MonkeyPoCs: Angeblicher Exploit befällt Sicherheitsforscher

Wieder einmal sind Sicherheitsforscher selbst ins Fadenkreuz von Angreifern geraten. Ein angeblicher Sicherheitsforscher mit dem Pseudonym „rkxxz“ hat einen vorgeblichen PoC (Proof of Concept) für einen Satz jüngerer Remote-Code-Execution-Schwachstellen in Windows veröffentlicht. Dieser enthielt jedoch Schadcode, der ein sogenanntes Cobalt Strike Beacon in den Arbeitsspeicher injiziert. Cobalt Strike ist ein Pentest-Tool, das legal wie illegal gerne genutzt wird, um sich lateral im Netzwerk weiterzubewegen.

Es ist nicht das erste Mal, dass sich Angreifer Schwachstellenforscher und Pentester als Ziel ausgeguckt haben. Die nordkoreanische Lazarus-Gruppe hatte im Januar 2021 via Social Media und Browser-Zero-Days auf die Community abgezielt. Im März 2021 erschufen nordkoreanische Akteure gar eine fiktive türkische Cybersicherheitsfirma namens SecuriElite. Und im November versteckte Lazarus in trojanisierten IDA Pro Reverse Engineering Tools den Fernzugriffstrojaner NukeSped.

Vermutlich erhoffen sich die Angreifer, nicht nur Zugriff auf die sicherheitsrelevanten Forschungsdaten ihrer Opfer zu erhalten, sondern mittelbar auch auf die Infrastruktur der Kunden.

https://www.bleepingcomputer.com/news/security/fake-windows-exploits-target-infosec-community-with-cobalt-strike/

Unblock-Chain? Chinesische Netzbürger nutzen Blockchain gegen Zensur

Eine Blockchain ist ein „public ledger“, also ein öffentliches, schwer zu manipulierendes Kontobuch. Diese zwei Hauptmerkmale müssten eigentlich eine Blockchain zum Albtraum jeder Zensurbehörde machen, kann man doch in sie eingefügte Inhalte nur mit größtem Aufwand wieder entfernen oder manipulieren.

Dissidenten in China machen sich das in letzter Zeit zunutze, um etwa verbotene Videos in bekannte Blockchains zu schreiben, auf dass sich diese oder zumindest die Links zu ihnen möglichst weit und robust verteilen.

Die Zensoren haben allerdings schon dazugelernt und versuchen ihrerseits, bestimmte Medien bereits an der Quelle zu entfernen, die Suche nach derartigen Inhalten zu behindern oder von ihrem Konsum mit Drohungen und empfindlichen Sanktionen abzuschrecken.

https://www.ft.com/content/3bbb2af3-e934-4603-8aae-26b758140c65

Weltraumpiraten: Chinesen hacken Russen im All

Analysten des in Moskau beheimateten Security-Dienstleisters Positive Technologies haben Aktivitäten einer neuen Angreifergruppe entdeckt, die sie „Space Pirates“ getauft haben. Die mutmaßlich mit China in Verbindung stehende Gruppe soll es seit 2017 vor allem auf russische Raumfahrtorganisationen abgesehen haben, die mit Phishing-E-Mails zur Installation neuartiger Malware bewegt werden sollten.

Zwar gibt es wohl Verbindungen zu bereits bekannten Gruppen wie APT41 (Winnti), Mustang Panda und APT27, doch scheint es sich bei Space Pirates um eine eigene Struktur zu handeln.

https://www.bleepingcomputer.com/news/security/chinese-space-pirates-are-hacking-russian-aerospace-firms/

Crypto Bro-Ken: „Crypto Mugging“ auf dem Vormarsch

Einige Diebe in der realen physischen Welt haben sich soweit spezialisiert, dass sie es nicht mehr nur auf das Bargeld und die physischen Wertsachen ihrer Opfer abgesehen haben, sondern außerdem auf den Inhalt ihrer Crypto-Wallets. Zuletzt häuften sich in Städten wie London die Fälle von „Crypto Mugging“, wo Menschen unter (Androhung von) Gewalt um ihre privaten Schlüssel oder Zugangscodes und letztlich um ihre Cryptowährungs-Münzen gebracht wurden.

