{"id":262865,"date":"2022-02-24T10:35:43","date_gmt":"2022-02-24T09:35:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262865"},"modified":"2022-03-01T10:58:27","modified_gmt":"2022-03-01T09:58:27","slug":"cyberangriff-auf-axis-com-besttigt-23-feb-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/02\/24\/cyberangriff-auf-axis-com-besttigt-23-feb-2022\/","title":{"rendered":"Cyberangriff auf axis.com bestätigt (23. Feb. 2022)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der schwedische Anbieter von (IP-Sicherheitskameras) Axis ist Opfer eines Cyberangriffs geworden, wie die Axis Communications nun endlich best\u00e4tigt hat. Ich hatte vor einigen Tagen im Blog angesprochen, dass deren Webseiten und Dienste seit dem 21. Februar 2022 nicht mehr erreichbar sind und einen Cyberangriff vermutet. Hier eine Zusammenfassung, was inzwischen bekannt ist. Erg\u00e4nzung<\/strong> vom 27.2.2022 mit Informationen von Axis Communications, was gewesen ist.<\/p>\n

<\/p>\n

\"\"Axis Communications<\/a> AB ist ein schwedischer Hersteller von Netzwerk-Kameras, Zugangskontroll- und Netzwerk-Audioger\u00e4ten f\u00fcr die Bereiche physische Sicherheit und Video\u00fcberwachung. Der Hersteller selbst sieht sich als Technologief\u00fchrer im Bereich Netzwerk-Kameras und andere IP-Netzwerkl\u00f6sungen.<\/p>\n

Axis.com seit Tagen nicht erreichbar<\/h2>\n

Mich erreichte zum 21.2.2022 zum Nachmittag eine private Nachricht eines Lesers \u00fcber Facebook, der mich darauf hinwies, dass die Webseiten von axis.com seit Stunden nicht erreichbar seien. Beim Versuch, die Seiten im Browser aufzurufen, kommen Fehlermeldungen, dass die Webseite nicht erreichbar sei (siehe Beitrag Webseite von IP-Sicherheitskamera-Hersteller axis.com ist down (21.2.2022)<\/a>).<\/p>\n

\"axis.com<\/p>\n

Die Statusseite von axis.com<\/a> meldete einen kompletten Ausfall der Dienste. Das bedeutet, dass Kunden nicht per Internet auf ihre IP-Kameras zugreifen k\u00f6nnen. Das betrifft Sicherheitskameras an Flugh\u00e4fen, in Banken, in Superm\u00e4rkten etc. Nach meiner Berichterstattung und Nachfrage beim Hersteller gab es dann einen kurzen Hinweise auf eine \"IT-related intrusion\" auf der Statusseite und auf Twitter (siehe folgenden Text).<\/p>\n

Dienste kommen langsam zur\u00fcck<\/h2>\n

Wir haben nun den 24. Februar 2022. Ruft man die Statusseite von axis.com<\/a> auf, werden viele Dienste des Anbieters bereits als \"Operational\" aufgelistet. Dazu geh\u00f6ren auch Seiten und Dienste f\u00fcr Body-Kameras (wie sie von der Polizei verwendet werden).<\/p>\n

\"axis.com<\/p>\n

Nur die Hauptseite ist noch als \"Partial outage\" gef\u00fchrt – die Presse-Seiten etc. sind nach wie vor nicht abrufbar. Der Upgrade-Dienst f\u00fcr AXIS OS (die Firmware) sowie die Apps ist noch abgeschaltet – woraus ich schlie\u00dfe, dass der Anbieter einen Lieferkettenangriff nicht ausschlie\u00dfen kann. Auch das Lizenzsystem sowie der Remote-Zugriff auf AXIS-Kamerastationen ist noch partiell gest\u00f6rt. Die IT-Spezialisten scheinen immer noch am Untersuchen, welche Auswirkungen der eingestandene Cyberangriff hatte.<\/p>\n

Gab es eine Schwachstelle?<\/h2>\n

Ein Blog-Leser hat mich in einem Kommentar auf den nachfolgenden Tweet<\/a> hingewiesen. Ein Nutzer mit dem Twitter-Alias @5cript1diot<\/em> weist am 22. Februar 2022 als Antwort auf die Axis-Meldung, dass Dienste gest\u00f6rt seien, darauf hin, dass er den Anbieter auf eine Schwachstelle hingewiesen, aber bisher keine Reaktion darauf erhalten habe.<\/p>\n

