[English]Im Januar 2022 hat das internationale Rote Kreuz (International Committee of the Red Cross, ICRC) einen Cyberangriff auf seine IT-System bekannt gegeben. Bei diesem Angriff wurden vertrauliche Informationen über mehr als 515.000 besonders schutzbedürftige Menschen gestohlen. Nun hat das ICRC weitere Details seiner internen Untersuchungen bekannt gegeben. Der Angriff erfolgte über eine (ungepatchte) Zoho-Schwachstelle, wobei speziell designte Angriffsmethoden zum Einsatz kamen. Dies legt den Schluss nahe, dass der Angriff durch staatliche Akteure durchgeführt wurde, um an vertrauliche Informationen zu schutzbedürftigen Personen zu gelangen. Die Angreifer konnten sich 70 Tage unerkannt auf dem System bewegen. Der Fall ist eine der seltenen Gelegenheiten, bei dem mir mehr Details über den Angriff bekannt wurden, so dass ich das hier zur Anschauung nachtrage.
Anzeige
Rückblick auf den Cyberangriff
Ich hatte am 20. Januar 2022 im Blog-Beitrag Cyberangriff auf Rotes Kreuz, Daten von 515.000 gefährdeten Personen gestohlen über den Cyberangriff auf das internationale Rote Kreuz berichtet. Durch den Angriff wurden personenbezogene Daten und vertrauliche Informationen über mehr als 515 000 besonders schutzbedürftige Menschen abgezogen. Darunter sind Menschen, die aufgrund von Konflikten, Migration und Katastrophen von ihren Familien getrennt wurden, vermisste Personen und ihre Familien sowie inhaftierte Personen. Die Daten stammten von mindestens 60 nationalen Rotkreuz- und Rothalbmondgesellschaften aus aller Welt. Das Rote Kreuz hatte den Vorfall auf dieser Seite selbst bekannt gemacht.
Der Cyberangriff auf das internationale Rote Kreuz war gezielt, soviel stand bereits eine Woche nach dem Vorfall fest. In oben genanntem Blog-Beitrag hatte ich auf diesen Sachverhalt hingewiesen.
Neue Informationen über den Angriff
Ich hatte es gestern bereits mitbekommen, dass es jetzt mehr Details über den Angriff gebe. Das ICRC hat in einem Update vom 16. Februar 2022 auf dieser Seite weitere Details veröffentlicht. Zuerst steht die Erkenntnis im Raum, dass die Angreifer wohl beträchtliche Ressourcen zum Angriff auf die IT-Systeme nutzten. Dabei wurden Taktiken eingesetzt, die von den meisten Erkennungsprogrammen nicht erkannt worden wären. Hier die Aussagen des ICRC zum Angriff:
Anzeige
- Die Angreifer verwendeten fortschrittlicher Hacking-Tools, die für offensive Sicherheitsmaßnahmen entwickelt wurden. Diese Tools werden in erster Linie von Advanced Persistent Threat-Gruppen verwendet. Die Werkzeuge sind nicht öffentlich verfügbar und daher für andere Angreifer unerreichbar.
- Die Angreifer verwendeten ausgeklügelte Verschleierungstechniken, um ihre Schadprogramme zu verbergen und zu schützen. Dies erfordert ein hohes Maß an Fähigkeiten, die nur einer begrenzten Anzahl von Akteuren zur Verfügung stehen.
- Die Forensiker des ICRC stellten zudem fest, dass es sich um einen gezielten Angriff handelte. Hintergrund ist, dass die Angreifer einen Code für den Angriff erstellten, der ausschließlich für die Ausführung auf den Servern des IKRK bestimmt war. Die vom Angreifer verwendeten Tools bezogen sich ausdrücklich auf eine eindeutige Kennung auf den Zielservern (die MAC-Adresse).
- Die von der IT des ICRC auf den Zielservern eingesetzten Anti-Malware-Tools konnten zwar einige der von den Angreifern verwendeten Dateien erkennen und blockieren. Die meisten der eingesetzten bösartigen Dateien waren jedoch speziell dafür konzipiert, diese Anti-Malware-Lösungen zu umgehen. Erst als die IT im Rahmen geplanter Sicherheitsverbesserungen erweiterte EDR-Agenten (Endpoint Detection and Response) installierten, wurde dieses Eindringen entdeckt.
