{"id":291104,"date":"2024-01-26T19:37:50","date_gmt":"2024-01-26T18:37:50","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291104"},"modified":"2024-01-29T13:59:28","modified_gmt":"2024-01-29T12:59:28","slug":"ransomware-bei-kommunal-it-dienstleister-sdwestfalen-it-nachlese-it-forensik-bericht-teil-1","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/01\/26\/ransomware-bei-kommunal-it-dienstleister-sdwestfalen-it-nachlese-it-forensik-bericht-teil-1\/","title":{"rendered":"Ransomware bei Kommunal IT-Dienstleister S&uuml;dwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Zum 30. Oktober 2023 wurde die S\u00fcdwestfalen IT, ein kommunaler IT-Dienstleister, Opfer eines Akira-Ransomware-Angriffs. Seit dieser Zeit ist eine zwei- bis dreistellige Zahl an Kommunen IT-m\u00e4\u00dfig offline bzw. stark eingeschr\u00e4nkt. Es gibt inzwischen einen Forensik-Bericht der Sicherheitsdienstleister, der mehr Informationen liefert, als \u00f6ffentliche Berichte widergeben. In Teil 1 arbeite ich die Erkenntnis ab, die sich auf den urspr\u00fcnglich genutzten Angriffsvektor VPN-Zugang beziehen.<\/p>\n<p><!--more--><\/p>\n<h2>Anmerkungen zum Hintergrund<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/d8d77f25555846d3bf6b3bd67e9c8538\" alt=\"\" width=\"1\" height=\"1\" \/>Der Ransomware-Befall Ende Oktober 2023 hatte die IT von weit \u00fcber Hundert Kommunen lahm gelegt &#8211; ich hatte in diversen Blog-Beitr\u00e4gen wie <a href=\"https:\/\/borncity.com\/blog\/2023\/10\/30\/stillstand-nach-cyberangriffen-auf-kommunen-in-sdwestfalen-und-parkhuser-in-osnabrck\/\">Stillstand nach Cyberangriffen auf Kommunen in S\u00fcdwestfalen und Parkh\u00e4user in Osnabr\u00fcck<\/a> \u00fcber den Vorfall berichtet (siehe Links am Artikelende). Zum 25. Januar 2024 liegt auch der IT-Forensik-Bericht der beauftragten Dienstleister vor und die S\u00fcdwestfalen IT (SIT) hatte auf ihrer Webseite eine neue Stellungnahme mit Informationen zum Vorfall ver\u00f6ffentlicht. Ab 1. Februar 2024 soll ein neuer Gesch\u00e4ftsf\u00fchrer den Vorfall weiter in der Aufkl\u00e4rung und Behebung vorantreiben.<\/p>\n<p>Ich hatte, auf Grund der \u00f6ffentlich verf\u00fcgbaren Informationen, den Sachverhalt in einem Blog-Beitrag (<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/26\/ransomware-bei-kommunal-it-dienstleister-sdwestfalen-it-stand-januar-2024\/\">Ransomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT; Stand Januar 2024<\/a>) aufbereitet, dabei aber eine Menge Fragen aufgeworfen. Denn zu vieles von dem, was \u00f6ffentlich kommuniziert wurde, passte nicht zu meinen Erkenntnissen zu bisherigen Cybervorf\u00e4llen und den Informationen, die ich aus diversen Quellen zum SIT-Vorfall hatte.<\/p>\n<p>Das endete damit, dass die Pressebetreuung bei mir anrief und mir anbot, den IT-Forensik-Bericht der mit der Aufkl\u00e4rung beauftragten r-tec IT Security aus Wuppertal zur Verf\u00fcgung zu stellen. Dieser Bericht liegt mir inzwischen vor, ist aber mit vertraulich gekennzeichnet. Obwohl die Pressebetreuung der S\u00fcdwestfalen IT mir keine Restriktionen auferlegt hat, m\u00f6chte ich das Dokument auf Grund der Klassifizierung \"vertraulich\" nicht hier im Blog einstellen und auch keine Verlinkungen vornehmen (das Dokument wurde im Forum Wermelskirchen eingestellt &#8211; wird jeder bei einer Suche finden).