![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Ein Blog-Leser hat mich vor einigen Stunden \u00fcber einen komplexen Spear-Phishingangriff informiert, der einen seiner Kunden betroffen hat. Da es einen Kunden aus dem Energieversorgungsbereich betrifft, ist das LKA Rheinland-Pfalz inzwischen involviert. Ich stelle die Informationen mal hier im Blog ein, da es eine komplexe technische Umsetzung und der mir erste bekannte Fall ist, wo das Opfer binnen weniger Minuten durch die Angreifer attackiert wird.<\/p>\n
<\/p>\n
Blog-Leser Carsten ist Inhaber eines IT-Systemhauses (Hauptbereiche IT-Systemadministration, Cybersicherheit \/ Managed Services) und wurde bei einem Kunden am 16. September 2024 auf den nachfolgend beschriebenen Spear-Phishing-Angriff aufmerksam bzw. zur Abwehr hinzugezogen.<\/p>\n
Casten schrieb in einer Mail. \"Ich verfolge Ihren Blog bereits seit einigen Jahren und wollte Sie auf einen am gestrigen Tag bei einem unserer Kunden stattgefundenen Spear-Phishingangriff aufmerksam machen, der nun auch zu einem Ermittlungsverfahren beim LKA RLP gef\u00fchrt hat, da es sich um einen Kunden aus dem Energiesektor handelt. Bemerkenswert ist die technische Umsetzung, die mir so noch nicht auf den Tisch kam.\"<\/p>\n
Der Leser konnte den Ablauf des gezielten Hackerangriffs bei diesem Kunden nachvollziehen. Der Angriff erfolgte per Mail, wobei sich in dieser Mail auf eine vorangegangene Korrespondenz mit einem Gesch\u00e4ftspartner des Kunden bezogen wurde. Es handelt sich beim Kunden und Gesch\u00e4ftspartner ebenfalls um ein Unternehmen aus dem Energiesektor.<\/p>\n
In diesem Kontext gab es f\u00fcr den Empf\u00e4nger der Mail keinen offensichtlichen Grund zum Misstrauen (wie dies bei den \u00fcblichen Phishing-Mails eigentlich der Fall gewesen w\u00e4re). Dies gilt um so mehr, da der Kunde auf eine E-Mail bzw. einen Anhang dieses Kontakts\u00a0 wartete.<\/p>\n
Die Analyse des Vorfalls ergab, dass der Gesch\u00e4ftspartner Opfer eines (wohl erfolgreichen) Cyberangriff geworden war. Die Angreifer hatten wohl einerseits Zugriff auf die Mails des gehackten Unternehmens und waren auch in der Lage, deren Inhalt zu interpretieren und f\u00fcr weitere Angriffe zu verwenden.<\/p>\n
![\"Dropbox-Freigabe](\"https:\/\/i.postimg.cc\/wxhdVGND\/image001.png\")
<\/p>\n
Der Kunde des Blog-Lesers erhielt in der Phishing-Mail einen Link zur einer Dropbox -Freigabe (Cloud-Freigabe). Der Dropbox-Link war ausschlie\u00dflich f\u00fcr das Opfer freigegeben (siehe obiger Screenshot). Der Leser teilte mir noch mit, dass der Link auf die Dropbox-Freigabe eine E-Mail-Domain des Opfers verlangte, um an die Datei zu kommen.<\/p>\n
Es wurde also schon Aufwand betrieben. Das herunterzuladende PDF-Dokument forderte den Empf\u00e4nger der Spear-Phishing-Mail dazu auf, sich an einem Microsoft 365-Konto anzumelden (Bezug zur E-Mail-Domain des Opfers) und nach der Anmeldung einen Anhang herunterzuladen. Es war auch eine Verlinkung zu einer fingierten Microsoft 365-Anmeldeseite (siehe Screenshot) in der Mail angegeben. Die Phishing-Anmeldeseite war vom Original kaum zu unterscheiden.<\/p>\n
