September 2022 News Digest / Sudo Null IT-Nachrichten

Hallo alle! Unsere traditionelle Zusammenfassung der heißesten Nachrichten zur Informationssicherheit des letzten Monats ist pünktlich eingetroffen. Der Herbst begann mit bemerkenswerten Vorfällen in der geopolitischen Arena, daher haben wir heute viele Informationsintrigen auf staatlicher Ebene: Die Iraner hacken sich in Albanien ein, Montenegro bildet sich die allgegenwärtigen russischen Hacker ein, die Portugiesen verpassen während ihres Mittagsschlafs wichtige Vorfälle. .. Darüber hinaus werden wir über hochkarätige Hacks sprechen, von denen Uber und Rockstar betroffen waren, und über den Niedergang von Bison aus der Welt des Cybercrime-Marktes. Für Details, willkommen unter dem Schnitt!

Albanische Leidenschaft für iranische Cracker

Der Herbst hat gerade begonnen, und von den ersten Tagen an hatten wir das unterhaltsamste Crossover der Saison auf Sendung. Dann beschuldigte Albanien den Iran des Angriffs vom Juli auf seine staatliche Infrastruktur. Und brach dann die diplomatischen Beziehungen zu ihm ab und verlangte, dass die gesamte Botschaft das Land innerhalb von 24 Stunden verlässt.

Der albanische Premierminister gab eine Erklärung ab, dass eine vom Iran gesponserte Hackergruppe hinter dem Angriff stecke. Sein Ziel war es, Regierungsdienste lahmzulegen, ihre Systeme zu zerstören und Regierungsdaten zu stehlen. Alles war wie üblich mit iranischen politischen Intrigen verbunden – eine Konferenz ihrer Dissidenten sollte im Juli in Albanien stattfinden.

Nicht weniger amüsant fielen die Ergebnisse der FBI-Untersuchung zu den Spuren des Hackings von albanischen Staatssystemen durch die Iraner aus: Rund 14 Monate lang hatten Hacker Zugriff auf ihre Netzwerke. Während dieser ganzen Zeit kamen sie regelmäßig zu ihnen nach Hause und holten Korrespondenz aus staatlichen Briefkästen. Und dann schickten sie ihnen eine Ransomware und eine Viper, die eine Reihe von staatlichen Diensten und Diensten bereitstellten.

Als Reaktion auf den Bruch der Beziehungen zwischen den Ländern ließen iranische Hacker auch pompös Dokumente durchsickern, die aus albanischen Netzwerken gestohlen wurden, und organisierten eine Umfrage unter den Abonnenten ihrer Telegram-Kanäle darüber, was als nächstes durchsickern sollte. Und bald begannen wiederholte Angriffe. Im Allgemeinen ein beeindruckendes Beispiel dafür, was Informationssicherheit auf staatlicher Ebene nicht sein sollte. Auch wenn wir von einem so kleinen Land wie Albanien sprechen.

Im Allgemeinen sehen cyberkriminelle Intrigen auf staatlicher Ebene ziemlich alarmierend aus. Wie der Präsident der Vereinigten Staaten kürzlich in einer seiner Reden feststellte, können Angriffe auf die Netzwerkinfrastruktur heute ein Grund für eine Kriegserklärung sein. Der bedingte Franz Ferdinand kann sich also schon zu unseren Lebzeiten als rein digital herausstellen.

Montenegrinischer Junge, der “Wolf” rief

Montenegro brachte Anfang September ein weiteres wunderbares Beispiel geopolitischer Intrigen aus der Welt der Informationssicherheit. In den letzten Sommerwochen brach die Netzinfrastruktur Montenegros unter Cyberangriffen nach und nach zusammen. Sie trafen auf Strom- und Wasserversorgung, Verkehrs- und Staatsportale. Mehrere Kraftwerke stellten auf Handbetrieb um, zur Eindämmung der Angriffe wurden die staatlichen Netze abgeschaltet. Es ging so weit, dass die staatlichen Botschaften ihren Bürgern rieten, Reisen ins Land einzuschränken und mit Problemen an der Grenze und an Flughäfen zu rechnen.

In Montenegro erklärten sie zunächst auf höchster Ebene, die Angriffe kämen aus Russland und hätten mit der geopolitischen Lage zu tun. Bis zu der Tatsache, dass der Verteidigungsminister des Landes die berüchtigten russischen Hacker als Quelle aller montenegrinischen Netzwerkprobleme bezeichnete. Eine Frage der internationalen Sicherheit, das ist alles.

Das Thema Geopolitik wurde jedoch bald von der Tagesordnung gestrichen. Nach einem großangelegten Cyberangriff erklärte die Regierung von Montenegro, dass dies nur das Werk der Ransomvar-Gruppe und ihres „Spezialvirus“ sei.

