Sicherheitsvorfälle März/April 2024 (Stand 9.4.2024)

Heute noch ein kurzer Rundflug zum Thema Sicherheit und Sicherheitsvorfälle der letzten Wochen, die ich mal in einem Sammelbeitrag zusammen fasse. Das Festspielhaus Baden-Baden hat es erwischt – und auch der Anbieter Genios (Presse-Portal, ermöglicht hunderte Tageszeitungen im Abo zu lesen) ist Opfer eines Cyberangriffs geworden. Halluzinierende KI-Assistenten schmuggeln Pakete in Software-Repositories ein – und bzgl. der xz-Backdoor gibt es erste Scanner, die infizierte Systeme aufspüren. Und Microsoft Bin scheint mal wieder mit "Malware-Funden der Art MSIL/Microsoft.Bing.D aufzufallen". Das sind nur einige der angerissenen Themen.

Presse-Portal Genios

Hannes hat mich per Mail kontiert und auf einen Cybervorfall bei genios.de hingewiesen (danke dafür). Das angeblich größte deutsche Presseportal ist wohl am Wochenende Opfer eines Hackerangriffs und informieren auf ihrer Website und bei Facebook darüber. Auf der Webseite heißt es:

Unsere Server sind aktuell nicht erreichbar!

Aufgrund eines massiven Hackerangriffs sind unsere Server aktuell nicht erreichbar. Wir arbeiten mit Hochdruck an der Lösung des Problems.

Auf Facebook wird von einem Ransomware-Angriff berichtet, und deren IT geht von einem mehrtätigen Ausfall aus. Der Dienst ermöglicht eine Mitgliedschaft (unter 20 Euro/Jahr) in einer von zahlreichen Bibliotheken. Dann erhält man Zugriff auf diesen Dienst und kann hunderte Tageszeitungen damit lesen bzw. darin recherchieren.

Festspielhaus Baden-Baden

Das Festspielhaus Baden-Baden wurde diesem Tweet zufolge von der Ransomware-Gruppe Play angegriffen. Dabei wurden persönliche, und vertrauliche Daten, Kundendokumente, Budgets, Gehaltsabrechnungen, Buchhaltung, Verträge, Steuern, Ausweise und Finanzinformationen abgezogen. Die Play Ransomware-Gruppe hatte eine Deadline bis zum 2. April 2024 zur Zahlung gesetzt und mit Veröffentlichung der Daten gedroht.

Innomotive Systems Hainichen GmbH

Die Innomotive Systems Hainichen GmbH ist ein traditionsreicher Zulieferer für die Automobilindustrie. Im deutschen Werk werden seit 1992 Fahrzeug-Scharniere, Türfeststeller und Sonderprodukte wie Ölpumpen und Aluminiumbauteile für Automotive gefertigt. Die Firma macht auch Prototyping und Kleinserienfertigung.

Diesem Tweet (und dieser Liste) zufolge wurde Innomotive Systems Opfer der Ransomware-Gruppe Ra World. Den Angreifern gelang es 20 GByte an Daten, darunter Finanzdokumente, Vertragsunterlagen, Konstruktionszeichnungen usw. abzurufen.

Europol "verliert" Personaldaten

Es ist ein Fall, der an "Brisanz" kaum noch zu toppen ist, aber weitgehend unter dem Radar geblieben ist. Europol wirbt ja massiv für einen Datenzugriff auf alles und jedes, um Straftaten im Vorfeld zu verhindern und später aufklären zu können. Selbstredend wären diese Daten bestmöglich abgesichert, schließlich ist Europol eine gut organisierte Behörde. Ok, ich glaube, ich bin jetzt in die falsche Zeile beim Ablesen gerutscht.

Die gleiche Behörde, die den Zugriff auf die Daten der Europäer verlangt, hat vertrauliche Personalakten hochrangiger Mitarbeiter (darunter auch die Europol-Exekutivdirektorin Catherine De Bolle) "einfach verloren". Die sensiblen Dokumente befanden sich in einem sicheren Lagerraum in der Europol-Zentrale in Den Haag und waren im September 2023 plötzlich weg, nicht mehr auffindbar. Europol hat dann eine Untersuchung eingeleitet. Nun wurden einiger dieser Akten von einem Bürger an "einem öffentlichen Ort in Den Haag" gefunden und zur Polizei gebracht, wie hier und hier berichtet wird. Bei solchen Behörden sind "unsere Daten doch in guten Händen" – noch Fragen?