![\"Fingierte](\"https:\/\/i.postimg.cc\/FHJBGfd1\/image.png\")
\nFingierte Microsoft-Anmeldeseite<\/p>\n
Lediglich die in Englisch gehaltenen Anmeldeinformationen h\u00e4tten ein deutsches Opfer stutzig werden lassen k\u00f6nnen. Der Leser schrieb, dass selbst die URL der Phishing-Anmeldeseite im ersten Schritt verschleiert wurde und erst sp\u00e4ter sichtbar war.<\/p>\n
Die URL, die ich hier nicht nennen kann, soll weiterhin aktiv sein. Der Leser schreibt, dass hinter dem Angriff einiges an technischem Aufwand steckt. So wurde der Phishing-Seite mit der Fake-Anmeldung noch eine Cloudflare DDOS-Protection vorgeschaltet.<\/p><\/blockquote>\n
Echtzeitpr\u00fcfung der Eingabedaten<\/h2>\n
Der Leser hat den Fall, nachdem der Angriffsversuch aufgefallen war, dann n\u00e4her untersucht und mit dem Dezernat f\u00fcr Cybercrime beim LKA Rheinland-Pfalz R\u00fccksprache gehalten. Bemerkenswert sei, schreibt er, sei die Tatsache, dass die Angreifer Eingaben des Opfers in Echtzeit gegen bestehende Microsoftkonten pr\u00fcfen. Es wurde verifiziert, so der Leser, dass eine korrekte Ausgabe bzw. R\u00fcckmeldung des Kontos bei der Anmeldung erfolgte. Und die Angreifer pr\u00fcften, ob ein Konto existiert, das Passwort korrekt ist und verifizierten zudem ob die Multifaktorauthentifizierung ausgel\u00f6st wurde.<\/p>\n
Normalerweise nehmen Phishing-Seiten alles entgegen das Opfer eintippt an und speichern dies in eine Datenbank. Meist werde nicht mal auf korrekte Syntax geachtet, merkt der Leser an, was ich so best\u00e4tigen kann. Die \u00fcblichen Phishing-Seiten mit einer Fake-Anmeldung geben nach Eingabe der Zugangsdaten des Benutzer lediglich einen Fehler zur\u00fcck, fischen aber diese Daten ab und speichern diese in einer Datenbank zur sp\u00e4teren Auswertung.<\/p>\n
Im aktuellen Fall war das nicht so, alle Eingaben wurden in Echtzeit gepr\u00fcft. Theoretisch, schreibt der Blog-Leser, w\u00e4re (bei ausbleibenden Gegenma\u00dfnahmen) ein Zugriff auf die Unternehmenskommunikation (E-Mail, Kontakte, Kalender) sowie firmeninterne Dokumente und Dateien m\u00f6glich gewesen.<\/p>\n
Diese Art eines Spear-Phishing-Angriffs kennt man von\u00a0staatlichen Akteuren, wenn es um das Eindringen in Unternehmensnetzwerke von KRITS-Betrieben geht. Das untersuchende Team konnte, so der Blog-Leser in seinem Hinweis, innerhalb weniger Minuten verschleierte Zugriffsversuche unter anderem aus Russland, Iran und China dokumentieren.<\/p>\n
\nZugriffsversuche auf gehacktes Microsoft-Konto<\/p>\nDer Leser schrieb mir noch, dass der Angriff erfolgreich einged\u00e4mmt und abgewehrt\u00a0 werden konnte. Das lag zum Einen an der automatischen Gef\u00e4hrdungserkennung durch beim Kunden umgesetzter (aber nicht n\u00e4her erl\u00e4uterte) Sicherheitsarchitekturen. Und es lag zum Anderen an der schnellen Reaktionszeit durch den Dienstleister. Dadurch konnten zeitnah alle notwendigen manuellen Ma\u00dfnahmen ergriffen werden, um einen wirtschaftlichen und reputationsmindernden Schaden beim Opfer zu verhindern.<\/p>\n
