LockBit lebt noch

Nachdem es anfangs so schien, als hätten internationale Ermittler die Ransomware-Gruppierung LockBit in einer Operation namens Cronos endgültig zerschlagen, hat sich der mutmaßliche Kopf der Organisation mit einer aus der Ich-Perspektive verfassten Erklärung zurückgemeldet. LockBit gilt als die derzeit größte Ransomware-Gruppe und verdiente bis dato nach eigenen Aussagen über 100 Millionen US-Dollar mit ihren Hacks.

Am 19.02. wurde bekannt, dass Ermittler von zehn Behörden Zugriff auf große Teile der Daten, Kryptowallets sowie Webseiten der Gruppe erlangten. Zusätzlich wurden zwei Personen in Polen und in der Ukraine festgenommen. Die Operation Cronos nutzte eine Lücke in PHP aus, um die LockBit-Server zu infiltrieren. Werkzeuge zur Entschlüsselung betroffener Daten wurden ebenfalls erlangt.

In der Folge haben die Ermittler auch die Enthüllung der Identität des vermeintlichen Chefs der Bande in besonderer Manier angekündigt. Durch eine provozierende Strategie wollten sie den Ruf und das Vertrauen in den Chef und in die Gruppe untergraben. Misstrauen soll speziell unter den Kriminellen gesät werden, die sich häufig als unantastbar gegenüber Strafverfolgungsbehörden geben. Die eigentliche Enthüllung lieferte wenig konkrete Details. Ob die Strategie des öffentlichen Trollings gegenüber den Gruppen Erfolg hat, bleibt abzuwarten.

Die jüngste Stellungnahme von LockBit zerstört indes die Hoffnung, dass die Gruppe tatsächlich zerschlagen wurde. Sie gesteht sich zwar Fehler im Betrieb ihrer Systeme ein, plant jedoch, Angriffe auf staatliche Institutionen zu verstärken. Zudem macht sie sich über die Behörden hinter Cronos lustig und bietet Jobs für die Personen an, die die Schwachstellen in LockBits Infrastruktur fanden. Sie spekuliert über mögliche Motive für den Gegenangriff und sieht dies als Bestätigung ihrer Bedeutung. Die Gruppe scheint vor allem gut darin zu sein, sich selbst ihr Geschäftsmodell auf zweifelhafte Weise zu legitimieren.

LockBit bleibt damit die führende Ransomware-as-a-Service-Gruppe, deren „Dienst“ verantwortlich für über 20 % aller Ransomware-Angriffe im letzten Jahr war.

Das ursprüngliche Statement der Gruppe (inzwischen nur noch bei Archive.org verfügbar): https://web.archive.org/web/20240224220101/https://samples.vx-underground.org/tmp/Lockbit_Statement_2024-02-24.txt

Die letzte Meldung auf Heise mit Einschätzung des Statements: https://heise.de/-9638063

Can it run Doom?

Da Nachrichten aus den Bereichen Informationssicherheit und darüber hinaus oftmals beängstigend sind, möchten wir Ihnen zum Abschluss dieses Digests mit einer erfrischenden Meldung ein Lächeln auf die Lippen zaubern: Das bereits 1993 erschienene Spiel Doom war der Wegbereiter für ein gänzlich neues Spielgenre. Bis heute hat es seine Relevanz beibehalten, indem die Community in Form von Insider-Witzen versucht, das Spiel auf den unterschiedlichsten Plattformen zum Laufen zu bringen.

Dabei sind der Kreativität keine Grenzen gesetzt: von Mikrowellen über Zahnbürsten bis hin zum Display eines Schwangerschaftstests – aufgrund der niedrigen Voraussetzungen von einer 160 MHz Prozessor-Taktfrequenz und 16 MB Arbeitsspeicher findet sich heutzutage eine Vielzahl an Plattformen zum Zocken.

Zuletzt hat der Hersteller Husqvarna auf der MWC mit einem Update für seinen Rasenmäher überrascht. Auf der Messe konnten Besucher das Spiel mit den vorhandenen Bedienelementen des Mähers spielen. Eigens für die Messe haben die Entwickler sogar den Multiplayer-Modus über WLAN umgesetzt. Ein Update für zu Hause kommt ab dem 15. April und ermöglicht das Spielen im Einzelspielermodus – aber bitte nicht während des laufenden Rasenmähers im Einsatz.