<\/p>\n<h2>Angriff \u00fcber VPN-Zugang<\/h2>\n<p>Bekannt in der \u00d6ffentlichkeit ist inzwischen, dass die Angreifer von Akira \u00fcber einen \"kompromittierten\" VPN-Zugang Zugriff auf das IT-Netzwerk der S\u00fcdwestfalen IT erhielten. Von dort konnten sich die Angreifer Administrator-Zugriff auf eine Active Directory-Domain verschaffen, die zur Verwaltung der Systemdienste benutzt wurde. Im ersten Schritt m\u00f6chte ich diesen Teil des Angriffs etwas aufbereiten, da es bereits viele Details aus der Kategorie \"sollte man so nicht machen\" beinhaltet.<\/p>\n<h3>Angriffsversuche seit dem 18. Oktober 2023<\/h3>\n<p>In der \u00f6ffentlichen Kommunikation hei\u00dft es, dass der \"Angriff in der Nacht vom 30. Oktober 2023\" erfolgte, und man dann das \"sofort erkannt und die Gefahr durch Herunterfahren der Systeme gebannt bzw. durch Verhinderung der Ausbreitung eingegrenzt habe\". Die mit der Aufkl\u00e4rung beauftragten r-tec IT Security Experten konnten den Verlauf des Angriffs aber nachzeichnen.<\/p>\n<p>Von der S\u00fcdwestfalen IT wurde intern <a href=\"https:\/\/en.wikipedia.org\/wiki\/Cisco_ASA\" target=\"_blank\" rel=\"noopener\">Cisco ASA<\/a> als Firewall-L\u00f6sung eingesetzt. Von den IT-Forensikern wurden die Protokolldateien (Logs) der Cisco ISE (steht f\u00fcr <a href=\"https:\/\/www.cisco.com\/site\/de\/de\/products\/security\/identity-services-engine\/index.html\" target=\"_blank\" rel=\"noopener\">Cisco Identity Services Engine<\/a>, die zum Identit\u00e4tsmanagement genutzt wird) ausgewertet. Dabei ist festzuhalten, dass die Log-Dateien f\u00fcr die Analyse nur bis zum 6. Oktober 2023 zur\u00fcckreichen, weil \u00e4ltere Daten nach einem bestimmten Zeitraum \u00fcberschrieben werden.<\/p>\n<p>Bereits am 18. Oktober 2023 kam es zu auff\u00e4lligen Anomalien im Login-Verhalten. Zwischen 16:25 bis 21:22 Uhr deutscher Zeit kam es \u00fcber die Cisco ASA zu mehrere VPN-Login-Versuchen aus den USA an verschiedenen Konten, die dem Angreifer eindeutig zugeordnet werden k\u00f6nnen.<\/p>\n<ul>\n<li>Im Forensik-Bericht hei\u00dft es, dass die VPN-Anmeldeversuche teilweise fehl schlugen.<\/li>\n<li>Es gab auch Login-Versuche per VPN, die bei einem Benutzer der Domain <em>intra.lan <\/em>erfolgreich waren.<\/li>\n<\/ul>\n<p>In einer stark gerafften Darstellung hei\u00dft es, dass am 18. Oktober 2023 fehlgeschlagene Anmeldeversuche per VPN von einem anonymen Nutzer auf 100 Servern in den Log-Dateien gefunden wurden. Dass SIT-Mitarbeiter eher nicht aus den USA zu arbeiten pflegen, wurde zur Erkennung dieser Login-Versuche wohl nicht ausgewertet.<\/p>\n<p>Weitere Logins (ohne Sessions) gab es am 20.10, 25.10, 27.10, 28.10 und 29.10.2023. Auff\u00e4llig ist, dass diese erfolglosen und erfolgreichen VPN-Anmeldeversuche aus den USA und aus anderen L\u00e4ndern (Niederlande) stattfanden. Zudem lese ich, dass am 18.10.2023, zwischen 17:26 \u2013 17:36 Uhr (also 10 Minuten) insgesamt 190 fehlgeschlagene Anonymous-SMB-Login-Versuche auf 190 Systeme in der Dom\u00e4ne <em>intra.lan <\/em>erfolgten. Das w\u00e4re imho eigentlich ein sicheres Zeichen f\u00fcr einen Einbruchsversuch, der von Sicherheitssystemen erkannt worden w\u00e4re, wenn es diese mit entsprechender Konfigurierung gegeben h\u00e4tte.<\/p>\n<p>Beim VPN-Zugriff am 29.10.2023 griff ein Akira-Mitglied \u00fcber eine IP-Adresse aus den USA per RDP \u00fcber das Active Directory-Konto <em>intra\/Administrator <\/em>auf insgesamt 23 Windows Server (haupts\u00e4chlich DCs und Dateiserver) zu. Die Session dauerte vom 29.10.2023, 11:34 Uhr bis zum 30.10.2023 um 05:45 Uhr, wobei irgendwann die Verschl\u00fcsselung angesto\u00dfen wurde. Dazu m\u00f6chte ich in einem separaten Beitrag was schreiben.