Sicherheits-, Ransomware- und Datenschutzvorfälle Mai 2023

Die letzten Tage sind erneut einige Sicherheitsvorfälle bekannt worden, bei denen Daten offen gelegt oder Systeme mit Ransomware infiziert wurden. Die Stadtverwaltung von Bad Langensalza ist durch Ransomware IT-mäßig außer Betrieb. In den USA hat sich eine Ransomware-Gruppe tagelang bei einem Versicherer für Zahngesundheit umgesehen und Daten abgezogen. Der Google Authentificator soll eigentlich abgesichert worden sein, ist es aber nicht. Und beim Hersteller von Hauptplatinen, Gigabyte, gab es einen Vorfall bei der Aktualisierung der Firmware, so dass eine Backdoor installiert werden konnte. Der gesammelte Irrsinn der IT.

Ransomwarevorfall in Bad Langensalza

Ich hatte es bereits vor einigen Tagen mitbekommen, die Stadtverwaltung der thüringischen Stadt Bad Langensalza (Kurstadt in Thüringen) ist Opfer eines Cyberangriffs geworden. Die Mitteldeutsche Zeitung berichtetet hier kurz über den Vorfall, bei der die meisten EDV-Systeme nach Aussage der Stadtverwaltung lahmgelegt worden seien.

Die Zeitung verwies auf die Erklärung der Stadt auf der Webseite, wo sich folgende Informationen finden:

Sehr geehrte Bürgerinnen und Bürger,

die Stadtverwaltung wurde Opfer eines Cyberangriffs, mit der Folge, dass die meisten EDV Systeme lahmgelegt worden sind. Deshalb ist eine Erreichbarkeit derzeit nur unter erschwerten Bedingungen möglich.

Ebenso ist die Arbeitsfähigkeit der Verwaltung stark beeinträchtigt. Davon ausgenommen sind die Dienste des Einwohnermeldeamtes / Standesamtes. Diese werden am 31.05.2023 wieder zur Verfügung stehen. Am 01.06.2023 werden das Einwohnermeldeamt und das Standesamt ihre Dienstleistungen bis 18 Uhr anbieten.

Die telefonische Erreichbarkeit unter der gewohnten Nummer 03603-8590 kann zur Zeit aufgrund von technischen Problemen nicht gewährleistet werden. Diese wird jedoch so schnell wie möglich eingerichtet.

Eingehende Emails können derzeit unter der üblichen E-Mail-Adresse nicht eingesehen und bearbeitet werden. Wir haben eine Ersatzadresse eingerichtet. Diese ist: info(at)stadtlsz.de. An diese Adresse gerichtete E-Mails werden aktuell abgerufen und an die zuständigen Mitarbeiter weitergeleitet.

Wir arbeiten mit Hochdruck daran, dass der volle Service wieder angeboten werden kann. Bis dahin bitten wir Sie um ihr Verständnis.

Dem obigem Tweet nach sind Standesamt, Einwohnermeldeamt und die Telefonzentrale der Stadt wieder funktionsfähig. Zudem wurde eine E-Mail-Adresse für den Notbetrieb eingerichtet. Inzwischen ist aber klar, dass der Cyberangriff eine Ransomware-Attacke war, es liegt eine Lösegeldforderung vor, auf die aber nicht eingegangen wird.

Faules Google Authenticator-Update

Um bei einem Verlust des Handys mit der App ein Ersatzgerät verwenden zu können, hat Google in seiner Authenticator-App die Möglichkeit implementiert, die erforderlichen Passcodes im Google-Konto zu sichern. Im Blog-Beitrag Google Authenticator: Backup der Passcodes im Google-Konto; aber Ende-zu-Ende-Verschlüsselung kommt erst noch … hatte ich berichtet, dass die Übertragung des betreffenden Passcodes in das Google-Konto ohne Ende-zu-Ende-Verschlüsselung erfolgt. Nach Kritik von Sicherheitsexperten will Google die Ende-zu-Ende-Verschlüsselung immerhin nachrüsten.

Google hat die Tage ein Update für seine Google Authenticator-App veröffentlicht, die eigentlich eine Ende-zu-Ende-Verschlüsselung einführen sollte. Inzwischen gibt es aber Berichtet (siehe obiger Tweet bzw. hier und hier), dass die angekündigte Ende-zu-Ende-Verschlüsselung durch dieses Update doch nicht vorhanden ist.

Datenleck bei US-Zahnarztversicherer

MCNA Dental ist einer der größten staatlich geförderten (Medicaid und CHIP) Anbieter von Zahnbehandlungen und Mundgesundheitsversicherungen in den USA. Beim US-Unternehmen Managed Care of North America (MCNA) Dental gab es einen Ransomware-Vorfall, bei dem die persönlichen Daten von 8,9 Millionen US-Bürgern, die bei diesem Unternehmen versichert sind, abgezogen wurden.