Was wir daraus für unsere Branche mitnehmen können: Eingebettete Systeme bringen immer mehr Leistung mit und werden damit attraktiver für Angreifer. Immer häufiger sind diese ans Internet angeschlossen und bieten so eine Schnittstelle nach außen. Es zeigt sich auch hier, dass der Schutz jeglicher Systeme essenziell ist.

Meldung zum Husqvarna-Rasenmäher auf heise: https://heise.de/-9640570

Liste an Geräten, auf denen Doom installiert wurde: https://canitrundoom.org

Ivantis VPN-Software von neuen Schwachstellen heimgesucht

Der erste Blick in den Eierkorb führt uns zu Ivanti mit ihrer VPN-Software: Nachdem am 10. Januar durch den Hersteller zwei Sicherheitslücken veröffentlicht wurden, sind nun am 31. Januar zwei weitere Schwachstellen entdeckt worden. Diese werden seit geraumer Zeit aktiv ausgenutzt. Die neuen Lücken sind mit dem Patch der älteren Schwachstellen aufgetaucht und wurden mit den Updates direkt mitgeflickt.

Besonders problematisch ist die Kombination der ersten beiden Schwachstellen. Damit wird es möglich, willkürliche Kommandos auf den Systemen auszuführen. Während die erste Schwachstelle einen Authentication-Bypass in der Webkomponente von Ivanti ICS und Policy Secure ermöglicht, kann man bei der zweiten Schwachstelle eine Command-Injection in den Webkomponenten von Ivanti Connect Secure und Policy Secure vornehmen. Diese Kombination aus Rechteerlangung und Remote Execution ist äußerst problematisch.

Die durch Ivanti zur Verfügung gestellten Updates bieten vorläufige Gegenmaßnahmen für den alten Angriffsvektor sowie gegen die neu gefundenen Lücken. Patchen Sie als Kunde von Ivanti Ihre Produkte so schnell wie möglich!

Mit den weiteren gefundenen Schwachstellen kommen eine Privilege Escalation sowie eine Server Side Request Forgery dazu. Die SSRF-Schwachstelle, die Zugriff auf bestimmte Ressourcen ohne Authentifizierung erlaubt, wird bereits aktiv ausgenutzt. Das BSI erwartet eine steigende Verwendung dieser Sicherheitslücke.

Ausgenutzt werden die Schwachstellen derzeit von verschiedenen Akteuren, darunter die Gruppe UTA0178. Ziele der Angreifer sind häufig Regierungen, Telekommunikationsunternehmen, Verteidigungsunternehmen und Fortune-500-Unternehmen weltweit. Die Entdeckung dieser Vielzahl an Zero-Days, gepaart mit dem beobachteten Verhalten der Angreifer und der Wahl der Zielorganisationen lassen auf Threat-Actors schließen, die über weitreichende Ressourcen und Kenntnisse verfügen.

 Eine Prüfung auf eine Kompromittierung ist beim Einsatz der Ivanti-Produkte in allen Fällen notwendig.

Die letzte Meldung auf heise finden Sie hier:

https://www.heise.de/news/Ivanti-Neues-ausgenutztesSicherheitsleck-Updates-endlich-verfuegbar-9615184.html

Einen technischen Deep-Dive zu den Schwachstellen finden Sie hier:

https://www.mandiant.com/resources/blog/investigating-ivanti-zero-day-exploitation

Meta (Ex-Facebook) fühlt sich nicht verpflichtet, Hochstapler aussozialen Netzwerken zu entfernen

Das Fachmedium BleepingComputer hat in einer Untersuchung festgestellt, dass Inhalte von den unterschiedlichsten Scammer-Methoden auch nach händischer Überprüfung durch Meta nicht gelöscht werden. Dass gemeldete und auch nachweislich schädliche Inhalte die automatisierte Überprüfung teilweise überleben, kann man noch verstehen. Wenn jedoch Profile händisch untersucht werden, bei denen man schnell mittels Fotosuche auf den tatsächlichen Nutzer stößt, lässt das an den Fähigkeiten zur Bekämpfung dieser Betrüger zweifeln.

Die Imitation von Internetpersönlichkeiten oder Prominenten bildet trotz der Einführung des „Verified“-Badges ein großes Problem. Viele Nutzer fallen auf die Catfishing-Methoden der Betrüger herein. Ein konkretes Beispiel wird im verlinkten Artikel vorgestellt.

