Autor: David Fuhr

Twitter: 0xdhf
Allgemein, News

Politische Ransomware: Belarussische Staatsbahn erpresst

Prodemokratische Hacktivisten geben an, die belarussische Staatsbahn mit Ransomware infiziert zu haben. Sie wollen damit kein Lösegeld erpressen, sondern die Freilassung politischer Gefangener der Opposition erzwingen und die Logistik für russische Truppen behindern. Der Schädling soll so beschaffen sein, dass Safety-kritische Funktionen nicht beeinträchtigt werden.

https://gizmodo.com/hackers-claim-strike-on-belarus-railway-intended-to-dis-1848411726

Allgemein, News

We RGood: Schlüsselmitglieder der Hackergruppe REvil verhaftet

Trotz der politischen Unruhen zwischen Russland und den USA folgte Russland der Bitte Washingtons und verhaftete 14 Schlüsselmitglieder der Hackergruppe REvil. Dabei wurden insgesamt umgerechnet rund 6,8 Millionen US-Dollar in verschiedenen Währungen beschlagnahmt sowie diverse Cryptowallets von REvil. Abzuwarten bleibt, ob und wann REvil unter neuem Namen wieder aktiv wird.

https://www.darkreading.com/threat-intelligence/russia-takes-down-revil-ransomware-operation-arrests-key-members

Allgemein, News

HiSolutions Know-how to go – Das Wissensfrühstück zum Thema ISO-27001-Novellierung

Informationssicherheit ist ein stetig wachsender Erfolgsfaktor für Unternehmen und Institutionen. Die internationale Norm ISO/IEC 27001 stellt bei der Darstellung eines verlässlichen Information Security Managements eines der bekanntesten und anerkanntesten Frameworks im internationalen Umfeld dar. Die Normreihe der ISO 27001 unterliegt kontinuierlichen Anpassungen. Nach der Veröffentlichung der ISO/IEC 27002:2021 im vergangenen Jahr steht nun auch die Neuauflage, die ISO/IEC 27001:2022, ins Haus.

Bei unserem kostenfreien Remote-Wissensfrühstück erhalten Sie einen Überblick über die anstehenden Änderungen und deren Bewertung, Anwendungsgebiete der ISO 27001 und das Zusammenspiel mit anderen Bereichen des Risiko- und IT-Sicherheitsmanagements.

https://www.hisolutions.com/knowhow

Allgemein, News

Lauwarmer Krieg: Cyberangriffe gegen die Ukraine

Webseiten der ukrainischen Regierung sind Ziel eines Cyberangriffs geworden. Sie wurden zum Teil mit politischen Botschaften verschandelt („Defacement“). Zudem wurden kritische Infrastrukturen des Landes von der Malware WhisperGate befallen. Unter anderem die Log4j-Schwachstelle und eine Schwachstelle in October CMS wurden benutzt, um in die Systeme einzudringen. Die Malware ist keine Ransomware, denn sie hat keinen Wiederherstellungsmechanismus und ist somit auf Zerstörung und Sabotage ausgelegt.

https://www.securityweek.com/ukraine-reports-massive-cyber-attack-government-websites

Allgemein, News

Onlinezugangssicherheitsverordnung: Pentestpflicht durch OZG

Das sogenannte Onlinezugangsgesetz (OZG) will nicht nur eine Verbesserung des Onlinezugangs zu Verwaltungsleistungen erreichen, sondern gleichzeitig auch deren Security erhöhen. Die neue IT-Sicherheitsverordnung Portalverbund (ITSiV-PV) des BMI sieht daher regelmäßige Webchecks und Pentests durch BSI-zertifizierte IT-Sicherheitsdienstleister wie HiSolutions vor. Das trifft Behörden von Bund und Ländern, und zwar sämtliche Dienste mit hohem oder sehr hohem Schutzbedarf in mindestens einem Schutzziel sowie alle Komponenten, die unmittelbar mit dem Internet verbunden sind. Auch nach größeren Änderungen werden Überprüfungen fällig.

https://www.buzer.de/ITSiV-PV.htm

OSINT

Die Macht der OSINT: Geheimdienste enttarnen leichtgemacht

Man kann politisch unterschiedlich dazu stehen, aber eines ist nicht zu bestreiten: Die Forschungsarbeit der Security-Researcherin Lilith Wittmann, in der mit einfachen Mitteln mutmaßlich zwei Außenstellen des Bundesamts für Verfassungsschutz enttarnt wurden, zeigt eindrücklich, wie mächtig „OSINT“ geworden ist.

