Sicherheit & Hacks: Tupperware, WHO, Industrie

Aktuell knallt es sicherheitstechnisch wieder an allen Ecken und Enden. In den Tupperware-Webshops wurde eine Malware zum Abfischen von Kreditkarten gefunden. Die WHO wird von Elite-Hackern angegriffen – staatliche chinesische Hacker nutzen Sicherheitslücken in Citrix und Zoho aus und aktuell gibt es mit mittleren Osten neuartige Angriffe auf Industrieanlagen, um nur einige Sachen zu nennen.


Anzeige

Citrix und Zoho im Visier chinesischer Hacker

Sicherheitsforscher von Fireeye beobachteten zwischen dem 20. Januar und dem 11. März 2020 bei über 75 Kunden Angriffsversuche der APT41-Gruppe (eine mutmaßlich staatliche chinesische Hackergruppe) auf Schwachstellen in Citrix NetScaler/ADC, Cisco-Routern und Zoho ManageEngine Desktop Central.  Zu den Zielländern gehören Australien, Kanada, Dänemark, Finnland, Frankreich, Indien, Italien, Japan, Malaysia, Mexiko, die Philippinen, Polen, Katar, Saudi-Arabien, Singapur, Schweden, die Schweiz, die Vereinigten Arabischen Emirate, Großbritannien und die USA.

Die APT41-Gruppe hat die Industriebereiche Banken/Finanzen, Baugewerbe, Verteidigungsindustrie, Regierung, Gesundheitswesen, Hochtechnologie, Hochschulwesen, Rechtswesen, Fertigung, Medien, gemeinnützige Organisationen, Öl und Gas, Petrochemie, Pharmazie, Immobilien, Telekommunikation, Transport, Reisen und Versorgungsunternehmen ins Visier genommen.

Es ist unklar, ob APT41 das Internet gescannt und versucht hat, das Internet massenhaft auszunutzen, oder ob es gezielt einzelnen Firmen und Organisationen ausgewählt hat, um diese zu hacken. Details zu dieser Kampagne lassen sich in diesem Fireeye-Blog-Beitrag nachlesen.

WHO verzeichnet massive Cyber-Angriffe

Reuters berichtet in nachfolgendem Tweet bzw. in diesem Artikel, dass Elite-Hacker Anfang März versuchten, in die IT-Systeme der Weltgesundheitsorganisation einzudringen.

Quellen berichteten Reuters von einer Verdoppelung der Cyberangriffe auf die IT-Systeme der WHO. Der für Informationssicherheit Zuständige, Flavio Aggio, sagte, die Identität der Hacker sei unklar und die Bemühungen seien erfolglos gewesen. Er warnte jedoch davor, dass die Hacker-Versuche gegen die Behörde und ihre Partner im Kampf um die Eindämmung des Coronavirus, stark zugenommen haben.

Reuters wurde erstmals von Alexander Urbelis, einem Cybersicherheitsexperten und Anwalt der in New York ansässigen Blackstone Law Group, über die laufenden Cyberangriffe auf die WHO informiert. Dieser hatte um den 13. März herum verdächtige Aktivitäten bei der Registrierung von Internet-Domänen bemerkt und an Reuters gemeldet. Eine Gruppe von Hackern, die er beobachtete hat in diesem Zeitraum eine bösartige Website aktivierte, die das interne E-Mail-System der WHO nachahmt.

Urbelis weiß auch nicht, wer für die Cyberangriffe verantwortlich ist. Weitere Sicherheitsforscher verdächtigten eine Gruppe von Hackern namens DarkHotel, die seit mindestens 2007 Cyber-Spionageoperationen durchführt.


Anzeige

Angriff auf Industrieanlagen im mittleren Osten

In nachfolgendem Tweet macht Aryeh Goretsky auf eine bisher unbekannte Cyberangriffs-Methode aufmerksam, die sich gegen Industriekomplexe im mittleren Osten richten.

Sicherheitsforscher von Kaspersky Lab haben eine Angriffskampagne aufgedeckt, die bisher ungesehene Malware verwendet, um Organisationen im Nahen Osten, von denen einige im Industriesektor tätig sind, ins Visier zu nehmen. Arstechnica hat in diesem Artikel weitere Details zusammen getragen.

Tupperware-Webseite gehackt

Hacker haben die Website der Marke Tupperware kompromittiert und ein gefälschtes Formular in der Webseite untergebracht. Über dieses Formular konnten die Angreifer an der Kasse die Kartendaten zahlender Kunden beim Abschluss der Bestellung abfischen.

Der Angriff wurde sorgfältig orchestriert, um den Skimmer so lange wie möglich aktiv zu halten – ein klarer Hinweis darauf, dass dies nicht das Werk von gewöhnlichen MageCart-Angreifern ist. Die Tupperware-Webseite war eine Zeit lang gehackt, da die Versuche der Sicherheitsforscher, das Unternehmen zu alarmieren, unbeantwortet blieben. Bleeping Computer hat hier Details dieses Hacks veröffentlicht.

