die Woche wurde eine Sicherheitslücke in Memcached öffentlich, der die Memcached-Versionen 1.6.0 und 1.6.1 betrifft. Aktuell sind wohl noch um die 83.000 Server mit der alten Version unterwegs, wie The Register hier berichtet. Die Projektbetreuer stellten nur Stunden nach der Offenlegung ein Update auf Memcached 1.6.2 bereit. Wer diese Software einsetzt, sollte also zügig aktualisieren.
Windows 10 und die Sicherheit
Noch ein kleiner Hinweis, den ich mit diebischer Freude hier im Blog einstelle. Das Microsoft Marketing wird ja nicht müde, das Maul mit der Binse 'nix ist sicherer als Windows 10' aufzureißen. Klar, die machen einiges und pinseln an der Oberfläche. Wenn ich dann hinter den Vorhang schaue, werden Zustände wie hinter dem Sofa bei Hempels sichtbar. Es gibt genügend Schwachstellen und sicherheitstechnisch total kaputte Design-Entscheidungen der Strategen aus Redmond. Sei es, dass Apps mit dem Electron-Framework geschnitzt werden und dort plötzlich uralte Chrome-Versionen auf die Systeme kommen, oder sei die babylonische Verwirrung, in welchen Pfaden Anwendungen und Apps ihre Dateien neuerdings installieren. Auch die diversen Laufzeitumgebungen für .NET sind sicherheitstechnisch ein GAU, werden sie doch oft mit uralten Tools zusammen gebastelt und enthalten längst bekannte Sicherheitslücken. Aber selbst bei Sicherheitstechniken wie ASLR (Address Space Layout Randomization) lauert der Teufel im Detail.
Cool FireEye write-up delving into 6 facts about Windows ASLR
(read it, there's actually more to it than my screenshot)https://t.co/hAqg6coB0Y pic.twitter.com/gAd0tw0a0Q
— Catalin Cimpanu (@campuscodi) March 25, 2020
Die Sicherheitsforscher von Fireeye haben in ihrem Blog mal sechs Fakten über ASLR aufgeschrieben, die auch für die Windows-Implementierung gelten. Die Randomisierung des Adressraum-Layouts ist eine zentrale Abwehrmaßnahme gegen die Ausnutzung von Speicherkorruption. Im Beitrag wird gezeigt, dass die Umsetzung der Theorie in der Praxis durchaus ihre Tücken haben kann. Plötzlich kommt es zu Einschränkungen, die Angreifer ausnutzen können. Catalin Cimpanu hat die Fakten in obigem Tweet in knackiger Form zusammen gefasst.
Weitere Sicherheitssplitter in Covid-19-Zeiten
Zeiten wie diese, wo Millionen Menschen plötzlich im Home Office arbeiten, sind natürlich ein gefundenes Fressen für Cyber-Kriminelle und Hacker. Das Sicherheitsunternehmen FireEye, hat festgestellt, dass Cyber-Kriminelle das hohe öffentliche Interesse an COVID-19 nutzen, um bösartige Dokumente zu verbreiten:
- FireEye beobachtet mehrere Akteure, die Dokumente zum Thema COVID-19 als Köderverbreitet haben, um Opfer in einer Vielzahl von Regionen und Branchen ins Visier zu nehmen.
- Dazu gehören Kampagnen von Spionage-Akteuren, die von China, Russland und Nordkorea aus gegen eine Reihe von Zielen durchgeführt wurden.
- Auch finanziell motivierte Cyber-Kriminelle versuchen, mit diesen Coronavirus-Themen sowohl Einzelpersonen als auch Unternehmen zu kompromittieren.
- Darüber hinaus wurden Informations- und Meinungskampagnen zu diesem Thema beobachtet.
Hier kann man nur anraten, dass die Beteiligten im Home Office entsprechende Sicherheitsvorkehrungen treffen.