Open Source Intelligence – die geschickte Nutzung und Verknüpfung öffentlich verfügbarer Informationen – war seit jeher ein Mittel der Geheimdienste. Durch die immer weiter voranschreitende Digitalisierung stehen jedoch auch Einzelpersonen mit etwas Geschick, Neugier und einem Internetzugang schier endlose Recherchemöglichkeiten zur Verfügung. Gepaart mit etwas Durchhaltevermögen und einer kleiner Prise Frechheit – wer hätte damit gerechnet, dass jemand einfach mal zu Fuß vorbeischauen und Klingelschilder vergleichen könnte? – ist schnell ein Niveau erreicht, das die Tarnfähigkeiten vieler Behörden übersteigt. Einfach weil es bisher ausreichte, ein paar Decknamen, Postfächer und tote Mailboxen vorzuhalten.

In der neuen Welt, in der Google-Fu, Suche in IP-Datenbanken und Crowd-Sourcing von Recherchen langsam zu Allgemeinbildung werden, müssen sich die Dienste zukünftig deutlich mehr einfallen lassen, um Deckmäntel aufrechtzuerhalten. Oder umdenken. Auch in der Security wurde mit Kerckhoffs‘ Prinzip Ende des 19. Jahrhunderts die Security through obscurity aufgegeben.

Ungelöst ist insbesondere die Herausforderung der physischen Verfolgung durch funkende Mini-Devices (Tags): Die Apple AirTags, mit denen Wittmann eine Postsendung bis ins Bundesamt für Verfassungsschutz verfolgen konnte, stellen auch an anderen Stellen eine Gefahr für Privatsphäre und Safety dar, lassen sie doch Menschen, Waren und Fahrzeuge für kleinstes Geld unbemerkt tracken. Und nicht alle haben die Mittel – wie theoretisch ein Geheimdienst –, um Scanner zu betreiben, die diese detektieren können.

https://lilithwittmann.medium.com/bundesservice-telekommunikation-enttarnt-dieser-geheimdienst-steckt-dahinter-cd2e2753d7ca

Advisories, Log4Shell

Log4Shell-Schwachstelle in Log4j: Überblick

Hilfe zur Selbsthilfe

Unsere aktuelle HiSolutions „Hilfe zur Selbsthilfe Log4Shell“ (v1.11 vom 05.01.2022 07:00) gibt es hier zum Download:

(Danke an das Team für die schnelle Arbeit – Inés Atug, Markus Drenger, Enno Ewers, Daniel Jedecke, Lisa Lobmeyer, Lena Morgenroth, Folker Schmidt, Volker Tanger, Manuel Atug.)

HiSolutions-Selbsthilfe-log4j_version-1.11Herunterladen

Go to English version

Changelog 

V1.11 (05.01.2022 07:00): CVE-2021-44832 (Arbitrary Code Execution) und Updatehinweis auf Version 2.17.1 ergänzt. Hinweis auf Ausnutzung ohne Nachladen von Schadcode entfernt. Scantools von AV-, Endpoint-Protection-, IDS- und Schwachstellenscanner-Herstellern ergänzt. Bekannte Angriffe ergänzt.

V1.10 (22.12.2021 09:00): Abgleich mit dem erweiterten BSI-Dokument (Stand 20.12.2021). Ergänzen der Gefährdungslage. Überarbeitung der Dokumentenstruktur. Löschung von Dopplungen. Ergänzen von Maßnahmenempfehlungen. Ergänzen bisher bekannter Angriffe (zum Ableiten möglicher IOCs).

V1.9 (20.12.2021 21:00): Expliziter Hinweis, dass generell alle Versionen vor 2.17.0 anfällig sind. Hinweis auf neue Schwachstelle in Version 2.16.0. Hinweis auf Prüfung in ICS-Umgebungen. Einbeziehung von Produkt-Herstellern und Dienstleistern konkretisiert.

V1.8 (15.12.2021 20:00): Verbesserung und Hinweise zu Überprüfung von Linux-Systemen per Kommandozeile.

V1.7 (15.12.2021 18:00): Verweis auf Angriffe mittels Ransomware hinzugefügt. Klarstellung zur Zielgruppe des Dokumentes eingefügt. Sprachliche Verbesserungen. Hinweis auf besseres Logging eingebaut. Hinweis auf CI/CD und Wiederherstellung von Backups eingefügt.

V1.6 (15.12.2021 12:00): CISA-Liste betroffener Produkte hinzugefügt. Hervorhebung der neuen Log4j 2.15.0 CVE-2021-45046 und des Defizits im ersten Patch. Prüfung via Konsole auf Linux-Systemen. Strukturiertes Vorgehen, um zu erkennen, ob Angreifer sich eingenistet und im Anschluss selber das System gepatcht haben. Verifikation der Behebung der Verwundbarkeit nach Patch. Datenschutzrelevantes Dokument vom BayLDA aufgenommen. BSI-Dokumente referenziert. Hinweis auf Feedbackmöglichkeit.

V1.5 (14.12.2021 15:00): Priorisierung und Liste aller Produkte. Wir haben eine Empfehlung zur Priorisierung hinzugeführt sowie eine Vorgehensweise der strukturierten Erfassung aller Produkte, die betroffen sind, und wie diese abgearbeitet werden kann.

