{"id":285530,"date":"2023-09-02T09:27:34","date_gmt":"2023-09-02T07:27:34","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285530"},"modified":"2023-09-02T14:00:09","modified_gmt":"2023-09-02T12:00:09","slug":"sicherheit-online-shop-von-segmller-offline-infizierte-signal-app-logicmonitor-gehackt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/09\/02\/sicherheit-online-shop-von-segmller-offline-infizierte-signal-app-logicmonitor-gehackt\/","title":{"rendered":"Sicherheit: Online-Shop von Segmüller offline, infizierte Signal-App, LogicMonitor gehackt"},"content":{"rendered":"

\"SicherheitMomentan rappelt es mal wieder in Punkto Hacks und Cyberangriffen oder infizierte Apps. So wurden mit Trojanern versehene App-Versionen der Messenger Signal und Telegram im Google Play Store gefunden. Der Online-Shop des M\u00f6belhauses Seegm\u00fcller war vom 1.9.2023 bis zum 2.9.2023 (Mittags) offline, was mit Wartung begr\u00fcndet wurde. Weiterhin ist es Cyberangreifern gelungen, Ransomware auf Kundensystemen des Cloud-Monitoring-Anbieters Logicmonitor zu installieren. Ursache waren wohl schwache Passw\u00f6rter. Und die deutsche Kartographiebeh\u00f6rde wurde durch chinesische Cyberangreifer gehackt. Hier ein Abriss aktueller Cyber-Meldungen.<\/p>\n

<\/p>\n

LogicMonitor-Kunden kompromittiert<\/h2>\n

\"\"LogicMonitor<\/a> ist die laut eigenen Angaben f\u00fchrende SaaS-basierte Plattform f\u00fcr IT-Abteilung von Unternehmen und Anbieter von verwalteten Diensten, um IT-Systeme zu \u00fcberwachen. Die Woche best\u00e4tigte LogicMonitor<\/a>, dass einige Nutzer seiner SaaS-Plattform bereits vorige Woche Opfer von Cyberangriffen geworden seien. Laut Bleeping Computer<\/a> betrifft der Angriff nur eine \"kleine Anzahl\" von Nutzern.<\/p>\n

Gegen\u00fcber Bleeping Computer best\u00e4tigt LogicMonitor zwar keine Ransomware-Angriffe auf die betroffenen Kunden. Anonyme Quellen, die mit den Vorf\u00e4llen vertraut sind, haben Bleeping Computer gegen\u00fcber angegeben, dass die Bedrohungsakteure Kundenkonten hackten und \"in der Lage waren, lokale Konten zu erstellen und Ransomware zu installieren\".<\/p>\n

Laut diesen Quellen soll die Ransomware mithilfe der LogicMonitor Collector-Sensoren der Plattform installiert worden sein. Diese Sensoren \u00fcberwachen vor Ort die Benutzerinfrastruktur und verf\u00fcgen wohl auch \u00fcber Skriptfunktionen. Die Bedrohungsakteure sollen dabei Skripte von der Cloud-basierten Plattform aus eingesetzt haben, die dann auf die Collectors vor Ort \u00fcbertragen und dort ausgef\u00fchrt wurden.<\/p>\n

\"LogicMonitor-Kunden<\/a><\/p>\n

Obigem Tweet<\/a> und diesem Beitrag<\/a> von Golem entnehme ich, dass wohl schwache Passw\u00f6rter der Grund waren, dass die Angreifer die Ransomware auf den Kundensystemen installieren konnten. Golem bezieht sich auf diesen Techcrunch-Artikel<\/a>.<\/p>\n

Cyberangriff auf Segm\u00fcller oder nur Wartung?<\/h2>\n

Momentan ist der Online-Shop des M\u00f6belhauses Segm\u00fcller offline. Auf segmueller.de<\/a> wird mir aktuell (2. Sept. 2023, 9:12 Uhr) nur der Hinweis angezeigt, dass der Shop sich gerade im Wartungsmodus befindet.<\/p>\n

\"Segm\u00fcller<\/p>\n

Klingt harmlos und Wartungsarbeiten sind auch schon mal f\u00e4llig, zumal Monatsanfang und Wochenende ist. Aber ich bin auf den nachfolgenden Tweet<\/a> von ransomwaremap gesto\u00dfen, die doch einen Cyberangriff als Ursache f\u00fcr die Wartungsarbeiten vermuten l\u00e4sst.<\/p>\n