\"Vulnerability<\/a><\/p>\n

Die Antwort \"wir arbeiten an diesem Thema\" – aber aktuell geht das Vorhaben, die IT-Systeme wieder online zu bringen, vor. Keine Reaktion auf das Thema Sicherheitsl\u00fccke – und offenbar h\u00e4lt man es auch nicht f\u00fcr notwendig, dem Betreffenden eine kurze R\u00fcckmeldung \"wir haben deinen Hinweis erhalten und untersuchen das\" zu schicken. Erst auf die \u00f6ffentliche Nachfrage kommt der obige Antwort-Tweet.<\/p>\n

Lausige Kommunikation<\/h2>\n

Axis Communication stellt sich nach eigener Aussage als Player im Cyber-Sicherheitsbereich auf (Explore your cybersecurity resources<\/a>: Axis's solutions offer a variety of built-in cybersecurity features to counter different types of cyber-attacks, effectively battle vulnerabilities, and prevent unauthorized access to your system). Die Kommunikation auf einen m\u00f6glichen Cyberangriff ist bisher aber von Seiten des Herstellers armselig. Ich hatte es im Beitrag Webseite von IP-Sicherheitskamera-Hersteller axis.com ist down (21.2.2022)<\/a> nachgezeichnet.<\/p>\n

\"Axis-Kommunikation<\/a><\/p>\n

Ich hatte auf Twitter (siehe obiger Tweet<\/a>), aber auch \u00fcber die deutsche Webseite des Anbieters nachgefragt, bis zum heutigen 23. Februar 2022 aber keinerlei Antworten erhalten. F\u00e4llt in das gleiche Bild, wie die Tweets aus dem vorhergehenden Abschnitt.<\/p>\n

Cyberangriff eingestanden<\/h2>\n

In einer privaten Mitteilung auf Facebook informierte mich ein Blog-Leser, dass er von deren Telefonsupport in Deutschland zugegeben worden sei, dass die St\u00f6rung auf einen Cyberangriff zur\u00fcckzuf\u00fchren sei. Kundendaten seien angeblich nicht abgeflossen, es werde aber weiterhin alles untersucht. Man hofft, dass die Systeme bis Ende der Woche alle wieder laufen, k\u00f6nne aber auch l\u00e4nger dauern.<\/p>\n

Ich hatte dann am 23. Februar 2022 \u00fcber deren Supportformular eine offizielle Anfrage gestellt, bisher aber keine Antwort erhalten. Die stellen sich einfach tot. Nun scheint es eine offizielle Stellungnahme zu geben, die Carsten Korn in diesen Kommentar<\/a> gepostet hat. Der Anbieter Axis Communications hat einen Cyberangriff erlitten. Deren Sicherheits- und Eindringungserkennungssysteme (EDR) schlugen am Sonntag (den 20.02.2022) an und meldeten einen m\u00f6glichen Angriff.<\/p>\n

Nach ersten Analysen wurden Spuren illegaler Aktivit\u00e4ten im Netzwerk des Herstellers festgestellt. Daraufhin hat dieser die \u00f6ffentlich zug\u00e4nglichen Internetdienste deaktiviert, um den potenziellen Schaden zu minimieren. Zudem will der Anbieter Zeit f\u00fcr die Fehlerbehebung und den Schutz von Systemen und Daten gewinnen. Dies sei eine bewusste Entscheidung gewesen, um die m\u00f6glichen Auswirkungen des Angriffs zu begrenzen, hei\u00dft es. Im Moment seien die gesch\u00e4ftlichen Auswirkungen auf alle nach au\u00dfen kommunizierenden Axis-Dienste beschr\u00e4nkt.<\/p>\n

Deckt sich auch mit den Angaben eines Sprechers, die hier<\/a> zitiert werden. Dort gibt es die nachfolgende Stellungnahme auf Englisch und es hei\u00dft, dass man daran arbeitet, alle betroffenen Dienste wiederherzustellen, und es sehe gut aus. Es sieht also so aus, als ob keine Daten kompromittiert wurden. Hier die offizielle Stellungnahme von Axis.<\/p>\n

Erkl\u00e4rung von Axis Communications zu einem IT-bezogenen Angriff in das interne Axis Communications-Netzwerk.<\/p>\n

Am Sonntag (20.02.2022) wurden wir von unseren Sicherheits- und Eindringungserkennungssystemen auf einen m\u00f6glichen Angriff aufmerksam gemacht. Nachdem die Ermittlungen begannen, wurden Spuren illegaler Aktivit\u00e4ten in unserem Netzwerk festgestellt. Daraufhin haben wir die \u00f6ffentlich zug\u00e4nglichen Internetdienste deaktiviert, um den potenziellen Schaden zu minimieren und Zeit f\u00fcr die Fehlerbehebung und den Schutz von Systemen und Daten zu gewinnen. Dies war eine bewusste Entscheidung, um die m\u00f6glichen Auswirkungen des Angriffs zu begrenzen. Im Moment sind die gesch\u00e4ftlichen Auswirkungen auf unsere nach au\u00dfen kommunizierenden Dienste beschr\u00e4nkt.<\/p>\n

