Rückblick: Cybervorfälle der letzten Tage (6. Mai 2024)

Heute noch ein kurzer Sammelbeitrag zu diversen Cyberangriffen, die in den letzten Tagen so bekannt wurden, und die ich nicht separat behandeln konnte. Schuhverkäufer Salamander ist Opfer einer Ransomware-Attacke geworden. Die Partei SPD  stand im Fokus russischer Spione, die die Mails der "Führungsgarde" mitgelesen haben. Gab aber ein Stürmchen der politischen Entrüstung gegenüber den Russen. Wirklich ganz unschön: Erfolgreiche Cyberangriffe auf Krankenhäuser und soziale Einrichtungen im Süden Deutschlands (um nicht Bayern schreiben zu müssen). Es gab einen Angriff auf die Katholische Jugendfürsorge Augsburg. Einfach eine Zusammenfassung des täglichen IT-Wahnsinns in Deutschland – gespickt mit einigen bissigen Kommentaren.

In den letzten Tagen wurden eine Reihe Cybervorfälle bekannt, die zeigen, dass die Einschläge näher kommen. Die Bundeswehr hat ihre WebEx-Konferenzeinladungen offen im Web veröffentlicht, so dass sich jeder informieren konnte (WebEx, die Schwachstelle und die Konferenzlinks der Bundeswehr) – Open-Army mal anders. Und bei Lufthansa-Tochter Swiss gab es eine Datenpanne, wo Passagiere fremde Buchungsdaten einsehen konnten (Datenpanne bei Swiss/Lufthansa: Fremde Daten einsehbar, Apples Siri übernimmt). Wurde von deren IT zwar nach wenigen Stunden korrigiert, aber hey, Apples Siri hat sich der falschen Daten bemächtigt und diese im Kalender der Benutzer weiter geführt – AI at it's best. Und in Basel ist der Fußballklub 1893 Opfer eines Cyberangriffs geworden – wobei die Leute sofort wussten, was alles nicht passiert ist und es nicht so schlimm sei. Dies sind schließlich "Profis" und werden öfters gehackt.

In den USA gab es gleich zwei Ransomware-Angriffe auf einen Anbieter von Abrechnungsleistungen im US-Gesundheitssystem (Desaster Cyberangriff auf Change Healthcare der UnitedHealth Group). Gestohlene Zugangsdaten für einen Remote-Zugang über ein Citrix-System, welches nicht per 2FA gesichert war, machte es möglich. Der Fall brachte die medizinische Versorgung in den USA an den Rand des Kollaps, weil Abrechnungen nicht mehr erstellt werden konnten. Die Kosten der Vorfälle übersteigt wohl bereits die 1 Milliarde US-Dollar und der Fall wird weiter Wellen schlagen. In diesem Beitrag hatte ich auch angedeutet, dass Cybervorfälle bald nicht mehr versicherbar seien.

Im August 2023 hatte ich im Beitrag CloudNordic: Ransomware, und plötzlich war die dänische Cloud ausgeknipst über einen erfolgreichen Angriff auf einen Cloud-Betreiber berichtet. Denen hat der Vorgang übrigens das Genick gebrochen, die sind pleite gegangen, wie u.a. Golem berichtet.

Müssen wir uns langsam Sorgen machen? Wohl eher nicht, denn Microsoft hat eingestanden, dass man immanent wichtig für die IT sei und dann man jetzt wirklich, also echt, was in Sachen Cybersicherheit unternehmen wolle. Es gibt eine "Secure Future Initiative" bei Microsoft, die alles umkrempelt. Ich habe einige Informationen und Gedanken zu diesem Thema im Beitrag Microsoft macht ab sofort Security zur Top Priorität zusammen geschrieben. Wer Spuren von Satire findet, kann die behalten. Aber schauen wir, was sonst so liegen geblieben ist.

