![\"Bug\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2025\/10\/bug05.jpg\" "\\"Bug\\"")
Beim Cyberangriff auf den Dienstleister Collins Aerospace, der f\u00fcr europ\u00e4ische Flugh\u00e4fen u.a. die Check-In-Systeme betreibt, kam es zu erheblichen Flugausf\u00e4llen und Sch\u00e4den. Nun liegt mir die Information vor, dass der Anbieter wohl gleichzeitig von zwei Cybergruppen gehackt wurde.<\/p>\n
<\/p>\n
Normalerweise h\u00e4tte das Ganze keine wirklich gro\u00dfen Auswirkungen auf den Abfertigungsbetrieb bei Flugreisen haben m\u00fcssen, wenn die Airlines nicht ihre Check-In-Vorg\u00e4nge komplett an Collins Aerospace ausgelagert gehabt h\u00e4tten. Das Angebot von Collins Aerospace war, dass das Check-In \u00fcber verschiedene Fluggesellschaften m\u00f6glich sei.<\/p>\n Da aber die Self-Service Check-In-Stationen \u2013 letztendlich so etwas wie Terminals (Thin Clients) \u2013 die am betroffenen vMUSE-System hingen, ausfielen, musste das Personal der Airlines auf Papier und Kugelschreiber umsteigen (siehe obigen Tweet mit handgeschriebener Bordkarte).<\/p>\n Von der St\u00f6rung\u00a0waren alle Flugh\u00e4fen betroffen, die auf das Self-Service Check-In-System von Collins Aerospace gesetzt haben. Neben Berlin Brandenburg International (BER), waren dies die Flugh\u00e4fen in Br\u00fcssel sowie London (Heathrow). Aber es gibt eine ganze Reihe weiterer, kleinerer Flugh\u00e4fen, die ungenannt blieben. Ein\u00a0Post auf Mastodon<\/a> nennt einige weitere Flugh\u00e4fen, in Deutschland waren neben Berlin (BER) auch M\u00fcnster, und laut Post auch K\u00f6ln\/Bonn, betroffen.<\/p>\n Die St\u00f6rung hielt weit \u00fcber eine Woche an – und ich hatte im Beitrag Nachlese Sicherheitsvorfall bei Collins Aerospace, der Flugh\u00e4fen lahm legte<\/a> einige Informationen \u00fcber den Anbieter Collins Aerospace und das verwendete System zusammen getragen. In der Regel komme ich nicht an die Post Incident-Reports heran, so dass der Fall eigentlich erledigt schien. Aber im aktuellen Fall ist obige Nachlese noch nicht das Ende der Fahnenstange.<\/p>\n Die Woche bin ich zuerst auf obigen Tweet<\/a> gesto\u00dfen, der sofort meine Aufmerksamkeit weckte. Im Tweet hei\u00dft es, als Collins Aerospace sein Multi-User System Environment (MUSE) wegen des Cyberangriffs abschalten musste, habe das Unternehmen die Presse\u00a0 informiert und einen SEC-Meldung abgesetzt, wobei man sich auf einen Ransomware-Angriff berufen habe.<\/p>\n Das Drama hatte ich ja oben skizziert. Im Tweet wird (f\u00e4lschlich) die Botschaft transportiert, dass die Systeme gar nicht h\u00e4tten abschalten m\u00fcssen. Denn der Betreiber des X-Accounts verf\u00fcgt \u00fcber Informationen, in denen \"die Angreifer\" der Cybergruppe Everest behaupten, dass es weder zu einem Ransomware-Angriff noch zu einer Kompromittierung gekommen sei. Der Cyberangreifer unterstellte Collins Aerospace, die Server wegen der Versicherungsgelder abgeschaltet zu haben.<\/p>\n Der Angreifer\u00a0gibt laut obigem Tweet zu, in einen FTP-Server eingedrungen zu sein, \u00fcber mehrere Tage hinweg Daten exfiltriert zu haben, bis der Zugriff gesperrt wurde, und behauptet, 1.533.900 Passagierdaten erbeutet zu haben.\u00a0Screenshots von Gespr\u00e4chen zwischen Everest und RTX, der Muttergesellschaft von Collins Aerospace, sind in obigem Tweet<\/a> enthalten und scheinen keine verschl\u00fcsselten Daten zu erw\u00e4hnen. W\u00e4re schon ein dicker Hund – aber es kommt noch dicker, denn dieser Angreifer liegt mutma\u00dflich schlicht falsch, denn es gab gute Gr\u00fcnde f\u00fcr die Abschaltung.