Zusammenhang mit Azure-Hack steht im Raum<\/h2>\n
In einer Nachtrags-Mail schrieb mir der Blog-Leser noch, dass je mehr sich die Sicherheitsspezialisten\u00a0mit dem Fall besch\u00e4ftigen, umso wahnsinniger werde das Ganze. Es sei hier quasi die gesamte Sicherheitsintegration seitens Microsoft, inkl. der neu eingef\u00fchrte Microsoft Authenticator App (mit Eingabe eines Zahlencodes statt einfacher Best\u00e4tigung), aus den Angeln gehoben worden.<\/p>\n
Es kam die Frage auf, ob es sich wirklich um eine Echtzeitabfrage von Daten handelt (oder um eine zuvor angelegte Datenbank mit Microsoftkonten). Das f\u00fchrte zur Frage, ob es wohlm\u00f6glich einen Zusammenhang mit dem Zugriff staatlicher Hacker (Midnight Blizzard) auf Microsoft Azure gibt (siehe auch\u00a0Microsoft: Neues vom Midnight Blizzard-Hack \u2013 auch Kunden m\u00f6glicherweise betroffen<\/a>).<\/p>\n
Angesichts des Umstands, dass es sich um KRITIS-Unternehmen handelt, ist der Verdacht sicherlich nicht von der Hand zu weisen. Daher wurde zum\u00a0Test ein neues Microsoftkonto angelegt, korrekt lizensiert und dazu Accounts angelegt. Das potentielle Opfer wurde \"Carsten Honigtopf\" genannt.<\/p>\n
Dann wurde die Prozedur, wie\u00a0vom Kunden im Rahmen des Phishing-Angriffs beschrieben, erneut \u00fcber die Phishing-Seite durchgef\u00fchrt.\u00a0Der Login auf der Fake-Anmeldeseite wurde f\u00fcr das neue Testkonto komplett bis zum Ende (inkl. der Best\u00e4tigung im Microsoft Authenticator auf einem iPhone) durchgef\u00fchrt. Bereits wenige Sekunden danach gingen dann wieder die via VPN-Kaskade verschleierten Zugriffe auf dieses Konto los, schrieb mir der Leser.<\/p>\n
An dieser Stelle mein Dank an Carsten f\u00fcr den Hinweis – vielleicht hilft es der Leserschaft bei \u00e4hnlichen Angriffen bzw. sensibilisiert weiter.<\/p>\n
Erg\u00e4nzende Informationen<\/h2>\n
Der Beitrag ist nach Ver\u00f6ffentlichung von den Abrufzahlen durch die Decke gegangen. An dieser Stelle mein Dank an die Leserschaft f\u00fcr die umfassende Kommentierung. Allerdings findet sich auch viel Spekulation in den Kommentaren. Manches Detail wird im Beitrag bewusst nicht offen gelegt, andere Informationen wurden von Kommentatoren wohl \u00fcberlesen. Carsten hat mir im Nachgang einige Informationen in gesammelter Form zukommen lassen. Ich bereite einige Gedanken und Aussagen mal in geraffter Form auf.<\/p>\n
Kurze Zusatzinformationen mit Einordnung<\/h3>\n
Es wurde in Kommentaren negiert, dass es ein Spear-Phishing-Angriff war – kann man diskutieren, bringt aber keinen weiter (ist der ber\u00fchmte Nebenkriegsschauplatz, wo sich hervorragend verk\u00e4mpfen l\u00e4sst). Carsten merkt dazu an: \"Die Klassifizierung als Spear-Phishing-Versuch leitet sich aus der auf den Kunden zugeschnittenen Dropxbox-Freigabe und weiteren Indizien sowie dem getriebenen technischen Aufwand ab. \"<\/p>\n