Cyberangriff auf Salamander-Schuhe

Wer aktuell die Webseiten des Schuhverkäufers Salamander besucht, erfährt, dass diese zur Zeit offline sind. Es wird mitgeteilt, dass der "Onlineshop vorübergehend aus technischen Gründen nicht erreichbar ist." Natürlich arbeiten die Leute mit Hochdruck daran, die Probleme zu beheben und den Onlineshop so schnell wie möglich wieder zugänglich zu machen. Und wer dringend Schuhe braucht, es gibt noch Salamander-Filialen, wo man so einfach vorbei gehen und Schuhe anprobieren und gerüchteweise sogar kaufen kann.

Der tiefere Hintergrund des Ganzen wurde Ende letzter Woche bekannt: Es gab eine Cyberattacke auf den Schuhverkäufer, worauf dieser die Systeme heruntergefahren hat. Die Kollegen von heise haben es in diesem Artikel etwas detaillierter aufgegriffen. Das "vorübergehend offline" des Online-Shops dauert wohl nach den Snapshots der "Wayback Machine" bereits seit dem 19. April 2024 an. Der Betreiber des Shops und der Filialen, die Klauser Gmbh & Co KG, hat mit größeren Problemen zu kämpfen, die auch die IT in den Filialen und die Logistik betreffen. Details lassen sich bei heise nachlesen.

Angriff auf Katholische Jugendfürsorge Augsburg

Ein Blog-Leser hat mich auf einen erfolgreichen Cyberangriff auf die auf Katholische Jugendfürsorge Augsburg (KJF) aufmerksam gemacht. Die Katholische Jugendfürsorge ist, laut Eigenaussage, eines der größten Sozialunternehmen in Bayern. Auf der Webseite des Unternehmens heißt es unter der Rubrik "Cyberangriff auf KJF Augsburg", dass die Zentrale der Katholischen Jugendfürsorge der Diözese Augsburg e. V. (KJF Augsburg) bereits am 17.04.2024 Ziel eines Cyberangriffs geworden ist. Erstaunt stellt man fest, dass es den Angreifern gelang, die Sicherheitsschranken zu überwinden, um sich Zugriff auf Teile der IT-Infrastruktur zu verschaffen.

Schaue ich mir die Liste der Betroffen an, hat es richtig reingeschlagen. Neben der Zentrale der KJF Augsburg sind folgende, zur KJF Augsburg gehörigen Kliniken, Einrichtungen und verbundene Unternehmen in Mitleidenschaft gezogen worden:

• KJF Klinik Josefinum gGmbH in Augsburg mit den Außenstellen Kempten und Nördlingen
• Klinik Hochried in Murnau
• Alpenklinik Santa Maria in Oberjoch
• Fachklinik Prinzregent Luitpold in Scheidegg
• KJF Soziale Angebote Nordschwaben
• KJF Soziale Angebote Allgäu
• KJF Soziale Angebote Ostallgäu-Oberland
• Frère-Roger-Kinderzentrum gGmbH in Augsburg mit Kinder- und Jugendhilfe Augsburg sowie Kinder- und Jugendhilfe Wittelsbacher Land
• KJF Berufsbildungs- und Jugendhilfezentrum Sankt Elisabeth in Augsburg
• IFD Schwaben gGmbH mit verschiedenen Standorten in Schwaben
• InHoga gGmbH mit Standorten in Augsburg und Kempten
• St. Franziskus Jugendhilfe gGmbH mit dem Sankt-Franziskus-Therapiehof in Buchenberg
• skywalk allgäu gGmbH in Scheidegg
• KJF Fachschule für Heilerziehungspflege- und Heilerziehungspflegehilfe Augsburg
• KJF Fachschule für Heilerziehungspflege- und Heilerziehungspflegehilfe Dürrlauingen
• KJF Fachschule für Heilerziehungspflege Kempten
• KJF Fachakademie für Heilpädagogik in Augsburg

Auch folgende, ehemals zur KJF Augsburg gehörenden medizinischen Einrichtungen und Kliniken sind betroffen:

• Klinik St. Elisabeth GmbH in Neuburg a. d. Donau
• Medizinisches Versorgungszentrum GmbH in Neuburg a. d. Donau
• Klinik Neuburg Service GmbH

Kann man zur Kenntnis nehmen, das bisschen IT-Ausfall ist doof. Aber die gravierendere Information findet sich aber im Satz "Im Rahmen des Angriffs sind Daten abgeflossen.", wobei es sich um unterschiedliche Arten von Daten handelt. Explizit genannt werden zum Beispiel Personaldaten und Finanzdaten, Patientendaten und Gesundheitsdaten (aber keine Patientenakten oder Arztbriefe).

Alle IT-Systeme der Einrichtung seien seit dem Vorfall fortlaufend unter Überwachung. Die Meldung an die zuständigen staatlichen Stellen und Aufsichtsbehörden ist erfolgt, mit denen die KJF Augsburg im laufenden Austausch über das weitere Vorgehen ist. Der externe Datenschutzbeauftragte der KJF Augsburg, Rechtsanwalt Thomas Costard, wurde unverzüglich über den IT-Sicherheitsvorfall informiert und begleitet das weitere Vorgehen. Er hat die zuständige kirchliche Aufsichtsbehörde für den Datenschutz innerhalb der gesetzlich vorgeschriebenen Frist von 72 Stunden über den IT-Sicherheitsvorfall informiert, heißt es.

Die obige Liste der betroffenen Einrichtungen lässt Schlimmes befürchten – wenn eine Ransomware-Gruppe für den Angriff verantwortlich ist, dürften die Daten im Darknet auftauchen. Allerdings schreibt die Einrichtung, dass keine Behandlungsdokumentationen oder Arztbriefe entwendet wurden. Noch haben wir keine elektronische Patientenakte, wo so etwas zentral gespeichert wird.

Mir sprang in diesem Kontext sofort der Fall aus Finnland in den Sinn (siehe DDoS-Angriff auf das RKI, und Hacker erbeuten finnische Psychotherapie-Patientendaten). Die Tage las ich (z.B. hier), dass der betreffende Hacker gerade von einem finnischen Gericht zu einer geringen Gefängnisstrafe verurteilt wurde. Im Forum von heise weist ein Kommentar auf diesen englischsprachigen Beitrag, der den Suizid einiger der Opfer thematisiert, und spricht auch das "bald ist alles in der elektronischen Patientenakte und es wird dort zu Datenlecks kommen" an). 

Der BR greift das Thema in diesem Beitrag auf und stellt die Frage, warum Hacker auf die Gesundheitsbranche und soziale Einrichtungen zielen. Als einer der Gründe für steigende Risiken sieht der BR "die Sparflamme in der IT". IT-Experte Dominik Merli von der Technischen Hochschule Augsburg führt an, dass besonders soziale Unternehmen durch ihre historisch gewachsene IT-Infrastruktur und komplexe Systeme anfällig für solche Angriffe sind. "Oftmals sind die IT-Budgets nicht übermäßig groß, was die Wahrscheinlichkeit erhöht, dass Sicherheitslücken unentdeckt bleiben", so Merli.

Obiger Tweet von Sicherheitsexperte Prof. Dennis Kipker weist ebenfalls auf diesen BR-Beitrag hin. Ich habe mal zwei Antworten auf den initialen Tweet in obigem Screenshot berücksichtigt. Diese thematisieren, dass die "historisch gewachsene IT-Infrastruktur" einfach Kacke ist, aber genutzt wird, solange noch irgend etwas funktioniert. Und das Thema Telematik Infrastruktur der gematik sowie elektronische Patientenakte tauchen ebenfalls als ironisch gepostete "Lösung der Probleme" auf. 

RUBYCARP: Rumänische Botnet-Operation

Mitte April 2024 ist mir bereits eine Meldung des Sysdig Threat Research Team (Sysdig TRT) zugegangen, die eine ausgeklügelte und lang andauernde (über ein Jahrzehnt dauernde) Botnet-Operation aufgedeckt haben. Dahinter steckt ein rumänische Gruppe von Bedrohungsakteuren namens RUBYCARP. Die Aktivitäten von RUBYCARP zielen in erster Linie auf finanziellen Gewinn ab, wobei eine breite Palette von Tools und Techniken eingesetzt wird, um verwundbare Systeme anzugreifen, insbesondere solche, auf denen Laravel- und WordPress-Anwendungen laufen. Über einen Honeypot konnte Sysdig der Gruppe auf die Spur kommen. Die detaillierte Analyse lässt sich hier nachlesen.

Ankama Games verrät Passwörter

Der französische Spielehersteller Ankama Games, der die beiden Web-basierenden Spiele "Play Glory" und "Play Astra" entwickelt und anbietet, hat sich einen fetten Lapsus geleistet. Das Cybernews-Rechercheteam hat herausgefunden, dass die beiden Spiele versehentlich die Passwörter von 50.000 Spielern verraten haben. Es wurde eine entsprechende, ungeschützte Datenbank, frei im Internet gefunden.

Zu den gefunden Daten gehörten Benutzernamen, Kennwörter, Sicherheitsfragen, Antworten, Abonnementstatus und Ablaufdaten von Abonnements – alles im Klartext gespeichert, was es Angreifern leicht macht, Benutzerkonten zu kapern. Tools wie Sherlock können Konten identifizieren, die ein und derselben Person gehören, und mit Hilfe der entwendeten Passwörter Angriffe auf die Zugangsdaten starten. Dass Antworten auf Sicherheitsfragen für mehrere Onlinekonten verwendet werden, ist natürlich. Das ermöglicht es Angreifern, Passwörter zurückzusetzen und rechtmäßige Benutzer auszusperren.

Die Datenbank enthielt auch Proxy-Adressen und Anmeldedaten, die Angreifer ausnutzen können, um Angriffe mit den Ressourcen einer anderen Person auszuführen. Die Verwendung kompromittierter Proxy-Adressen und Zugangsdaten erschwert es, die Quelle des Angriffs bis zum Angreifer zurückzuverfolgen, heißt es. Der Vorgang wurde bereits Anfang April 2024 in diesem Beitrag öffentlich gemacht.

Was kostet die Weitergabe von 100 Mio. Daten?

In diesem Kontext muss ich (neben der oben erwähnten Strafe gegen einen finnischen Hacker) noch ein "weiteres Schnäppchen" aufgreifen. Anfang 2020 hatte ich im Beitrag Leak enthüllt: Avast-Nutzerdaten wurden verkauft berichtet, dass Sicherheitsanbieter Avast über seine Tochtergesellschaft Jumpshot Daten von 100 Millionen Nutzer gesammelt und an Datenbroker verkauft hat. Jumpshot wurde dann aufgelöst (siehe AVAST: Nach Datenskandal 'Aus für Jumpshot' verkündet).

Aber was kostet ein solcher Vorgang, der schon kriminelle Energie und Vorsatz erfordert, das betreffende Unternehmen? In den USA hatte dieUS-Handelsbehörde (FTC) im Februar 2024 vorgeschlagen, das Unternehmen AVAST zu einer Strafe von 16,5 Millionen Dollar zu verurteilen und den Verkauf von Daten zu verbieten. In Europa ist man schon weiter die tschechische Datenschutzbehörde hat nach fünf Jahren Verfahrensdauer eine Geldbuße von 13,9 Millionen Euro wegen DSGVO-Verstößen verhängt.

heise berichtet zum Beispiel hier über diesen Sachverhalt – dass die Vermögenswerte, die AVAST durch die Aktion erlangt hat, eingezogen wurden, habe ich bisher noch nirgendwo gelesen. Scheint immer noch so eine Art "Sonderangebot" zu sein, mal eben Daten von Nutzern zu sammeln und zu verkaufen – in den USA gängige Praxis, und dort regt sich nur ganz langsam Widerstand.

Von roten KI-Ampeln und Straßenlaternen

Gibt noch zwei absolute Gaga-Meldungen, die ich der Leserschaft nicht vorenthalten möchte – die aber zeigen, auf welcher abschüssigen Bahn wir uns mit der IT bewegen.