<\/p>\n Einige Stunden sp\u00e4ter bin ich im gleichen X-Account dann auf nachfolgenden Tweet<\/a> gesto\u00dfen, der das Drama mit der Aussage \"Die Lage spitzt sich zu\" noch ein wenig steigert.<\/p>\n Collins Aerospace wurde gleichzeitig von zwei Ransomware-Banden angegriffen, die nichts voneinander wussten.\u00a0Nachdem Everest Daten von einem FTP-Server exfiltriert hatte, griff ein weiterer Ransomware-Betreiber das MUSE-System an und setzte Ransomware ein. Es gab also einen guten Grund f\u00fcr Collins Aerospace, das MUSE-System abzuschalten.<\/p>\n Das NCSC-UK sagt dazu: \"Wir kennen die verwendete Malware-Variante, wissen aber nicht, ob es sich um den Entwickler bzw. Verk\u00e4ufer, einen Wiederverk\u00e4ufer oder einen anderen Akteur handelt, der den Ransomware-Vorfall verursacht hat.\"<\/p>\n Die Seite cyberdaily.au berichtet in diesem Artikel<\/a> exklusiv \u00fcber diese Entwicklung. Im Artikel hei\u00dft es, dass die Hackergruppe Everest behauptet, die Flugdaten von mehr als 1,5 Millionen Passagieren und Tausenden von Mitarbeitern von Fluggesellschaften beim Hack abgezogen zu haben. Die abgezogenen Daten sollen mehr\u00a0als 50 Gigabyte umfassen, darunter auch ein 17,5 Gigabyte gro\u00dfer SQL-Dump mit den Daten von \"3.637 Mitarbeitern verschiedener Fluggesellschaften\" und einen 50 Gigabyte gro\u00dfen Datensatz, der aus \"verschiedenen Dateien\" besteht und laut Angaben der Hacker Folgendes enth\u00e4lt:<\/p>\n Zahlreiche Dateien mit Netzwerk-, Benutzer- und Anwendungstopologie: Namenskonventionen f\u00fcr Workstations, Gruppierung von Workstations nach funktionalen Rollen, Ger\u00e4te-IDs, Ger\u00e4tetypen und zugeh\u00f6rige Flughafenstandorte, Fingerabdr\u00fccke von Anwendungsstacks (SkySpeed, GoNow, UA-Suite, DL-Suite, Citrix usw.) einschlie\u00dflich Versionsnummern, Audit-Protokolle, aus denen hervorgeht, welche Anwendungen auf welchen Ger\u00e4ten und wie lange ausgef\u00fchrt wurden, Metadaten zur Netzwerksegmentierung und zur Interaktion von Systemen, Betriebscodes von Fluggesellschaften, die eng mit der Nutzung von Workstations verkn\u00fcpft sind, sowie klare Sichtbarkeit der Unternehmensrollenstrukturen in Verbindung mit tats\u00e4chlichen Nutzungssitzungen<\/p><\/blockquote>\n Die Mitarbeiterdaten umfassen angeblich sowohl vollst\u00e4ndige Namen als auch Benutzernamen, Aliasnamen, E-Mail-Adressen, Anmelde- und Inaktivit\u00e4tsstatus sowie Audit-Metadaten. Die Passagierdatens\u00e4tze enthalten Informationen wie Vielflieger- und Fluglinienangaben, Reisedaten, Sitzplatznummern und mehr. Dieser Datensatz scheint\u00a0 laut Artikel jedoch keine Passagiernamen zu enthalten, sondern nur Passagier-ID-Nummern.<\/p>\n Spannend wird es nun, weil die Cybergruppe Everest behauptet, am 10. September 2025 Zugriff auf die Check-in- und Boarding-Software vMUSE von Collins Aerospace\u00a0 erhalten zu haben. Die Gruppe hat, laut Bericht, k\u00fcrzlich die Anmeldedaten ver\u00f6ffentlicht, um die Behauptungen zu belegen.<\/p>\n Everest gab an, in den folgenden Tagen alle Daten heruntergeladen zu haben, die es finden konnte, bevor der unbefugte Zugriff entdeckt wurde und die Hacker den Zugriff verloren. Die Gruppe will am 16. September 2025 von Collins Aerospace kontaktiert worden zu sein. Gleichzeitig analysierte Everest die exfiltrierten Daten, bevor es RTX \u00fcber das Schwachstellenmeldeportal RTX.com kontaktierte.