Es ist anzunehmen, dass nun stärkere Sicherheitsmaßnahmen wie Multi-Sig-Wallets, bei denen für eine Überweisung zwei verschiedene Parteien ihr Einverständnis geben müssen, einen Aufschwung erhalten.

https://www.theguardian.com/technology/2022/may/08/crypto-muggings-thieves-in-london-target-digital-investors-by-taking-phones

Für mehr Fair-NIS: NIS-2-Richtlinie vereinbart

Am 13. Mai 2022 haben sich die EU-Mitgliedstaaten und das EU-Parlament nach langen Verhandlungen auf die NIS-2-Richtlinie verständigt. Dabei wird gegenüber der NIS-Direktive von 2016 der Anwendungsbereich der Richtlinie erheblich ausgeweitet. Zukünftig sollen schon Unternehmen erfasst sein, die mehr als 50 Personen beschäftigen, einen Jahresumsatz bzw. eine Jahresbilanz von über 10 Millionen Euro haben und zu einem kritischen oder wichtigen Sektor gehören. Auch die Liste der betroffenen Sektoren wird deutlich erweitert. Außerdem soll es neue Pflichten in Bezug auf das Risikomanagement und Meldungen geben sowie deutlich erhöhte Bußgelder, nun etwa halb so hoch wie jene aus der DSGVO.

Die politische Einigung, die das Europäische Parlament und der Rat erzielt haben, muss nun von den beiden Gesetzgebungsorganen noch förmlich bestätigt werden. Die Richtlinie tritt 20 Tage nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft, und die Mitgliedstaaten müssen dann die neuen Elemente der Richtlinie innerhalb von 18 oder von 24 Monaten in nationales Recht umsetzen.

https://germany.representation.ec.europa.eu/news/eu-erzielt-einigung-uber-neue-vorschriften-fur-die-cybersicherheit-kritischer-einrichtungen-und-2022-05-13_de

Inhalt der NIS-2-Richtlinie: https://www.openkritis.de/it-sicherheitsgesetz/eu-nis-2-direktive-kritis.html

Reif für die Cloud: AWS Security Maturity Model

AWS hat ein sogenanntes AWS Security Maturity Model veröffentlicht, das vier Phasen definiert, in welchen die Absicherung einer Cloudumgebung in AWS angegangen werden sollte. Die erste davon enthält nur schnell umzusetzende Quick Wins; Backups etwa werden erst in Phase 2 (Foundational) eingerichtet. In Phase 3 (Efficient) kommen Infrastructure as Code (IaC) und die Benennung von Security Champions in der Entwicklung hinzu. Erst Phase 4 (Optimized) fordert die Einrichtung eines Red Teams (Pentest/Red Teaming) und eines Blue Teams (Incident Response).

Aus der Security-Community kommt viel Zustimmung zu dem Modell, allerdings auch einiges an Kritik. Insbesondere wird bemängelt, dass die Automatisierung der Infrastruktur erst relativ spät angegangen wird. So könnte sich bis dahin schon viel technical debt angesammelt haben, der möglicherweise nur schwer wieder einzufangen ist.

https://maturitymodel.security.aws.dev/en/model/

Der wahre Hackback – Ukrainische IT-Armee meldet Erfolge

Traditionell halten sich staatliche Stellen, die in Sachen Cyber offensiv unterwegs sind, mit Verlautbarungen über Erfolge und Misserfolge zurück. Die Öffentlichkeit erfährt im Allgemeinen eher zufällig oder über Umwege Details über Ziele, Angriffskampagnen und mögliche oder tatsächliche Impacts – wenn überhaupt.

Anders in der Ukraine, wo wieder einmal die durch den Krieg ausgelöste Zeitenwende deutlich wird. Nicht nur, dass der ukrainische Vizepremier und Minister für digitale Transformation, Mychajlo Fedorow, zwei Tage nach dem Überfall auf sein Land auf Twitter zur Bildung einer Cyber-Armee aufgerufen hat. Nun meldet der Pressedienst seines Ministeriums gar die aktuellen Zahlen zur Angriffskampagne, diesmal auf dem eigenen Telegram-Kanal.

So sollen im Laufe der letzten Woche mehr als 400 russische Online-Ressourcen angegriffen worden sein. Betroffen waren laut ukrainischen Angaben viele regionale Medienseiten, aber auch das neu geschaffene russische Pendant zu Apples App Store und Google Play, NashStore. Insgesamt sollen seit Beginn der Invasion bzw. seit Gründung der IT-Armee aus ukrainischen und internationalen Spezialistinnen und Spezialisten rund 2.000 russische Assets attackiert worden sein, zum Teil mehrfach. Die ukrainische Seite nennt dies „Präventivschläge gegen Cyber-Positionen.“

Damit könnte ein neues Kapitel eingeleitet worden sein im Bereich Cyberwar, wenn sich verstetigt, dass Cyberoperationen nicht nur klandestin, sondern auch öffentlichkeitswirksam in der Medienschlacht vor- und zum Einsatz kommen.

https://www.unian.ua/techno/communications/ukrajinska-it-armiya-za-tizhden-atakuvala-ponad-400-rosiyskih-onlayn-resursiv-11838027.html

Jirassic Park: Das zwischenzeitliche Aussterben der Confluencer

Atlassian ist seit Jahren als eines der Unternehmen bekannt, die ihre Kunden mit besonders viel Enthusiasmus in die Cloud locken – manche würden vielleicht sogar scheuchen sagen. Immerhin verspricht man sich dort (zu Recht) mehr Agilität und damit auch mehr Nutzen für die Kunden.

