[English]Schlecht oder nicht gesicherte Remote-Zugänge sind in vielen Unternehmen, Behörden und Organisationen ein ständiges Sicherheitsproblem und Einfallstor für Cyberangriffe. Nun ist mir ein Fall untergekommen, der ein regionales Gesundheitsministerium in Russland betrifft. Ein Hacker konnte remote in einen ungesicherten Computer dieser Organisation eindringen.
Anzeige
Der "Hack" ist erneut ein klassischer Fall von "was schief gehen kann, geht schief". Seit dem Einmarsch Russlands in die Ukraine schauen Hacker ja verstärkt auf russischen IT-Systeme und suchen nach Einfallstoren. Ein Hacker mit dem Nicknamen Spielerkid89, der anonym bleiben möchte, hat nun eine solche Schwachstelle aufgedeckt. Dieser hatte zwar nicht die Absicht, seinen Opfern zu schaden, und ließ deren Systeme intakt. Aber er nutze die Gelegenheit, um in dies Systeme einzudringen. Es war ein Experiment, dass ein perfektes Beispiel dafür ist, wie schlechte Cyber-Hygiene Unternehmen entlarven kann.
Shodan und der ungesicherte VPN-Zugang
Der Hacker mit dem Nicknamen Spielerkid89 benutzte die Suchmaschine Shodan, um russische Rechner zu suchen, die per Internet erreichbar waren. Durch entsprechende Suchanfragen an die Suchmaschine Shodan entdeckte er bald einen offenen VNC-Port (Virtual Network Computing) mit deaktivierter Authentifizierung.
VNC steht für ein Unternehmen und eine Software, die einen Fernzugriff auf Rechner wie Desktops ermöglicht. Nutzer können damit von zu Hause oder von einem anderen Ort aus auf Arbeitscomputer zugreifen oder den Mitarbeitern des technischen Supports die Möglichkeit zum Zugriff auf den eigenen Rechner gewähren. Auf den Rechnern muss eine entsprechende VNC-Software installiert sein. Idealerweise sollte VNC nur mit authentifizierten Benutzern, wie Systemadministratoren, verwendet werden. Niemand sollte auf einen Computer zugreifen, ohne ordnungsgemäß authentifiziert worden zu sein. Das war im aktuellen Fall aber das Sicherheitsproblem.
Daraufhin stellte Spielerkid89 eine Verbindung zu diesem Computer her, der einem Gesundheitsministerium in der Region Omsk in Russland gehört. Um aus der Ferne auf den Desktop eines Mitarbeiters des Ministeriums zuzugreifen, benötigte der Hacker weder ein Passwort noch eine Authentifizierung – er konnte über einen offenen VNC-Port auf alle Dateien und Informationen auf diesem Computer zugreifen.
"Ich konnte auf die Namen von Personen, andere IP-Adressen, die auf andere Computer im Netzwerk verweisen, und auch auf Finanzdokumente zugreifen", sagte der Hacker. Das Cybernews-Rechercheteam, an das sich der Hacker Spielerkid89 wendete, konnte verifizieren, dass sich dieser tatsächlich Zugang zu einem Computer dieses russischen Ministeriums verschafft hat (siehe folgender Screenshot).
Desktop des OCs im Gesundheitsministerium
Wie bereits erwähnt, war es nicht die Absicht des Hackers, der Organisation zu schaden. Daher ließ er die Systeme der betreffenden Organisation unversehrt. Das Experiment veranschaulicht aber, wie einfach es für einen böswilligen Hacker ist, in ein Unternehmen einzudringen. Durch Fernzugriff auf einen Computer über einen offenen VNC-Port mit deaktivierter Authentifizierung könnte ein Krimineller sensible Dateien herunterladen, andere Computer oder Server im Netzwerk ausspionieren, Dienste einrichten, um eine Hintertür zu schaffen, Malware installieren, Trojaner per Fernzugriff einschleusen und vieles mehr. CyberNews hat mir die Information per Mail zukommen lassen und das Ganze in diesem Beitrag dokumentiert.
2015
Tja, jetzt müsste man nur noch der russischen Sprache bzw. der kyrillischen Buchstaben mächtig sein, dann könnte man auch das eine oder andere des Screenshots lesen. Russisch, ukrainisch, weissrussisch ligen nicht so weit auseinander …
Wenn "Spielerkid89" also Bj. 1989 ist (wäre naheliegend), dann dürfte er wohl keinen Russischunterrricht "genossen" haben.
Ich habe (leider oder Gott sei Dank?) 6 Jahre in der DDR russisch lernen MÜSSEN (Klasse 5 bis 10 – 1985 bis 1990). "Deutsch-Sowjetische Freundschaft" (DSF) halt … :-(
Somit fällt es mir etwas leichter, auch aufgrund der aktuellen Ukraine-Geschichte, hier und da etwas lesen zu können, wobei doch viele Buchstaben nicht mehr sattelfest sitzen.
Back zu Topic: Offener VNC ohne Auth … Wow – da hat wohl der Azubi seinen ersten Tag gehabt? Irre verrückt sowas …
"Back zu Topic: Offener VNC ohne Auth … Wow – da hat wohl der Azubi seinen ersten Tag gehabt?"
Schon erstaunlich: So etwas würde ich eher von deutschen Behörden erwartet. Dass den Russen so etwas unterläuft, wow. Nicht mal Passwörter, in der aktuellen Situation.
Zu früheren Zeiten wurden in der damaligen SU die Munition auch immer mit den Zündern im selben Wagon transportiert. Warum sollte das jetzt anders sein?