<\/p>\n Am 19. September 2025 muss es dann zum \"Ransomware-Angriff\" gekommen sein, worauf Collins Aerospace im Laufe des Abends und der Nacht zum 20. September 2025 die Systeme abschaltete.<\/p>\n Bis zum 29. September 2025 wurde am Flughafen Br\u00fcssel ein Ersatzsystem von Collins Aerospace geliefert und in Betrieb genommen. Dadurch konnten die Flugausf\u00e4lle durch ausgefallene Check-In-Systeme beendet werden. Da die Everest-Cybergruppe die Verwendung von Ransomware negiert und mit Collins Aerospace einen Verhandlungskorridor bis 12. Oktober 2025 vereinbart hatte, musste etwas gravierendes passiert sein.<\/p>\n Es gab eine zweite Cybergruppe, die Ransomware platziert und die Verschl\u00fcsselung ausgel\u00f6st hat. Das wird durch Dr Richard Browne, Direktor des britischen National Cyber Security Centre (NCSC), best\u00e4tigt. Dieser sagte am 23. September 2025, dass man den Angreifer und die verwendete Malware-Variante kenne. Kannst Du dir nicht ausdenken, so etwas.<\/p>\n \u00c4hnliche Artikel<\/strong> Beim Cyberangriff auf den Dienstleister Collins Aerospace, der f\u00fcr europ\u00e4ische Flugh\u00e4fen u.a. die Check-In-Systeme betreibt, kam es zu erheblichen Flugausf\u00e4llen und Sch\u00e4den. Nun liegt mir die Information vor, dass der Anbieter wohl gleichzeitig von zwei Cybergruppen gehackt wurde.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426,7459],"tags":[1171,7572,4328,3836],"class_list":["post-317492","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","category-software","tag-cloud","tag-cyberangriff","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/317492","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=317492"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/317492\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=317492"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=317492"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=317492"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}In den Abendstunden des 19. September 2025 (Freitag) gab es einen Cyberangriff auf den Dienstleister Collins Aerospace, der f\u00fcr europ\u00e4ische Flugh\u00e4fen u.a. die Check-In-Systeme betreibt. Ich hatte erstmalig im Beitrag Cyberangriff auf Flughafen-Dienstleister; Versp\u00e4tungen am Flughafen BER (20.9.2025)<\/a> \u00fcber den Vorfall berichtet, der zuerst als \"technische St\u00f6rung\" verkauft wurde. Sp\u00e4ter machte die Botschaft \u00fcber einen Cyberangriff, mutma\u00dflich mit Ransomware die Runde.<\/p>\n
![\"Handgeschriebene](\"https:\/\/i.postimg.cc\/Gh29Nd5j\/image.png\")
<\/p>\nCollins Aerospace mutma\u00dflich doppelt gehackt<\/h2>\n
![\"Collins](\"https:\/\/i.postimg.cc\/kgZWNRj3\/image.png\")
<\/a><\/p>\nAngreifer wirft Opfer \"Versicherungsbetrug\" vor<\/h3>\n
Wenn noch ein Cyberangreifer im System unterwegs ist<\/h3>\n
![\"Collins](\"https:\/\/i.postimg.cc\/qR8BRqbQ\/image.png\")
<\/a><\/p>\nDaten von Passagieren und Angestellten erbeutet<\/h2>\n
Erster Hack am 10. September 2025<\/h3>\n
Drama am 19. September 2025 durch zweite Gruppe<\/h3>\n
\nCyberangriff auf Flughafen-Dienstleister; Versp\u00e4tungen am Flughafen BER (20.9.2025)<\/a>
\nNachlese Sicherheitsvorfall bei Collins Aerospace, der Flugh\u00e4fen lahm legte<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"