{"id":262656,"date":"2022-02-17T09:37:51","date_gmt":"2022-02-17T08:37:51","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262656"},"modified":"2022-06-17T20:59:22","modified_gmt":"2022-06-17T18:59:22","slug":"cyberangriff-auf-rotes-kreuz-ber-zoho-schwachstelle-wahrscheinlich-durch-staatliche-akteure","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/02\/17\/cyberangriff-auf-rotes-kreuz-ber-zoho-schwachstelle-wahrscheinlich-durch-staatliche-akteure\/","title":{"rendered":"Cyberangriff auf Rotes Kreuz &uuml;ber Zoho-Schwachstelle, wahrscheinlich durch staatliche Akteure"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/02\/17\/cyberangriff-auf-rotes-kreuz-ber-zoho-schwachstelle-wahrscheinlich-durch-staatliche-akteure\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Im Januar 2022 hat das internationale Rote Kreuz (International Committee of the Red Cross, ICRC) einen Cyberangriff auf seine IT-System bekannt gegeben. Bei diesem Angriff wurden vertrauliche Informationen \u00fcber mehr als 515.000 besonders schutzbed\u00fcrftige Menschen gestohlen. Nun hat das ICRC weitere Details seiner internen Untersuchungen bekannt gegeben. Der Angriff erfolgte \u00fcber eine (ungepatchte) Zoho-Schwachstelle, wobei speziell designte Angriffsmethoden zum Einsatz kamen. Dies legt den Schluss nahe, dass der Angriff durch staatliche Akteure durchgef\u00fchrt wurde, um an vertrauliche Informationen zu schutzbed\u00fcrftigen Personen zu gelangen. Die Angreifer konnten sich 70 Tage unerkannt auf dem System bewegen. Der Fall ist eine der seltenen Gelegenheiten, bei dem mir mehr Details \u00fcber den Angriff bekannt wurden, so dass ich das hier zur Anschauung nachtrage.<\/p>\n<p><!--more--><\/p>\n<h2>R\u00fcckblick auf den Cyberangriff<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/d9a369f9d2d8479da8557d7e8f26321b\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte am 20. Januar 2022 im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/01\/20\/cyberangriff-auf-rotes-kreuz-daten-von-515-000-gefhrdeten-personen-gestohlen\/\">Cyberangriff auf Rotes Kreuz, Daten von 515.000 gef\u00e4hrdeten Personen gestohlen<\/a> \u00fcber den Cyberangriff auf das internationale Rote Kreuz berichtet. Durch den Angriff wurden personenbezogene Daten und vertrauliche Informationen \u00fcber mehr als 515 000 besonders schutzbed\u00fcrftige Menschen abgezogen. Darunter sind Menschen, die aufgrund von Konflikten, Migration und Katastrophen von ihren Familien getrennt wurden, vermisste Personen und ihre Familien sowie inhaftierte Personen. Die Daten stammten von mindestens 60 nationalen Rotkreuz- und Rothalbmondgesellschaften aus aller Welt. Das Rote Kreuz hatte den Vorfall auf <a href=\"https:\/\/www.icrc.org\/en\/document\/sophisticated-cyber-attack-targets-red-cross-red-crescent-data-500000-people\" target=\"_blank\" rel=\"noopener\">dieser Seite<\/a> selbst bekannt gemacht.<\/p>\n<p><a href=\"https:\/\/twitter.com\/ransomwaremap\/status\/1483978845783048193\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Red Cross Hack\" src=\"https:\/\/i.imgur.com\/DTtY39n.png\" alt=\"Red Cross Hack\" \/><\/a><\/p>\n<p>Der Cyberangriff auf das internationale Rote Kreuz war gezielt, soviel stand bereits eine Woche nach dem Vorfall fest. In oben genanntem Blog-Beitrag hatte ich auf diesen Sachverhalt hingewiesen.