V1.4 (14.12.2021 13:00): log4j v1.x mit CVE-2021-4104 adressiert. Ausnutzung der Schwachstellen seit 1.12.2021. Cloud Dienste hinzugefügt. Potentiell betroffene Systeme mit drei Merkmalen beschrieben. Intranet erläutert. Egress-Filter (ausgehender Datenverkehr) hinzugefügt. Hinweis auf Logfile-Sicherungen aufgrund der Angriffe seit 1.12.2021. Hinweis auf Aussage Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI), dass wegen Art. 33 DSGVO auf erfolgreiche Angriffe zu prüfen ist. 

V1.3 (13.12.2021 17:00): Erste veröffentlichte Version 

Beiträge zu Log4Shell/Log4j

  • Log4Shell: HiSolutions Self-Help Guide Log4j
    The following self-help guide contains HiSolutions‘ expert assessment, recommendations, IT procedures, and measures to cope with the ongoing Log4Shell cybersecurity incident and attack wave caused by a critical vulnerability in the Apache Log4j logging library. Special thanks to Lisa Lobmeyer for the English version.
  • Log4Shell-Schwachstelle in Log4j: Überblick
    Hilfe zur Selbsthilfe Unsere aktuelle HiSolutions „Hilfe zur Selbsthilfe Log4Shell“ (v1.11 vom 05.01.2022 07:00) gibt es hier zum Download: (Danke an das Team für die schnelle Arbeit – Inés Atug, Markus Drenger, Enno Ewers, Daniel Jedecke, Lisa Lobmeyer, Lena Morgenroth, Folker Schmidt, Volker Tanger, Manuel Atug.) Go to English version Changelog  V1.11 (05.01.2022 07:00): CVE-2021-44832 (Arbitrary Code Execution) und Updatehinweis auf Version 2.17.1 ergänzt. Hinweis auf Ausnutzung ohne Nachladen von Schadcode entfernt. Scantools von AV-, Endpoint-Protection-, IDS- und Schwachstellenscanner-Herstellern ergänzt. […]
  • Log4Shell: Massive Bedrohung durch Schwachstelle in Bibliothek Log4j
    Aktuell besteht eine IT-Sicherheitsbedrohung der höchsten Warnstufe: Durch eine Schwachstelle in der weitverbreiteten Java-Protokollierungsbibliothek Log4 sind sehr viele Systeme, Anwendungen und Applikationen (unvollständige, ständig wachsende Liste hier) anfällig für einen sehr einfach durchzuführende Remote Code Execution Angriff (RCE). Ein Vielzahl von Akteuren scannt bereits das Internet nach vulnerablen Instanzen, und erste Angreifer haben bereits begonnen, Backdoors auf Systemen zu installieren. Diese könnten später etwa für Ransomware-Angriffe missbraucht werden. Die Bibliothek ist dringend zu patchen – eine Herausforderung durch die vielen […]
Log4Shell

Log4Shell: Massive Bedrohung durch Schwachstelle in Bibliothek Log4j

Aktuell besteht eine IT-Sicherheitsbedrohung der höchsten Warnstufe: Durch eine Schwachstelle in der weitverbreiteten Java-Protokollierungsbibliothek Log4 sind sehr viele Systeme, Anwendungen und Applikationen (unvollständige, ständig wachsende Liste hier) anfällig für einen sehr einfach durchzuführende Remote Code Execution Angriff (RCE).

Ein Vielzahl von Akteuren scannt bereits das Internet nach vulnerablen Instanzen, und erste Angreifer haben bereits begonnen, Backdoors auf Systemen zu installieren. Diese könnten später etwa für Ransomware-Angriffe missbraucht werden.

Die Bibliothek ist dringend zu patchen – eine Herausforderung durch die vielen Stellen, an denen Log4j zum Einsatz kommt. Häufig sind Anwender auch auf die Zuarbeit der Hersteller angewiesen. Dabei sind beileibe nicht nur direkt aus dem Internet erreichbare Systeme betroffen.

Der IT-Sicherheitsforscher Kevin Beaumont (@gossithedog) pflegt einen Twitter-Thread mit den neusten Entwicklungen und Tipps:

Allgemein, News

Es rappelt in den Kisters: Ransomware ereilt Energie-Supply-Chain

Als nächsten neuralgischen Punkt einer wichtigen Supply-Chain hat es die Energiebranche erwischt: Die Firma Kisters ist außerhalb des Sektors Wenigen bekannt, stellt aber einen wichtigen Dienstleister und Single Point of Failure dar. Dies wurde schmerzlich bewusst, als zentrale Systeme von Kisters durch eine Ransomware verschlüsselt wurden. Durch diese wurden die Mitarbeiterinnen und Mitarbeiter aus den eigenen Systemen ausgesperrt und konnten so zeitweise auch keinen Kundensupport leisten. Bisher gibt es keine Hinweise darauf, dass ausgelieferte Software kompromittiert wurde.

Cyber-Angriff auf Kisters AG durch orchestrierte Ransomware-Attacke