Es wurde in den Kommentaren auch h\u00e4ufiger eingeworfen, dass \"Conditional Access\" und Geoblocking geholfen h\u00e4tten. Mag nicht den Obermacker-Lehrer geben, aber gelegentlich ist tieferes Nachdenken hilfreich. Ich kippe einfach mal einige Hinweise hier im Text ab.<\/p>\n
Was wohl einige nicht verstanden oder \u00fcberlesen haben (obwohl es deutlich im Artikel beschrieben ist), dass zu den umgesetzten Sicherheitsarchitekturen die mit \"automatischen Gef\u00e4hrdungserkennung\" gemeint waren, (unter anderem) ein Conditional Access z\u00e4hlt.<\/p><\/blockquote>\n
Der Punkt ist also abger\u00e4umt. Wobei sich in der Praxis hier auch immer individuell die Frage stellt, wie gesch\u00e4rft die Einstellungen gesetzt sind (auch ob noch ein manueller Eingriff gewollt ist). Hier ist zum Teil auch immer mit dem Kunden abzustimmen, wie weit er m\u00f6glicherweise eingeschr\u00e4nkt werden will oder auch nicht, teilte mir Carsten mit.<\/p>\n
Er merkt zudem an, dass reines Geoblocking nicht hilft. In den VPN-Kaskaden waren, ausweislich der log-Eintr\u00e4ge, auch IP-Adressen aus Deutschland bzw. Europa enthalten.<\/p>\n
Der Angriff konnte im beschriebenen Fall (ohne Zugriff auf Unternehmensdaten) erfolgreich abgewehrt werden. Aus dem Honeypot lassen sich inzwischen mehrere interessante R\u00fcckschl\u00fcsse ziehen. Unter anderem fanden, teilweise auch mit mehreren Minuten Verz\u00f6gerung, fehlerhafte, aber auch erfolgreiche Logins auf das Konto statt (alle m\u00f6glichen IP-Adressen dabei), schrieb mir der Leser. Die Beteiligten in diesem Fall gehen davon aus, dass die Zugriffe automatisiert geschehen.<\/p>\n
Ansonsten konnten beim Honeypot, trotz aufgebohrtem Audit usw., keinerlei Aktivit\u00e4ten – au\u00dfer Anmeldeversuche – feststellen. Wie es beim Kunden gewesen w\u00e4re, l\u00e4sst sich nun nat\u00fcrlich nicht sagen. Carsten schreibt, dass es f\u00fcr ihn aber so aussieht, als h\u00e4tte das Tool gezielt zum Einsatz kommen sollen. Zudem merkt er an: \"Aber sind wir mal ehrlich, der Prozentsatz an Unternehmen, die all dies [an Sicherheitsma\u00dfnahmen] umgesetzt haben, halte ich f\u00fcr gering. Zumindest haben wir bisher noch keinen einzigen Kunden \u00fcbernommen, bei dem entsprechende Policies umgesetzt waren.\"<\/p>\n
Zudem ist von Seiten des Lesers anzumerken, dass die beschriebenen Sicherheitsmerkmale, nach aktuellem Wissen, Entra ID Premium P1 oder P2 als lizensiert voraussetzen oder inkludiert in einen der gr\u00f6\u00dferen Microsoft 365 Pl\u00e4ne z.B. Microsoft 365 Business Premium. Das d\u00fcrfte aber auch nicht immer gegeben sein.<\/p>\n
Weitere Erkenntnisse aus dem Honeypot<\/h3>\n
Inzwischen ergibt sich das Bild, dass der Leser heute ein neues Login mit ge\u00e4nderten Anmeldedaten \u00fcber die Fake-Seite am Honeypot-Konto durchgef\u00fchrt hat. Die neuen Anmeldedaten wurden also an die Phisher \u00fcbertragen – das Ganze simuliert f\u00fcr Au\u00dfenstehende einen Nutzer, der am Morgen seine Arbeit aufnimmt und sich am Microsoft Konto (mit ge\u00e4nderten Anmeldedaten) anmeldet. Bei diesem zweiten Versuch gab es keine Login-Kaskade mehr – der Angreifer hat das Konto m\u00f6glicherweise schon als \"uninteressant\" abgehakt.<\/p>\n