Nun hat das Umarmen der Wolke einige, die sich darauf voll eingelassen haben, böse gebissen. Ein Wartungsskript, das eigentlich nur Legacy-Daten löschen sollte, entfernte darüber hinaus die produktiven Daten von 400 Kunden samt Informationen zu gebuchten Produkten, Nutzern und Drittanbieteranwendungen. Zwar waren umfangreiche Wiederherstellungssysteme vorhanden, trotzdem sollte der Wiederaufbau für einen Großteil der Betroffenen bis zu zwei Wochen dauern.

Nun gibt es zwei Sichten auf die Misere. Die eine: Das passiert On-Prem auch, nur dann steht es (meist) nicht in der Zeitung. Das ist auch richtig. Und allein die Cloud zu verdammen ist in diesem Fall sicherlich nicht hilfreich. Andererseits zieht das andere Extrem, den Cloud-Betrieb von der Verantwortung völlig freizusprechen, auch nicht komplett. Immerhin bauen wir uns mit IaaS, PaaS und SaaS erhöhte Komplexität und damit auch mehr „Single“ Points of Failure, mindestens aber Klumpenrisiken auf.

Die Verantwortung, für die geschäftskritischen Daten einer Vielzahl von Organisationen verantwortlich zu sein, muss daher mit einem umso größeren Maß an Professionalität und Due Diligence einhergehen. Die – zumal nicht-amerikanischen – Cloud-Anbieter (Atlassian sitzt in Sydney) werden sich daran messen lassen müssen, ob sie schneller besser werden, als wir ihnen unser Geld und unsere Verantwortung hinterherwerfen.

https://www.heise.de/news/Atlassian-Ausfall-der-Cloud-Dienste-Jira-Confluence-dauert-noch-zwei-Wochen-6669601.html

Near Miss: Ukrainisches Stromnetz knapp vor Ausfall bewahrt

Nun ist es doch passiert – beinahe. Nachdem wirkungsstarke Cyberwar-Aktivitäten trotz des russischen Krieges lange Zeit auf sich warten ließen, hat die Gruppe Sandworm nun immerhin fast einen großflächigen Stromausfall in der Ukraine auslösen können, mithin klassische Sabotage mit modernen Mitteln. Die Gruppierung, die für westliche Analysten als Einheit des russischen Militärgeheimdienstes GRU gilt, hatte mittels Software die Steuerungstechnik von Hochspannungs-Umspannwerken infiltriert und eine Abschaltung für den 8. April geplant, die durch die Entdeckung des Angriffs vereitelt werden konnte.

Die Schadsoftware Industroyer2 – benannte nach der Malware, mit der Sandworm den Stromausfall in der Ukraine 2016 bewirkte – wurde zusammen mit weiteren Tools eingesetzt, sogenannten Wipern für unterschiedliche Betriebssysteme, welche die Spuren verwischen und die Incident Response erschweren sollten.

https://www.sueddeutsche.de/wirtschaft/hacker-sandworm-ukraine-krieg-strom-1.5565893

Dehydriert: Deutsche Behörden legen russischen Darknet-Marktplatz trocken

Statt Waffen und Drogen zeigen die nur über das Darknet erreichbaren Seiten des illegalen Marktplatzes Hydra nur noch Beschlagnahmungsvermerke des BKA und der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt am Main. Die deutschen Behörden hatten gemeinsam die Infrastruktur des berüchtigten russischen Betreibers in Folge einer koordinierten internationalen Strafverfolgungsaktion übernommen.

Dabei wurden auch 543 Bitcoins (umgerechnet rund 23 Millionen Euro) konfisziert, welche aus Geschäften von rund 19.000 registrierten Händleraccounts mit mindestens 17 Millionen Kunden aus der ganzen Welt stammen sollen. Insgesamt schätzen BKA und ZIT den Jahresumsatz von Hydra 2020 auf umgerechnet 1,23 Milliarden Euro, was ihn zum mutmaßlich größten Darknet-Marktplatz der Welt gemacht haben dürfte.

Eine Besonderheit bei Hydra war ein sogenannter „Bitcoin Bank Mixer“, über den Zahlungsströme in Kryptowährungen weiter verschleiert werden konnten. Nun müssen in den nächsten Monaten viele Händler und Kunden mit Anzeigen rechnen.

https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2022/Presse2022/220405_PM_IllegalerDarknetMarktplatz.html