Die OWA-Hypothek
Aktuell arbeiten ja viele Angestellte weltweit im Home-Office. Firmen setzen nun verstärkt auf Outlook Web Access-Server (OWA-Server). Sicherheitsforscher von Check Point Research haben über Shodan eine Karte der per Internet erreichbaren OWA-Server erstellt.
"Exposed" is the wrong word here. OWA servers are meant to be accessible online.
This is like complaining that your Apache server is connected to the internet.
Yes, companies are adding new OWA instances, but that doesn't mean that everything being added is vulnerable. https://t.co/UgLh29BR1O
— Catalin Cimpanu (@campuscodi) March 25, 2020
Obiger Tweet weist auf diesem Umstand hin. Klar, ein Outlook Web Access-Server muss per Internet erreichbar sein, darauf weist Catalin Cimpanu in obigem Tweet hin. Das Bild der Check Point-Research-Forscher signalisiert aber auch: Da gibt es ein weites Feld für Cyber-Kriminelle für Versuche, solche OWA-Instanzen abzuklappern und zu versuchen, die Zugänge zur Online-Konten zu knacken.
Angriffe auf Home-Router
Über nachfolgenden Tweet wurde ich gerade auf einen Artikel von Arstechnica aufmerksam. Aktuell gibt es eine neue Angriffswelle auf Home-Router mit dem Ziel eines DNS-Hijacking.
New attack on home routers sends users to spoofed sites that push malware https://t.co/uPkNZ9GVBx
— Aryeh Goretsky (@goretsky) March 26, 2020
Anschließend werden die Opfer beim Surfen auf gefälschte Websites umgeleitet, die Malware verbreiten. Betroffen sind laut diesem Tweet Router von D-Link And Linksys, die per Brute-Force-Angriff attackiert werden. Ziel ist es, den Oski-Infostealer zu platzieren, wobei eine Covid-19-App als Köder dient.
Sicherheitsfolgen noch nicht abschätzbar
Das Wallstreet Journal weist in einem Artikel (Paywall) darauf hin, dass Sicherheitskreise der US-Bundesbehörden vor verstärkten Hackerangriffen warnen. Denn Millionen US-Angestellte mache jetzt Home-Office. Das setzt die IT-Infrastruktur nicht nur erhöhten Belastungen aus, sondern erhöht auch das Sicherheitsrisiko.
Die sicherheitstechnischen Auswirkungen des öffentlichen Shutdowns samt einer Home-Office-Welle anlässlich der Corona-Krise dürften erst mit einer gewissen Verzögerung, nach Wochen, Monaten oder sogar noch länger, deutlich werden. Wenn dann Ransomware-Angriffe mit erbeuteten Daten aus der Home-Office-Phase ausgeführt oder Konten kompromittiert werden, trifft das die Unternehmen möglicherweise in einer Phase, in der die Wirtschaft gerade auf eine Rezession zusteuert.
Schwierige Zeiten für die IT-Branche
Generell dürfte die gesamte IT-Branche auf schwierige Zeiten zusteuern. The Register warnt hier, das Analysten von einer sofortigen, tiefgreifenden und lange anhaltenden Störung des IT-Dienstleistungsektors ausgehen. Projekte werden jetzt gecancelt bzw. auf Eis gelegt, so dass die IT-Dienstleister in der Luft hängen. Ein Analyst:
"Alle IT-Projekte, die auf Eis gelegt werden können, werden bis mindestens 2021 auf Eis gelegt. Softwareanbieter müssen sich auf ein hartes Jahr vorbereiten, in dem vor dem letzten Quartal nur sehr wenig Netto-Neugeschäft gewonnen werden wird".
Wer als Firma IT-Leistungen nach Indien ausgelagert hat, ist möglicherweise gekniffen. Denn in Indien wurde ein Lockdown für den gesamten Subkontinent verhängt, der auch die Offshore IT-Dienstleitungen beeinträchtigt. Es knirscht also gewaltig und der IT-Sektor wird nach Covid-19 sicherlich ein anderer sein.
