{"id":282616,"date":"2023-06-16T15:33:16","date_gmt":"2023-06-16T13:33:16","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=282616"},"modified":"2023-08-16T00:45:19","modified_gmt":"2023-08-15T22:45:19","slug":"cyber-news-helmholtz-zentrum-berlin","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/06\/16\/cyber-news-helmholtz-zentrum-berlin\/","title":{"rendered":"Cyber-News: Helmholtz Zentrum Berlin, Barracuda-Schwachstelle, VMware-Schwachstelle etc."},"content":{"rendered":"

\"SicherheitNoch einige Sicherheitsmeldungen zum Freitag zusammengefasst. Das Helmholtz Zentrum Berlin ist aktuell Opfer eines Cyberangriffs geworden. In der Schweiz gab es die Woche Cyberangriffe auf das Finanzzentrum von Bern, und Angreifer wollen vom IT-Dienstleisterin Xplain AG erbeuteten Daten ver\u00f6ffentlichen. Zum Wochenende droht die russische Killnet-Hackergruppe mit einem Angriff auf das Banken-Netzwerk SWIFT. Mandiant hat eine chinesische Spionage-Kampagne, die \u00fcber Barracuda ESG lief, \u00f6ffentlich gemacht. Und eine chinesische Hackergruppe hat einen Schwachstellen in den VMware ESXi VMware-Tools f\u00fcr Angriffe ausgenutzt. Hier ein Abrisss diverser Sicherheitshinformationen.<\/p>\n

<\/p>\n

Helmholtz Zentrum Berlin<\/h2>\n

\"\"Ein Blog-Leser hat mich gerade per E-Mail dar\u00fcber informiert (danke daf\u00fcr), dass das Helmholtz Zentrum Berlin (HZB) unter einem Cyberangriff leidet. Auf der HZB-Seite<\/a> findet sich die Meldung vom 16. Juni 2023 mit folgendem Inhalt.<\/p>\n

\"Cyberangriff<\/p>\n

\n

CYBERANGRIFF AUF DAS HELMHOLTZ-ZENTRUM BERLIN (HZB)<\/h3>\n

Berlin, 16.06.2023: Das Helmholtz-Zentrum Berlin (HZB) ist am 15.06.2023 Ziel eines Cyberangriffs geworden. Zum Schutz haben wir alle IT-Systeme heruntergefahren. Die Forschungseinrichtung ist momentan nicht \u00fcber die Webseite, via E-Mail oder Telefon erreichbar. Wir bitten um Ihr Verst\u00e4ndnis.<\/p>\n

Helmholtz-Zentrum Berlin (HZB) became a victom of a cyber attack on 15.06.2023. To protect against it, we have shut down all IT systems. The research centre cannot be reached via the website, email or telephone at the moment. We ask for your understanding.<\/em><\/p><\/blockquote>\n

So richtig viel an Informationen finden sich nicht, au\u00dfer, dass der Vorfall am 15. Juni 2023 stattfand und die Systeme heruntergefahren wurden. Erst im M\u00e4rz 2023 gab es einen Angriff auf das Helmholtz-Zentrum \u2013 aber in M\u00fcnchen \u2013 ich hatte im Blog-Beitrag M\u00fcnchener Helmholtz-Zentrum durch Cyberangriff am 15.3.2023 lahm gelegt<\/a>.<\/p>\n

Chinesische Hacker nutzen Barracuda-Schwachstelle<\/h2>\n

Im Mai 2023 hatte ich im Blog-Beitrag Barracuda-Warnung vor Angriffen auf E-Mail-Gateways per 0-Day-Schwachstelle (19. Mai 2023)<\/a> vor einer bekannt gewordenen 0-day-Schwachstelle in den Barracuda E-Mail-Gateways berichtet. Zum 8. Juni 2023 folge dann der Aufruf Barracudas, die ESG-Einheiten auszutauschen (siehe Barracuda Email Security Gateway Appliance (ESG) sofort austauschen!<\/a>).<\/p>\n

Nun berichtet<\/a> das zu Google geh\u00f6rende Sicherheitsunternehmen Mandiant, dass Hacker (vermutlich aus China) diese 0-day-Schwachstelle ausgenutzt haben, um global Angriffe auf diese Ziele zu fahren. Die Zero-Day-Schwachstelle (CVE-2023-2868) im Barracuda Email Security Gateway (ESG) wurde bereits im Oktober 2022 in freier Wildbahn ausgenutzt. Mandiant\u00a0 wurde mit der Unterst\u00fctzung eines Vorfalls beauftragt und identifizierte einen Angreifer, mutma\u00dflich aus China, der derzeit als UNC4841 bezeichnet wird. Der Angreifer nutzen eine Untergruppe von Barracuda ESG-Appliances als Vektor f\u00fcr Spionageoperationen.<\/p>\n

\"Schad-Mail\"
\nSchad-Mail der Angreifer<\/p>\n

Bereits ab dem 10. Oktober 2022 verschickte UNC4841 E-Mails (siehe obige Abbildung) an die Opfer, die b\u00f6sartige Dateianh\u00e4nge enthielten. Diese sollten die Schwachstelle CVE-2023-2868, um einen ersten Zugang zu anf\u00e4lligen Barracuda ESG-Appliances zu erhalten. Im Verlauf ihrer Kampagne hat sich UNC4841 in erster Linie auf drei Hauptcodefamilien verlassen, um nach der erfolgreichen Ausnutzung von CVE-2023-2868 eine Pr\u00e4senz auf einer ESG-Appliance aufzubauen und aufrechtzuerhalten. Diese Code-Familien – SALTWATER, SEASPY und SEASIDE – wurden bei der Mehrheit der UNC4841-Eindringlinge identifiziert. Wie in der Barracuda-Mitteilung beschrieben, versuchen alle drei Code-Familien, sich als legitime Barracuda ESG-Module oder -Dienste auszugeben – ein Trend, den UNC4841 mit den neu identifizierten Malware-Familien fortgesetzt hat, die in diesem Blog-Post zum ersten Mal beschrieben werden.<\/p>\n