<\/p>\n<h2>Neue Informationen \u00fcber den Angriff<\/h2>\n<p>Ich hatte es gestern bereits mitbekommen, dass es jetzt mehr Details \u00fcber den Angriff gebe. Das ICRC hat in einem Update vom 16. Februar 2022 auf <a href=\"https:\/\/www.icrc.org\/en\/document\/cyber-attack-icrc-what-we-know\" target=\"_blank\" rel=\"noopener\">dieser Seite<\/a> weitere Details ver\u00f6ffentlicht. Zuerst steht die Erkenntnis im Raum, dass die Angreifer wohl betr\u00e4chtliche Ressourcen zum Angriff auf die IT-Systeme nutzten. Dabei wurden Taktiken eingesetzt, die von den meisten Erkennungsprogrammen nicht erkannt worden w\u00e4ren. Hier die Aussagen des ICRC zum Angriff:<\/p>\n<ul>\n<li>Die Angreifer verwendeten fortschrittlicher Hacking-Tools, die f\u00fcr offensive Sicherheitsma\u00dfnahmen entwickelt wurden. Diese Tools werden in erster Linie von Advanced Persistent Threat-Gruppen verwendet. Die Werkzeuge sind nicht \u00f6ffentlich verf\u00fcgbar und daher f\u00fcr andere Angreifer unerreichbar.<\/li>\n<li>Die Angreifer verwendeten ausgekl\u00fcgelte Verschleierungstechniken, um ihre Schadprogramme zu verbergen und zu sch\u00fctzen. Dies erfordert ein hohes Ma\u00df an F\u00e4higkeiten, die nur einer begrenzten Anzahl von Akteuren zur Verf\u00fcgung stehen.<\/li>\n<li>Die Forensiker des ICRC stellten zudem fest, dass es sich um einen gezielten Angriff handelte. Hintergrund ist, dass die Angreifer einen Code f\u00fcr den Angriff erstellten, der ausschlie\u00dflich f\u00fcr die Ausf\u00fchrung auf den Servern des IKRK bestimmt war. Die vom Angreifer verwendeten Tools bezogen sich ausdr\u00fccklich auf eine eindeutige Kennung auf den Zielservern (die MAC-Adresse).<\/li>\n<li>Die von der IT des ICRC auf den Zielservern eingesetzten Anti-Malware-Tools konnten zwar einige der von den Angreifern verwendeten Dateien erkennen und blockieren. Die meisten der eingesetzten b\u00f6sartigen Dateien waren jedoch speziell daf\u00fcr konzipiert, diese Anti-Malware-L\u00f6sungen zu umgehen. Erst als die IT im Rahmen geplanter Sicherheitsverbesserungen erweiterte EDR-Agenten (Endpoint Detection and Response) installierten, wurde dieses Eindringen entdeckt.<\/li>\n<\/ul>\n<p>Entdeckt wurde das Ganze also erst, als ein auf Cybersicherheit spezialisiertes Unternehmen vom IKRK beauftragt wurde, die IT beim Schutz seiner Systeme zu unterst\u00fctzen. Durch die EDR-Agenten wurde eine Anomalie auf den IKRK-Servern entdeckt, die Informationen \u00fcber den Dienst \"Restoring Family Links\" der weltweiten Rotkreuz- und Rothalbmond-Bewegung enthielten. Am 18. Januar stellten die Spezialisten dann fest, dass Hacker in diese Systeme eingedrungen waren und Zugang zu den Daten hatten.<\/p>\n<p>Nach einer tiefergehenden Analyse kamen die IT-Forensiker zum Schluss, dass die Hacker seit 70 Tagen Zugriff auf die Systeme hatte. Die Analyse zeigt, dass die Sicherheitsverletzung mit dem Eindringen der Hacker am 9. November 2021 stattfand. Laut eigener Aussage des ICRC sind diese 70 Tage recht kurz, da die mittlere Zeit zur Identifikation eines fortschrittlichen Angriffs bei 212 Tagen liegt.