<\/p>\n<h3>Unklar, wie die Anmeldedaten erbeutet wurden<\/h3>\n<p>Die Sicherheitsspezialisten der r-tec IT Security konnten nicht eindeutig kl\u00e4ren, wie die Angreifer an die VPN-Zugangsdaten der S\u00fcdwestfalen-IT gelangten. Die Vermutung \"Phishing\" konnte nach Auswertung der E-Mails nicht erh\u00e4rtet werden. Zu dem in einem Medienbericht ge\u00e4u\u00dferten Verdacht, dass ein Passwort \"<em>Admin123456<\/em>\" verwendet wurde, konnte ich im Abschlussbericht nichts finden.<\/p>\n<p>Die Forensiker \u00e4u\u00dfern im Abschlussbericht die Vermutung, dass der VPN-Zugang durch die Angreifer schlicht durch einen Brute-Force-Angriff (m\u00f6glicherweise per Passwort-Spraying, bei der bekannte Kennw\u00f6rter ausprobiert wurden) geknackt wurde. Nachdem die Angreifer Zugriff auf das IT-Netzwerk hatten, wurden weitere Schritte geplant.<\/p>\n<p>In dieser Betrachtung des Ablaufs lassen sich einige Problemstellen erkennen. So war es den Angreifern m\u00f6glich, aus verschiedenen L\u00e4ndern per VPN auf die IT-Infrastruktur der S\u00fcdwestfalen IT zuzugreifen. Auch war keine Erkennung auf Brute-Force-Angriffe vorhanden. Hier h\u00e4tten entsprechende Restriktionen das Ganze zumindest schwieriger f\u00fcr die Angreifer machen k\u00f6nnen.<\/p>\n<p>Die Forensiker halten es aber auch f\u00fcr m\u00f6glich, dass die Zugangsdaten \u00fcber eine bekannte Schwachstelle in Cisco-Produkten erbeutet werden konnte (siehe folgender Abschnitt) &#8211; bewiesen ist das aber nicht.<\/p>\n<h3>Domain-Administrator-Passwort in Gruppenrichtlinie<\/h3>\n<p>Unklar ist mir auch, warum Administrator-Konten per VPN aufgerufen werden k\u00f6nnen und warum diese nicht besonders gesichert wurden (z.B. Authentifizierung \u00fcber Zertifikate , MFA). Und wieso konnte jemand sich mit einem VPN-Zugang im Netzwerk unter neuen Benutzern an anderen Konten anmelden. Zero-Trust wurde da innerhalb des SIT-Netzwerks sehr speziell interpretiert &#8211; \"wer drin ist, dem vertrauen wir\", und weil das so ist, wurde noch ein besondere Schmankerl im Abschlussbericht offen gelegt.<\/p>\n<p>Das oben erw\u00e4hnte Administrator-Passwort ist im Bericht zwar nicht aufgef\u00fchrt. Aber die Sicherheitsexperten stellten fest, dass das Kennwort des Dom\u00e4nen-Administrators <em>intra.lan\\Administrator <\/em>seit 2014 in einem Gruppenrichtlinienobjekt in entschl\u00fcsselbarer Textform hinterlegt war. L\u00e4sst sich leicht durchf\u00fchren, und wer das Passwort kennt, kann sich zum Domain-Administrator mit allen Rechten machen.<\/p>\n<p>Es kann also sein, dass durch den Angriff vom 18. Oktober 2023 bereits gen\u00fcgend Daten gesammelt worden waren, um sp\u00e4ter per VPN-Zugang auf das Dom\u00e4nen-Administrator-Konto zuzugreifen. Diese Rechteausweitung ist dann forensisch nicht nachweisbar.<\/p>\n<h2>Problem mit Sicherheitsl\u00fccken<\/h2>\n<p>Im Rahmen der Analyse stellte sich auch heraus, dass die S\u00fcdwestfalen IT ein massives Problem mit ungepatchten Cisco-Systemen hatten. In meinem Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/26\/ransomware-bei-kommunal-it-dienstleister-sdwestfalen-it-stand-januar-2024\/\">Ransomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT; Stand Januar 2024<\/a> hei\u00dft es zwar (ich hatte mich auf \u00f6ffentliche Informationen bezogen), dass es 0-day-Schwachstellen gegeben habe. Das ist so aber nicht ganz korrekt.