Die Infosec-News der Woche

Freitag 18.November – Freitag 25. November

Boa-Webserver stellt Risiko in IoT und OT dar, Spyware als VPN Apps getarnt, DDoS-Attacke gegen EU-Parlament, Cyberangriff gegen Guadeloupe, Diebe durchtrennen Glasfaserkabel, Cybercrime Netzwerk „Milton Group" zerschlagen, Spoofing-Anbieter festgenommen und Schwarzmarkt-Admin an die USA ausgeliefert – das sind die Infosec News der Woche.



Schwachstellen und Exploits

Boa-Webserver stellt Risiko in IoT- und OT-Umgebungen dar

Das Microsoft Security Threat Intelligence Team informiert in seinem Blogeintrag über eine verwundbare SDK-Komponente in IoT- und OT-Umgebungen, die das Lieferkettenrisiko erhöht.

Es geht um den Boa-Webserver, der für den Zugriff auf Einstellungs- und Verwaltungskonsolen und auch Anmeldebildschirmen in Geräten genutzt wird. Obwohl Boa-Webserver seit 2005 nicht mehr weiterentwickelt wird, ist er trotzdem noch in vielen Routern, Kameras, IoT-Geräten und Software Development Kits implementiert. Das Problem: Angreifer könnten sich durch bekannte Sicherheitslücken Zugang zum Netzwerk beschaffen, indem sie Informationen aus Dateien sammeln.

Viele Anwender sind sich dem Sicherheitsrisiko und der Tatsache nicht bewusst, dass auf den von ihnen betriebenen Geräten, Dienste mit alten Boa-Webservern laufen. Selbst wenn alle verfügbaren Updates installiert wurden, sind die offen gelegten Schwachstellen nicht behoben.

Laut den Untersuchungen gab es 2020 bereits Angriffe auf kritische Infrastrukturen in Indien. Scheinbar zielte diese Cyberattacke auf ungeschützte IoT-Geräte ab, auf denen Boa betrieben wurde. Die Forscher sehen die Beliebtheit des veralteten Webservers als besorgniserregend an, aufgrund seiner Angreifbarkeit. Aus Daten der Microsoft Defender Threat Intelligence-Plattform geht hervor, dass über eine Million Boa-Server-Komponente im Internet zugänglich sind.


Hacker-Gruppen und Kampagnen

Spyware tarnt sich als OpenVPN und SoftVPN Apps

Eset Sicherheitsforscher warnen in einer Veröffentlichung, vor einer aktiven Kampagne der Bahamut-Gruppe.
Die gefakten Apps im scheinbar legitimen Gewand, sind auf das Abgreifen von Daten konzipiert. Darunter fallen unter anderem Kontakte, Anrufverläufe, Gerätestandort, SMS- und Chat-Nachrichten aus Messenger-Apps und einiges mehr.

Das Ziel der APT-Gruppe sind Android-Nutzer. Die Fake-Apps werden über gefälschte Secure-VPN-Webseiten verteilt. Die betroffenen Apps sind SoftVPN und OpenVPN, in den gefakten Versionen ist Spyware-Code enthalten. Der Link zur scheinbar legitimen Webseite als auch der Aktivierungsschlüssel, der für den Start der Spyware-Funktionen nötig ist, werden gezielt an ausgewählte Opfer versendet.

Webseite des EU-Parlaments durch DDoS-Attacke kurzzeitig lahmgelegt

Die Webseite des EU-Parlaments wurde Opfer eines DDoS-, also Distributed Denial of Service Angriffs, bei dem sehr viele Geräte eingesetzt werden, um mit einer enormen Anzahl an Anfragen eine absichtliche Überlastung des Ziels zu erreichen.

