Die wichtigsten Security-News der letzten Tage:
2. Mai 2022Die wichtigsten Security-News der letzten Tage:
Berlin, 2.5.2022
In einer gemeinsamen Cybersecurity-Beratung der CISA, der NSA, des FBI und des Energieministeriums werden Bundesbehörden vor Hackergruppen gewarnt, die in der Lage sind, industrielle Geräte fernzusteuern. Der Hack wird mit einem neuen, auf ICS ausgerichteten Malware-Toolkit ausgeführt.
Die Hacker könnten speziell entwickelte Malware verwenden, um industrielle Kontrollsysteme und SCADA-Geräte (Supervisory Control and Data Acquisition) zu scannen, zu kompromittieren und die Kontrolle darüber zu übernehmen. Zu den ICS/SCADA-Geräten, bei denen die Gefahr besteht, dass sie kompromittiert und gekapert werden, gehören:
►Die programmierbaren Logiksteuerungen MODICON und MODICON Nano von Schneider Electric,
► Omron Sysmac NJ und NX PLCs und
► Open Platform Communications Unified Architecture-Server.
DOE, CISA, NSA und das FBI fanden außerdem heraus, dass staatlich gesponserte Hacker auch über Malware verfügen, die die Sicherheitslücke CVE-2020-15368 nutzt, um Windows-Systeme mit ASRock-Motherboards anzugreifen.
Die Malware wurde in ihrer Stärke mit der Malware verglichen, die in der Lage war, Kraftwerke in der Ukraine lahmzulegen, oder mit der Malware, die das iranische Atomprogramm sabotierte.
Eine schnell wachsende Malware namens Fodcha greift Router, DVRs und Server auf der ganzen Welt an. Diese neue Bedrohung zielt auf mehr als 100 Opfer pro Tag in DDoS-Angriffen.
Die Malware verbreitete sich zwischen dem 29. März und dem 10. April auf über 62.000 Geräten.
Allein in China gibt es täglich mehr als 10.000 Bots im Zusammenhang mit dieser Malware.
Fodcha infiziert neue Geräte, indem es n-Day-Schwachstellen in mehreren Geräten und ein Brute-Force-Cracking-Tool namens Crazyfia ausnutzt.
Der Windenergieanlagenhersteller Nordex versucht immer noch, sich von einer Cyberattacke zu erholen, die er am 31. März erlitten hat. Anfang April gab Nordex bekannt, dass es seine IT-Systeme an mehreren Standorten und in mehreren Geschäftsbereichen wegen einer Cyberattacke abgeschaltet hat. Zum Glück wurde der Angriff in einem frühen Stadium entdeckt, erklärte ein Nordex- Sprecher. Die Funktionalität der Anlagen sei unverändert, doch die interne Software sei stark beeinträchtigt.
Es wurden Beweise dafür gefunden, dass Cyber-Angreifer die LockBit-Ransomware verwendet haben, um das Netzwerk einer regionalen US-Regierungsbehörde auszuspionieren. Dieser Hack dauerte mindestens fünf Monate.
Aus den Protokollen, die von den kompromittierten Geräten abgerufen wurden, geht hervor, dass zwei Bedrohungsgruppen an Spionage- und Fernzugriffsoperationen beteiligt waren. Die Angreifer versuchten, ihre Spuren zu verwischen, indem sie Ereignisprotokolle löschten.
Die Akteure verschafften sich zunächst über offene Remote-Desktop-Ports auf einer falsch konfigurierten Firewall Zugang zum Netzwerk. Anschließend luden sie über Chrome die für den Angriff benötigten Tools herunter. In der zweiten Phase des Hacks begannen die Hacker, sensible Daten zu stehlen, indem sie Tools zum Extrahieren von Informationen installierten.
Nachdem eine US – Justizbehörde im vergangenen Oktober den Tor – Server der Revil-Ransomware-Bande beschlagnahmt hatte, verschwanden die Netz – Banditen von der Bildfläche. Sie tauchten jedoch wieder auf, als die Russen in die Ukraine einfielen und sich parallel aus dem Verhandlungsprozess mit der REvil-Bande zurückgezogen hatten. Der alte Server wurde zwar wieder eröffnet, doch die Nutzer werden auf einen neuen Server umgeleitet- und zwar zu einem Konfiguratiosfeld „accs“. Es enthält die Anmeldedaten des Opfers, auf das der Angriff abzielt.
Das US-Verteidigungsministerium wurde vor einigen Jahren dazu verleitet, 23,5 Millionen Dollar an einen Phishing-Akteur zu zahlen. Nujn gab dass US-Justizministerium bekannt, dass Sercan Oyuntur, ein 40-jähriger Einwohner Kaliforniens, in mehreren Anklagepunkten im Zusammenhang mit einer Phishing-Operation verurteilt wurde, die dem Pentagon einen Schaden in Höhe von 23,5 Millionen Dollar verursacht hat.
Oyuntur und seine Komplizen registrierten im Oktober 2018 die Domain dia-mil.com, die der legitimen dla.mil sehr ähnlich ist, und nutzten sie zum Versand von Phishing-E-Mails. Gelder, die für den Kauf von Flugzeugtreibstoff gedacht waren, wurden stattdessen auf sein Bankkonto eingezahlt.
Russische Hacker haben Botschafts-E-Mails kompromittiert. Ihr Ziel sind Regierungen. Insider vermuten die Hackergruppe APT29 hinter diesen Aktionen.
APT29 ist eine vom russischen Staat unterstützte Hackergruppe, die sich auf Cyberspionage konzentriert und mindestens seit 2014 aktiv ist. Die Phishing-E-Mails stammten von einer legitimen, kompromittierten E-Mail-Adresse, die einem Diplomaten gehörte.
Die E-Mail nutzte die HTML-Schmuggeltechnik, um dem Empfänger eine IMG- oder ISO-Datei zu übermitteln, die eine infizierte Datei enthielt,. Sobald sie angeklickt wird, verbreitet sie sich in Bruchteilen von Sekunden weltweit.