Die Thematik ist auch für Unternehmen relevant. Betrüger können sich zumindest eine Zeit lang als die Social-Media-Präsenz eines Unternehmens ausgeben und so der Reputation schaden. Um sich bestmöglich vor solche Attacken zu schützen, kann man seine Inhalte mit einem Wasserzeichen versehen, das „Verified“-Badge abonnieren und aktiv gegen die Betrüger vorgehen. Neben dem klassischen Melden der Inhalte kann man bei kopierten Inhalten auch eine Urheberrechtsverletzung anzeigen. Bis Meta das Problem für seine Plattformen ausräumen kann, scheint Abschreckung das Mittel der Wahl gegen die Betrüger zu sein.

Hier geht’s zum Bericht auf bleepingcomputer.com:

https://www.bleepingcomputer.com/news/security/meta-wont-remove-fake-instagram-profiles-that-are-clearly-catfishing

Nach Entwicklung und Betrieb folgt der Leitfaden zur sicheren Nutzung von KI

Nachdem wir bereits im Dezember letzten Jahres über die Veröffentlichung des Leitfadens zur Entwicklung und zum Betrieb von KI-Systemen berichtet haben, liefert der Kooperationsverbund aus Cybersicherheitsbehörden nach. Das BSI gibt mit seinen Partnerbehörden unter australischer Federführung einen Leitfaden zur sicheren Nutzung von KI-Systemen heraus.

Das Papier gibt einen Überblick über wichtige Bedrohungen und Gegenmaßnahmen, die Anwender ergreifen können.

Die Veröffentlichung reiht sich in die Diskussion um den AI Act ein, bei dem die EU ein europäisches Gesetz schaffen möchte, um Anwendungsfälle von KI in risikobehafteten Bereichen zu regulieren.

Wie auch im vorherigen Leitfaden fällt auf, dass sich die vorgeschlagenen Gegenmaßnahmen stark mit klassischen Anforderungen überschneiden. KI-Systeme bleiben nun mal auch Computer. Wir halten es trotzdem für richtig, mit der Veröffentlichung von Leitfäden die Kenntnisse bei Unternehmen zu verbessern.

https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Leitfaden_KI-Systeme_230124.html

https://www.cyber.gov.au/resources-business-and-government/governance-and-user-education/governance/engaging-with-artificial-intelligence

https://artificialintelligenceact.eu/de

Italienische Datenschutzbehörde: ChatGPT verstößt gegen EU-Recht

Die italienische Datenschutzbehörde hat OpenAI darüber informiert, dass ChatGPT gegen die EU-Datenschutzverordnung GDPR verstoßen hat.

Bereits im April 2023 hatte die Behörde ChatGPT aufgrund illegaler Datensammlung und fehlender Systeme zur Altersüberprüfung vorübergehend gesperrt. Sie stellte fest, dass ChatGPT trotz der Ausrichtung auf Benutzer ab 13 Jahren Minderjährige unangemessenen Antworten aussetzt. OpenAI erklärte damals, die Forderungen der italienischen Datenschutzbehörde bis zum 30. April erfüllt zu haben, weshalb das Verbot des Chatbots aufgehoben wurde.

Nun hat die Behörde nach einer weiteren Untersuchung entschieden, dass ChatGPT gegen die EU-Datenschutzregeln verstoßen hat. Sie bemängelt, dass OpenAI die Benutzer nicht darüber informiert, dass ihre Daten gesammelt werden. Nach der DSGVO benötigt das Unternehmen aber eine Einwilligung zur Verarbeitung der personenbezogenen Daten. Zusätzlich gibt es Vorwürfe bezüglich der Genauigkeit der Verarbeitung. Nun soll ein Sonderausschuss aus Datenschutzbehörden der EU eingerichtet werden, um die Problematik weiter zu untersuchen.