Google Play Store-Apps wegen Click-Betrug entfernt

Google hat nach einem Hinweis von Sicherheitsforschern 24 Spiele-Apps für Kinder und weitere 32 Utility-Apps aus dem Play Store entfernt. Die Check Point Sicherheitsforscher hatten den in diesen Apps versteckten Tekya Clicker entdeckt. Während der Untersuchung blieb die Tekya-Malware-Familie von VirusTotal und Google Play Protect unentdeckt. Denn die Tekya-Malware verschleiert den nativen Code, um der Erkennung durch Google Play Protect zu entgehen.

Die Malware nutzt den 'MotionEvent'-Mechanismus von Android (eingeführt 2019), um die Aktionen des Benutzers zu imitieren und Klicks zu erzeugen. Ziel ist ein Werbebetrug an zahlenden Anzeigekunden von AdMob, AppLovin, Facebook und Unity. Die Apps waren weltweit rund 1 Million mal installiert, so dass da ein hübsches Sümmchen für die Betrüger zusammen kam.

Details zu diesem Fall haben die Sicherheitsforscher vonDie Check Point in diesem Artikel veröffentlicht. Ein deutschsprachiger Artikel zum Thema lässt sich bei heise abrufen.

Trickbot kann Zweifaktor-Authentifizierung umgehen

Warnung an alle Nutzer, die Online-Banking per App betreiben. Die Malware-Autoren hinter dem Banking-Trojaner TrickBot haben eine neue Android-App entwickelt, die einmalige Autorisierungscodes, die per SMS oder relativ sichere Push-Benachrichtigungen an Internet-Banking-Kunden gesendet werden, abfangen und betrügerische Transaktionen durchführen kann.

Die Android-App, die von den IBM X-Force-Forschern "TrickMo" genannt wird, befindet sich in der aktiven Entwicklung und zielt ausschließlich auf deutsche Benutzer, deren Desktops zuvor mit der TrickBot-Malware infiziert wurden. "Deutschland ist eine der ersten Angriffsflächen, auf die sich TrickBot seit seinem Erscheinen im Jahr 2016 ausgebreitet hat", so die IBM-Forscher. "

Es sieht so aus, als ob eine Betrugswelle von Bankkunden ein laufendes Projekt der Bande hinter TrickBot ist, um kompromittierte Konten zu monetarisieren. Details zu diesem Thema finden sich bei The Hacker News.

Notfall Sicherheitsupdate für die Adobe Creative Cloud

Nutzer der Adobe Creative Cloud sind unter Windows aktuell durch eine schwere Sicherheitslücke bedroht. Adobe weist in dieser Sicherheitswarnung auf ein fettes Problem im Launcher hin. Es betrifft Nutzer der Creative Cloud Desktop-Anwendung der Version 5.0 und früher, die unter Windows arbeiten.

Durch die Sicherheitslücke ist es Angreifern möglich, Remote Dateien auf dem Zielsystem zu löschen. Adobe hat ein Sicherheitsupdate für die Adobe Creative Cloud Desktop-Anwendung für Windows veröffentlicht, welches diese, als kritisch eingestufte Sicherheitslücke schließen soll. Die gepatchte Anwendung hat die Version 5.1. Details zur Schwachstelle und Download-Links finden sich in der oben verlinkten Sicherheitswarnung.

Memcached-Sicherheitsupdate

Memcached ist ein ein unter der BSD-Lizenz veröffentlichter Cache-Server, der gerne eingesetzt wird, um Daten aus Datenbanksystemen temporär im Arbeitsspeicher zu hinterlegen und so die Leitung zu verbessern. Die Woche wurde eine Sicherheitslücke in Memcached öffentlich, der die Memcached-Versionen 1.6.0 und 1.6.1 betrifft. Aktuell sind wohl noch um die 83.000 Server mit der alten Version unterwegs, wie The Register hier berichtet. Die Projektbetreuer stellten nur Stunden nach der Offenlegung ein Update auf Memcached 1.6.2 bereit. Wer diese Software einsetzt, sollte also zügig aktualisieren.