<\/p>\n<p>Dazu muss man wissen, dass es zum 6. September 2023 von Cisco das Security Advisory <a href=\"https:\/\/sec.cloudapps.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-asaftd-ravpn-auth-8LyfCkeC\" target=\"_blank\" rel=\"noopener\">Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Remote Access VPN Unauthorized Access Vulnerability<\/a> ver\u00f6ffentlicht wurde. Dort wurde vor der Schwachstelle CVE-2023-20269 gewarnt, und es hie\u00df: Eine Schwachstelle in der Fernzugriffs-VPN-Funktion der Cisco Adaptive Security Appliance (ASA) Software und der Cisco Firepower Threat Defense (FTD) Software k\u00f6nnte es einem nicht authentifizierten, entfernten Angreifer erm\u00f6glichen, einen Brute-Force-Angriff durchzuf\u00fchren. Dies erm\u00f6glicht es, g\u00fcltige Kombinationen aus Benutzernamen und Passwort zu ermitteln, oder einem authentifizierten, entfernten Angreifer, eine clientlose SSL-VPN-Sitzung mit einem nicht autorisierten Benutzer aufzubauen.<\/p>\n<p>Von Cisco wurden Sicherheitsupdates ver\u00f6ffentlicht &#8211; das Problem mit der Schwachstelle war also am 6.9.2023 behebbar. Ein Blog-Leser hat mich zudem auf einem Artikel <a href=\"https:\/\/www.tenable.com\/blog\/cve-2023-20269-zero-day-vulnerability-in-cisco-asa-and-ftd-reportedly-exploited-ransomware-groups\" target=\"_blank\" rel=\"noopener\">CVE-2023-20269: Zero-Day Vulnerability in Cisco Adaptive Security Appliance and Firepower Threat Defense Reportedly Exploited by Ransomware Groups<\/a> von Tenable hingewiesen, der auch im Abschlussbericht erw\u00e4hnt wurde. Zum 11. September 2023 wiesen die Tenable Sicherheitsforscher auf den Patch von Cisco hin und schrieben, dass die Schwachstelle durch Ransomware-Gruppen ausgenutzt wurde.<\/p>\n<h2>Zusammenfassung der Erkenntnisse<\/h2>\n<p>Nur f\u00fcrs Protokoll: Am 18. Oktober 2023 haben die Angreifer dann mal bei der S\u00fcdwestfalen IT vorbei geschaut. Danach gab es einige \"Besuche\" und am 29.\/30. Oktober 2023 das \"Abschiedskonzert\". Der obige Abriss verdeutlicht bereits, wie problematisch die Sicherheitsstrukturen bei der S\u00fcdwestfalen IT waren und einfach die Angreifer es hatten &#8211; nachdem diese in etwa die Struktur verstanden hatten.<\/p>\n<p>Der Abriss verdeutlicht auch, warum so Dinge wie der Defender oder irgendwelche Sicherheitssysteme nicht anschlugen. Die Sicherheitssysteme waren nicht darauf ausgelegt, einen Angreifer, der den VPN-Zugang \u00fcberwunden hat, zu erkennen und abzuweisen. Und der VPN-Zugang war gegen\u00fcber Brute-Force-Angriffen oder Zugriffen aus dem fernen Ausland nicht abgesichert.<\/p>\n<p>Hinter dem VPN fungierte das S\u00fcdwestfalen IT-Netzwerk sozusagen als \"Trusted Zone\" &#8211; wenn Du drin bist, darfst Du erst einmal alles tun, wir haben ja noch die Passw\u00f6rter im Active Directory, um Konten zu sch\u00fctzen. Und wie will man schon ein Passwort f\u00fcr den Domain-Administrator finden, wenn das in Millionen Bytes und Gruppenrichtlinien versteckt ist &#8211; die Nadel im Heuhaufen findet niemand &#8230;<\/p>\n<p>In einem weitere Teil m\u00f6chte ich auf weitere Punkte wie die Bewegung der Angreifer in der Dom\u00e4ne oder die Frage, warum die Angreifer wohl keine Daten vor dem Verschl\u00fcsseln abziehen konnten, eingehen.