Nach unseren ersten Erkenntnissen konnte durch das sofortige Eingreifen die Art des Eindringens begrenzt werden. Es handelt sich jedoch um eine komplexe Situation, und die Ermittlungen dauern an.<\/p>\n

Die Deaktivierung unserer externen Internetdienste hat bei uns und unseren Partnern zu erheblichen St\u00f6rungen gef\u00fchrt. Wir sind und bleiben den Grunds\u00e4tzen der Cybersicherheit und der Integrit\u00e4t unserer Netzinfrastruktur und Kundendaten verpflichtet.<\/p>\n

Seit dem 23.02.2022 sind wir dabei, externe Dienste wieder in Betrieb zu nehmen. Wir arbeiten sowohl mit Hochdruck als auch Vorsicht an der Wiederherstellung der betroffenen Dienste, um die Sicherheit nicht zu gef\u00e4hrden.<\/p>\n

Bislang gibt es keine Anzeichen daf\u00fcr, dass Kundendaten betroffen sind. Aus Sicherheitsgr\u00fcnden werden wir keine Einzelheiten \u00fcber die Art des versuchten Einbruchs bekannt geben.<\/p>\n

Die forensische Untersuchung des Vorfalls dauert an. Wir sind uns sehr bewusst, dass sich die Art der Bedrohungen in der Welt der Cybersicherheit st\u00e4ndig \u00e4ndert. Wir werden die Situation weiterhin beobachten und unsere Prozesse entsprechend aktualisieren.<\/p>\n

Das Team von Axis steht Ihnen gerne zur Verf\u00fcgung, um dies zu besprechen und alle anderen Fragen zu beantworten, die Sie haben.<\/p><\/blockquote>\n

Details zum Cyberangriff<\/h2>\n

Erg\u00e4nzung: <\/strong>Zum 27. Februar 2022 hat Axis Communications nun \u00a0Informationen im Statusbereich<\/a> ver\u00f6ffentlicht, was gewesen ist. Dort hei\u00dft es, dass Axis in der Nacht von Samstag, dem 19. Februar, auf Sonntag, den 20. Februar, Opfer eines Cyberangriffs wurde. Durch verschiedene Kombinationen von Social Engineering gelang es den Angreifern, sich trotz Schutzmechanismen wie der Multifaktor-Authentifizierung als Benutzer anzumelden.<\/p>\n

Anschlie\u00dfend nutzten der oder die Angreifer fortschrittliche Methoden, um ihren Zugang zu erweitern und schlie\u00dflich Zugriff auf Verzeichnisdienste (Active Directory) zu erhalten.\u00a0Die Bedrohungserkennungssysteme von Axis alarmierten die Mitarbeiter \u00fcber das ungew\u00f6hnliche, verd\u00e4chtige Verhalten, und die Untersuchungen begannen am fr\u00fchen Sonntagmorgen.<\/p>\n

Um ca. 9 Uhr MEZ am Sonntagmorgen beschloss das IT-Management, externe Sicherheitsexperten hinzuzuziehen, und um ca. 12:00 Uhr wurde best\u00e4tigt, dass die Hacker in den Axis-Netzwerken aktiv waren. Es wurde beschlossen, alle externen Verbindungen sofort zu unterbrechen, um die Eindringlinge auszuschalten. Sonntag, den 20. Februar 2022, war der gesamte Netzwerkzugang ab 18:00 Uhr CET weltweit abgeschaltet. Die Ma\u00dfnahme hatte den beabsichtigten Effekt, den Eindringlingen den Zugang zu verwehren.<\/p>\n

Die Untersuchungen zeigten schnell, dass Teile der Serverinfrastruktur angegriffen wurden, w\u00e4hrend andere Teile intakt blieben.\u00a0Die forensische Arbeit und die Projekte zur Reinigung und Wiederherstellung der betroffenen Komponenten begannen sofort mit dem Ziel, schnell und schrittweise zum normalen Betriebsstatus zur\u00fcckzukehren. Die weltweite Produktion und die Lieferkette blieben w\u00e4hrend des gesamten Zeitraums weitgehend unbeeintr\u00e4chtigt.<\/p>\n