Schottische Gesundheitsdaten veröffentlicht

Wir digitalisieren die Medizin, was mag da schon schief gehen, Digitalisierung ist ja bekanntlich "Fortschritt", alles wird modern. Auch Großbritannien ist da dabei – hat aber "das Pech gehabt, dass das National Health System (NHS) von Schottland gehackt wurde. Nun werden erste Daten aus dem 3 Terabyte Datenraub von den Cyberkriminellen veröffentlicht.

Die Kollegen von Bleeping Computer haben Ende März 2024 in diesem Artikel auf diesen Sachverhalt hingewiesen. Einen deutschsprachigen Artikel über die Folgen des Cyberangriffs auf die schottische Gesundheitsbehörde mit veröffentlichten Daten finde sich auch bei heise.

Frankreich: Accor-Daten im Darknet

Eine Datenbank des französischen multinationalen Gastgewerbeunternehmens Accor steht angeblich in einem Hackerforum zum Verkauf. Der Bedrohungsakteur IntelBroker behauptet, dass die exfiltrierte Datenbank "ContactID, Email, Home Email, Status, DNS, Account, Title, AccountID, Contact Function, Account Industry, Contact Industry, CreateDate, First Name, Last Name" enthält (siehe).

Change Healthcare Opfer einer 2. Ransomwaregruppe

Change Healthcare ist ein Anbieter von Umsatz- und Zahlungszyklusmanagement, der Kostenträger, Anbieter und Patienten innerhalb des US-amerikanischen Gesundheitssystems verbindet. Im Februar 2024 wurde der Anbieter Opfer eines Ransomware-Angriffs durch ALPHV/Blackcat (siehe Nachlese Datenlecks und Hacks der Woche (23. Feb. 2024)). Nun lese ich bei The Register, dass der Anbieter nun erneut Opfer einer weiteren Ransomwaregruppe, RansomHub, die 4 TByte an Daten abgezogen haben will.

Eset meldet MSIL/Microsoft.Bing.D-Funde

Fabio hat mich gestern per Mail kontaktiert und schrieb, dass erneut ein Fund "MSIL/Microsoft.Bing.D" bei ihm die letzten beiden Tage durch ESET AntiVirus gemeldet wurde. Aktuell gibt es bei ESET diese Forendiskussion und diese Forendiskussion dazu. Hervorgerufen werden die "Funde" (Unwanted Apps) durch das Bing-App-Zeug (Bing Wallpaper-App etc.), welches Microsoft auf die Rechner kippt.

Das Ganze war im November 2022 bereits Thema (siehe hier und hier). Im Grindsoft-Blog ist das Ganze im Blog-Beitrag MSIL/Microsoft.Bing.A Detection (BingWallpaper.exe) schon mal diskutiert worden. Aktuell "behelfen sich die Betroffenen", indem sie für Bing eine Ausnahme in Eset definieren – oder versuchen, Bing zu deinstallieren (müsste in der EU inzwischen gehen).

Italienische Privacy Shield-Plattform geleaked

Kürzlich gab es die Meldung, dass der  Quellcode und die Dokumentation der italienischen Anti-Piraterie-Plattform Privacy Shield auf GitHub geleakt worden sei. Quelle ist dieser Tweet, bei einer Suche bin ich aber auf diesen Beitrag von Ende März gestoßen, der das Thema aufgegriffen hat. Dieser Vorfall wirft Fragen über den Datenschutz, die Sicherheit und das Potenzial für Zensur auf.

Stoned: Datenleck in Canabis-Club-Software

Ich gestehe, ich habe das Thema mit Vergnügen zur Kenntnis genommen. Momentan hecheln ja einige Leute nach der Cannabis-Freigabe in Richtung Canabis-Clubs. Wie sich das gehört, hat man das alles digitalisiert und die Mitglieder ordentlich erfasst. Nun berichtet heise im Artikel Datenleck in Verwaltungs-Software von Cannabis-Clubs, dass die Daten von mehr als 1000 Mitgliedern mehrerer Cannabis-Clubs über deren Verwaltungssoftware öffentlich abrufbar waren. Quelle ist wohl das ARD-Magazin Kontraste, welches hier berichtet. Häh, sind "wir jetzt alle ein bisschen stoned?".

Kid-Security-App mit Schwachstelle

"Kid Security" ist eine Tracking-App, die von Helicopter-Eltern zur Überwachung ihrer Sprösslinge eingesetzt wird. Abseits der Frage nach der Legalität dieses Einsatzes und der Frage, dass der Entwickler der App in Kasachstan residiert, ergibt sich auch ein Sicherheitsprobleme. Sicherheitsforscher haben festgestellt, dass die von der App gesammelten Daten (GPS-Standortinformationen, geschickte Nachrichten) offen online einsehbar waren. Details finden sich in diesem Beitrag und bei heise im Beitrag Kritisches Datenleck in Kinderüberwachungs-App "Kid Security".