\"Cyberangriff<\/p>\n

Der obige Tweet zeigt eine Gateway Timeout Meldung 504 an, die mitteilt, dass der Server nicht erreichbar sei. Die Meldung kommt von Link11, einem Anbieter, der auf IT-Sicherheit f\u00fcr Webdienste spezialisiert ist. Der Tweet wurde zum 1. September 2023 gegen 6:34 Uhr abgesetzt, und nun sind wir 24 Stunden weiter. Der Online-Shop ist immer noch im Wartungsmodus. Das kann nat\u00fcrlich eine kaputte Datenbank, eine geplante Wartung wegen Software-Umstellung oder was anderes sein. Eine Best\u00e4tigung eines Cyberangriffs gibt es auf der Seite nicht – der Vorgang l\u00e4dt aber zu Spekulationen ein. Erg\u00e4nzung:<\/strong> Zum 2. September 2023, 13:50 Uhr, l\u00e4uft der Shop wieder – daher ist es wohl eher kein Cyberangriff, auf der Seite des Unternehmens findet sich auch nichts.<\/p>\n

Infizierte Apps von Signal und Telegram<\/h2>\n

Sicherheitsforscher von ESET sind im Google Play Store auf gef\u00e4lschte Apps von Signal und Telegram gesto\u00dfen und haben die Kampagne mit BadBazaar bezeichnet. Die Kampagne wird von der aus China stammenden APT-Gruppe GREF ausgef\u00fchrt und zielt auf die Volksgruppe der Uiguren ab.<\/p>\n

\"BadBazaar<\/a><\/p>\n

Laut obigem Tweet muss sich der Benutzer bei \"Trojanized Signal\" \u00fcber die legitime Signal-Funktionalit\u00e4t anmelden. Nach der Anmeldung beginnt \"Trojanized Signal\", mit seinem Command-and-Control-Server (C&C) zu kommunizieren. Das Gleiche passiert wohl auch beim Telegram Messenger. Details finden sich in diesem Beitrag<\/a>.<\/p>\n

Deutsche Kartographiebeh\u00f6rde gehackt<\/h2>\n

Weiterhin wurde die deutsche Kartographiebeh\u00f6rde nach verschiedenen Medienberichten durch Cyber-Spione gehackt. Hinter dem Angriff sitzen wohl staatliche Akteure aus China, die private Router und Internet-Sitzungen. Der \u00f6sterreichische Standard hat das Ganze (zusammen mit deutschen Medien wie Spiegel Online, deren Beitr\u00e4ge aber hinter Paywalls stecken) in diesem Artikel<\/a> aufbereitet. heise hat in diesem Artikel<\/a> ebenfalls einige Details\u00a0 zusammen getragen.<\/p>\n

Noyb und der Kampf f\u00fcr Datenschutz<\/h2>\n

Abschlie\u00dfend noch zwei Informationssplitter von der Organisation noyb, die sich rund um Max Schrems f\u00fcr Datenschutz innerhalb der EU einsetzen.<\/p>\n

\"noyb<\/a><\/p>\n

In obigem Tweet<\/a> und diesem Artikel<\/a> weisen sie darauf hin, dass der Anbieter Fitbit die DSGVO nicht einh\u00e4lt und Daten unzul\u00e4ssigerweise in die USA transferiert. Das beliebte Gesundheits- und Fitnessunternehmen (wurde 2021 von Google \u00fcbernommen) zwingt neue App-Nutzer dazu, den Datentransfers in L\u00e4nder au\u00dferhalb der EU zuzustimmen.<\/p>\n

Entgegen der gesetzlichen Vorgaben h\u00e4tten die App-Nutzer nicht einmal die M\u00f6glichkeit, ihre Zustimmung zu widerrufen. Stattdessen m\u00fcssen sie ihr Konto vollst\u00e4ndig l\u00f6schen, um die illegale Verarbeitung zu stoppen.\u00a0noyb\u00a0hat daher drei Beschwerden gegen Fitbit in \u00d6sterreich, den Niederlanden und in Italien eingereicht.<\/p>\n

Bereits Mitte August 2023 hatte noyb in diesem Beitrag<\/a> darauf hingewiesen, dass Firmen und Beh\u00f6rden seit 23 Jahren illegaler Weise Daten in die USA \u00fcbertragen. Angeprangert werden unt\u00e4tige Datenschutzaufsichtsbeh\u00f6rden und vom EuGH als unzul\u00e4ssig eingestufte EU-US-Datenschutzabkommen, die diesen illegalen Datentransfer pers\u00f6nlicher Nutzerdaten von EU-B\u00fcrgern erm\u00f6glichen.<\/p>\n

Die 23 Jahre ergeben sich aus dem Umstand, dass die Urteile sich auch auf die Vergangenheit beziehen und seit 2000 kein g\u00fcltiges Datenschutzabkommen mit den USA bestehe.<\/p>\n","protected":false},"excerpt":{"rendered":"

Momentan rappelt es mal wieder in Punkto Hacks und Cyberangriffen oder infizierte Apps. So wurden mit Trojanern versehene App-Versionen der Messenger Signal und Telegram im Google Play Store gefunden. Der Online-Shop des M\u00f6belhauses Seegm\u00fcller war vom 1.9.2023 bis zum 2.9.2023 … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-285530","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285530","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285530"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285530\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285530"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285530"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285530"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}