Die Analyse ergab, dass keine verschl\u00fcsselten Server gefunden wurden. Allerdings wurde Schadsoftware und Hinweise darauf gefunden, dass interne Verzeichnisdienste kompromittiert wurden. Laut Axis sollen keine Kundeninformationen in irgendeiner Weise betroffen sein. Insgesamt gibt es, laut Aussage des Anbieters, nur begrenzte Anzeichen f\u00fcr sch\u00e4dliche Folgen – wenn man von der Einschr\u00e4nkung der Dienste und dem Produktivit\u00e4tsverlust absieht. Nachfolgend noch der komplette Text der Axis-Ver\u00f6ffentlichung im Statusbereich<\/a> (ich habe sie mal herausgezogen, falls der Eintrag sp\u00e4ter gel\u00f6scht wird).<\/p>\n

PDATE 2022-02-27 19:00 CET<\/strong><\/p>\n

[Cyber attack] Post Mortem<\/strong>
\nOn the night between Saturday February 19 and Sunday February 20, Axis was the subject of a cyberattack. Using several combinations of social engineering, attackers were able to sign in as a user despite protective mechanisms such as multifactor authentication.<\/p>\n

Inside, the attackers used advanced methods to elevate their access and eventually gain access to directory services.<\/p>\n

Axis threat detection systems alerted incident staff of unusual, suspicious behavior, and investigations began early Sunday morning. At approximately 9 am CET Sunday morning, IT management decided to bring in external security experts and at approximately 12:00 (noon), it was confirmed that hackers were active inside Axis networks. The decision was taken to disconnect all external connectivity immediately as a way of cutting the intruders off.<\/p>\n

At 6 pm all network access had been shut off globally. The measure had the intended effect of shutting the intruders off from their access.<\/p>\n

It also resulted in a loss of external services for Axis staff, such as in- and outbound email. Partner services were also affected with\u00a0axis.com<\/a>\u00a0and extranets being unavailable.<\/p>\n

Investigations rapidly showed that parts of the server infrastructure had been compromised while other parts remained intact.<\/p>\n

Forensic work and projects to clean and restore the affected components began immediately with the intention of rapidly and gradually coming back to normal operational status.<\/p>\n

Global production and supply chain remained largely unaffected through the entire period.<\/p>\n

Our first customer facing services were made available Sunday evening, February 20.<\/p>\n

Gradually in the days that followed, more and more external services were cleared and made available online again, including commercial services, main parts of\u00a0axis.com<\/a>\u00a0and email services.<\/p>\n

Status Sunday February 27 is that most external facing services have been restored with some still awaiting security clearance. Regarding internet facing services, Axis currently operates in a restricted mode. This will continue as long as the forensic investigation is ongoing and until the cleaning and restoration is completed. This mainly affects our internal work streams and has very limited effect on customers and partners. We expect the final parts of our customer facing services to be completely available within a few days.<\/p>\n

Findings so far<\/strong>
\nNo servers have been found to be encrypted but we found malware and indications that internal directory services were compromised. No customer information has been found to be affected in any way. In total, we find limited signs of damaging consequences aside of the general embarrassment and productivity loss as we clear services for production step by step.<\/p>\n

The attackers used multiple methods of social engineering to gain access despite our security mechanisms. Improvements already undertaken are changes that reduce the risk of human error. The technical security mechanisms have been raised in general across the board to limit the risk of any similar future event. The effect is increased security at the cost of slightly less smooth workflows.<\/p>\n

It is a regrettable fact that no company is entirely safe from the risk of cyber intrusions. Our strategy remains the same. We aim to provide real security through several different types of protection:<\/p>\n

    \n
  1. We prevent threats and attacks with automated and systematic monitoring<\/li>\n<\/ol>\n
      \n
    1. Intrusions are made difficult while keeping operational efficiency high<\/li>\n<\/ol>\n
        \n
      1. Potential intrusions must be detected early to stop further damage<\/li>\n
      2. And in case of severe problems, we provide rapid and reliable restoration of services.<\/li>\n<\/ol>\n

        Needless to say, we are humble in the face of and due to the gravity of the situation. We are also grateful that we were able to catch and stop an ongoing attack before it had much more lasting effects.<\/p>\n

        We will come back with more information if our ongoing investigation uncovers events of further relevance.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

        [English]Der schwedische Anbieter von (IP-Sicherheitskameras) Axis ist Opfer eines Cyberangriffs geworden, wie die Axis Communications nun endlich best\u00e4tigt hat. Ich hatte vor einigen Tagen im Blog angesprochen, dass deren Webseiten und Dienste seit dem 21. Februar 2022 nicht mehr erreichbar … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-262865","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262865","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=262865"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262865\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=262865"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=262865"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=262865"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}