Windows 10 und die Sicherheit

Noch ein kleiner Hinweis, den ich mit diebischer Freude hier im Blog einstelle. Das Microsoft Marketing wird ja nicht müde, das Maul mit der Binse 'nix ist sicherer als Windows 10' aufzureißen. Klar, die machen einiges und pinseln an der Oberfläche. Wenn ich dann hinter den Vorhang schaue, werden Zustände wie hinter dem Sofa bei Hempels sichtbar. Es gibt genügend Schwachstellen und sicherheitstechnisch total kaputte Design-Entscheidungen der Strategen aus Redmond. Sei es, dass Apps mit dem Electron-Framework geschnitzt werden und dort plötzlich uralte Chrome-Versionen auf die Systeme kommen, oder sei die babylonische Verwirrung, in welchen Pfaden Anwendungen und Apps ihre Dateien neuerdings installieren. Auch die diversen Laufzeitumgebungen für .NET sind sicherheitstechnisch ein GAU, werden sie doch oft mit uralten Tools zusammen gebastelt und enthalten längst bekannte Sicherheitslücken. Aber selbst bei Sicherheitstechniken wie ASLR (Address Space Layout Randomization) lauert der Teufel im Detail.

Die Sicherheitsforscher von Fireeye haben in ihrem Blog mal sechs Fakten über ASLR aufgeschrieben, die auch für die Windows-Implementierung gelten. Die Randomisierung des Adressraum-Layouts ist eine zentrale Abwehrmaßnahme gegen die Ausnutzung von Speicherkorruption. Im Beitrag wird gezeigt, dass die Umsetzung der Theorie in der Praxis durchaus ihre Tücken haben kann. Plötzlich kommt es zu Einschränkungen, die Angreifer ausnutzen können. Catalin Cimpanu hat die Fakten in obigem Tweet in knackiger Form zusammen gefasst.

Weitere Sicherheitssplitter in Covid-19-Zeiten

Zeiten wie diese, wo Millionen Menschen plötzlich im Home Office arbeiten, sind natürlich ein gefundenes Fressen für Cyber-Kriminelle und Hacker. Das Sicherheitsunternehmen FireEye, hat festgestellt, dass Cyber-Kriminelle das hohe öffentliche Interesse an COVID-19 nutzen, um bösartige Dokumente zu verbreiten:

  • FireEye beobachtet mehrere Akteure, die Dokumente zum Thema COVID-19 als Köderverbreitet haben, um Opfer in einer Vielzahl von Regionen und Branchen ins Visier zu nehmen.
  • Dazu gehören Kampagnen von Spionage-Akteuren, die von China, Russland und Nordkorea aus gegen eine Reihe von Zielen durchgeführt wurden.
  • Auch finanziell motivierte Cyber-Kriminelle versuchen, mit diesen Coronavirus-Themen sowohl Einzelpersonen als auch Unternehmen zu kompromittieren.
  • Darüber hinaus wurden Informations- und Meinungskampagnen zu diesem Thema beobachtet.

Hier kann man nur anraten, dass die Beteiligten im Home Office entsprechende Sicherheitsvorkehrungen treffen.

Die OWA-Hypothek

Aktuell arbeiten ja viele Angestellte weltweit im Home-Office. Firmen setzen nun verstärkt auf Outlook Web Access-Server (OWA-Server). Sicherheitsforscher von Check Point Research haben über Shodan eine Karte der per Internet erreichbaren OWA-Server erstellt.

Obiger Tweet weist auf diesem Umstand hin. Klar, ein Outlook Web Access-Server muss per Internet erreichbar sein, darauf weist Catalin Cimpanu in obigem Tweet hin. Das Bild der Check Point-Research-Forscher signalisiert aber auch: Da gibt es ein weites Feld für Cyber-Kriminelle für Versuche, solche OWA-Instanzen abzuklappern und zu versuchen, die Zugänge zur Online-Konten zu knacken.

Angriffe auf Home-Router

Über nachfolgenden Tweet wurde ich gerade auf einen Artikel von Arstechnica aufmerksam. Aktuell gibt es eine neue Angriffswelle auf  Home-Router mit dem Ziel eines DNS-Hijacking.

Anschließend werden die Opfer beim Surfen auf gefälschte Websites umgeleitet, die Malware verbreiten. Betroffen sind laut diesem Tweet Router von D-Link And Linksys, die per Brute-Force-Angriff attackiert werden. Ziel ist es, den Oski-Infostealer zu platzieren, wobei eine Covid-19-App als Köder dient.

Sicherheitsfolgen noch nicht abschätzbar

Das Wallstreet Journal weist in einem Artikel (Paywall) darauf hin, dass Sicherheitskreise der US-Bundesbehörden vor verstärkten Hackerangriffen warnen. Denn Millionen US-Angestellte mache jetzt Home-Office. Das setzt die IT-Infrastruktur nicht nur erhöhten Belastungen aus, sondern erhöht auch das Sicherheitsrisiko.

Die sicherheitstechnischen Auswirkungen des öffentlichen Shutdowns samt einer Home-Office-Welle anlässlich der Corona-Krise dürften erst mit einer gewissen Verzögerung, nach Wochen, Monaten oder sogar noch länger, deutlich werden. Wenn dann Ransomware-Angriffe mit erbeuteten Daten aus der Home-Office-Phase ausgeführt oder Konten kompromittiert werden, trifft das die Unternehmen möglicherweise in einer Phase, in der die Wirtschaft gerade auf eine Rezession zusteuert.