<\/p>\n<p><strong>Artikelreihe:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/26\/ransomware-bei-kommunal-it-dienstleister-sdwestfalen-it-nachlese-it-forensik-bericht-teil-1\/\">Ransomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/29\/ransomware-bei-kommunal-it-dienstleister-sdwestfalen-it-nachlese-it-forensik-bericht-teil-2\/\" target=\"_blank\" rel=\"noopener\">Ransomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 2<\/a><\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/10\/30\/stillstand-nach-cyberangriffen-auf-kommunen-in-sdwestfalen-und-parkhuser-in-osnabrck\/\">Stillstand nach Cyberangriffen auf Kommunen in S\u00fcdwestfalen und Parkh\u00e4user in Osnabr\u00fcck<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/11\/06\/cyberangriff-auf-sdwestfalen-it-trifft-mindestens-103-kommunen\/\">Cyberangriff auf S\u00fcdwestfalen IT trifft mindestens 103 Kommunen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/11\/10\/neues-zum-cyberangriff-auf-sdwestfalen-it\/\">Neues zum Cyberangriff auf S\u00fcdwestfalen IT<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/11\/14\/cyberangriff-auf-sdwestfalen-it-sit-chaos-bei-betroffenen-kommunen\/\">Cyberangriff auf S\u00fcdwestfalen IT (SIT): Chaos bei betroffenen Kommunen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/11\/17\/sdwestfalen-it-sit-will-bald-erste-fachverfahren-nach-angriff-wieder-freischalten\/\">S\u00fcdwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/12\/14\/sdwestfalen-it-wiederanlauf-nach-cyberangriff-dauert-lnger-betreiber-werden-versumnisse-vorgeworfen\/\">S\u00fcdwestfalen IT: Wiederanlauf nach Cyberangriff dauert l\u00e4nger; Betreiber werden Vers\u00e4umnisse vorgeworfen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/26\/ransomware-bei-kommunal-it-dienstleister-sdwestfalen-it-stand-januar-2024\/\">Ransomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT; Stand Januar 2024<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2023\/11\/12\/cyber-security-ii-it-planungsrat-empfiehlt-kommunal-it-von-nis-2-richtlinie-auszunehmen\/\">Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/12\/12\/nis2-muss-bis-17-oktober-2024-von-unternehmen-umgesetzt-werden\/\">NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2024\/01\/22\/schwedisches-rechenzentrum-des-finnischen-cloud-anbieter-tietoevry-per-akira-ransomware-lahm-gelegt\/\">Schwedisches Rechenzentrum des finnischen Cloud-Anbieter Tietoevry per Akira-Ransomware lahm gelegt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/13\/warnung-vor-schwachstellen-fortinet-ivanti-und-mehr-januar-2024\/\">Warnung vor Schwachstellen; Fortinet, Ivanti und mehr (Januar 2024)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Zum 30. Oktober 2023 wurde die S\u00fcdwestfalen IT, ein kommunaler IT-Dienstleister, Opfer eines Akira-Ransomware-Angriffs. Seit dieser Zeit ist eine zwei- bis dreistellige Zahl an Kommunen IT-m\u00e4\u00dfig offline bzw. stark eingeschr\u00e4nkt. Es gibt inzwischen einen Forensik-Bericht der Sicherheitsdienstleister, der mehr Informationen &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/26\/ransomware-bei-kommunal-it-dienstleister-sdwestfalen-it-nachlese-it-forensik-bericht-teil-1\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-291104","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291104","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=291104"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291104\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=291104"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=291104"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=291104"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}