{"id":263484,"date":"2022-03-17T17:13:44","date_gmt":"2022-03-17T16:13:44","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263484"},"modified":"2022-09-08T22:18:53","modified_gmt":"2022-09-08T20:18:53","slug":"hacker-konnte-binnen-sekunden-in-computer-eines-russischen-gesundheitsministeriums-eindringen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/17\/hacker-konnte-binnen-sekunden-in-computer-eines-russischen-gesundheitsministeriums-eindringen\/","title":{"rendered":"Hacker konnte binnen Sekunden in Computer eines russischen Gesundheitsministeriums eindringen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/03\/17\/hacker-konnte-binnen-sekunden-in-computer-eines-russischen-gesundheitsministeriums-eindringen\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Schlecht oder nicht gesicherte Remote-Zug\u00e4nge sind in vielen Unternehmen, Beh\u00f6rden und Organisationen ein st\u00e4ndiges Sicherheitsproblem und Einfallstor f\u00fcr Cyberangriffe. Nun ist mir ein Fall untergekommen, der ein regionales Gesundheitsministerium in Russland betrifft. Ein Hacker konnte remote in einen ungesicherten Computer dieser Organisation eindringen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/89a48254d2774577bbae43aeb58ef838\" alt=\"\" width=\"1\" height=\"1\" \/>Der \"Hack\" ist erneut ein klassischer Fall von \"was schief gehen kann, geht schief\". Seit dem Einmarsch Russlands in die Ukraine schauen Hacker ja verst\u00e4rkt auf russischen IT-Systeme und suchen nach Einfallstoren. Ein Hacker mit dem Nicknamen Spielerkid89, der anonym bleiben m\u00f6chte, hat nun eine solche Schwachstelle aufgedeckt. Dieser hatte zwar nicht die Absicht, seinen Opfern zu schaden, und lie\u00df deren Systeme intakt. Aber er nutze die Gelegenheit, um in dies Systeme einzudringen. Es war ein Experiment, dass ein perfektes Beispiel daf\u00fcr ist, wie schlechte Cyber-Hygiene Unternehmen entlarven kann.<\/p>\n<h2>Shodan und der ungesicherte VPN-Zugang<\/h2>\n<p>Der Hacker mit dem Nicknamen Spielerkid89 benutzte die Suchmaschine Shodan, um russische Rechner zu suchen, die per Internet erreichbar waren. Durch entsprechende Suchanfragen an die Suchmaschine Shodan entdeckte er bald einen offenen VNC-Port (Virtual Network Computing) mit deaktivierter Authentifizierung.<\/p>\n<blockquote><p>VNC steht f\u00fcr ein Unternehmen und eine Software, die einen Fernzugriff auf Rechner wie Desktops erm\u00f6glicht. Nutzer k\u00f6nnen damit von zu Hause oder von einem anderen Ort aus auf Arbeitscomputer zugreifen oder den Mitarbeitern des technischen Supports die M\u00f6glichkeit zum Zugriff auf den eigenen Rechner gew\u00e4hren. Auf den Rechnern muss eine entsprechende VNC-Software installiert sein. Idealerweise sollte VNC nur mit authentifizierten Benutzern, wie Systemadministratoren, verwendet werden. Niemand sollte auf einen Computer zugreifen, ohne ordnungsgem\u00e4\u00df authentifiziert worden zu sein. Das war im aktuellen Fall aber das Sicherheitsproblem.<\/p><\/blockquote>\n<p>Daraufhin stellte Spielerkid89 eine Verbindung zu diesem Computer her, der einem Gesundheitsministerium in der Region Omsk in Russland geh\u00f6rt. Um aus der Ferne auf den Desktop eines Mitarbeiters des Ministeriums zuzugreifen, ben\u00f6tigte der Hacker weder ein Passwort noch eine Authentifizierung &#8211; er konnte \u00fcber einen offenen VNC-Port auf alle Dateien und Informationen auf diesem Computer zugreifen.<\/p>\n<p>\"Ich konnte auf die Namen von Personen, andere IP-Adressen, die auf andere Computer im Netzwerk verweisen, und auch auf Finanzdokumente zugreifen\", sagte der Hacker. Das Cybernews-Rechercheteam, an das sich der Hacker Spielerkid89 wendete, konnte verifizieren, dass sich dieser tats\u00e4chlich Zugang zu einem Computer dieses russischen Ministeriums verschafft hat (siehe folgender Screenshot).<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Desktop des OCs im Gesundheitsministerium\" src=\"https:\/\/web.archive.org\/web\/20220413234544\/https:\/\/media.cybernews.com\/2022\/03\/omskministryofhealth.jpg\" alt=\"Desktop des OCs im Gesundheitsministerium\" width=\"651\" height=\"488\" \/><br \/>\nDesktop des OCs im Gesundheitsministerium<\/p>\n<p>Wie bereits erw\u00e4hnt, war es nicht die Absicht des Hackers, der Organisation zu schaden. Daher lie\u00df er die Systeme der betreffenden Organisation unversehrt. Das Experiment veranschaulicht aber, wie einfach es f\u00fcr einen b\u00f6swilligen Hacker ist, in ein Unternehmen einzudringen. Durch Fernzugriff auf einen Computer \u00fcber einen offenen VNC-Port mit deaktivierter Authentifizierung k\u00f6nnte ein Krimineller sensible Dateien herunterladen, andere Computer oder Server im Netzwerk ausspionieren, Dienste einrichten, um eine Hintert\u00fcr zu schaffen, Malware installieren, Trojaner per Fernzugriff einschleusen und vieles mehr. CyberNews hat mir die Information per Mail zukommen lassen und das Ganze in <a href=\"https:\/\/web.archive.org\/web\/20220413234525\/https:\/\/cybernews.com\/cyber-war\/hacker-breaches-key-russian-ministry-in-blink-of-an-eye\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> dokumentiert.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Schlecht oder nicht gesicherte Remote-Zug\u00e4nge sind in vielen Unternehmen, Beh\u00f6rden und Organisationen ein st\u00e4ndiges Sicherheitsproblem und Einfallstor f\u00fcr Cyberangriffe. Nun ist mir ein Fall untergekommen, der ein regionales Gesundheitsministerium in Russland betrifft. Ein Hacker konnte remote in einen ungesicherten Computer &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/03\/17\/hacker-konnte-binnen-sekunden-in-computer-eines-russischen-gesundheitsministeriums-eindringen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-263484","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263484","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263484"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263484\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263484"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263484"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263484"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}