Cyberbedrohungen
Juni-Angriffe deuten Trends an
Die Angriffe im Juni machten alle keine großen Schlagzeilen. Bei näherem Hinsehen jedoch zeigen sich Anzeichen einer Veränderung in der Verbrechenslandschaft, sei es bezüglich der Art von Ransomware-Attacken oder kriminelle Vorgehensweisen.
Aus IT Security-Sicht war der Juni einer der aktivsten und auch beängstigenden Monate seit langem, auch wenn die Angriffe in der Öffentlichkeit nicht sehr präsent waren. Das hat weniger mit den Erfolgen der Täter zu tun als damit, dass die „Einschläge“ nicht nah genug waren, um deutschen Unternehmen Sorgen zu bereiten. Zudem gab es auch nicht den EINEN wirklich großen Angriff, der durch Systemstillstand Panik auslöste, sondern viele kleinere, die jedoch darauf hindeuten, wie sich die Angriffswelt wohl demnächst verändert. Und wenn innerhalb eines Monats das BSI dreimal Alarm für Schwachstellen auslöst, Unternehmen und Behörden wie Microsoft die Europäische Investment Bank oder das US Department of Energy Probleme mit Hackern haben, dann bietet es sich zumindest an, auf die Hintergründe zu schauen.
MOVEit
Progress veröffentlichte bereits Ende Mai eine Warnung vor der kritischen Schwachstelle CVE-2023-34362 – einer so genannten SQL Injection-Schwachstelle in der eigenen File-Sharing Software MOVEit. Kunden nutzen sie zur Verwaltung größerer Datenmengen inklusive sehr sensitiver Dokumente. Die Schwachstellen ermöglichten es Angreifern, „Informationen über Struktur und Inhalte abzuleiten und SQL Anweisungen auszuführen, um Datenbankelemente zu ändern oder zu löschen“, so der Hersteller als Reaktion auf das Bekanntwerden von Angriffen über diese Schwachstelle.
Dies ist der Fall eines „Zero Days“, sodass betroffene Unternehmen sich zunächst nicht mit einem Update schützen konnten. Das kam erst am 09. Juni. Insgesamt wurden drei kritische Schwachstellen in der MOVEit Software entdeckt, die nacheinander geschlossen werden mussten. Der Großteil der Angriffe wird der in Russland vermuteten Ransomware-as-a-Service-Gruppe Clop zugeschrieben. Zu den inzwischen mehr als 100 von der Gruppe öffentlich gemachten Opferunternehmen, deren Daten man gestohlen habe, gehören Shell und Siemens-Energy sowie Regierungseinrichtungen etwa die Energiebehörde der USA. Obwohl Clop als RaaS Akteur bekannt ist, wurden diesmal keine Daten verschlüsselt. Vielmehr brachen die Täter in die Infrastruktur ein und stahlen alles, was sie finden konnten (Smash & Grab). Die Opfer wurden (und werden) mit der Veröffentlichung der Daten erpresst. Neueren Entwicklungen zufolge ist zudem nicht ausgeschlossen, dass noch mindestens eine weitere Gruppe an den Überfällen beteiligt sein könnte. Das BSI hat für die MoveIT Sicherheitslücken die Alarmstufe orange (hoch) ausgegeben. Die Anzahl der Opfer in Deutschland ist gering, was damit zusammenhängen dürfte, dass die Software hierzulande selten eingesetzt wird.
Das hat sich allerdings mittlerweile geändert, denn über eines der Opfer, den Dienstleister Majorel, sind nun auch deutsche Unternehmen betroffen. Wie sich im Laufe des Julis herausstellt, gehören dazu u.a. Kunden der Deutschen Bank, Postbank, Comdirekt und ING Bank.
Weitere Alarme durch das BSI
Alarmstufe gelb löste das BSI auch für zwei weitere Sicherheitslücken aus. Beide ermöglichen den Zugang zu Systemen oder Daten durch Umgehung von Authentifizierungen. Am 12. Juni veröffentlichte Fortinet mit CVE-2023-27997 eine Schwachstelle, die der Anbieter nach eigener Analyse gefunden hatte. Ersten Berichten, die Lücke würde bereits in Angriffskampagnen vor allem von der Gruppe Volt Typhoon verwendet, widerspricht der Hersteller inzwischen, macht aber gleichzeitig klar, dass dies lediglich eine Frage der Zeit sein dürfte. Derartige Schwachstellen werden vor allem von Geheimdiensten und Access as a Service-Kriminellen verwendet.
Ebenfalls Alarmstufe gelb betrifft eine am letzten Patch Tuesday geschlossene Lücke im Microsoft SharePoint Server (CVE-2023-29357). Die Schwachstelle wurde beim von der Zero Day Initiative veranstalteten Pwn2Own-Wettbewerb im März gehackt. Der Hersteller wird danach davon in Kenntnis gesetzt, um die Lücke zu schließen. Wenn, wie in diesem Fall, keine bösartige Ausnutzung festgestellt wird, vereinbaren alle beteiligten Parteien Stillschweigen, bis der Hersteller den Patch veröffentlicht und die Kommunikation startet. Auch für diese Lücke gilt, dass eine Ausnutzung durch Cyberangreifer lediglich eine Frage der Zeit ist. Denn demonstriert wurde bereits, dass und wie dies grundsätzlich möglich ist.