Die Hacker der Kuba-Bande übernahmen die Verantwortung für den Angriff und veröffentlichten öffentlich zugängliche Finanzdokumente, Steuererklärungen, Korrespondenz mit Banken usw., die der montenegrinischen Regierung abgenommen wurden, bis hin zum Quellcode. Die Angreifer forderten angeblich 10 Millionen Dollar Lösegeld von Montenegro. Und anscheinend keine russischen Hacker. Nun, heute ohne geopolitische Skandale, seien Sie beim nächsten Mal vorsichtig mit Aussagen.

Portugiesisch [не] wissen viel über Cybersicherheit

Und noch eine lehrreiche Geschichte darüber, wie man auf staatlicher Ebene nicht mit Informationssicherheit umgehen sollte. Medienberichten zufolge wurde das Hauptquartier der Streitkräfte Portugals im September einem Cyberangriff ausgesetzt. Geheime NATO-Dokumente wurden dem portugiesischen Militär gestohlen und später im Darknet zum Verkauf angeboten. Quellen sagten, die Docks seien so wichtig, dass sie die Glaubwürdigkeit des Landes in der Allianz untergraben könnten. Und nach den wenigen Informationen zu urteilen, die über das Geschehene bekannt sind, ist eine solche Reaktion der NATO durchaus gerechtfertigt.

Die Systeme im Generalstab seien zwar vom Netz isoliert, der „längere Angriff“ sei aber über die üblichen Kanäle erfolgt. Also wurden höchstwahrscheinlich irgendwo am Boden grundlegende Sicherheitsprotokolle banal verletzt. Gleichzeitig wurde der Angriff selbst als „unauffindbar“ bezeichnet und angeblich von einem Botnet durchgeführt, das auf die Suche nach geheimen Informationen scharf gemacht wurde.

Das Überraschendste ist, dass die Portugiesen selbst den Angriff oder das Leck nicht entdeckt haben – sie haben es buchstäblich verpasst. Und sie erfuhren sogar von dem Leck durch den amerikanischen Geheimdienst, der die gestohlenen Dokumente im Dark Web entdeckte und sozusagen leicht verwirrt begann, ihre Botschaft in Lissabon anzurufen. Woher kamen die Informationen zu den äußerst überraschten hochrangigen Beamten Portugals?

Die Überraschung über solch inspirierende Nachrichten wurde unter anderem von vielen Mitgliedern des portugiesischen Parlaments zum Ausdruck gebracht. Infolge dieser Verlegenheit gingen Beamte des Landes dringend zum Hauptquartier des Bündnisses in Brüssel, um die Situation zu erklären. Und wir können über einen so kuriosen Fall nur staunen. Auf Sie, Mutter-Manyana, und einen militärischen Opsek.

Uber-Hack, Rockstar-Leck und anderer Teenager-Spaß

Nachdem wir die geopolitischen Intrigen aus der Welt von infobez beseitigt haben, wenden wir uns den lautesten Hacks des Septembers zu. Mitte des Monats war es ein schwarzer Tag für Uber: Sie wurden in beeindruckendem Ausmaß gehackt. In den Screenshots hatte der Hacker vollen Zugriff auf wichtige Unternehmenssysteme, einschließlich ihrer Sicherheitssoftware und der Windows-Domäne. Sowie die AWS-Konsole, virtuelle Maschinen, Mail-Admin-Panel und Slack-Server – ein komplettes Set.

Aber das war noch nicht alles. Später wurde bestätigt, dass der Hacker alle ihre Schwachstellenberichte aus ihrem HackerOne-Profil gezogen hat, einschließlich der ungepatchten. Offenbar musste das Unternehmen in einem Wettlauf mit Crackern alle ungepatchten Schwachstellen eilig patchen, da die geleakten Berichte auch gleich unter den Hammer gekommen sein könnten. In der Zwischenzeit erklärte das Unternehmen weiter, dass seine Codebasis und die persönlichen Daten der Benutzer in keiner Weise betroffen seien.

Das Hacken war von den ersten Stunden an mit reizvollen Details überwuchert: Einige 18-jährige Talente übernahmen die Verantwortung dafür. Der Hacker behauptete, er habe an einen Uber-Mitarbeiter geschrieben, sich als Spezialist für Unternehmensinformatik ausgegeben und ihn überzeugt, das Passwort für den Zugriff auf die Systeme zu übergeben. Und der Angriffsvektor war die in letzter Zeit zunehmende Popularität von MFA-Müdigkeit – der externe Auftragnehmer Uber wurde mit Zwei-Faktor-Anfragen bombardiert, bis eine davon angenommen wurde.

Wie Uber später sagte, schien der Hacker, der sie gehackt hatte, mit der berüchtigten Teenagerbande Lapsus$ verbunden zu sein. Und die Abenteuer des Antihelden unserer Geschichte endeten dort nicht im September.

Rockstar war der nächste in einer Reihe hochkarätiger Hacks: Ein paar Tage nach der Uber-Story sickerten 90 Videos von GTA VI-Entwicklern ins Netzwerk durch, nachdem der Slack-Server und das Confluence-Wiki gehackt worden waren. Der Hacker zog auch die Quellen des fünften und sechsten Teils und bot die Ressourcen des vorherigen Teils des Spiels zum Verkauf an. Und für den Rest soll er mit dem Unternehmen Lösegeld ausgehandelt haben. Darunter auch für den Testaufbau des Sechsers.