Dating-App verraten Standort

Dating-Apps bieten die Möglichkeit, mit Menschen in der Nähe in Kontakt zu treten und nutzen in der Regel Standortdaten, um die Chancen auf reale Treffen der Nutzer zu erhöhen. Einige Apps können den Nutzern dabei sogar die eigene Entfernung zu anderen Nutzern anzeigen. Diese Funktion ist sehr nützlich für die Koordinierung von Treffen, da sie anzeigt, ob ein potentieller Partner nur eine kurze Strecke entfernt, oder etwas weiter weg ist.

Wenn der eigene Standort offen mit anderen Nutzern geteilt wird, kann dies allerdings zu ernsthaften Sicherheitsproblemen führen kann. Die Risiken werden deutlich, wenn man den möglichen Missbrauch durch eine neugierige Person bedenkt, die über Kenntnisse der Trilateration verfügt. Check Point Security (CPS) hat sich in einem Artikel den versteckten Gefahren der Geolokalisierung bei Dating-Apps gewidmet und Details veröffentlicht.

ACR beim Smart-TV abschalten

Bei Smart-TV-Geräten gibt es wohl eine Funktion Automatic Content Recognition (ACR), die die vom Nutzer abgerufenen Sendungen erkennen und analysieren kann. Sicherheitsanbieter AVASt hatte bereits 2021 den Beitrag So verhindern Sie, dass Ihr Smart-TV Sie ausspioniert veröffentlicht und empfahl, ACR und ggf. weitere Funktionen wie die Kamera zu deaktivieren, um nicht ausspioniert zu werden. Das Thema poppt nun in den Medien wieder auf, wie ich gerade bei einer Suche feststelle, nachdem Focus das hier die Tage aufgegriffen hat.

Neues von der xz-Backdoor

Ich hatte ja Ende März 2024 über die Backdoor in der xz/liblzma-Bibliothek berichtet, die von einem neugierigen Microsoft Mitarbeiter rechtzeitig vor der Aufnahme in viele Linux-Distributionen entdeckt wurde (siehe Linux: Backdoor in Upstream xz/liblzma; Kompromittierung der SSH-Server). Der Fall hat riesige Wellen geschlagen, weil der Versuch, eine Hintertür in eine Open Source Bibliothek einzuschleusen, glücklicherweise rechtzeitig aufgeflogen ist.

Im Hinblick auf die Frage, "was gibt es Neues?" habe ich zwei Fundsplitter aus dem Web. Microsoft hat Ende März 2024 in der Techcommunity den Beitrag Microsoft FAQ and guidance for XZ Utils backdoor veröffentlicht, der Fragen rund um das Thema beantwortet. Und die Kollegen von Bleeping Computer berichten in diesem Beitrag von einem neuen XZ-Backdoor-Scanner, der Implantate in jeder Linux-Binärdatei  erkennen soll. Eine Aufbereitung des Vorfalls per Timeline lässt sich auf dieser Webseite nachlesen.

Ivanti RCE-Schwachstelle in VPN-Gateways

Hersteller Ivanti vermeldet eine neue Remote Code Execution-Schwachstelle, die seine VPN-Gateways bedroht. Ist nichts neues bei dieser Software – wer das Zeugs noch einsetzt, findet bei den Kollegen von Bleeping Computer in diesem Artikel einige Hinweise.

Apothekendienstleister in Estland gehackt

Die Daten im Medizinwesen sind sicher gespeichert, höre ich immer wieder, wenn es um die Digitalisierung im Gesundheitswesen (eRezept, ePatientenakte etc.) geht. Manchmal kommt noch "schaut in die baltischen Staaten, da läuft es seit Jahrzehnten prima mit der Digitalisierung". Nun ja, gibt immer wieder so Vorfälle, wo es dort auch nicht rund läuft.

In Estland wurde ein Apothekendienstleister gehackt und fast 700.000 Kundendaten wurden abgezogen. Ok, ok, ist "eine mickrige Zahl", wenn es nicht um Millionen geht, lockt das keinen Hund hinter dem Ofen hervor. Da Estland aber nur ein kleines Land ist, betrifft der Cybervorfall die Hälfte der estnischen Bevölkerung, wie heise hier berichtet. Da freut sich der Mensch doch richtig auf die Digitalisierung.