Schwierige Zeiten für die IT-Branche

Generell dürfte die gesamte IT-Branche auf schwierige Zeiten zusteuern. The Register warnt hier, das Analysten von einer sofortigen, tiefgreifenden und lange anhaltenden Störung des IT-Dienstleistungsektors ausgehen. Projekte werden jetzt gecancelt bzw. auf Eis gelegt, so dass die IT-Dienstleister in der Luft hängen. Ein Analyst:

"Alle IT-Projekte, die auf Eis gelegt werden können, werden bis mindestens 2021 auf Eis gelegt. Softwareanbieter müssen sich auf ein hartes Jahr vorbereiten, in dem vor dem letzten Quartal nur sehr wenig Netto-Neugeschäft gewonnen werden wird".

Wer als Firma IT-Leistungen nach Indien ausgelagert hat, ist möglicherweise gekniffen. Denn in Indien wurde ein Lockdown für den gesamten Subkontinent verhängt, der auch die Offshore IT-Dienstleitungen beeinträchtigt. Es knirscht also gewaltig und der IT-Sektor wird nach Covid-19 sicherlich ein anderer sein.

Da ist diese Meldung (die ich bereits Anfang März in obigem Tweet gesehen hatte) eine Ironie der Geschichte. Die Reederei Maersk war ja Ende Juni 2017 ein heftiges Opfer eines NotPetya-Angriffs mit Ransomware (ich hatte mehrfach im Blog berichtet, siehe z.B. Nachtlektüre: NotPetya-Infektion bei A.P. Møller-Maersk). In Folge dieses Angriffs wurde eine Sicherheitsmannschaft angeheuert, um die Folgen des Ransomware-Angriffs zu beseitigen. Und dann hat diese Mannschaft über indische Stellenanzeigen Wind davon bekommen, dass das Maersk-Management Vorbereitungen unternimmt, die eigenen Leute zu feuern und die Jobs nach Indien auszulagern.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Sicherheit & Hacks: Tupperware, WHO, Industrie

  1. Andreas sagt:

    Wahrscheinlich hacken die Russen jetzt die Ölförderanlagen im mittleren Osten und drosseln so die Förderung, damit der Ölpreis wieder passt :D

  2. 1ST1 sagt:

    Das mit den gefälschten WHO-Webseiten und die Router-Angriffe dürften zusammen hängen: https://www.golem.de/news/dns-gehackte-router-zeigen-coronavirus-warnung-mit-schadsoftware-2003-147511.html

    Eine Schande, gerade jetzt die WHO anzugreifen!

  3. Dekre sagt:

    Ich dachte Tupperware gibt es nicht mehr?
    Oder gibt es die nur in Deutschland nicht mehr?
    Oder bringe ich gerade was durcheinander?

    • Günter Born sagt:

      Die kriselten zwar wegen Überschuldung. Ich habe aber noch nicht gelesen, dass das Unternehmen international in Konkurs ging.

      • Dekre sagt:

        Also es gibt es doch noch, auch mit deutscher Seite. Ich habe gerade mal meine Suchmaschine des Vertrauens gebeten. Ich hätte auch meine Schwägerin anrufen können. Sie ist nämlich ein kleiner Fan davon.
        Aber irgendwie lief es mal durch die "offiziellen" Medien (also ARD und ZDF und angeschlossene), dass die was da hätten und die Tupperpartys ausfallen und viele Leute nun Probleme hätten.

        Bisschen Tratsch muss heute mal sein, ansonsten wird man ganz meschugge. :)

        • trebalz sagt:

          Probleme sind aber ungleich weg vom Fenster.
          Dass die erst jetzt Probleme haben, grenzt fast schon an ein Wunder. Der Vertriebsweg "direkt" ist rel. unverändert – und das ist auch gleich das eigentliche Problemfeld: etwas aus der Zeit gefallen. Weil die Ware ist nicht mehr solitär, viel Konkurrenz ist gleichwertig. und man kommt bei denen leichter an Ware.
          Das auch schon alles – tuppapardie iss nich mehr…

    • Dekre sagt:

      Wer soll sich dazu wundern. Ohne Win 10 müsste die NSA tausende Leuten entlassen und die Behöre wäre von Auflösung bedroht. Das will doch keiner. An irgendwas klammert sich jeder.
      Jedes System ist dazu da eine Lücke zu haben. Man muss diese nur finden.
      Ich sage nur "Alcatraz".

  4. Nina sagt:

    Elite Hacker versuchten die Who zu hacken. Also braucht es jetzt Meister oder Mega Hacker um das zu bewältigen, und was machen diese Elite Hacker eigentlich beruflich?

Schreibe einen Kommentar zu 1ST1 Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.