Gemäß obigem Tweet und diesem Artikel von Bleeping Computer wurde der Vorfall durch eine Meldung bei den Behörden öffentlich. SPON berichtet in diesem deutschsprachigen Beitrag, dass  die Angreifer Röntgenaufnahmen und persönliche Daten von Betroffenen veröffentlicht haben und eine Millionensumme erpressen wollen.

Ransomware bei Black Cat Networks

Beim Hosting-Anbieter Black Cat Networks gab es einen Ransomware-Angriff, bei dem Systeme verschlüsselt wurden. Laut nachfolgendem Tweet kam es kurzfristig zu einem totalen Systemausfall. Der Abfluss von Daten kann nicht ausgeschlossen werden – Details lassen sich hier nachlesen.

Gigabyte Motherboards mit Backdoor

Andy Greenberg berichtet auf Wired von einem unschönen Vorfall – siehe folgender Tweet und dieser Artikel. Sicherheitsforscher des auf Firmware spezialisierten Cybersecurity-Unternehmens Eclypsium sind in der Firmware von Motherboards des taiwanesischen Herstellers Gigabyte auf einen versteckten Mechanismus gestoßen, der die Firmware bei jedem Neustart der Platine zu aktualisieren versucht.

Das Aktualisierungsprogramm läuft auf dem Computer und wird aus dem Code der Firmware des Motherboards aufgerufen. Dieses Programm lädt dann eine andere Software herunter und führt diese aus. Firmware-Updates sind eigentlich ja nicht schlecht – aber heimlich und ohne Kontrolle des Nutzers schon problematisch. Noch problematischer wird es, dass dieser Update-Vorgang unsicher ist. Die Forscher entdeckten, dass der Update-Vorgang unsicher implementiert ist. Dadurch ließe sich der Mechanismus möglicherweise kapern und zur Installation von Malware anstelle des von Gigabyte vorgesehenen Programms verwenden. Der gesamte Ansatz der Firmware-Aktualisierung durch Gigabyte "stinkt gewaltig", Nutzer haben quasi keine Möglichkeit, das zu entdecken oder zu entfernen. Es dürften Millionen Benutzer betroffen sein – Details lassen sich im verlinkten Artikel nachlesen.

Volt Typhoon zielt auf kritische US-Infrastruktur

Die Sicherheitsexperten von Microsoft sind kürzlich auf einen Angriff der Volt Typhoon genannte Gruppe gestoßen. Hinter dem Angriff steckt ein staatlich geförderter Akteur mit Sitz in China, der sich normalerweise auf Spionage und Informationsbeschaffung konzentriert. Die Gruppe versucht Zugriff auf Anmeldeinformationen zu erhalten und fokussiert sich auf die Erkennung von kompromittierten Netzwerksystemen, die in kritischen Infrastrukturorganisationen in den Vereinigten Staaten betrieben werden.

Die Gruppe Volt Typhoon ist seit Mitte 2021 aktiv und hat Organisationen mit kritischer Infrastruktur in Guam und anderen Teilen der Vereinigten Staaten ins Visier genommen. In der aktuellen Kampagne sind Organisationen aus den Bereichen Kommunikation, Fertigung, Versorgung, Transport, Bauwesen, Schifffahrt, Regierung, Informationstechnologie und Bildung betroffen. Das beobachtete Verhalten deutet darauf hin, dass der Bedrohungsakteur beabsichtigt, Spionage zu betreiben und so lange wie möglich unentdeckt zu bleiben.

Volt Typhoon verschafft sich zunächst über Fortinet FortiGuard-Geräte mit Internetanschluss Zugang zu den betreffenden Systemen. Bei der Analyse durch Microsoft stellte sich heraus, dass der Bedrohungsakteur versucht, alle vom Fortinet-Gerät gewährten Privilegien zu nutzen. Dann extrahiert der Angreifer die vom Gerät verwendeten Anmeldedaten für ein Active Directory-Konto. Mit diesen Anmeldedaten versucht sich der Angreifer bei anderen Geräten im Netzwerk zu authentifizieren.

Bei erfolgreicher Kompromittierung des Zielsystems versuchen die Angreifer sich im System umzusehen und einzunisten. Dabei wird selten Malware gesetzt, um um Informationen über das System zu finden, weitere Geräte im Netzwerk zu entdecken und Daten zu exfiltrieren. Volt Typhoon leitet dabei seinen gesamten Netzwerkverkehr über kompromittierte SOHO-Netzwerk-Edge-Geräte (einschließlich Router) an seine Server weiter. Microsoft hat herausgefunden, dass viele der Geräte, darunter solche von ASUS, Cisco, D-Link, NETGEAR und Zyxel, dem Besitzer erlauben, HTTP- oder SSH-Verwaltungsschnittstellen ins Internet zu stellen. Besitzer solcher Netzwerk-Geräte sollten sicherstellen, dass die Verwaltungsschnittstellen nicht aus dem Internet erreichbar sind, um ihre Angriffsfläche zu verringern. Indem die Volt Typhoon-Gruppe diese Geräte als Proxyserver einsetzt, erhöhen die Angreifer die Möglichkeiten, dass diese Operationen unerkannt bleiben.