Techcrunch hat hier<\/a> eine Zusammenfassung des Sachverhalts verfasst \u2013 auch Bleeping Computer hat einen Beitrag<\/a> ver\u00f6ffentlicht. Ein deutschsprachiger \u00dcbersichtsartikel zum Thema<\/a> findet sich beim Redaktionsnetzwerk Deutschland (RND). Es wurden wohl Hunderter Organisationen und Beh\u00f6rden weltweit erfolgreich kompromittiert. Bei fast einem Drittel der Einrichtungen handele es sich um Regierungsbeh\u00f6rden, etwa Au\u00dfenministerien. Die betroffenen Einrichtungen haben laut Mandiant zu 55 Prozent ihren Sitz in Nord- und S\u00fcdamerika, 22 Prozent in Asien und 24 Prozent in Europa, dem Nahen Osten und Afrika.<\/p>\n

Chinesische Hacker nutzen VMware ESXi 0-day<\/h2>\n

VMware hat die Woche einen Patch<\/a> f\u00fcr eine 0-Day-Schwachstelle CVE-2023-20867 in VMware ESXi in den VMware Tools ver\u00f6ffentlicht. Die Schwachstelle wurde von einer aus China gesponserten Hackergruppe , um virtuelle Windows- und Linux-Maschinen durch Hintert\u00fcren zu sch\u00fctzen und Daten zu stehlen. Mandiant hat die Angriffe der als UNC3886 bezeichneten Gruppe entdeckt (siehe diesen Artikel<\/a>).<\/p>\n

Die Angreifer nutzen die Authentifizierungsumgehungsschwachstelle CVE-2023-20867 in den VMware Tools aus, um VirtualPita- und VirtualPie-Hintert\u00fcren auf Gast-VMs von kompromittierten ESXi-Hosts zu implementieren. Die Schwachstelle erm\u00f6glichte es, Privilegien zu Root-Rechten auszuweiten.<\/p>\n

Die Kollegen von deskmodder.de hatten die Tage im Beitrag VMware Tools 12.2.5 korrigieren eine Sicherheitsl\u00fccke und mehr<\/a> \u00fcber ein Update der VMware-Tools berichtet. Bleeping Computer hat das Thema in diesem Beitrag<\/a> ebenfalls aufgegriffen und gibt einen \u00dcberblick.<\/p>\n

Weitere Sicherheitsinformationen<\/h2>\n

PS: Mal schauen, ob der n\u00e4chste Gau droht –\u00a0 ein Hackerkollektiv unter der F\u00fchrung von Killnet will das SWIFT-Netzwerk der europ\u00e4ischen Banken angreifen \u2013 soll wohl zum Wochenende passieren, wenn ich den folgenden Tweet<\/a> richtig interpretieren.<\/p>\n

\"SWIFT<\/a><\/p>\n

HonkHase gibt aber auf Twitter seine Einsch\u00e4tzung<\/a> \u2013 mal abwarten, ob es am Wochenende Probleme gibt. Solche Netzwerke sollten gegen DDoS-Angriffe eigentlich abgesichert sein.<\/p>\n

Hacks in der Schweiz<\/h3>\n

Laut diesem Bericht<\/a> von Cybernews haben russische Hacker vor Tagen das Portal des Genfer Finanzplatzes erfolgreich angegriffen.<\/p>\n

Und watson.ch schreibt in diesem Artikel<\/a>, dass die Ransomware-Bande Play angek\u00fcndigt hat, einen Full-Dump der beim Berner IT-Dienstleisterin Xplain AG erbeuteten Daten zu ver\u00f6ffentlichen. Wir reden \u00fcber 1 Terabyte an Daten, die einiges an vertraulichen Dokumenten (Polizei, Milit\u00e4r, Kantone etc.) enthalten d\u00fcrften.<\/p>\n

\"Xplain<\/a><\/p>\n

Erg\u00e4nzung:<\/strong> Der Fall w\u00e4chst sich nun (laut obigem Tweet<\/a>) wohl richtig aus und zeigt, wie die Zentralisierung der IT-Leistungen \"in der Cloud\" wirkt. Die NZZ hat in diesem Artikel<\/a> einige Informationen ver\u00f6ffentlicht. Im Moment scheitert die Analyse an der schieren Menge der Daten – wenn sich aber wirklich Steuerinformationen in den Datens\u00e4tzen befinden, ist der GAU eingetreten.<\/p>\n","protected":false},"excerpt":{"rendered":"

Noch einige Sicherheitsmeldungen zum Freitag zusammengefasst. Das Helmholtz Zentrum Berlin ist aktuell Opfer eines Cyberangriffs geworden. In der Schweiz gab es die Woche Cyberangriffe auf das Finanzzentrum von Bern, und Angreifer wollen vom IT-Dienstleisterin Xplain AG erbeuteten Daten ver\u00f6ffentlichen. Zum … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-282616","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282616","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=282616"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282616\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=282616"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=282616"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=282616"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}