Security-News: Remote öffnet die Tore, Hochwatt- Botnets manipuliert

Security-News: Remote öffnet die Tore, Hochwatt- Botnets manipuliert

7. August 2020 0 Von Horst Buchwald

Security-News: Remote öffnet die Tore, Hochwatt- Botnets manipuliert

Offene Scheunentore statt intelligente Hackerkiller – das ist immer wieder unser Fazit, wenn wir die News zu diesem Thema zusammenstellen. Man ist auch geneigt, zu konstatieren: die Hacker sind ihren Jägern immer einen oder mehrere Schritte voraus. Auch dies ist Fakt: kaum ein Hacker wird zum Jäger, während viele Jäger die Seiten wechseln. Warum wohl? Wir spekulieren mal: 1. Als Hacker muss man, wenn man sich nicht doof anstellt, kaum etwas befürchten. 2. Als Hacker wird man schnell Millionär. 3. Als Jäger bekommt man früh graue Haare und ist von Jahr zu Jahr stärker frustriert, weil man immer wieder daneben schießt.

Was meinen Sie, muss passieren, damit das Hackerunwesen gestoppt wird?

Schreiben Sie uns!

Klartext- Benutzernamen online

Klartext-Benutzernamen, Passwörter und IP-Adressen für über 900 Pulse Secure VPN-Unternehmensserver wurden kürzlich von einem russischen Hacker online veröffentlicht. Auf den gehackten Pulse Secure VPN-Servern lief eine Version der Firmware mit einem Fehler, der die Server entfernten Angriffen aussetzte. Der Hacker stellte die Informationen zwischen dem 24. Juni und dem 8. Juli zusammen.

Zu den durchgesickerten Informationen gehörten auch die Firmware-Version des Pulse Secure VPN-Servers, SSH-Schlüssel für jeden Server, die Liste der lokalen Benutzer und ihre Passwort-Hashes, Details der Administratorkonten und VPN-Sitzungs-Cookies.

Pulse Secure VPN-Server werden in der Regel als Zugangsgateways zu Unternehmensnetzwerken eingesetzt, damit Mitarbeiter aus der Ferne auf interne Anwendungen zugreifen können.

Der Angreifer veröffentlichte die Informationen in einem russischsprachigen Hacker-Forum.

Designfehler bei Microsoft

Angreifer nutzen den Microsoft Teams Updater aus, um Malware von einem entfernten Standort aus abzurufen und auszuführen. Microsoft hat dies als Designfehler kategorisiert und wird ihn wahrscheinlich nicht beheben, weil es den Betrieb der Kunden beeinträchtigen würde.

Der Trustwave-Forscher Reegun Jayapaul sagte, dass ein privilegierter Zugriff nicht erforderlich sei, um den Fehler auszunutzen, da die Installation im Ordner Appdata des lokalen Benutzers stattfinde.

Jayapaul meint, dass die Angreifer den Updater-Fehler nutzen können, um ihren Datenverkehr zu verstecken.

Die Exploit-Methode verwendet den Update-Befehl der Teams, um beliebigen Binärcode im Kontext des aktuellen Benutzers auszuführen.

Remote öffnet die Tore

Nach einer aktuellen Analyse von Interpol haben Cyberkriminelle ihre Ziele während der COVID-19-Pandemie auf Großunternehmen, Regierungen und kritische Infrastrukturen (CI) verlagert.

Diese Angreifer nutzen Sicherheitslücken aus, die durch die Verlagerung auf Remote-Arbeiten entstanden sind. Die Folge: Sie klauen Daten und verursachen diverse Störungen.

Darüber hinaus entdeckte ein privater Sicherheitspartner von Interpol zwischen Januar und April dieses Jahres 907.000 Spam-Nachrichten, 737 Malware-Vorfälle und 48.000 bösartige URLs.

Etwa zwei Drittel der Interpol-Mitgliedsländer berichteten über eine erhebliche Nutzung von COVID-19-Themen für Phishing und Online-Betrug.

Im April stiegen die Lösegeld – Angriffe an – und zwar von Bedrohungsgruppen, die in den letzten Monaten relativ untätig gewesen waren.

Bösartige Domänennamen

Angreifer haben in letzter Zeit vermehrt Malware zum Sammeln von Daten wie Trojaner für den Fernzugriff, Info-Stehler, Spyware und Banking-Trojaner eingesetzt.

Von Februar bis März stieg die Registrierung bösartiger Domänennamen um 569%. Die Mehrheit setzte auf die Schlüsselwörter “Coronavirus” und “COVID.”

Manipulierte Hochwatt-Botnets

Forscher des Georgia Institute of Technology haben die Spur von Angreifern entdeckt, die Hochwatt-Botnets des Internet der Dinge (IoT) nutzen, um den Energiemarkt zu manipulieren. Zu den Hochwatt-IoT-Geräten gehören Öfen, Klimaanlagen sowie Wasser- und Raumheizungen. Nach Einschätzung der Forscher könnten die Hacker zum Beispiel einen Anstieg oder Rückgang der Energiepreise auslösen, Energie kaufen, wenn der Preis niedrig ist, und verkaufen, wenn er hoch ist.

Die Methode ist nicht ganz neu, denn schon 2018 haben Forscher in Princeton eine Reihe von Angriffstypen entdeckt, die das Energienetz mit Hilfe von Hochleistungs-IT unterbrechen. Dazu gehören Angriffe:

► zu Frequenzinstabilität führen

►einen Neustart des Energienetzes stören

► Leitungsausfälle verursachen und zu Kaskadenausfällen führen

► zum Auslösen von Verbindungsleinen führen

► die Betriebskosten erhöhen

Angriff mit DNSExfiltrator

Die iranische Hackergruppe APT 34 (aka, OilRig) ist einer der ersten Bedrohungsakteure, die das DNS-over-HTTPS (DoH)-Protokoll zur Waffe gemacht haben.

Vincente Diaz, ein Analyst von Kaspersky Lab, sagte, dass die Gruppe im Mai mit der Ausnutzung des DoH-Protokolls begann, als sie DNSExfiltrator in ihr Angriffs-Toolkit aufnahm. DNSExfiltrator ist ein Open-Source-Dienstprogramm, das verdeckte Kommunikationskanäle einrichtet, indem es Daten in nicht standardisierten Protokollen wie dem DoH-Protokoll versteckt.

APT 34 richtet sich gegen Finanz-, Regierungs-, Energie-, Chemie- und Telekommunikationsorganisationen im Nahen Osten.

Die Gruppe hat bereits früher DNS-Tunneling eingesetzt, um Daten von Zielen zu stehlen. Beispiel:

Anfang dieses Jahres führte APT 34 Malware-Angriffe gegen Westat durch, ein Unternehmen, das eng mit der US-Regierung zusammenarbeitet.

Aufrufe: 9