{"id":217585,"date":"2019-05-04T00:17:00","date_gmt":"2019-05-03T22:17:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=217585"},"modified":"2019-05-03T07:44:42","modified_gmt":"2019-05-03T05:44:42","slug":"analyse-des-apt34-leaks-der-oilrig-hacker-gruppe","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/05\/04\/analyse-des-apt34-leaks-der-oilrig-hacker-gruppe\/","title":{"rendered":"Analyse des APT34-Leaks der OilRig Hacker-Gruppe"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Die Sicherheitsforscher von Palo Alto Networks haben die Aktivit\u00e4ten der 'Hacker-Gruppe' OilRig, auch als APT34 oder Helix Kitten bezeichnet, auf Grund eines 'Leaks' genauer analysiert. Die Gruppe hat Rechner von 97 Organisationen und 18 Industriefirmen in 27 L\u00e4ndern infiltriert. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg04.met.vgwort.de\/na\/877012c50e2e4160b4979eafcc66d085\" width=\"1\" height=\"1\"\/>Basis der Aktivit\u00e4ten der Gruppe APT34 ist ein Netzwerk, das mit 13.000 gestohlenen Anmeldeinformationen (Credentials), \u00fcber 100 ausgerollten Web-Shells und einem Dutzend Hintert\u00fcren, die auf kompromittierten Hosts laufen, arbeitet. Ziel der Gruppe sind wohl Spionageaktivit\u00e4ten \u2013 d.h. es sind staatlich unterst\u00fctzte Akteure. Catalin Cimpanu wies in nachfolgendem Tweet auf eine Analyse von Palo Alto Networks hin, die ein Datenleak der Gruppe f\u00fcr diesen Zweck nutzen konnten. <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">Palo Alto Networks has analyzed the APT34 leaks in more depth:<\/p>\n<p>They identified \"13,000 stolen credentials, over 100 deployed webshells, and roughly a dozen backdoor sessions into compromised hosts across 27 countries, 97 organizations, and 18 industries\"<a href=\"https:\/\/t.co\/fR0KyehNJT\">https:\/\/t.co\/fR0KyehNJT<\/a> <a href=\"https:\/\/t.co\/PAUspqQNu6\">pic.twitter.com\/PAUspqQNu6<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1123502017316569090?ref_src=twsrc%5Etfw\">1. Mai 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>In einem 'Behind the scenes'-Artikel bereiten die Sicherheitsforscher von Palo Alto Networks haben die Aktivit\u00e4ten der 'Hacker-Gruppe' OilRig, auch als APT34 oder Helix Kitten bezeichnet, in einer Analyse genauer auf. Gem\u00e4\u00df der im Tweet gezeigten Karte sind auch Rechner in Europa (mutma\u00dflich in Frankreich) infiltriert.<\/p>\n<h2>Analyse durch ein Leak m\u00f6glich<\/h2>\n<p>M\u00f6glich wurde dies, weil Mitte M\u00e4rz 2019 eine Person mit dem Twitter-Namen @Mr_L4nnist3r in mehreren Hacking-Foren und auf Twitter behauptete, Zugriff auf Datenspeicher der Gruppe zu haben. Diese Speicherabz\u00fcge (Dumps) enthielten auch interne Tools und Daten der OilRig-Gruppe. Der urspr\u00fcngliche Post beinhaltete mehrere Screenshots von Systemen, die m\u00f6glicherweise von OilRig-Betreibern f\u00fcr Angriffe verwendet werden, ein Skript, das f\u00fcr DNS-Hijacking verwendet zu werden schien, und ein passwortgesch\u00fctztes Archiv mit dem Dateinamen <em>Glimpse.rar<\/em>, das angeblich das Befehls- und Steuerbedienfeld f\u00fcr eine OilRig-Hintert\u00fcr enth\u00e4lt. <\/p>\n<p>Kurz danach darauf erschien ein Twitter-Account mit dem Benutzer-Handle @dookhtegan, der behauptete, auch Zugriff auf Datenbest\u00e4nde mit internen Tools und Daten, die von der OilRig-Gruppe verwendet werden, zu haben. Anhand dieser geleakten Informationen ist es den Sicherheitsforschern von Palo Alto Networks gelungen, das Ganze zu analysieren. Wer sich f\u00fcr das Thema interessiert, f\u00fcr Leute, die im Sicherheitsbereich von Unternehmen und Organisationen aktiv sind, wohl Pflicht, wird <a href=\"https:\/\/unit42.paloaltonetworks.com\/behind-the-scenes-with-oilrig\/\" target=\"_blank\" rel=\"noopener noreferrer\">in diesem Artikel<\/a> (Englisch) f\u00fcndig. Dort wird detailliert seziert, welche Backdoors und Techniken die Hacker-Gruppe einsetzt. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Sicherheitsforscher von Palo Alto Networks haben die Aktivit\u00e4ten der 'Hacker-Gruppe' OilRig, auch als APT34 oder Helix Kitten bezeichnet, auf Grund eines 'Leaks' genauer analysiert. Die Gruppe hat Rechner von 97 Organisationen und 18 Industriefirmen in 27 L\u00e4ndern infiltriert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-217585","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/217585","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=217585"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/217585\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=217585"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=217585"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=217585"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}