Für grosses Aufsehen in der IT-Welt sorgten ab Karfreitag die «XZ Utils», die auf praktisch jeder Open-Source-Plattform enthalten sind. Ihre Aufgabe: Sie komprimieren Daten. Bestimmte Versionen enthielten jedoch eine schwere lokale Sicherheitslücke (CVE-2024-3094). Durch sie hätten Angreifer via SSH-Verbindungen Fernzugriff auf Systeme erlangen können – letztlich auf einen grossen Teil des Internets, denn SSH (Secure Shell) nutzen fast alle Administratoren von Servern.
Die Fachwelt staunt: Die Hacker planten den Angriff Jahre im Voraus und wandten fortgeschrittene Security-Engineering-Methoden an. Sie infiltrierten das Entwicklerteam der XZ Utils und schmuggelten dabei Code-Änderungen in Form von Patches ein. Der einfallsreich konzipierte Schadcode nutzt eine versteckte Testdatei, die während des Buildprozesses extrahiert wird und Funktionen in der liblzma-Bibliothek der XZ Utils modifiziert. Ein Microsoft-Forscher hat den Angriff in einer Infografik zusammengefasst. Die Timeline des Angriffs findet sich hier.
Ein Microsoft-Entwickler bemerkte am Karfreitag die Lücke nur durch Zufall. Seine Hardware war zu laut, die CPU verschlang bei SSH-Prozessen zu viel Leistung. Bei der Suche nach der Ursache fand er dann die Hintertür und alarmierte die Community. Gemeinsam wurde der Angriff gestoppt. Gerade noch rechtzeitig. Dank der Transparenz von Open-Source-Software ist bis heute kein nennenswerter Schaden entstanden.
Während die Herkunft der Angreifer unbekannt ist – vermutet werden aufgrund der Raffinesse und des Aufwands staatliche Akteure – ist wieder einmal die Diskussion um die chronisch unterfinanzierte Entwicklung im Open-Source-Bereich entbrannt. Kommerzielle Software nutzt oft und gerne solche Komponenten für die eigenen Produkte.
Cyberangriffe
BACS meldet KI-gestützten CEO-Betrug
Das Bundesamt für Cybersicherheit (BACS, vormals NCSC) warnt vor einem CEO-Betrug, der schwerer denn je zu entlarven ist. Das Opfer erhält dabei eine E-Mail für ein Online-Meeting vom angeblichen Chef seines Unternehmens. Wählt es sich im Glauben an ein echtes Meeting ein und sieht tatsächlich seinen Chef respektive seine Chefin auf dem Bildschirm. In Tat und Wahrheit handelt es sich aber um ein Deep-Fake-Video, erzeugt von einer KI. Diese versucht dann das Opfer zu einer Finanztransaktion zu bewegen. Im konkreten bekannten Fall ging es um den Finanzverantwortlichen eines Unternehmens. Der Angriff schlug fehl, weil die Kleidung des künstlichen Chefs nicht der Realität entsprach.
Microsoft
Angreifer nutzen Lücken in Bitlocker, Office und Windows Defender aus. Im Fokus steht dabei vor allem die Windows-Sicherheitsfunktion SmartScreen-Filter (CVE-2024-29988). Dabei handelt es sich um eine Prüfung, ob heruntergeladene Dateien aus vertrauenswürdiger Quelle stammen. Angreifer umgehen diese: Sie senden eine speziell erstellte URL-Datei via E-Mail oder Chat. Sie verführen in der mitgesendeten Nachricht zum Anklicken des Links.
Apple
iPhone-Kundinnen und Kunden in 92 Ländern müssten sich vor Auftrags-Spyware-Angriffen hüten, warnt Apple selbst in einer E-Mail an die betroffenen Kunden. Der Angriff soll das iPhone der Nutzer kompromittieren. Die Personen seien von den unbekannten Angreifern bewusst aufgrund ihrer Position ausgewählt worden. Apple empfiehlt im Schreiben, das iPhone sofort in den Lockdown-Modus zu versetzen. Ausserdem müssten das Gerät sowie seine Apps auf die aktuellste iOS-Version aktualisiert werden – ebenso andere Apple-Geräte.
Palo Alto Networks
Die Firewalls von Palo Alto Networks wurden in den ersten April-Wochen angegriffen. In ihrem Betriebssystem der neueren Versionen klafft nämlich eine Lücke. Angreifer können der Firewall Befehle unterjubeln. Der Hersteller lieferte umgehend eine Anleitung für temporäre Schutzmassnahmen. Korrigierte Firmware-Versionen sollen bereits erschienen sein.