Maersk prepares to lay off the Maidenhead staffers who rescued it from NotPetya super-pwnage https://t.co/K95VzS9B7d via @theregister
— Aryeh Goretsky (@goretsky) March 3, 2020
Da ist diese Meldung (die ich bereits Anfang März in obigem Tweet gesehen hatte) eine Ironie der Geschichte. Die Reederei Maersk war ja Ende Juni 2017 ein heftiges Opfer eines NotPetya-Angriffs mit Ransomware (ich hatte mehrfach im Blog berichtet, siehe z.B. Nachtlektüre: NotPetya-Infektion bei A.P. Møller-Maersk). In Folge dieses Angriffs wurde eine Sicherheitsmannschaft angeheuert, um die Folgen des Ransomware-Angriffs zu beseitigen. Und dann hat diese Mannschaft über indische Stellenanzeigen Wind davon bekommen, dass das Maersk-Management Vorbereitungen unternimmt, die eigenen Leute zu feuern und die Jobs nach Indien auszulagern.
Anzeige
Wahrscheinlich hacken die Russen jetzt die Ölförderanlagen im mittleren Osten und drosseln so die Förderung, damit der Ölpreis wieder passt :D
Das mit den gefälschten WHO-Webseiten und die Router-Angriffe dürften zusammen hängen: https://www.golem.de/news/dns-gehackte-router-zeigen-coronavirus-warnung-mit-schadsoftware-2003-147511.html
Eine Schande, gerade jetzt die WHO anzugreifen!
Ich dachte Tupperware gibt es nicht mehr?
Oder gibt es die nur in Deutschland nicht mehr?
Oder bringe ich gerade was durcheinander?
Die kriselten zwar wegen Überschuldung. Ich habe aber noch nicht gelesen, dass das Unternehmen international in Konkurs ging.
Also es gibt es doch noch, auch mit deutscher Seite. Ich habe gerade mal meine Suchmaschine des Vertrauens gebeten. Ich hätte auch meine Schwägerin anrufen können. Sie ist nämlich ein kleiner Fan davon.
Aber irgendwie lief es mal durch die "offiziellen" Medien (also ARD und ZDF und angeschlossene), dass die was da hätten und die Tupperpartys ausfallen und viele Leute nun Probleme hätten.
Bisschen Tratsch muss heute mal sein, ansonsten wird man ganz meschugge. :)
Probleme sind aber ungleich weg vom Fenster.
Dass die erst jetzt Probleme haben, grenzt fast schon an ein Wunder. Der Vertriebsweg "direkt" ist rel. unverändert – und das ist auch gleich das eigentliche Problemfeld: etwas aus der Zeit gefallen. Weil die Ware ist nicht mehr solitär, viel Konkurrenz ist gleichwertig. und man kommt bei denen leichter an Ware.
Das auch schon alles – tuppapardie iss nich mehr…
Beim "sichersten Windows (10) aller Zeiten" kannst Du noch auf https://seclists.org/fulldisclosure/2020/Mar/19 und https://skanthak.homepage.t-online.de/snafu.html sowie https://seclists.org/fulldisclosure/2020/Jan/48 und https://skanthak.homepage.t-online.de/weird.html verweisen: Microsoft schlampt an ALLEN Ecken und Enden!
Wer soll sich dazu wundern. Ohne Win 10 müsste die NSA tausende Leuten entlassen und die Behöre wäre von Auflösung bedroht. Das will doch keiner. An irgendwas klammert sich jeder.
Jedes System ist dazu da eine Lücke zu haben. Man muss diese nur finden.
Ich sage nur "Alcatraz".
Elite Hacker versuchten die Who zu hacken. Also braucht es jetzt Meister oder Mega Hacker um das zu bewältigen, und was machen diese Elite Hacker eigentlich beruflich?