Der Presseverantwortliche des EU-Parlaments, Jaume Duch, postete eine Stellungnahme auf Twitter in der es heißt: „Die Verfügbarkeit der @Europarl_EN-Website wird derzeit aufgrund des hohen Niveaus des externen Netzwerkverkehrs von außen beeinträchtigt. Dieser Datenverkehr steht im Zusammenhang mit einem DDOS-Angriffsereignis (Distributed Denial of Service). EP-Teams arbeiten daran, dieses Problem so schnell wie möglich zu lösen.“

Der Angriff fand nach der Verabschiedung einer Resolution statt, in der Russland als Unterstützer von Terrorismus bezeichnet wurde. Kurz darauf postete die russische Cyberkriminellen-Gruppe „Killnet“ einen Screenshot auf ihrem Telegram-Kanal, der von Anonymous Russia weitergeleitet wurde. Darin sieht man auch einen Link von einem Online-Tool, das dazu genutzt wird, die Verfügbarkeit einer Webseite zu checken. Zudem befindet sich noch ein Link zur Webseite des europäischen Parlaments auf der Veröffentlichung von „Killnet“. Daraus lässt sich ein Zusammenhang vermuten und man könnte diesen Beitrag aus der Telegram-Gruppe als Bekennung zu diesem Angriff deuten.

Guadeloupe muss wegen Cyberangriff alle Computernetzwerke unterbrechen

Das französische Übersee-Gebiet Guadeloupe ist Opfer einer Cyberattacke geworden. Auf seiner Webseite prangt ein rotes Banner mit der Überschrift: FLASH INFO | Die Region Guadeloupe ist Opfer eines Cyberangriffs auf ihre Computernetzwerke.

Sie schreiben, dass sie derzeit von einem groß angelegten Cyberangriff betroffen sind und aus Sicherheitsgründen alle Computernetzwerke unterbrechen mussten, damit sie die Daten schützen können. Das Übersee-Gebiet führt Untersuchungen durch und wird dabei von Experten unterstützt, um die Folgen des Angriffs einzuschränken. Der Betrieb soll so schnell wie möglich wieder aufgenommen werden.

Die Direktion für Informationssysteme arbeitet mit der nationalen Agentur für die Sicherheit von Informationssystem, der nationalen Polizei und der Gendarmerie zusammen. Die Region schreibt außerdem, dass sie einen Plan für die Gewährleistung der Aufrechterhaltung habe, um die Aufgaben des öffentlichen Dienstes zu sichern.


Wirtschaft, Politik und Kultur

Glasfaserkabel vermutlich für Museums-Einbruch durchtrennt

In einer Pressemitteilung der bayerischen Polizei ist ein vermutlicher Zusammenhang zwischen der Durchtrennung von Glasfasern in einer Verteilerstelle der Telekom und dem Diebstahl der keltischen Goldmünzen aus dem Museum im Manching zu entnehmen.

Das Kelten Römer Museum in Manching ist Opfer eines nächtlichen Einbruchs geworden. Die Diebe hatten es auf 483 Goldmünzen aus dem größten keltischen Goldfund des 20. Jahrhunderts abgesehen.

In der gleichen Nacht drangen Täter in einen Technikraum der Deutschen Telekom ein, um mutwillig Glasfaserkabel zu durchtrennen, was zu einem Ausfall von Telefon und Internet im gleichen Ort führte.

Mitarbeiter des Museums stellten den Diebstahl morgens fest. Durch den Ausfall des Internets wurde der ausgelöste Alarm nicht an die Sicherheitszentrale der Wachfirma übermittelt. Insofern, vermutet die Polizei einen Zusammenhang durch den Tatzeitraum und der örtlichen Nähe. Nun muss man die Auswertung der Videoaufzeichnungen für weitere Hinweise abwarten.

Das bayerische Landeskriminalamt übernimmt die weiteren Ermittlungen, unter Sachleitung der Staatsanwaltschaft Ingolstadt.

Cybercrime Netzwerk „Milton Group“ zerschlagen

Die Generalstaatsanwaltschaft Bamberg informiert in seiner Pressemitteilung über eine groß angelegte internationale Aktion gegen das Cybercrime Netzwerk Milton Group.

Die kriminelle Gruppe betrieb jahrelang Cybertrading. Opfer wurden von scheinbaren Finanzexperten beraten, damit sie in angeblich gewinnbringende Anlage- und Finanzprodukte in Zusammenhang mit Kryptowährungen investieren. Über Scheinaccounts auf Fake-Plattformen und Webseiten suggerierten die Betrüger die Echtheit der Investitionen und gaukelten den geschädigten „Anlegern“ Gewinne vor.