Hintergrund
X spielt Phishern mit Austausch der Twitter-Domain in die Hände
Das soziale Netzwerk X – vormals Twitter – mag es nicht, wenn Nutzerinnen und Nutzer in Beiträgen auf die Domain twitter.com verweisen. Solche Linktexte sollten automatisch auf x.com geändert werden. Die Umsetzung ging jedoch schief. Sicherheitsexperte Brian Krebs erklärt den Hintergrund in seinem Blogbeitrag. Kurz: Jede Domain, die die Zeichenfolge «twitter» enthielt, wurde umgewandelt. Das öffnete Phishern Tür und Tor. Sie konnten Domains wie spacetwitter.com registrieren, aus der X «spacex.com» machte. Ein Täuschungsmanöver unter gütiger Mithilfe der X-Entwickler. Inzwischen ist der Fehler bei X korrigiert worden.
Cybercrime-as-a-service: Berüchtigte Plattform zerschlagen
Deutsche Behörden haben die Plattform AegisTools.pw vom Netz genommen. Diese ermöglichte es Kriminellen, Schadsoftware zu erzeugen, die Antivirenprogramme nicht entdecken. Ausserdem konnten nebst Verschlüsselungsdiensten auch der Diebstahl von Benutzerdaten bezogen werden. Nutzende der Plattform mussten sich nicht registrieren und bezahlten den Service mit Kryptowährung. Laut der Polizei soll AegisTools.pw über 1000 Nutzende gehabt haben.
Bösartige Werbung zielt auf Systemadministratoren
«Malvertising» dient zur Vorbereitung eines Angriffs. Dabei werden Opfer auf Suchmaschinen, die nach bestimmten Tools wie PuTTY oder FileZilla suchen, mit Anzeigen bedient, die einen unpassenden Link enthalten. Wer unbedacht darauf klickt, landet auf einer gefälschten Website und lädt Malware herunter. Die Malwarebytes-Forscher haben eine Kampagne in den USA genauer analysiert und dabei Nitrogen-Malware entdeckt.
Aufräumen nach dem Microsoft-Hack
Anweisung von oben: US-Behörden müssen sich nun mit den Folgen des im Januar bekannt geworden Cyberangriffs auf Microsoft befassen. Damals griffen die Hacker über längere Zeit auf interne E-Mail-Konten des Konzerns zu. Die Cybersicherheitsbehörde Cisa hat nun in einer Notfalldirektive angemessene Schutzmassnahmen angeordnet. Die abgegriffenen E-Mails zwischen Microsoft und Behörden müssten analysiert werden. Cisa warnt auch, dass die in den E-Mails enthaltenen Informationen derzeit aktiv eingesetzt würden, um sich Zugang zu weiteren Systemen zu verschaffen.
Das sind die globalen Cybercrime-Hotspots
Im «Cybercrime Index» der Forschenden an der University of Oxford steht Russland auf Platz eins. Dahinter folgen Ukraine, China, die USA und Nigeria. Die Forschungsarbeit listet die globalen Cybercrime-Hotspots auf. Untersucht wurden verschiedenste Formen der Cyberkriminalität. Nun wollen die Forschenden herausfinden, warum sich einige Länder zu Brennpunkten entwickeln. Die Resultate sollen Regierungen und Organisationen helfen, gezielter gegen die digitalen Banden vorzugehen.
Neue Namen im Ransomware-Geschäft aufgetaucht
Im Schatten bekannter Namen der Cybercrime-Szene sind neue Gruppen entstanden, auf die Inside IT aufmerksam macht. Im Artikel beleuchtet ein Redaktor die Aktivitäten neuer Gruppen in der Schweiz. Sie fokussierten dieses Jahr stärker auf Data Leaks. Neu würden mit Ransomware-as-a-Service-Partnerprogrammen auch vermehrt kleinere KMU ins Visier genommen.
Schwachstellen
Exploit im Linux-Kernel verschafft Root-Rechte
Angreifer mit Zugriff auf ein Linux-System können über eine neu entdeckte Lücke im Kernel ihre Rechte erweitern und das System übernehmen. Wie heise.de berichtet, handelt es sich laut der Mailingliste oss-security um eine Zero-Day-Lücke – somit nicht behoben in allen Kernelversionen. Ob und wann die Lücke geschlossen ist, war bei Redaktionsschluss noch unklar. Bis ein Sicherheitspatch in allen Linux-Distributionen landet, dürfte es einige Zeit dauern.
Über Bruno Habegger
Bruno Habegger ist Abraxas-Magazin-Autor und Senior Communication Manager. Er verfügt über eine langjährige Erfahrung im ICT- und Energie-Bereich als Journalist, Contentproduzent und Berater. Er war Präsident einer Regionalpartei und an seinem damaligen Wohnort acht Jahre Mitglied der Sicherheitskommission.
