Die Infosec-News der Woche

Freitag 28. Oktober – Freitag 4. November

Cyberkriminelle bestehlen Dropbox, Cisa warnt vor kritischen Schwachstellen in industriellen Steuersystemen, Ransomware-Bande Lockbit erpresst Continental, RomCom-Gruppe fälscht KeePass und SolarWinds-Webseiten für Angriffe, Jeppesen Tochtergesellschaft von Boing leidet unter Störungen in Folge eines Cybervorfalls, Handy von ehemaliger Premierministerin des Vereinigten Königreichs gehackt? und Finnische Polizei verhaftet mutmaßlichen Vastaamo-Hacker – das sind die Infosec News der Woche.



Schwachstellen und Exploits

Cyberkriminelle bestehlen Dropbox

Der Anbieter des Filehosting-Dienstes Dropbox gibt auf seiner Webseite eine Datenschutzverletzung bekannt. Angreifer konnten sich Zugang zur GitHub-Organisation von Dropbox beschaffen und auf diese Weise 130 Code-Repositories kopieren. Aufgefallen ist es dem Cloud-Giganten am 14.Oktober, als GitHub das Unternehmen Dropbox über verdächtige Aktivitäten informierte.

Die Kriminellen führten eine erfolgreiche Phishing-Kampagne durch und gaben sich dabei als Code-Integrations- und Bereitstellungsplattform CircleCI aus um Zugriff auf ein GitHub-Konto des Cloud-Anbieters zu bekommen. Laut Dropbox konnte der Angreifer jedoch nicht auf Passwörter, Zahlungsinformationen oder Inhalte der Dropbox-Konten zugreifen.

Der erbeutete Code soll einige Anmeldeinformationen, API-Schlüssel, einige tausend Namen und E-Mail-Adressen von Dropbox-Mitarbeitern, aktuellen und früheren Kunden, Interessenten und Anbietern enthalten. Dennoch sei das Risiko minimal für Kunden, Partner und Mitarbeiter.

CISA veröffentlicht Warnhinweise zu industriellen Steuerungssystemen (ICS)

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) veröffentlichte am 3. November eine Warnung über Schwachstellen in 3 industriellen Steuersystemen.

Durch die Schwachstellen in den ETIC Telecom Fernzugriffsserver (RAS) kann ein Angreifer an sensible Informationen kommen. Geräte die an das verwundbare Gerät angeschlossen sind, können ebenfalls kompromittiert werden. Die kritischste Schwachstelle mit der Bezeichnung CVE-2022-3703 kann dem Angreifer einen Backdoor-Zugriff gewähren. Die beiden anderen Schwachstellen betreffen einen Directory Traversal Bug in der RAS-API (CVE-2022-41607) und ein Datei-Upload-Problem (CVE-2022-40981) welches dazu missbraucht werden kann um beliebige Dateien zu lesen oder bösartige Dateien hochzuladen.

Des Weiteren geht es um drei Schwachstellen im ASIK AirScale 5G Common System Module von Nokia. Durch die CVE-2022-2482, CVE-2022-2483 & CVE-2022-2484 kann beliebiger Code ausgeführt und auch eine Unterbrechung der sicheren Boot Funktionalität erreicht werden.

Die dritte Warnung betrifft die DIALink-Produkte von Delta Industrial Automation. Durch eine Path-Traversal-Schwachstelle (CVE-2022-2969) kann Schadcode eingeschleust werden.

Die CISA empfiehlt dringend allen Nutzern und Administratoren der betroffenen industriellen Kontrollsysteme die ICS-Hinweise auf technische Details und Abhilfemaßnahmen zu prüfen.


Hacker-Gruppen und Kampagnen

Ransomware-Bande LockBit erpresst Continental

Nach dem Cyberangriff im August 2022 auf den deutschen Reifenhersteller Continental bekennt sich nun die kriminelle Ransomeware-Gruppe LockBit und fordert Lösegeld mit der Drohung die erbeuteten Daten sonst zu veröffentlichen.

Die 22 stündige Frist ist am Freitag, dem 4.November 2022 um 15:45 (UTC) abgelaufen. Scheinbar ist Continental nicht auf Verhandlungen mit den Erpressern eingegangen. Welche Daten auf der Leak-Seite der Cyberkriminellen veröffentlicht werden sollten, hat die Gruppe nicht bekannt gegeben.

Continental äußert sich nicht weiter und verweist lediglich auf ihre Veröffentlichung über den Cyberangriff im August 2022.

RomCom-Gruppe fälscht KeePass und SolarWinds-Webseiten für Angriffe

Nach den Angriffen durch gefälschte Versionen des Advanced IP Scanners auf die ukrainische Armee, versuchen es die RomCom Angreifer nun mit dem SolarWinds Network Performance Monitor, KeePass Open-Source Password Manager und PDF Reader Pro.

