Kurioser Sicherheitsvorfall in Großbritannien: Ein Hersteller von Hochsicherheitszäunen für militärische Anlagen wurde Opfer der LockBit-Ransomware. Der Hersteller geht zwar davon aus, dass keine sensiblen militärischen Informationen aus seinem Netzwerk abgeflossen sind – sondern nur andere Daten. Aber der Fall wirft Fragen auf – zumal das Eindringen der Ransomware-Gang über einen Windows 7-PC, der in der Produktion genutzt wurde, erfolgte.
Anzeige
The Register hat den Fall in diesem Artikel aufgegriffen. Das in Wolverhampton ansässige Unternehmen Zaun wurde kürzlich Opfer der LockBit-Ransomware. So weit so normal, kommt ständig in den besten Firmen vor. Zaun Ltd. ist aber nach eigenen Angaben "Zaunbauer", der auch Zäune für Hochsicherheitsanlagen baut.
Auf der Unternehmensseite heißt es, dass das Angebot an Sicherheitszäunen und -toren von Zaun sich für eine Vielzahl von Anwendungen eignet. Aufgezählt werden Militärstützpunkte, Gefängnisse, Geldautomaten, psychiatrischen Einrichtungen und mehr. Mir war nicht klar, das Geldautomaten und therapeutische Einrichtungen solche Hochsicherheitszäune benötigen. Die Zaunsysteme können mit einer Vielzahl von Sicherheitszusätzen (Kameras, Bewegungssensoren etc.) entworfen und hergestellt werden.
So weit, so gut. Nun kam es aber wohl zu einem Angriff auf das Netzwerk des Unternehmens durch die LockBit Ransomware-Gruppe. Laut Unternehmen gelang es der Ransomware-Gruppe vermutlich 10 GByte an Daten aus dem IT-Netzwerk der Firma abzuziehen. Und es stellte sich heraus, dass der Angriff wohl über einen in der Produktion verwendeten Windows 7-PC erfolgte, dessen Support bereits seit längerem endete.
"Wir glauben nicht, dass irgendwelche geheimen Dokumente auf dem System gespeichert waren oder kompromittiert wurden", wird das Unternehmen von The Register zitiert. Aber der Fall sorgt trotzdem für Besorgnis, weil Zaun Ltd. für Behörden und das Militär arbeitet und für diese Sicherheitszäune installiert. Berichten zufolge besteht das Risiko, dass die Angreifer Daten erlangen konnten, mit denen sie sich Zugang zu einigen der sensibelsten Militär- und Forschungseinrichtungen Großbritanniens verschaffen könnten. Zaun hat inzwischen das National Cyber Security Centre (NCSC) sowie das britische Information Commissioner's Office (ICO) über die Sicherheitsverletzung informiert.
Anzeige
Anzeige
Ich glaube kaum, das der Windows 7 PC die Ursache ist.
Ransomware kommt i.d.R. auf andere Wege, wie z.B. E-Mail ins Firmennetz.
Hätte der PC Windows 10 oder 11 drauf, wäre das zu 99% ebenfalls passiert.
Der Schuldige ist nicht das Betriebssystem, sondern die Person vor dem Bildschirm!
Und ob der Windows 7 PC tatsächlich einen alten oder einen aktuellen Patchstand hat, wissen wir nicht.
Wenn der PC in der Produktion steht, dann war da wohl Windows 7 Embedded drauf und das bekommt noch bis Januar 2024 über das ESU-Programm (oder Bypass-ESU) Sicherheitsupdates.
Normalerweise ist das tödliche Trio Windows, Office, ActiveDirectory der Ansatzpunkt. Wenn auf einem PC in Produktion, der mutmaßlich etwas steuert, Office drauf ist und der dann auch noch ins AD eingebunden ist, klingt das nach Vorsatz. Sorry, keinerlei Mitleid. Und es hat die Richtigen getroffen: große Klappe aber wohl wenig Ahnung.
@R.S.
Mit E-Mails arbeiten Amateure. So wie du denken die Admins der späteren Opfer. Profis finden veraltete Systeme mit Shodan oder Censys, und die wirklichen Profis mit Nmap usw. Und welchen "aktuellen Patchstand" ein Windows 7-Rechner aufweisen soll, solltest du näher erklären…
Wie schon geschrieben bekommt Windows 7 Embedded, sofern es sich im ESU-Programm befindet, noch bis Januar 2024 Sicherheitsupdates!
D.H., der aktuelle Patchstand von Windows 7 Embedded mit ESU ist August 2023.
Und auch nächste Woche gibt es wieder einen Sicherheitspatch von Microsoft.
Patchunterstützung für Windows 7 ohne ESU endete im Januar 2020, mit ESU im Januar 2023, nur die Embedded-Version (und die Serverversion 2008R2) bekam noch ein 4. ESU-Jahr, also bis Januar 2024.