Dieser September-Leck bezieht sich auf einen der größten in der Geschichte der Videospiele – die Schwere eines solchen Schlags für die Produktion des legendären Verbrechenssimulators kann kaum überschätzt werden. Und was interessant ist, der Cracker gab sofort an, dass er kürzlich Uber gehackt hatte, und die Handschrift war ähnlich. Rockstar überschüttete Videos hastig mit Urheberrechten, aber sie verbreiteten sich unweigerlich zusammen mit Teilen des durchgesickerten Quellcodes über das Netzwerk. Wer also besonders neugierig ist, kann schon mal gucken, wie der neue Teil der eminenten Franchise aussehen wird.

Leider ist die schneidige Geschichte unseres heutigen Antihelden zu Ende gegangen. Innerhalb weniger Tage traf die erwartete Nachricht ein: Bereits am 23. September wurde in Großbritannien ein Teenager festgenommen, der verdächtigt wird, sowohl Uber als auch Rockstar gehackt zu haben. Außerdem stellte sich heraus, dass er tatsächlich erst 17 Jahre alt war. All dies ist nach wie vor mit der Gruppe Lapsus $ verbunden. Ich möchte Sie daran erinnern, dass Anfang April sieben ihrer jungen Talente im Alter von 16 bis 21 Jahren im Zusammenhang mit hochkarätigen Hacks festgenommen wurden, die Anfang des Jahres die Netzwerkwelt erschütterten.

Interessanterweise behauptete der berüchtigte Pompompurin, dass die Uber- und Rockstar-Hacks mit dem Leiter von Lapsus$ namens White in Verbindung standen. Anfang des Frühjahrs wurde er gegen Kaution freigelassen, da der Typ minderjährig ist – für eine Minute, zum Zeitpunkt seiner Festnahme war er sechzehn. Es kann also gut sein, dass er schnell die alten Wege aufnahm, aber eine offizielle Bestätigung dafür gibt es noch nicht – nach den Gesetzen Großbritanniens werden die Daten von jugendlichen Straftätern nicht weitergegeben.

Das war das September-Epos des jungen Talents aus der Welt der Cyberkriminalität, das für Aufsehen sorgte. Im Prinzip war die Verhaftung ziemlich vorhersehbar. Als der typische Teenager-Aufbruch nach einem Einbruch auftauchte, war es offensichtlich, dass er schnell akzeptiert werden würde. Mama, ich breche Rockstar! Welche Art von Opsec gibt es.

WT1SHOP ging auf den Grund und der Eigentümer von RSOCKS zog in den Staaten vor Gericht

Und schließlich über die lauten Stürze von Bisons aus der Welt der Cyberkriminalität. Im September führten das FBI und das Unternehmen eine internationale Operation durch und fingen die Website und Domains von WT1SHOP ab, einer der größten Plattformen für den Handel mit persönlichen Daten, Kreditkarten und Konten. Mehr als 100.000 Benutzer, Infa für etwa 6 Millionen Menschen und ein Umsatz von mehreren Millionen Dollar – ein weiterer Kostenfaktor für Carder und Betrüger ging nach Slilpp auf den Grund, der vor einem Jahr nach einer ähnlichen Operation durch die Spezialdienste von in die Geschichte einging verschiedene Länder.

Verdammt gute Kaffeeliebhaber berichteten auch, dass sie Bitcoins, E-Mail-Konten und Admin-Panels zu einem 36-jährigen Bürger der Republik Moldau namens Nikolai Kolesnikov zurückverfolgt haben. Wenn nun eine Kombination von Anklagepunkten erwischt wird, drohen dem unglücklichen Kameraden bis zu 10 Jahre Gefängnis.

Darüber hinaus erschien letzten Monat rechtzeitig nach dem Fall des massiven RSOCKS-Botnetzes ein Update. Bereits im Juni wurde der aus Omsk stammende Denis Emelyantsev auf Ersuchen der Staaten in Bulgarien festgenommen. Er wurde als Eigentümer des Botnetzes angeklagt. Nun gab das Gericht Jemeljanzews Auslieferungsantrag an die Vereinigten Staaten statt, damit „Anwälte eher unbegründete Anklagen von ihm beseitigen“.

Der Bison der RSOCKS-Botnet-Szene existierte seit 2013, bis er diesen Juni nach einer internationalen Untersuchung eingeschläfert wurde. Sein Besitzer ist auch mit RUSdot verbunden, einem großen Spam-Forum, dem Nachfolger von Spamdot. Interessanterweise wurde Emelyantsev in der im September von den Vereinigten Staaten freigegebenen Anklageschrift von 2019 bereits als Schöpfer des Botnetzes identifiziert. Heiß wird also der Kampf gegen „unbegründete Anschuldigungen“, um einen Deal mit den Ermittlungen zu machen und Komplizen eines Kameraden auszuliefern.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *