{"id":225756,"date":"2019-12-06T10:02:10","date_gmt":"2019-12-06T09:02:10","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=225756"},"modified":"2020-12-19T15:25:19","modified_gmt":"2020-12-19T14:25:19","slug":"oceanlotus-hacker-im-netzwerk-von-bmw","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/12\/06\/oceanlotus-hacker-im-netzwerk-von-bmw\/","title":{"rendered":"OceanLotus: Hacker im Netzwerk von BMW"},"content":{"rendered":"

[English<\/a>]Hacker sind Anfang des Jahres erfolgreich in Rechner des Automobilherstellers BMW eingedrungen. Allerdings ist die Aktion aufgefallen und Sicherheitsexperten von BMW haben das Vorgehen beobachtet. Der infizierte Rechner wurde jetzt abgeschaltet, die Hacker wurden so ausgesperrt.<\/p>\n

<\/p>\n

\"\"Die Hackergruppe OceanLotus, mutma\u00dflich aus Vietnam, hat die Automobilindustrie im Visier. Der Bayrische Rundfunk (BR) berichtet hier<\/a> \u00fcber den Vorfall bei BMW. Die Hackergruppe OceanLotus soll im Auftrag des Staates Vietnam unterwegs sein (n\u00e4heres im Text).<\/p>\n

Start der Operation im Fr\u00fchjahr 2019<\/h2>\n

Laut Informationen des BR begann die Hackergruppe im Fr\u00fchjahr 2019 mit Versuchen, die Netzwerke von BMW zu infiltrieren. Diese Versuche m\u00fcssen aufgefallen sein, denn laut Berichterstattung verfolgten die IT-Spezialisten bei BMW die Schritte der Angreifer. <\/p>\n

Obwohl BMW keine Details herausgibt, wurde bekannt, dass die Hacker einen bestimmten Rechner mit einem \"Cobalt Strike\" genannten Programm infizieren konnten. Der Autobauer hat den den oder die betroffenen Rechner letztes Wochenende vom Net genommen. <\/p>\n

\n

Cobalt Strike<\/a> ist ein Framework, welches normalerweise von sogenannten Red-Teams f\u00fcr Penetrationstests verwendet wird. Das Framework erm\u00f6glicht Hacking-Kampagnen (z. B. zur Spionage), eins-zu-eins nachzustellen. F\u00fcr jeden Abschnitt einer solchen Operation gibt es eigene Funktionen (z.B. Aufkl\u00e4rung der Netzwerkstruktur, Eindringen, Errichtens eines stabilen Zugangs, Abrufen von Daten etc.), die dynamisch konfiguriert werden k\u00f6nnen. Das Framework erlaubt Red-Teams die Durchf\u00fchrung von \u201eBlind Network Penetration Tests\", bei denen der Tester \u00fcber keine oder nur geringe Informationen \u00fcber das System und seine Struktur verf\u00fcgt<\/p>\n<\/blockquote>\n

Die verwendeten Tools haben bei BMW wohl einen Alarm bei der Netzwerk\u00fcberwachung ausgel\u00f6st. BMW wird vom BR so zitiert: \"Wir haben Strukturen und Prozesse implementiert, die das Risiko von unerlaubten externen Zugriffen auf unsere Systeme minimieren und uns im Ereignisfall eine schnelle Entdeckung, Aufkl\u00e4rung und Wiederherstellung erm\u00f6glichen.\"<\/p>\n

Auch Hyundai \u00fcber Fake-Webseiten im Fokus<\/h2>\n

Der s\u00fcdkoreanische Auto-Hersteller Hyundai stand ebenfalls im Fokus der Hacker, hat aber Anfragen des BR nicht beantwortet. Laut BR-Bericht haben die Angreifer gef\u00e4lschte Webseiten der Automobilbauer aufgesetzt. Eine Seite erweckte den Eindruck, zur BMW-Niederlassung in Thailand zu geh\u00f6ren. Bei Hyundai gab es eine \u00e4hnliche Fake-Webseite. <\/p>\n

Ziel war es, \u00fcber diese Webseiten Informationen \u00fcber das Angriffsziel herauszufinden und gegebenenfalls Anmeldedaten abzugreifen sowie weiter in das Netzwerk einzudringen. Da der Angriff auffiel, konnten die Sicherheitsspezialisten die Hacker beobachten. Laut Bericht des BR (als Quelle wird ein anonym bleiben wollender Sicherheitsexperte zitiert) wurde so sichergestellt, dass keine sensiblen Daten abflie\u00dfen konnten. Den Hackern sei es, der Quelle zufolge, auch nicht gelungen, auf die Rechner der BMW-Unternehmenszentrale in M\u00fcnchen zuzugreifen.<\/p>\n

Vermutungen \u00fcber Urheber<\/h2>\n

Die Vermutung, dass die Hacker in Vietnam sitzen, ziehen die IT-Spezialisten aus deren Vorgehensweise. Diese entsprach dem, was von einer seit 2014 bekannten Hackergruppe mit dem Namen OceanLotus angewandt wird. Zitat von Dror-John R\u00f6cher, Deutsche Cybersicherheitsorganisation (DCSO):<\/p>\n

\n

Gesicherte Belege, dass die Gruppe im staatlichen Auftrag handelt, gibt es nicht. Wenn wir uns jedoch die Vorf\u00e4lle anschauen und wenn wir die Ziele analysieren, dann gibt es starke Indizien, dass mindestens mit Billigung des vietnamesischen Staates agiert wird.<\/p>\n<\/blockquote>\n

Daher ist es aktuell nur eine Vermutung, dass die Gruppe f\u00fcr den Staat Vietnam arbeitet. Zumindest gehen die Sicherheitsexperten davon aus, dass die Gruppe die Billigung des kommunistischen Regimes habe. Hintergrund k\u00f6nnte sein, dass der vietnamesische Mischkonzern Vingroup im Juni 2019 sein erstes Werk er\u00f6ffnete, in dem Autos der Marke Vinfast gebaut werden. Deutsche Unternehmen sind Zulieferer, BMW ist Lizenzgeber der ersten beiden Modelle. Automatisierer Siemens ist f\u00fcr die Vernetzung der Fabrik zust\u00e4ndig. <\/p>\n

Interessant ist auch folgende Information von Dror-John R\u00f6cher (DCSO):  \"OceanLotus\"griff \u00fcber Jahre Dissidenten und Staaten, die Vietnam als Konkurrent sah, an. Als in Vietnam der Beschluss fiel, Autos zu bauen, begann die Gruppe pl\u00f6tzlich Auto-Hersteller anzugreifen. Inzwischen warnen das Bundesamt f\u00fcr Verfassungsschutz und der Verband der Automobilindustrie (VDA) die Firmen vor solchen Angriffen. Weitere Details finden sich im BR-Bericht<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Hacker sind Anfang des Jahres erfolgreich in Rechner des Automobilherstellers BMW eingedrungen. Allerdings ist die Aktion aufgefallen und Sicherheitsexperten von BMW haben das Vorgehen beobachtet. Der infizierte Rechner wurde jetzt abgeschaltet, die Hacker wurden so ausgesperrt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[2564,4328],"class_list":["post-225756","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-hack","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/225756","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=225756"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/225756\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=225756"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=225756"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=225756"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}