<\/p>\n<h2>Schwachstelle CVE-2021-40539 ausgenutzt<\/h2>\n<p>Bei der Analyse des Angriffs stellte sich heraus, dass die Hacker \u00fcber eine ungepatchte kritische Sicherheitsl\u00fccke (<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-40539\" target=\"_blank\" rel=\"noopener\">CVE-2021-40539<\/a>) in das ICRC-Netzwerk eindringen konnten. Bei CVE-2021-40539 handelt es sich \u00fcber eine Schwachstelle in der Zoho ManageEngine ADSelfService Plus Version 6113 und fr\u00fcherer Varianten. Diese Versionen sind anf\u00e4llig f\u00fcr einen Bypass der REST-API-Authentifizierung und erm\u00f6glichen eine resultierende Remotecodeausf\u00fchrung.<\/p>\n<blockquote><p>Die Zoho Corporation ist ein indisches multinationales Technologieunternehmen, das webbasierte Gesch\u00e4ftstools herstellt. Es ist f\u00fcr die Online-Office-Suite bekannt, hat aber auch die Zoho ManageEngine ADSelfService im Angebot. Diese Software f\u00e4llt wohl h\u00e4ufiger durch gravierende RCE-Schwachstellen auf. Als die CISA die Warnung <a href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/alerts\/aa21-336a\" target=\"_blank\" rel=\"noopener\">APT Actors Exploiting CVE-2021-44077 in Zoho ManageEngine ServiceDesk Plus<\/a> zum 2. Dezember 2021 ver\u00f6ffentlichte, und auf weitere, kritische Zoho-Schwachstellen hinwies, war es f\u00fcr das Rote Kreuz bereits viel zu sp\u00e4t, wie aus nachfolgender Analyse hervorgeht.<\/p><\/blockquote>\n<p>Der CVE-Eintrag stammt vom 6. September 2021, wobei die Offenlegung der Details dieser Schwachstelle durch Packet Storm-Security am 27. November 2021 in <a href=\"https:\/\/web.archive.org\/web\/20220216203603\/https:\/\/packetstormsecurity.com\/files\/165085\/ManageEngine-ADSelfService-Plus-Authentication-Bypass-Code-Execution.html\" target=\"_blank\" rel=\"noopener\">diesem Dokument<\/a> erfolgte. Allerdings gibt es <a href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/alerts\/aa21-259a\" target=\"_blank\" rel=\"noopener\">diese CISA-Ver\u00f6ffentlichung<\/a> vom 16. September 2021 (revidiert zum 22. November 2021), mit dem Hinweis, dass APT-Akteure eine neu identifizierte Schwachstelle in ManageEngine ADSelfService Plus ausnutzen. Zoho hat am 6. September 2021 ein Update der <a href=\"https:\/\/pitstop.manageengine.com\/portal\/en\/community\/topic\/adselfservice-plus-6114-security-fix-release\" target=\"_blank\" rel=\"noopener\">Zoho ManageEngine ADSelfService Plus build 6114<\/a> ver\u00f6ffentlicht, um die Schwachstelle CVE-2021-40539 zu beheben.<\/p>\n<p>Geht man den Zeitstrahl durch, gab es also am 6. September 2021 ein Sicherheitsupdate f\u00fcr die <a href=\"https:\/\/pitstop.manageengine.com\/portal\/en\/community\/topic\/adselfservice-plus-6114-security-fix-release\" target=\"_blank\" rel=\"noopener\">Zoho ManageEngine ADSelfService Plus build 6114<\/a>, und bereits am 16. September 2021 entsprechende Warnungen der CISA vor Cyberangriffen durch APT-Akteure. Bei den Kollegen von Bleeping Computer lese ich <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/state-hackers-breach-defense-energy-healthcare-orgs-worldwide\/\" target=\"_blank\" rel=\"noopener\">hier<\/a>, dass die Sicherheitsforscher von Palo Alto Networks bereits am 17. September 2021 mit der Suche nach anf\u00e4lligen Servern begannen. Eine Analyse von Palo Alto Networks vom 7. November 2021 ist <a href=\"https:\/\/unit42.paloaltonetworks.com\/manageengine-godzilla-nglite-kdcsponge\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> zu finden.