Entdeckt wurde das Ganze also erst, als ein auf Cybersicherheit spezialisiertes Unternehmen vom IKRK beauftragt wurde, die IT beim Schutz seiner Systeme zu unterstützen. Durch die EDR-Agenten wurde eine Anomalie auf den IKRK-Servern entdeckt, die Informationen über den Dienst "Restoring Family Links" der weltweiten Rotkreuz- und Rothalbmond-Bewegung enthielten. Am 18. Januar stellten die Spezialisten dann fest, dass Hacker in diese Systeme eingedrungen waren und Zugang zu den Daten hatten.
Nach einer tiefergehenden Analyse kamen die IT-Forensiker zum Schluss, dass die Hacker seit 70 Tagen Zugriff auf die Systeme hatte. Die Analyse zeigt, dass die Sicherheitsverletzung mit dem Eindringen der Hacker am 9. November 2021 stattfand. Laut eigener Aussage des ICRC sind diese 70 Tage recht kurz, da die mittlere Zeit zur Identifikation eines fortschrittlichen Angriffs bei 212 Tagen liegt.
Schwachstelle CVE-2021-40539 ausgenutzt
Bei der Analyse des Angriffs stellte sich heraus, dass die Hacker über eine ungepatchte kritische Sicherheitslücke (CVE-2021-40539) in das ICRC-Netzwerk eindringen konnten. Bei CVE-2021-40539 handelt es sich über eine Schwachstelle in der Zoho ManageEngine ADSelfService Plus Version 6113 und früherer Varianten. Diese Versionen sind anfällig für einen Bypass der REST-API-Authentifizierung und ermöglichen eine resultierende Remotecodeausführung.
Die Zoho Corporation ist ein indisches multinationales Technologieunternehmen, das webbasierte Geschäftstools herstellt. Es ist für die Online-Office-Suite bekannt, hat aber auch die Zoho ManageEngine ADSelfService im Angebot. Diese Software fällt wohl häufiger durch gravierende RCE-Schwachstellen auf. Als die CISA die Warnung APT Actors Exploiting CVE-2021-44077 in Zoho ManageEngine ServiceDesk Plus zum 2. Dezember 2021 veröffentlichte, und auf weitere, kritische Zoho-Schwachstellen hinwies, war es für das Rote Kreuz bereits viel zu spät, wie aus nachfolgender Analyse hervorgeht.
Der CVE-Eintrag stammt vom 6. September 2021, wobei die Offenlegung der Details dieser Schwachstelle durch Packet Storm-Security am 27. November 2021 in diesem Dokument erfolgte. Allerdings gibt es diese CISA-Veröffentlichung vom 16. September 2021 (revidiert zum 22. November 2021), mit dem Hinweis, dass APT-Akteure eine neu identifizierte Schwachstelle in ManageEngine ADSelfService Plus ausnutzen. Zoho hat am 6. September 2021 ein Update der Zoho ManageEngine ADSelfService Plus build 6114 veröffentlicht, um die Schwachstelle CVE-2021-40539 zu beheben.
Geht man den Zeitstrahl durch, gab es also am 6. September 2021 ein Sicherheitsupdate für die Zoho ManageEngine ADSelfService Plus build 6114, und bereits am 16. September 2021 entsprechende Warnungen der CISA vor Cyberangriffen durch APT-Akteure. Bei den Kollegen von Bleeping Computer lese ich hier, dass die Sicherheitsforscher von Palo Alto Networks bereits am 17. September 2021 mit der Suche nach anfälligen Servern begannen. Eine Analyse von Palo Alto Networks vom 7. November 2021 ist hier zu finden.
Das Patch-Problem
Aber beim ICRC hat die IT wohl lange nicht reagiert, und zwei Monate später war das Kind in den Brunnen gefallen. Das ICRC schreibt, dass der Angriff am 9. November 2021 durch die ungepatchte Version der Zoho ManageEngine ADSelfService Plus erfolgte. Diese Schwachstelle ermöglicht es den Angreifern Web-Shells zu platzieren und diese für weitere Aktivitäten zu nutzen. Sobald die Hacker in das Netzwerk der ICRC-IT eingedrungen waren, konnten sie offensive Sicherheitstools einsetzen. Diese ermöglichten es den Angreifern, sich als legitime Benutzer oder Administratoren zu tarnen. So erhielten sie Zugriff auf die Daten, obwohl diese verschlüsselt waren.