Cyber-Kuriositäten
Am 09. Juni wurde Microsofts Azure Portal durch einen DDOS Angriff beeinträchtigt. Verantwortlich zeichnete eine Gruppe, die sich selbst „Anonymous Sudan“ nennt und angeblich gegen westliche Einmischungen in die Angelegenheiten des Sudans vorgeht. Zwar verfolgt Anonymous Sudan vorwiegend politische Ziele, aber ob diese tatsächlich mit dem afrikanischen Land zusammenhängen, ist zweifelhaft.
Die Gruppe trat hingegen auch noch in weiterem Zusammenhang in Erscheinung. So wurde Mitte Juni in einschlägigen Portalen eine Botschaft des „Darknet Parliaments“ veröffentlicht, in der angeblich die Gruppen Killnet, REvil und eben Anonymous Sudan gemeinsam erklärten, das europäische Bankensystem ausschalten zu wollen. Tatsächlich gelang es Kriminellen, den Internetauftritt der Europäischen Investment Bank sowie des Europäischen Investment Fonds temporär zu stören. Seit dem 20. Juni vermelden die Täter weitere „erfolgreiche“ Angriffe auf Unternehmen und Behörden u.a. in Schweden, Frankreich und in der Schweiz. Tatsächliche Schäden sind nur vereinzelt nachzuweisen.
Zusammenfassung
Politisch motivierte Hacktivisten stören durch DDoS Angriffe die Bereitstellung von Diensten, eine RaaS Gruppe gelangt in den Besitz von Zero Days in einer relativ unbekannter Software und stiehlt damit sensible Daten von größere Konzerne und Regierungen, und die drei gefährlichsten Schwachstellen dieses Monats dienen allesamt der Überwindung von Authentifizierungsverfahren. Zusammengenommen sind dies Anzeichen für eine Veränderung in der Verbrechenslandschaft.
Zum einen verwischen die Grenzen zwischen Kriminalität und politischem Hacktivismus immer mehr, zum anderen ändern sich die Vorgehensweisen. Störung und Datendiebstahl werden zu Primärzielen. Verschlüsselung und Erpressung rücken ins zweite Glied. Datendiebstahl ermöglicht dabei eine ganze Reihe äußerst lukrativer cyberkrimineller Geschäftsmodelle. Zudem stehen mit Techniken aus dem Bereich künstlicher Intelligenz inzwischen neue Mittel zur Verfügung, um große Datenmengen nach sinnvollen Zusammenhängen zu durchsuchen.
Fazit
Was bedeutet das für die IT-Security? Man wird in Zukunft wieder weniger von Cyberangriffen lesen. Ein hundertfacher internationaler Datendiebstahl wie bei MoveIT hat beispielsweise nicht den Nachrichtenwert wie der Betriebsstillstand eines deutschen Krankenhauses. Zudem werden auf Daten basierende „weichere“ Angriffe zunehmen. Hierzu zählen z.B. Business E-Mail Compromise, aber auch Wirtschaftskriminalität (z.B. durch Insider-Informationen oder Datenmanipulation) sowie viele Angriffe im Bereich der Verbraucher. Ransomware wird auf kleinere Unternehmen ausweichen, weil dort die Verteidigungsmechanismen weniger stark ausgeprägt sind und auch die Wahrscheinlichkeit höher ist, eine Lösegeldsumme einzutreiben.
Für Cyber-Verteidiger ändert sich dadurch erst einmal wenig. Die - für KRITIS sogar gesetzlich geforderte - Kombination aus Angriffserkennung (XDR) und Cyber Risikomanagement (Attack Surface Risk Management) bleibt der Stand der Technik, auch wenn sich Angriffsmethodik und -ziele ändern. Aber einige sekundäre Minderungsmaßnahmen verlieren an Wert. Gegen Datendiebstahl oder -manipulation ist eine gute Backup-Strategie nur relevant, wenn man in der Lage ist, die Manipulation wahrzunehmen und nicht die Veröffentlichung der Daten das Problem ist. Auch eine Cyberversicherung kann nur begrenzt Rufschädigungen oder sogar Strafzahlungen im Sinne der DS-GVO übernehmen. Die eigentliche Gefahr ist allerdings, dass durch den Rückgang der medialen Aufmerksamkeit das Bewusstsein für die Herausforderung Cybersecurity abnehmen wird. Schon heute ist es so, dass die BSI-Warnungen nicht einmal mehr jedem Unternehmen bekannt sind. Dadurch leiden Vorsorgemaßnahmen, die Cybervorfälle verhindern würden.