Tatsächlich, die Leiche kann reanimiert werden…
Nur bezweifle ich, dass der erweiterte Support eingekauft worden war. Ich würde sogar Geld darauf setzen.
"Der Schuldige ist nicht das Betriebssystem, sondern die Person vor dem Bildschirm!"
Auch nicht wirklich. Ransomware muss erstmail in die Mailbox kommen, muss lokal auf dem PC des Nutzzers gespeichert werden können, muss gestartet werden können.
Da sind überall technische Maßnahmen möglich, um jeden dieser einzelnen Schritte zu erschweren.
Und selbst wenn der Win 7 PC das Einfallstor war, man kann den durchaus so betreiben, dass er kein Risiko darstellt, z.B. Betrieb in einem eigenen VLAN mit Firewall davor, "Proxy" für Fileshares davor (z.B. eine regelmäßig aktualisierte Linux-Büchse, die eine Freigabe auf der Kiste per SAMABA client mountet und per SAMBA Server wieder zur Verfügung stellt), usw.
In "https://posts.ransomware.live/" steht der Angriff auf Zaun.co.uk mit dem Datum 13. August.
Interessant finde ich den britischen Humor im Firmennamen. Dazu sollte man wissen, dass die UKler mit uns seehr viel assoziieren ;-) , dies in zig Bereichen:
In London nähe London Bridge gab es bis Covid zB den Currywurst-Laden Hermann ze German (beachte Ironie beim typisch Deutschen "th").
Ebenso ist "ZAUN" als "Hochsicherheits-Militäranbieter" mit somit inidirekter Anlehnung an "Deutsche" Expertise sicher kein Zufall :-)
Wahrscheinlich war einer der Aiwanger-Brüder an der Gründung beteiligt…
Das stereotype Bild, das in GB von „dem Deutschen" gepflegt wird, ist jedenfalls immer noch von vorvorgestern.
Es gibt nun mal Gewaltverbrecher die weggeschlossen werden müssen und Therapie brauchen. Auch gibt es demente Menschen die unbedingt wieder nach hause wollen…
Für ein guten Zaun ist der Markt im Psychobereich groß.
Das man einen W7 PC in der Produktion nutzt ist nicht wirklich ungewöhnlich, da es mitunter sehr sehr teure Hardware gibt, für die es nur Treiber für W7 gibt.
Wobei W7 ja nu nicht so alt ist.
Warum man so etwas offen ins Netz stellt ist sicherlich zweifelhaft. Um Updates zu ziehen?
Es kann auch sein, das da Word und Excel drauf ist, weil Produktions-Parameter geloggt werden müssen.
Und die Policy besteht, das jeder PC im AD angemeldet sein muss um die Wartung zu vereinfachen…
Klarer Fall von "selbst schuld".
Der Einstieg kann auch über ein Windows 10 PC erfolgt sein, die Angreifer haben dann beim scannen des Netzwerkes den Win7 Rechner gefunden für den Sie wahrscheinlich sicher funktionierende Exploits in der Hinterhand hatten.
Daher wird es einfacher gewesen sein einen permanenten Zugriff über den Win7 PC laufen lassen anstatt Gefahr zu laufen vom Win10/11 PC durch Updates blockiert zu werden.
"Wir glauben nicht, dass irgendwelche geheimen Dokumente auf dem System gespeichert waren oder kompromittiert wurden"- der ist gut.😁
Das wird schon stimmen.
Der Aushilfsadmin hat kurz geguckt, Documents ist leer und alle wichtigen Daten liegen nur auf Laufwerk Z:.
Ich denke schon, daß da nur produktionsrelevante Daten (z.B. die Geometrie von Zaunsfeldern nebst Toleranzfeld) und maximal noch der Kundenname / Auftragsnummer /Stückzahl lagen.
Warum sollte man auch vertrauliche Angaben (z.B. Karten der Liegenschaft eines Militärstützpunktes) dort ablegen, die hat eher der Vertrieb, der die benötigte Menge Zaunsfelder nebst Sonderanfertigungen (Ecken, Abstufungen usw) anbieten muß.
Na ja, wenn man in der Exploit Database nach Windows 7 sucht, gibt es noch genügend Schwachstellen. Aktuell sind 45 gelistet, Zeitraum 2009 – 2019. Wenn man bedenkt, das MS 2010 offiziell den Support eingestellt hat, aber als Option Windows 7 ESU anbietet.
Ich kenne auch noch viele, welche Win7 nutzen, aber ohne ESU. Da will ich gar nicht wissen, das da alles herumschwirrt, oder ob man Mitglied in einem Bot Netz ist. Spaß pur.
Einbruch wohl doch schlimmer als zunächst zugegeben.
https://www.theregister.com/2023/09/04/zaun_breach_windows_7/
Immer wieder toll wie viele hier plötzlich zu Sicherheitsexperten mit Kristallkugel werden.