<\/p>\n<h2>Das Patch-Problem<\/h2>\n<p>Aber beim ICRC hat die IT wohl lange nicht reagiert, und zwei Monate sp\u00e4ter war das Kind in den Brunnen gefallen. Das ICRC schreibt, dass der Angriff am 9. November 2021 durch die ungepatchte Version der Zoho ManageEngine ADSelfService Plus erfolgte. Diese Schwachstelle erm\u00f6glicht es den Angreifern Web-Shells zu platzieren und diese f\u00fcr weitere Aktivit\u00e4ten zu nutzen. Sobald die Hacker in das Netzwerk der ICRC-IT eingedrungen waren, konnten sie offensive Sicherheitstools einsetzen. Diese erm\u00f6glichten es den Angreifern, sich als legitime Benutzer oder Administratoren zu tarnen. So erhielten sie Zugriff auf die Daten, obwohl diese verschl\u00fcsselt waren.<\/p>\n<p>Die IT-Abteilungen des ICRC installiert j\u00e4hrlich Zehntausende an Patches f\u00fcr die vorhandenen Systeme, da die rechtzeitige Anwendung kritischer Patches f\u00fcr die Cybersicherheit unerl\u00e4sslich ist. Aber es folgt das Eingest\u00e4ndnis, dass dieser Zoho-Patch nicht rechtzeitig vor dem Angriff angewendet wurde. Das ICRC verf\u00fcgt zwar \u00fcber ein mehrstufiges Cyberabwehrsystem, das Endpunkt\u00fcberwachung, Scansoftware und andere Tools umfasst. In diesem Fall hat die Analyse nach dem Angriff ergeben, dass die Prozesse und Tools zur Verwaltung von Schwachstellen diesen Versto\u00df nicht verhindern konnten. Es wurden zwar in diesen Bereichen sofortige \u00c4nderungen vorgenommen &#8211; aber f\u00fcr den Cyberangriff war es zu sp\u00e4t.<\/p>\n<p>Das ICRC benennt keine Verantwortlichen f\u00fcr den Cyberangriff und sagt auch nicht, warum der Hack durchgef\u00fchrt wurde. Da will man sich, laut eigener Aussage, keinen Spekulationen hingeben. Es gab laut ICRC auch keinen Kontakt mit den Hackern und es wurde kein L\u00f6segeld gefordert. Aber man kann schon spekulieren, wer hinter dem Angriff steckt. Am 26. Januar 2022 hatte ich hier im Blog den Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/01\/26\/verfassungsschutz-warnt-vor-cyberangriffen-der-chinesischen-apt27\/\">Verfassungsschutz warnt vor Cyberangriffen der chinesischen APT27<\/a>. Der Beitrag enth\u00e4lt den Hinweis, dass die Angreifer bereits vor \u00f6ffentlichem Bekanntwerden \u00fcber Kenntnis der Schwachstellen in der Software Zoho Manage Engine ADSelfService Plus (CVE-2021-40539) verf\u00fcgten.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Im Januar 2022 hat das internationale Rote Kreuz (International Committee of the Red Cross, ICRC) einen Cyberangriff auf seine IT-System bekannt gegeben. Bei diesem Angriff wurden vertrauliche Informationen \u00fcber mehr als 515.000 besonders schutzbed\u00fcrftige Menschen gestohlen. Nun hat das ICRC &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/02\/17\/cyberangriff-auf-rotes-kreuz-ber-zoho-schwachstelle-wahrscheinlich-durch-staatliche-akteure\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-262656","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262656","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=262656"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262656\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=262656"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=262656"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=262656"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}