Nach jahrelangen Ermittlungen gegen die Gruppe, wurde bei einem sogenannten Action Day in Georgien, Nordmazedonien, Albanien, der Ukraine und Bulgarien zugegriffen. Angesichts der komplexen internationalen Verflechtungen der Tätergruppe und zeitgleicher Ermittlungsarbeit in verschiedenen Ländern, wurde ein "Joint Investigation Team" (JIT) gebildet. So gelang es, gemeinsam mit den Ermittlern aus Schweden, Spanien, Finnland, Lettland, der Ukraine, Georgien, Albanien und auch Europol, die Tätergruppe zu zerschlagen.

Es wurden über 500 Computer, Handys und weitere elektronische Geräte beschlagnahmt. Zudem wurde Vermögen in zweistelliger Millionenhöhe, in Form von Bargeld, Bitcoin-Wallets und andere Wertgegenstände, sichergestellt. Allein in Deutschland, verursachte die Milton Group Schaden von weit über 100 Millionen Euro. Weltweit gibt es hunderttausende Opfer mit einem geschätzten Gesamtschaden, der in die Milliarden geht.


Kriminelle Gruppen lassen sich laufend neue Angriffe einfallen und nutzen dabei alle möglichen Tricks, um ihr Ziel zu erreichen. Viele dieser Angriffe lassen sich technisch aber nicht abfangen.

In unseren Sicherheitsschulungen für Mitarbeiter gehen wir auf viele Themen wie Phishing, Social Engineering oder Home Office ein und erklären, welche Taktiken kriminelle Hacker verwenden, welche Motivationen diese haben und auf welche Zeichen man achten sollte. Wir sind überzeugt, dass eine Schulung aus Sicht des Angreifers effektiver und spannender ist, als die üblichen Auflistungen von Regeln und Verboten im digitalen Arbeitsalltag.

Mehr Informationen zu unseren Schulungen gibt es auf learn.lastbreach.com oder über training@lastbreach.com.


Betreiber von Spoofing-Dienst festgenommen

Die Betreiber einer Webseite für Spoofing-Dienste konnten festgenommen werden. Cyberkriminelle konnten für die Nutzung der Dienste bezahlen, um beispielsweise Anrufe mit gefälschter Anrufer-Nummer zu tätigen oder Passwörter abzufangen, indem sie sich als legitime Einrichtungen wie Banken ausgaben.

Schätzungen zufolge sollen die Betreiber der Webseite weltweit einen Schaden von mehr als 115 Millionen Euro verursacht haben. Unter der Leitung des Vereinigten Königreichs und der Unterstützung durch Europol und Eurojust wurden 142 Verdächtige, darunter der Hauptadministrator der Webseite festgenommen.

Die Webseite selbst wurde von amerikanischen und ukrainischen Behörden ausgeschaltet und die dazugehörigen Server sichergestellt. Die Ermittlungen wurden vom FBI, der französischen Gendarmerie, dem deutschen Bundeskriminalamt und vielen weiteren Behörden unterstützt.

Technischer Kopf des virtuellen Schwarzmarktes „xDedic“ an die USA ausgeliefert

Der xDedic Marketplace diente dem Verkauf von erbeuteten Anmeldedaten für kompromittierte Server und Sozialversicherungsnummern von US-Bürgern. Der Hauptentwickler und technische Kopf, Habasescu, war in Moldawien wohnhaft und wurde im März 2022 von den spanischen Behörden auf Teneriffa verhaftet. Gemäß dem Auslieferungsvertrag zwischen den Vereinigten Staaten und Spanien, wurde er nun an die USA ausgeliefert.

Die „Kunden“ des unrechtmäßigen Marktplatzes nutzten die abgegriffenen Passwörter und Sozialversicherungsnummern für Steuerbetrug, Kreditkartenbetrug und Ransomware-Angriffe. xDedic bot auf seiner Plattform insgesamt über 700.000 entwendete Zugangsdaten zum Kauf an. Es gibt weltweit Opfer der Cyberkriminellen, alleine 150.000 aus den USA. Alle möglichen Branchen, staatliche Regierungsstrukturen, städtische Verkehrsbetriebe, Krankenhäuser, Notrufzentralen, Notdienste, Universitäten und viele mehr waren betroffen.

Bei einer Verurteilung in allen Anklagepunkten, droht dem Angeklagten Habasescu, eine Höchststrafe von 15 Jahren Haft.


Das wars für diese Woche, die Weekly News gibt es als Newsletter, auf unserem Youtube Channel oder als Podcast zu Abonnieren. Bis zum nächsten mal, stay safe!