{"id":283884,"date":"2023-07-18T11:05:26","date_gmt":"2023-07-18T09:05:26","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=283884"},"modified":"2023-07-18T11:07:08","modified_gmt":"2023-07-18T09:07:08","slug":"us-anbieter-jumpcloud-per-spear-phishing-gehackt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/18\/us-anbieter-jumpcloud-per-spear-phishing-gehackt\/","title":{"rendered":"US-Anbieter JumpCloud per Spear-Phishing gehackt"},"content":{"rendered":"

[English]Keine Ahnung, ob der US Cloud- und Sicherheitsanbieter JumpCloud in Europa und im deutschsprachigen Raum eine nennenswerte Kundenbasis hat. Ich nehme es aber mal hier im Blog mit auf: JumpCloud hat gerade eingestanden, dass es Opfer einer (bereits im Juni 2023 gestarteten) APT Hackergruppe geworden sei. Eine \"kleine Anzahl\" an Kunden sei von diesen Hackern erfolgreich angegriffen worden. Diese konnten sich per Spear-Phishing auf Administratorkonten Zugriff auf die Infrastruktur zu einer Befehlsinjektion verschaffen.<\/p>\n

<\/p>\n

Der Angriff auf JumpCloud<\/h2>\n

\"\"K\u00fcrzlich hat JumpCloud alle API-Keys f\u00fcr seine Unternehmenskunden zur\u00fcckgesetzt, was laut nachfolgendem Tweet sehr viele Kunden wie cars[.]com, GoFundMe<\/em> etc. tangiert. Hintergrund war ein erfolgreicher Angriff auf die Infrastruktur des Anbieters. <\/p>\n

\"Cyber<\/p>\n

Das US-Unternehmen JumpCloud schreibt in einer Meldung<\/a> vom 12. Juli 2023, dass man am 27. Juni 2023 um 15:13 Uhr UTC anomale Aktivit\u00e4ten auf einem internen Orchestrierungssystem (wohl f\u00fcr seine Kunden) entdeckten. Diese Aktivit\u00e4t umfasste den nicht autorisierten Zugriff auf einen bestimmten Bereich der JumpCloud-Infrastruktur. Zu diesem Zeitpunkt, schreibt das Unternehmen, habe es keine Anzeichen f\u00fcr eine Beeintr\u00e4chtigung von Kunden gegeben. <\/p>\n

Angriff per Spear-Phishing-Kampagne <\/h3>\n

Die Analyse ergab, dass der Ausgangspunkt eine Spear-Phishing-Kampagne (wohl auf Administratorkonten des Anbieters war, die von dem Bedrohungsakteur am 22. Juni 2023 durchgef\u00fchrt wurde. Die Angreifer befanden sich da bereits bis zu f\u00fcnf Tage im System, so das der US-Anbieter vorsorglich beschlossen habe, die Anmeldedaten zu \u00e4ndern und die angegriffene Infrastruktur wiederherzustellen. <\/p>\n

Zudem gibt der Anbieter an, eine Reihe anderer Ma\u00dfnahmen zur Sicherung des internen Netzwerks und der Umgebung ergriffen zu haben. Au\u00dferdem wurden der vorbereitete Notfallplan aktiviert und ein Incident Response (IR) Partner beauftragt, alle Systeme und Protokolle auf m\u00f6gliche Aktivit\u00e4ten zu analysieren. Zu diesem Zeitpunkt wurden laut Anbieter auch die Strafverfolgungsbeh\u00f6rden kontaktiert und in die Ermittlungen einbezogen.<\/p>\n

Angreifer weiter im System<\/h3>\n

Das Ganze ist jetzt mehrere Wochen her. Leider hat sich die Hoffnung, dass damit das \"Problem\" (laut Anbieter durch einen staatlichen Akteur als Angreifer verursacht) durch das Zur\u00fccksetzen der Anmeldedaten und wiederherstellen der Infrastruktur beseitigt wurde, nicht erf\u00fcllt. Denn am 5. Juli 2023 entdeckte man um 03:35 UTC bei einer kleinen Gruppe von Kunden ungew\u00f6hnliche Aktivit\u00e4ten im Bereich, den JumpCloud als \"Befehls-Framework\" bezeichnet. <\/p>\n

Kundeninstanzen gezielt angegriffen<\/h3>\n

Zu diesem Zeitpunkt hatte das Sicherheitsteam aber bereits Hinweise auf Auswirkungen des Angriffs bei Kunden. In Zusammenarbeit mit diesen Kunden versuchte der Anbieter zus\u00e4tzliche Sicherheitsma\u00dfnahmen vorzunehmen. Gleichzeitig wurde beschlossen, eine Zwangsrotation aller Admin-API-Schl\u00fcssel durchzuf\u00fchren, die am 5. Juli um 23:11 Uhr UTC begann. Die Kunden wurden sofort \u00fcber diese Ma\u00dfnahme informiert.<\/p>\n

Der Anbieter JumpCloud schreibt in seiner Meldung, dass die Analyse eine Dateninjektion in das interne Befehls-Framework als Angriffsvektor aufgedeckt habe. Details werden aber keine genannt. Laut JumpCloud soll der Angriff gezielt bestimmten Kunden betroffen haben. <\/p>\n

Der Anbieter zieht den Schluss, dass es sich um hochentwickelte und hartn\u00e4ckige Angreifer mit fortgeschrittenen F\u00e4higkeiten handelt (staatlicher Akteur). Aufgrund der Analysen konnte JumpCloud eine Liste von IOCs (Indicators of Compromise) erstellen, die bei dieser Kampagne beobachtet wurden. Wie gro\u00df der Schaden f\u00fcr die angegriffenen Kunden ist, geht aus der Mitteilung nicht hervor. <\/p>\n

Wer ist JumpCloud<\/h2>\n

JumpCloud<\/a> ist eine 2013 gegr\u00fcndete Firma f\u00fcr Cloud-Sicherheitssoftware und Cybersicherheit und bietet L\u00f6sungen f\u00fcr kleine und mittelst\u00e4ndische Unternehmen sowie f\u00fcr multinationale Konzerne. Der Anbieter arbeitet au\u00dferdem eng mit Bildungseinrichtungen, Non-Profit-Organisationen und Regierungsbeh\u00f6rden zusammen. Das Unternehmen soll seit 15 Jahren auch in Deutschland aktiv sein. <\/p>\n

Die L\u00f6sung JumpCloud Directory-as-a-Service ist Active Directory und LDAP in einer neuen Form. Dar\u00fcber verwaltet und verbindet JumpCloud Nutzer laut dieser Seite<\/a> sicher mit ihren Systemen, Anwendungen, Dateien und Netzwerken. Dort hei\u00dft es auch, dass JumpCloud Nutzer und ihre Systeme auf Mac, Linux oder Windows verwaltet. Der Anbieter bietet Zugriff auf Cloud- und Vor-Ort-Ressourcen wie Office 365, G Suite, AWS, Salesforce und Jira. Mit nur einem Login sollen Nutzer \u00fcber RADIUS- und Samba-Server auf Netzwerke und Dateifreigaben zugreifen k\u00f6nnen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Keine Ahnung, ob der US Cloud- und Sicherheitsanbieter JumpCloud in Europa und im deutschsprachigen Raum eine nennenswerte Kundenbasis hat. Ich nehme es aber mal hier im Blog mit auf: JumpCloud hat gerade eingestanden, dass es Opfer einer (bereits im Juni … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,4328],"class_list":["post-283884","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283884","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=283884"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283884\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=283884"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=283884"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=283884"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}