Kürzlich wurde eine Krebsklinik in den USA gehackt und die Daten von über 800.000 Patienten wurden abgegriffen (siehe den Beitrag der Kollegen von Bleeping Computer). Mir liegt eine neue Information von Surfshark vor, dass in den USA Organisationen seit 2009 mindestens 5.553 Verletzungen von Gesundheitsdaten gemeldet haben. Der größte Hack im Gesundheitsdatenbereich ereignete sich im Jahr 2015 und betraf fast 79 Millionen Menschen, die bei Anthem Inc. Kunden waren. Der Bericht ist hier abrufbar.

KI-Risiken

Mir sind zudem noch zwei Informationen zugegangen, die die Risiken künstlicher Intelligenz in Bezug auf Lieferketten für Software darstellen. Golem hat es kürzlich in diesem Artikel aufgegriffen. Von halluzinierend KI-Assistenten erzeugte Pakete landen in Softwarebibliotheken und bergen ein Sicherheitsrisiko für die Lieferkette.

Generell scheinen sich Lieferketten für Software zur Archillesferse der Software-Entwicklung zu informieren. Mir ist kürzlich ein Bericht von JFrog zugegangen, der aktuelle Probleme der Sicherheit von Software-Lieferketten und die große Bedeutung von KI und IoT zeigt. Die Umfrage wurde unter 1.224 DevOps-, Sicherheits- und IT-Fachleuten durchgeführt, die in den USA, Deutschland, Großbritannien, Indien, China, Frankreich und Israel arbeiten. Die Unternehmen haben alle 1.000 oder mehr Mitarbeiter und Software-Entwicklungsteams mit mindestens 50 Teammitgliedern. Es ging um die dringlichsten Problemen in den Bereichen Unternehmens-IT, Software-Lieferketten, KI und CVE, die IT-Experten weltweit beschäftigen. Für Deutschland liefert der Bericht folgende Ergebnisse:

• 71 Prozent der IT-Experten geben an, dass sie zwischen vier und neun Lösungen für die Anwendungssicherheit einsetzen. Und nur 14 Prozent der Befragten verwenden zehn oder mehr solcher Lösungen.
• Jedes zehnte Befragte gab an, keine Lösung zur Erkennung von bösartigen Open Source Paketen im Einsatz zu haben.
• 62 Prozent der IT-Experten geben an, dass sie weniger als eine Woche auf die Freigabe zur Nutzung eines neuen Pakets/Library warten müssen.
• Gut 90 Prozent der befragten Unternehmen stellt Software für IoT- und IoT-Edge-Geräte bereit und fast die Hälfte (47 Prozent) wollen die Anzahl der IoT-Geräte außerdem noch erweitern.
• Nur 11 Prozent der IT-Experten geben an, dass ihre Organisation nicht KI /ML einsetzt, um Sicherheitsscans, Abhilfemaßnahmen oder eine Kombination aus Scans und Abhilfemaßnahmen zu unterstützen.

Global sieht es dabei so aus:

• Insgesamt geben knapp die Hälfte (47 Prozent) der Befragten an, dass sie zwischen vier und neun Lösungen für die Anwendungssicherheit einsetzen und ein Drittel sogar zehn oder mehr.
• 90 Prozent der IT-Fachleute geben an, dass ihre Organisation künstliche Intelligenz (KI)/maschinelles Lernen (ML) einsetzt, um Sicherheitsscans, Abhilfemaßnahmen oder eine Kombination aus Scans und Abhilfemaßnahmen zu unterstützen.
• 60 Prozent der IT-Experten verbringen ein Viertel ihrer Zeit mit der Behebung von Schwachstellen.

Die Leute versuchen also mit Tools und KI-Lösungen die Sicherheit der verwendeten Software sicherzustellen. Bleibt zu hoffen, dass diese Tools und Lösungen auch die betreffenden Hintertüren erkennen und aufdecken.

Zudem ist mir kürzlich dieser The Register-Artikel untergekommen – so einige, ganz progressive Unternehmen wurden ganz überraschend mit einer Sicherheitslücke in der Ray KI beglückt und können hoffentlich bald patchen.

Verwaltungsportale Schwachstellenanalyse

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits Ende März 2024 eine "Einstiegshilfe für die Schwachstellenanalyse von Verwaltungsportalen" für Digitalisierungsverantwortliche in der Verwaltung veröffentlicht.

Die Broschüre lässt sich hier kostenlos herunterladen – vielleicht kann das jemand brauchen.

Letzter Infosplitter für Leute, die notepad ++ einsetzen. Sicherheitsforscher haben laut diesem Tweet eine bösartige "mimeTools.dll" gefunden, die in Cyberangriffen ausgenutzt wird.