OpenAI selbst hat 30 Tage Zeit, auf die Anschuldigungen zu antworten.

https://www.golem.de/news/verstoesse-gegen-dsgvo-italiens-datenschuetzer-gehen-erneut-gegen-chatgpt-vor-2401-181672.html

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9978020#english

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870847#english

Seitenkanal des Monats: Timing Quantum Services

Die Vorzüge des Quantencomputings sind weithin bekannt, im Vergleich zu klassischen Rechenmethoden werden erhebliche Leistungssteigerungen versprochen. Bei der Weiterentwicklung liegt deswegen der Fokus häufig genau auf dieser Leistungsfähigkeit. Bisher wurden die Sicherheitsaspekte der Quantencomputing-Plattformen weitgehend vernachlässigt. Angesichts des Aufkommens cloudbasierter Services wird es nun entscheidend, die klassischen Bedrohungsszenarien auf den Bereich des Quantencomputings zu erweitern. Dies führt uns zu unserem Seitenkanal des Monats.

In der verlinkten Studie wurden zeitbasierte Seitenkanal-Angriffe innerhalb des cloudbasierten Quantendienstes von IBM untersucht. Der vorgeschlagene Angriff untergräbt durch Beobachtung des Zeitaufwands für Quantenschaltungen die Vertraulichkeit des ausgeführten Quantenalgorithmus. Die Ergebnisse zeigen, dass es bereits mit nur zehn Messungen möglich ist, den zugrundeliegenden Quantencomputer zu identifizieren, der die Schaltung ausgeführt hat. Darüber hinaus wird bei der Verwendung des weitverbreiteten Grover-Algorithmus die Fähigkeit aufgezeigt, das Quantenorakel mit lediglich 500 Messungen preiszugeben. Die Reconnaissance der angewandten Maschinen ist mit verhältnismäßig einfachem Aufwand möglich.

Die Forscher beenden ihre Veröffentlichung mit einem Aufruf, zeitbasierte Sicherheitslücken in Quantencomputing-Plattformen anzugehen, und liefern Vorschläge für Gegenmaßnahmen zu ihren getesteten Angriffen gleich mit. Obwohl ein flächendeckender Zugang zur Technologie noch in der Zukunft liegt, erachten wir es als äußerst sinnvoll, sich bereits jetzt umfassend mit allen verbundenen Risiken auseinanderzusetzen.

Wer sich genauer in das Paper einlesen möchte, klickt auf den nachfolgenden Link der Cornell-Universität:

https://arxiv.org/abs/2401.01521

Erster Pwn2Own-Automotive-Wettbewerb deckt eine Vielzahl an Zero-Days auf

Es ist schon wieder passiert: Bereits letzten Monat haben wir über einen erfolgreichen Angriff durch die TU Berlin auf den Steuerungsrechner eines Teslas berichtet. Nun fand vom 24. bis 26. Januar der beliebte Pwn2Own-Wettbewerb statt, der seinen Fokus erstmalig auf Automobile legte. Das Ergebnis ist beeindruckend: Insgesamt wurden 49 Zero-Days entdeckt, was zu einer Ausschüttung von 1.323.750 US-Dollar an Preisgeldern führte.

Mit dem Einzug klassischer Informationstechnologie ins Infotainment übertragen sich auch dessen Herausforderungen in der Sicherheit. Zeitgleich ist eine Trennung der IT von der operationellen Technologie mit der Safety des Fahrzeugs essenziell. Diese Trennung aus IT und OT als Hürde für Angreifer bildet auch in klassischen Produktionsbetrieben eine wichtige Schutzmaßnahme. Die Automobilbranche kann etwas von diesen Unternehmen lernen und sich weiter für Sicherheitsforschung öffnen, um Risiken besser minimieren zu können. Mit einem Mangel an externer Kontrolle ging häufig auch ein Mangel an Sicherheit einher. Hersteller profitieren von solchen Wettbewerben enorm. Die gefundenen Sicherheitslücken bleiben für 90 Tage vertraulich und können in der Zwischenzeit behoben werden.

Für Interessierte, die mehr über einen der Angriffsvektoren erfahren möchten, empfehlen wir den dritten Link, in dem die Synacktiv-Gruppe grob über ihre verwendete Exploit-Chain spricht.

https://www.heise.de/news/Hacking-Wettbewerb-Pwn2Own-Teilnehmer-kombinieren-drei-Luecken-und-knacken-Tesla-9609534.html

https://www.golem.de/news/pwn2own-automotive-gewinner-demonstrieren-zwei-neue-tesla-hacks-2401-181630.html

https://www.darkreading.com/ics-ot-security/pwn2own-2024-teslas-hacked-dozens-new-zero-days-evs