Genauso ist das eben auch teilweise heute noch (auch hier), auch in der IT, ist doch so schön einfach, wer soll sich denn diese ganzen Sachen mit Sicherheit und so merken, dauert ja ewig bis man sich da angemeldet hat.
Ich verstehs nicht…
Gibt es da jetzt nur diesen einen Screenshot?
Das was ich auf dem Screenshot sehe, bekommt man genauso gut auch in einer virtuellen Maschine so präpariert. Wo ist da der Beweis, dass das ein Computer des eines russischen Gesundheitsministeriums ist?
Das hat, nach derzeitigem Kenntnisstand, für mich eher den Anschein, als wenn sich da ein Kiddie wichtig machen muss um sich als (Whitehat) Hacker zu profilieren.
Sicher ist so etwas hochgradig fahrlässig, aber wenn ich meine Wohnung verlasse, die Tür dabei sperrangelweit aufstehen lasse und die Leute bei mir frei ein- und ausspazieren können, würde man nicht mit der Headline "Einbrecher konnte binnen Sekunden in Wohnung eindringen" berichten. Jeder Portscan über die IP-Adressbereiche deutscher Internetprovider offenbart ähnliches.
Wenn ich auf dem Desktop drauf wäre, hätte ich wenigstens ein paar ausländische Webseiten im Chrome auf gemacht, die die Schrecklichkeit dieses Krieges zeigen. Und Dateien gezippt, mit einem Passwort wie "russia makes war in ukraine", und das Passwort in eine Readme.jpg als Desktophintergrund abgelegt. Ich denke, die Botschaft wäre angekommen.
Da offenbar Outlook auf dem Rechner installiert ist, wäre der Versand einiger E-Mails sicher wirkungsvoller gewesen.
Fun Fact am Rande: Die Office Icons weißen darauf hin, dass Office 2010, also eine nicht mehr supportete Version installiert ist.
Der Screenshot ist so nichtssagend, dass es für so ein seröses Portal unwürdig ist, so was zu veröffentlichen. Dass ein VNC-Zugang ohne Passwort ein Einfallstor ist, ist ja auch nicht gerade 'Rocket Science'.
Ich würde auch weiterhin fundierte Themen präferieren und auf Teaser gerne verzichten.
Ich formuliere es mal so: Niemand wird gezwungen, die Artikel zu lesen. Ich behalte mir aber vor, einen Querschnitt an Themen zu publizieren, von denen ich vermute, dass sie gelesen werden. Mir schien der Beitrag zu passen, zeigt er doch exemplarisch, wie schlecht es oft mit der Sicherheit bestellt ist. Der bekrittelte Artikel gehört übrigens zu den Themen, die deutlich besser abgerufen werden, als andere Themen, wo ich länger dran sitze.
Oder anders ausgedrückt: Ich stelle mich hier mit den Blogs täglich der Abstimmung mit den Füßen durch die Leserschaft. Bisher habe ich den Eindruck, dass die Blogs mit den eingestellten Themen gelesen werden. Und wenn es mal nicht mehr so klappt – nun ja, bevor ich mich da zu stark verbiege – und darauf schiele, wie die Beiträge ankommen, wie die SEO-mäßig aufgestellt sind und ob es ggf. Kritik gibt (sprich: eine bestimmte Redaktionsschere im Kopf aufbaue), ziehe ich eher den Stecker.
Genau die richtige Einstellung!
Einen viel gefährlicheren Hack hat Russland gemacht.
Es wurde ein deep fake Video mit einer Ansprache des ukrainischen Präsidenten von Zelensky gesendet, wo er erklärte, der Krieg sei zu ende und die Soldaten sollten die Waffen niederlegen.
Der Fake fiel auf, weil die Farbe des Gesichts nicht ganz zu der Farbe des Halsansatzes passte.
Die Lippenbewegungen sollen aber ganz gut zu dem ausgedachten Text passen.
Ein anderer "Hack":
In der Ukraine sind drei russische Saboteure des Militärgeheimdienstes GRU festgenommen worden.
Bei ihnen fand man ein Notizbuch mit Zielen und Telefonnummern in Deutschland, sowie Infos über das polnische Play-Telekommunikationsnetz.
Unter anderem wurde der Ort Markersdorf an der deutsch-polnischen Grenze bei Görlitz erwähnt, wo auch ein Standort der Bundesnetzagentur liegt.
Neben Markersdorf wurde eine Adresse im polnischen Zgorcelec ganz nahe bei Markersdorf erwähnt, sowie Liberec in Tschechien, ca 45 Kilometer weiter südlich von Markersdorf. In Liberec gibt es einen Standort des tschechischen Militärs.
Außerdem standen Koordinaten in Berlin Tegel und Wilmersdorf in dem Notizbuch.
In polnischen Medien werden Fotos der drei GRU-Spione und des Notizbuches mit diesen Einträgen gezeigt.
*ttps://www.o2.pl/informacje/zatrzymali-rosyjskich-dywersantow-przy-sobie-mieli-adres-hotelu-w-zgorzelcu-6742179761420800a
ungepixelt:
*ttps://twitter.com/vaclavkorytar/status/1498400658805907457
Vermutlich hat der GRU die Route der Waffenlieferungen aufgedeckt und er hat Ziele der Telekommunikation in Deutschland, Polen und Tschechien markiert.
Erstaunlich ist das sehr niedrige technische Niveau, wenn die solche Daten im Klartext in ein Notizbuch schreiben anstatt verschlüsselt in einem Smartphone.
Dann muss ja auch noch von extern ein Portforwarding / Nat auf den besagten Rechner eingerichtet gewesen sein ?! Das ist natürlich sehr verrückt…..
Homeoffice-Lösung für Noobs.
Bitte um die IP Adresse dieses Rechners.