Die IT-Abteilungen des ICRC installiert jährlich Zehntausende an Patches für die vorhandenen Systeme, da die rechtzeitige Anwendung kritischer Patches für die Cybersicherheit unerlässlich ist. Aber es folgt das Eingeständnis, dass dieser Zoho-Patch nicht rechtzeitig vor dem Angriff angewendet wurde. Das ICRC verfügt zwar über ein mehrstufiges Cyberabwehrsystem, das Endpunktüberwachung, Scansoftware und andere Tools umfasst. In diesem Fall hat die Analyse nach dem Angriff ergeben, dass die Prozesse und Tools zur Verwaltung von Schwachstellen diesen Verstoß nicht verhindern konnten. Es wurden zwar in diesen Bereichen sofortige Änderungen vorgenommen – aber für den Cyberangriff war es zu spät.
Das ICRC benennt keine Verantwortlichen für den Cyberangriff und sagt auch nicht, warum der Hack durchgeführt wurde. Da will man sich, laut eigener Aussage, keinen Spekulationen hingeben. Es gab laut ICRC auch keinen Kontakt mit den Hackern und es wurde kein Lösegeld gefordert. Aber man kann schon spekulieren, wer hinter dem Angriff steckt. Am 26. Januar 2022 hatte ich hier im Blog den Beitrag Verfassungsschutz warnt vor Cyberangriffen der chinesischen APT27. Der Beitrag enthält den Hinweis, dass die Angreifer bereits vor öffentlichem Bekanntwerden über Kenntnis der Schwachstellen in der Software Zoho Manage Engine ADSelfService Plus (CVE-2021-40539) verfügten.
Anzeige
Update vom 10. Februar 2022: Update: Das IKRK behält die Identität des Angreifers womöglich für sich
Der Hackerangriff auf das IKRK war äusserst raffiniert und zielgerichtet. Das enthüllt Massimo Marelli, der Datenschutzbeauftragte der Organisation, in einem Exklusivinterview mit der auf Entwicklungsfragen spezialisierten Website Devex. Die Hacker, welche die sensiblen Daten von einer halben Million gefährdeter Personen in die Hände bekamen, sollen bereits im November 2021 in die Systeme des IKRK eingedrungen sein. Das sind zwei Monate, bevor der Angriff von einem der Partner der Institution entdeckt wurde, so der von "Le Temps" zitierte Sprecher der humanitären Organisation.
Hochkomplexer Angriff
Für Massimo Marelli könnte die Raffiniertheit des Angriffs mit der Vorgehensweise eines Staates vergleichbar sein. Der Beauftragte ist jedoch vorsichtig und warnt vor einfachen Schlussfolgerungen. Um seine humanitäre Mission zu wahren, könnte das IKRK sogar darauf verzichten, Erkenntnisse aus der forensischen Analyse, die einen Staat belasten, zu enthüllen. "Das ist ein sehr sensibler Bereich in dem Sinne, dass wir nicht möchten, dass die Erkenntnisse für politische Zwecke ausgenutzt werden", erklärt Massimo Marelli gegenüber Devex. Er fügte hinzu, dass die Zuschreibung "nicht unbedingt förderlich für unsere Fähigkeit ist, neutral, unparteiisch und unabhängig zu arbeiten".
Massimo Marelli sagte, dass absolute Sicherheit nicht möglich sei und es wichtig sei, dass alle Akteure verstehen, dass ein Angriff auf eine humanitäre Organisation wie das IKRK inakzeptabel sei. In diesem Bereich gebe es keine "Grauzone".
https://www.netzwoche.ch/news/2022-01-20/cyberangriff-auf-ikrk-daten-einer-halben-million-schutzbeduerftiger-menschen
Mal sehen, wann irgendwelche Polit… sich wieder für das Sammeln 0exploits stark machen. Mir scheint, als braucht die Deutsche Politik mehr als ein Afghanistandisaster (wie viele Helfer haben die Taliban bis heute ermordet?).
Wurde beim Patchen selbst geschlampt, was ich mir nach dem Bericht nicht vorstellen kann?
Herr Krebs fand einen Hinweis auf iranische Gruppen:
https://krebsonsecurity.com/2022/02/red-cross-hack-linked-to-iranian-influence-operation/