In der britischen Stadt Leicester kann die Stadtverwaltung die Straßenbeleuchtung in einigen Bereichen nicht mehr abschalten. Hintergrund ist ein Ransomware-Angriff auf die kommunalen die IT-Systeme im März 2024. In Folge gibt es technische Probleme und die Verantwortlichen haben wohl keinen Zugriff mehr auf die Systeme, um die Straßenbeleuchtung sauber ein- und ausschalten zu können.

Zweiter Splitter: In der Stadt Hamm in Nordrhein-Westfalen agiert man progressive und setzt bei der Verkehrsregelung auf eine "künstliche Intelligenz" zur Ampelsteuerung. Klasse Sache, lasst das Teil mal halluzinieren und schauen wir mal, was bei heraus kommt. Die Verkehrsteilnehmer werden dabei allerdings auf eine harte Probe gestellt, da eine KI-Ampel zeigt Autofahrern immer wieder grundlos Dauerrot zeigt. Spiegel Online hat das Thema hier aufgespießt.

Der Cyberangriff auf die SPD

Und dann gab es noch ein echtes Aufregerthema. Unser herzallerliebste Partei, die alte Tante SPD, stand im Fokus russischer Spione (Ok, man hat nur die Mails der "Führungsgarde" mitlesen wollen). Passiert sein muss es Ende 2022, denn im Januar 2023 fiel in der SPD-Parteizentrale in Berlin auf, dass Hacker in die IT eingedrungen waren – später ließ sich der Abfluss von E-Mails aus bestimmen Postfächern feststellen. Bekannt ist, dass die Leutchen bei der SPD auf das alternativlose Microsoft Outlook setzen, was aber leider eine Sicherheitslücke aufwies, wie heise in diesem Artikel deriviert.

Die Schwachstelle CVE-2023-23397 war Microsoft seit März 2023 bekannt, wurde aber erst im Mai 2023 gepatcht, siehe Microsoft patcht Outlook-Schwachstelle CVE-2023-29325. Wer hier im Blog nach der CVE sucht, findet weitere Artikel, da die Schwachstelle mit dem ersten Update nicht vollständig gepatcht war. Auch die russische Hackergruppe APT28 (besser bekannt als Fancy Bear oder Strontium, und dem Militärgeheimdienstes GRU zugeordnet) kannte die Schwachstelle.

Und diese pöse Grupp APT28 hat dann eine Kampagne von Cyberangriffen gefahren, die u.a. sich auch gegen die SPD-Parteizentrale richtete (teilt Innenministerin Nancy Faser, selbst SPD, auf dieser Webseite mit). Ausspionieren unter Freunden geht gar nicht! Ich glaube, ich bin da im Text verrutscht, diese Aussage war früher unter Bundeskanzlerin Merkel.

Jedenfalls kann Außenministerin Baerbock den Namen der Gruppe APT28 fehlerfrei aussprechen und hat den russischen Botschafter einbestellt. Die Bundesregierung droht sogar mit Konsequenzen, wie man hier bei RND nachlesen kann. "Wir können diesen Angriff vom letzten Jahr heute eindeutig der Gruppe APT28 zuordnen, die vom russischen Geheimdienst GRU gesteuert wird", sagte Baerbock laut RDN. "Das ist völlig inakzeptabel und wird nicht ohne Konsequenzen bleiben."

Es gab also ein Stürmchen der politischen Entrüstung gegenüber den Russen – mir berichtete ein Einheimischer aus Wladiwostok, dass jemand vor Lachen vom Stuhl gefallen sei und sich dabei den Kopf arg angeschlagen habe. Mir fiel dazu ein: Die SPD muss einfach mehr Diplomatie wagen. Aber das ist schon etwas fies – daher verlinke ich einfach mal auf den schönen Kommentar von heise Kommentar zur Debatte über IT-Sicherheit: "Die Empörten sind nackt​, der die Situation aufgreift. Warum geht mir nur "der Fisch stinkt vom Kopf her" dazu ein?