Microsoft konnte seinen Kunden zwar entsprechende Erkennungsmaßnahmen für die Schutzsoftware zukommen lassen.  Es besteht aber die Sorge, dass viele weitere Kunden unbemerkt kompromittiert werden. Microsoft hat sich dazu entschlossen, diese Volt Typhoon-Aktivitäten im Beitrag Volt Typhoon targets US critical infrastructure with living-off-the-land techniques öffentlich zu machen.

Check Point-Security schreibt, dass diese aus China kommenden Angriffe nichts neues seien. Chinesische APT-(Advanced Persistence Threat)-Gruppen, wie Volt Typhoon, sind bekannt für ihre ausgeklügelten Spionage-Kampagnen. Sie wollen meist strategische Informationen sammeln, Störungen verursachen, oder sich in einem System festsetzen, um für künftige Operationen bereit zu sein.

Check Point hat über die letzten Monate mehrere ähnliche Attacken gegen Auswärtige Ämter und Botschaften von europäischen Staaten beobachtet, die auf einen staatlich gestützten, chinesischen Akteur zurückgeführt werden konnten, den man Camaro Dragon nennt. Der Akteur weist Ähnlichkeiten zu einem bereits bekannten chinesischen Akteur namens Mustang Panda auf. Check Point stieß bei der Analyse auf eine gefährliche Sicherheitslücke in den verbreiteten TP-Link Routern, über die die Hintertür namens Horse Shell implementiert wird (siehe Bösartige Firmware "Horse Shell" als Backdoor für TP-Link-Router enttarnt). Die Backdoor kann genutzt werden kann, um ständigen Zugang zum Router und damit zum Netzwerk zu erhalten. Die Angreifer können so eine Hacker-IT-Infrastuktur für ihre Angriffe aufbauen.

Check Point empfiehlt, Software Updates nicht auf die lange Bank zu schieben, Patches gegen Sicherheitslücken sofort einzuspielen, keine Standard-Anmeldedaten zu verwenden und eine konsolidierte Sicherheitsarchitektur zu implementieren, um Prävention gegen alle Bedrohungsarten betreiben zu können. Das Check Point-Fazit: Die USA sind nicht das einzige Ziel chinesischer Cyber-Spionage-Attacken. Es wurden auch Kampagnen gegen EU-Mitglieder entdeckt, und sogar gegen die russische Rüstungsindustrie und gegen asiatische Staaten in Süd-Ost-Asien wurden Angriffe gefahren.

Weitere Meldungen

Microsoft hat einen neue Schwachstelle in macOS entdeckt, der man den Namen Migraine (Migräne) verpasst hat. Die Schwachstelle könnte es einem Angreifer mit Root-Zugriff ermöglichen, den Systemintegritätsschutz (SIP) in macOS automatisch zu umgehen und beliebige Operationen auf einem Gerät durchzuführen. SIP ist eine Sicherheitstechnologie in macOS, die einen Root-Benutzer daran hindert, Operationen durchzuführen, die die Systemintegrität gefährden könnten. Die Microsoft Sicherheitsforscher haben diese Erkenntnisse mit Apple durch Coordinated Vulnerability Disclosure (CVD) über Microsoft Security Vulnerability Research (MSVR) geteilt. Ein Fix für diese Schwachstelle, die nun als CVE-2023-32369 identifiziert ist, wurde in die von Apple am 18. Mai 2023 veröffentlichten Sicherheitsupdates aufgenommen.

Haufe berichtet hier über ein Urteil 33 O 376/22 vom 23. März 2023 des Landgericht (LG) Köln, welches einer Klage der Verbraucherzentrale Nordrhein-Westfalen stattgegeben hat.  Die Deutsche Telekom darf dem Urteil nach vorübergehend keine personenbezogenen Daten von Nutzern ohne deren ausdrücklicher Zustimmung an Google-Server in den USA übertragen. In der Begründung heißt es, dass ein angemessenes Datenschutzniveau in den USA nicht gewährleistet sei, solange es keine Nachfolgeregelung für das Datenschutzabkommen Privacy Shield oder entsprechende Standardvertragsklauseln gebe. Über dieses Thema hatte ich ja häufiger im Blog berichtet – und das Nachfolgeabkommen dürfte wohl auch scheitern (siehe Entschließung des EU-Parlaments zum US-EU Framework (Mai 2023)).