Ein IT-Labor der Schweizer Hochschule Luzern ist wohl Opfer eines erfolgreichen Ransomware-Angriffs geworden. Es sind aber wohl keinen Daten von Mitarbeitern und Studierenden betroffen, heißt es von der Hochschule. Weiterhin hat das Microsoft Security-Team eine seit 2021 laufende Cyberspionage-Operation aufgedeckt. Diese geht wohl von der Volksrepublik China aus und hat es auf taiwanesische Regierungsbehörden sowie auf Organisationen in den Bereichen Bildung, kritische Produktion und IT abgesehen.
Anzeige
Ransomware-Angriff auf Hochschule Luzern
Laut diesem Bericht ist eine spezifische IT-Laborumgebung der HSLU, die separat von den zentralen IT-Services läuft, Opfer eines Ransomware-Angriffs geworden. Auf dieser Umgebung werden virtuelle Maschinen, welche am Departement Informatik genutzt werden, betrieben. Aufgrund dieser Trennung ist der allgemeine Hochschulbetrieb durch die Attacke in keiner Weise eingeschränkt.
Ich bin über obigen Tweet auf das Thema gestoßen, welches von Inside IT in diesem Artikel ebenfalls aufgegriffen wurde. Es sind leider keine Details bekannt geworden, aber Schweizer Medien vermelden, dass sich noch keine Ransomware-Gruppe zum Angriff bekannt habe. Aktuell würden
Spezialisten mit Hochdruck daran arbeiten, das Ausmaß des Angriffs zu verifizieren. "Dafür sind sie mit den zuständigen internen und externen Stellen in Kontakt, insbesondere mit Switch und dem NCSC. Nach aktuellem Kenntnisstand sind keine Daten der Mitarbeitenden oder Studierenden betroffen", heißt es weiter. Die HSLU hat Anzeige erstattet.
Cyber-Spionage-Kampagne Flax Typhoon aufgedeckt
Dem Cybersicherheits-Team von Microsoft ist es gelungen, eine Cyber-Spionage-Kampagne aufzudecken, die mutmaßlich aus China ausgeht und sich gegen taiwanesische Regierungsbehörden richtet sowie auf Organisationen in den Bereichen Bildung, kritische Produktion und IT zielt.
Die Flax Typhoon genannte Gruppe geht laut Microsoft von einer nationalstaatlichen Angreifergruppe mit dem Namen Flax Typhoon mit Sitz in China aus. Diese habe es auf Dutzende von Organisationen in Taiwan abgesehen hat, heißt es in diesem Microsoft-Bericht. Ziel ist wahrscheinlich Spionage zu betreiben. Interessant ist, was Microsoft an Details herausgefunden hat.
Anzeige
Flax Typhoon erlangt(e) und erhält langfristigen Zugang zu den Netzwerken taiwanesischer Organisationen, wobei mit einem minimalem Einsatz von Malware gearbeitet wird. Vielmehr konzentrieren sich die Angreifer darauf, in das Betriebssystem integrierte Tools und einige normalerweise harmlose Software zu missbrauchen, um sich unbemerkt in diesen Netzwerken zu bewegen.
Die Angreifer sind wohl seit Mitte 2021 tätig, und hat Regierungs- und Bildungseinrichtungen sowie kritische Produktions- und Informationstechnologieunternehmen in Taiwan angegriffen. Einige Opfer wurden auch anderswo in Südostasien sowie in Nordamerika und Afrika beobachtet. Flax Typhoon konzentriert sich auf Persistenz, seitliche Bewegungen und den Zugriff auf Zugangsdaten.
Es ist bekannt, dass Flax Typhoon die Web-Shell China Chopper, Metasploit, das Privilegienerweiterungstool Juicy Potato, Mimikatz und den VPN-Client (Virtual Private Network) SoftEther verwendet. Flax Typhoon verschafft sich zunächst Zugang, indem es bekannte Schwachstellen in öffentlich zugänglichen Servern ausnutzt und Web-Shells wie China Chopper einsetzt.
Nach dem ersten Zugriff verwendet Flax Typhoon Befehlszeilentools, um zunächst einen dauerhaften Zugriff über das Remote-Desktop-Protokoll herzustellen, dann eine VPN-Verbindung zu einer von den Akteuren kontrollierten Netzwerkinfrastruktur einzurichten und schließlich Anmeldedaten von kompromittierten Systemen zu sammeln. Flax Typhoon nutzt diesen VPN-Zugang, um von den kompromittierten Systemen aus nach Schwachstellen auf den Zielsystemen und -organisationen zu suchen.
Microsoft hat bisher allerdings nicht beobachtet, dass Flax Typhoon diesen Zugang nutzt, um weitere Aktionen durchzuführen. Microsoft hat die betroffenen Kunden direkt benachrichtigt und ihnen wichtige Informationen für die Sicherung ihrer Umgebungen zur Verfügung gestellt. Details lassen sich in diesem Microsoft-Bericht nachlesen.
2015