Sensibilisierung: Es bleibt schwierig<\/h3>\n
Es bleibt unter dem Strich, dass es bei den Gesch\u00e4ftspartnern ein Opfer gab, was erfolgreich angegriffen wurde. In diesem Kontext empfand ich den Kommentar hier<\/a> als \"ungl\u00fccklich\" – muss aber jeder f\u00fcr sich selbst einordnen.<\/p>\n
Als nicht wirklich hilfreich empfinde ich auch die f\u00fcr mich aus einigen Kommentaren herauslesbare unterschwellige Botschaft \"ist doch alter Kaffee, haben wir t\u00e4glich Tausend Mal und alles im Griff, alles nicht neu und ein alter Hut\" – und dann kommen noch die Vorhaltungen, dass Mitarbeiter so etwas erkennen m\u00fcssen. Mag im Einzelfall stimmen und es gibt sicher Leute, die das hervorragend im Griff haben. Aber Pauschalierungen gehen schlicht an der Praxis vorbei. Es bringt auch niemanden weiter, mit \"wissen wir doch l\u00e4ngst\" und \"h\u00e4ttest Du erkennen k\u00f6nnen\" einzut\u00fcten, wenn der Angriff erfolgt ist.<\/p>\n
Meine 2 Cent<\/h3>\n
Schon Martin Luther wusste vor vielen Hundert Jahren \"Schau dem Volk auf's Maul\", dann wei\u00dft Du, wie der Hase l\u00e4uft. Oder in modern getreu nach Mc Murphy ausgedr\u00fcckt: \"Was passieren kann, passiert – auch unm\u00f6gliches – und es gibt nichts, was es nicht gibt\". Die Tatsache, dass mir der Stoff mit t\u00e4glichen Meldungen zu Sicherheitsvorf\u00e4llen nicht ausgeht und ich h\u00f6chstens an der Zeit zur Aufbereitung scheitere, zeigt doch, dass da drau\u00dfen in der IT viel im Argen liegt.<\/p>\n
M\u00f6glicherweise bin ich auch aus meiner Zeit als Ingenieur in der Gro\u00dfchemie gepr\u00e4gt. Wenn es dort einen Vorfall gab (z.B. Seveso, Bhopal) lagen keine Details vor – Internet gab es nicht. Es war gepflegte \u00dcbung, dass jeder Verantwortliche sofort \u00fcberlegte, besteht bei uns das gleiche Risiko? Was passiert, wenn dies und jenes passiert? Habe ich gen\u00fcgend getan oder kann ich noch was ber\u00fccksichtigen? War vor \u00fcber 30 Jahren aber wohl eine andere Zeit …<\/p>\n
Wie schrieb Carsten in einer Nachtragsmail: \"Ziel meiner Mail war es, zur Sensibilisierung beizutragen, dass denke ich haben wir geschafft.\" Dem kann ich mich nur anschlie\u00dfen: Ziel des Blog-Beitrags ist es, auf ein Thema hinzuweisen, in der Hoffnung, dass die Leserschaft da \"Honig draus saugen\" und eigene Schl\u00fcssel ziehen kann.<\/p>\n","protected":false},"excerpt":{"rendered":"
Ein Blog-Leser hat mich vor einigen Stunden \u00fcber einen komplexen Spear-Phishingangriff informiert, der einen seiner Kunden betroffen hat. Da es einen Kunden aus dem Energieversorgungsbereich betrifft, ist das LKA Rheinland-Pfalz inzwischen involviert. Ich stelle die Informationen mal hier im Blog … Weiterlesen
![\"Zugriffsversuche](\"https:\/\/i.postimg.cc\/zGZctns6\/image003.png\")