Die Angreifer registrieren Domains, die der Originalen sehr ähnlich sind, um dann die Phishing-Webseite durch Kopieren des HTML-Codes der legitimen Webseiten, zu fälschen. Die Opfer werden durch Phishing-Mails mit zusätzlichen Infektionsvektoren auf die gefakten Webseiten gelockt. Die Täuschungswebseiten enthalten bösartige Pakete, die durch Installation der Opfer zur weiteren Kompromittierung führen sollen.

Im Visier ist nicht nur die Ukraine, scheinbar haben es die Cyberkriminellen auch auf das vereinigte Königreich abgesehen. Die Entdeckungen stammen vom BlackBerry Research & Intelligence Team, das auf ihrer Webseite weitere Details preis gibt.


RomCom war bereits letzte Woche in den News und schlägt erneut mit Phishing Attacken zu. Gerade weil Phishing heutzutage in Unternehmen bei weitem keine Ausnahme mehr ist, schulen wir Mitarbeiter und prüfen den Erfolg der Schulung durch simulierte Phishing Angriffe, bei denen kein Schaden entsteht, wenn Mitarbeiter darauf reinfallen.

Mehr Infos zu unseren Dienstleistungen und Schulungen gibt es unter www.lastbreach.de].


Jeppesen leidet unter Störungen in Folge eines Cybervorfalls

Jeppesen, eine Tochtergesellschaft von Boing, die Navigations- und Flugplanungstools anbietet, hat am Mittwoch, den 2. November einen roten Banner auf ihrer Webseite eingeblendet, mit dem Hinweis dass es technische Probleme gäbe.

Allerdings bestätigte das Unternehmen mittlerweile einen Sicherheitsvorfall, der schuld an den Flugunterbrechungen war. Ein Sprecher von Boing erklärte außerdem, dass es einige Beeinträchtigungen bei der Flugplanung gegeben habe, aber es gebe keinen Grund zur Annahme, dass es eine Bedrohung für Flugzeuge oder der Flugsicherheit mit sich brachte.

Es konnte noch nicht festgestellt werden, ob es sich z.B. um Ransomware handeln könnte, denn es sei eine „noch aktive Situation“.


Wirtschaft, Politik und Kultur

Handy von ehemaliger Premierministerin des Vereinigten Königreichs gehackt?

Berichten der Daily Mail zu folge wurde das persönliche Handy von Liz Truss, scheinbar von russischen Agenten kompromittiert.

Die Cyberspionage zielte vermutlich auf streng geheime Verhandlungen und private Nachrichten der Politikerin ab. Darunter sollen auch Gespräche mit Kwasi Kwarteng, einem britischen Autor und Politiker gewesen sein. Laut eines ranghohen Offiziers des militärischen Geheimdienstes, Philip Ingram, soll das Telefon an einem sicheren Ort von Experten forensisch untersucht werden.

Der Sicherheitsvorfall wurde während eines Wahlkampfs im Sommer, während der Amtszeit von Liz Truss, entdeckt. Es besteht die Sorge, dass Nachrichten bis zu einem Jahr heruntergeladen werden konnten. Unter anderem sollen heikle Gespräche mit wichtigen internationalen Außenministern über den Krieg in der Ukraine, in denen es um Waffenlieferungen gegangen ist, enthalten sein.

Zuvor hatte Liz Truss eine Telefonnummer, die seit über 10 Jahren genutzt hatte gewechselt, was für Beunruhigung bei den Kabinettsministern und Beratern sorgte.

Ein Sprecher der Regierung kommentierte den Vorfall: "Wir äußern uns nicht zu den Sicherheitsvorkehrungen einzelner Personen. Die Regierung verfügt über robuste Systeme zum Schutz vor Cyber-Bedrohungen. Dazu gehören regelmäßige Sicherheitsunterweisungen für Minister und Ratschläge zum Schutz ihrer persönlichen Daten."

Es werden verschiedene Länder verdächtigt, dazu gehören China, der Iran und Nordkorea. Allerdings liegt der größte Verdacht auf Russland.

Finnische Polizei verhaftet mutmaßlichen Vastaamo-Hacker

Vastaamo ist ein finnischer Anbieter von privaten Psychotherapiedienstleistungen. Sie gaben am 21.Oktober 2020 bekannt, dass ihre Patientendatenbanken gehackt wurden. Hunderte von Patientenakten wurden damals im Darkweb veröffentlicht, zuvor wurden 40 Bitcoins Lösegeld gefordert, was in etwa einen Wert von 450.000 Euro entsprach. Nun wurde ein Beschuldigter des Vastaamo-Hacks verhaftet.

In der Veröffentlichung der finnischen Polizei wird über den Fortschritt der strafrechtlichen Untersuchung durch das nationale Fahndungsbüro (National Bureau of Investigation) des Sicherheitsvorfalls berichtet. Ein Finne wurde wegen des Tatverdachts der Straftat in Untersuchungshaft genommen.

22.000 Opfer erstatten Anzeige. Der Umfang ist so groß, dass die Aussagen durch die finnische Polizei auf elektronischem Weg eingeholt werden.


Das wars für diese Woche, wir sehen uns nächste Woche wieder mit den Weekly Infosec News. Abonniere die Weekly News als Newsletter, auf unserem Youtube Channel oder als Podcast.