Security-Briefing Mai 2024: BACS sieht neue Angriffsformen am Horizont

Das monatliche Cybersecurity-Briefing mit den wichtigsten News für die öffentliche Hand. Diesen Monat im Fokus: Der jüngste Halbjahresbericht des Bundesamts für Cybersicherheit (BACS). Weitere Themen u. a.: Angriffe auf Parlamentarier, FC Basel, Nexperia, Taylor Swift. Schwache Passwörter verboten, VPNs und PuTTY mit Lücken, Swiss-Buchungsdaten in fremden Kalendern.

Von Bruno Habegger · 24. Mai 2024

Der Halbjahresbericht 2023/2 (PDF) des Bundesamts für Cybersicherheit (BACS) verschafft einen Überblick über die für die Schweiz relevanten Cybersecurity-Themen. Es meldet doppelt so viele Cybervorfälle wie im Vorjahreszeitraum, nämlich über 30’000. Der Anstieg ist auf betrügerische Stellenangebote und Schockanrufe zurückzuführen.

Zu den meistgemeldeten Vorfällen gehörten Betrugsversuche, wobei insbesondere die Kategorien «CEO-Betrug» und «Rechnungsmanipulationsbetrug» auffällig waren. Mit 5536 Meldungen sind mehr als doppelt so viele Meldungen zu Phishing eingegangen als in der Vorjahresperiode (2179 Meldungen).

Ransomware-Meldungen gab es deutlich weniger, nämlich mit 109 Meldungen 40 weniger als im Vorjahr. Moderat ist der Rückgang im Unternehmensbereich, von 103 auf 98 Meldungen.

Oft im Fokus: Unternehmen, die IT-Lösungen für die öffentliche Verwaltung anbieten. Nach Einschätzung des BACS steigt das Interesse der Banden für die gesamte Lieferkette. Besonders aktiv war weiterhin die Ransomware «LockBit».

Weitere gemeldete Ransomware-Familien sind «Play», «MedusaLocker», «BlackCat/ALPHV», «Phobos», «BlackByte», «BlackBasta», «Babuk», «ECh0raix» und «Akira».

Noch im Versuchsstadium ist laut dem BACS-Bericht der Einsatz von KI für CEO-Betrug, Sextortion oder Investitionsbetrug. Die Anzahl der Meldungen sei noch gering. KI-generiere Videos, Bilder oder Stimmen dürften aber künftig verstärkt genutzt werden. Interessant ist der festgestellte Einsatz von schweizerdeutschen Phishing-Mails, vermutlich von einer KI generiert. Was im geschäftlichen Umfeld wenig Sinn ergibt, könnte im Kleinanzeigengeschäft zu Umsatz bei den Kriminellen führen.

Cyberangriffe

Chinesischer Angriff auf Schweizer Parlamentarier
Erst jetzt ist bekannt geworden: Auch Schweizer Parlamentarier waren im Winter 2021 von einer gross angelegten staatlichen chinesischen Hackeroperation betroffen. Aus der Anklageschrift des US-Justizministeriums gegen die Hackergruppe APT 31 geht hervor, dass unter anderem SP-Nationalrat Fabio Molina und Mitte-Präsident Gerhard Pfister Ziele waren. Sie sind Mitglied einer weltweiten, chinakritischen Parlamentarier-Organisation. Laut Inside IT waren die Phishing-Versuche erfolglos.

Cyberverteidigung des FC Basel 1893 gefordert
Wie der Fussballclub selbst mitteilte, ist er Opfer eines Cyberangriffs geworden. Die Daten sollen sicher gewesen sein. Die IT-Systeme seien automatisch abgeschaltet worden. Unglücklicherweise waren kurz vor der Attacke Mitglieder und Jahreskartenbesitzer um die Anpassung ihrer Profildaten gebeten worden. Dabei handle es sich um keinen Betrugsversuch, meldete der Verein. Blogger Günter Born spöttisch: «Ob die glauben, mit dem Abschalten des Systems das Virus getötet zu haben oder den Cyberangreifer ausgesperrt zu haben?» Auf jeden Fall gab der Verein bereits 2019 einen Ransomwarenangriff bekannt.

Nexperia: hochsensible Daten gestohlen
Der niederländische Halbleiterhersteller Nexperia bestätigt einen Cyberangriff, den die Ransomwaregruppe Dunghill Leak für sich reklamiert. Sie will angeblich 1 TB hochsensibler Daten gestohlen haben, darunter Projektdaten und Kundendaten von Unternehmen wie SpaceX oder Apple. Nexperia meldet, den Angriff erfolgreich unterbunden zu haben.

China-Bande auf Raubzug mit Fake-Shops
Laut der deutschen Sicherheitsfirma SR Labs hat die chinesische Organisation «BogusBazaar» mehr als 850'000 Menschen um ihre Kreditkartendaten gebracht. Möglich gemacht haben dies zehntausende von Fake-Shops. Die Software der Räuber erstellt halbautomatisch E-Shops unter alten Domains mit angeblichen Markenartikeln zu günstigen Preisen. Die «Shops» werden von anderen betrieben – ein kriminelles Franchising. Laut einem Bericht der Zeit, die die Daten der Sicherheitsfirma ausgewertet hat, sind aus der Schweiz 14'000 Bestellversuche registriert worden. Spitzenreiter sind die USA, Frankreich und Deutschland mit über 100'000 Versuchen. In den Datensätzen der Bande finden sich rund 500'000 Kreditkartendaten mit Sicherheitsnummer.

Auch Hacker stehen auf Taylor Swift
Beim deutschen Ticketanbieter Eventim haben Hacker versucht, mittels Passwort-Testen bereits gekaufte Konzertkarten von Taylor Swift zu stehlen. Das sogenannte «Credential Stuffing» war laut dem Unternehmen «in einem niedrigen zweistelligen Bereich» erfolgreich. Eventim habe dank der ausschliesslich digitalen Tickets die Transaktionen entdecken und rückgängig machen können. Passwörter von Konten seien zurückgesetzt werden. Der Ticketverkauf war während des Angriffs kurzzeitig ausgesetzt worden.

Löcher in digitalen Salamander-Schuhen
Der bekannte Schuhhersteller Salamander ist angegriffen worden und hat seine Systeme offline genommen. Nebst dem E-Shop sind auch die Filialen betroffen. Sie klagten über Nachschubprobleme. Über die Art des Angriffs schweigt das Unternehmen. Wochen nach der Attacke war aber der E-Shop immer noch offline.

Dell beklagt Verlust von Kundendaten
Dell informierte seine Kunden per E-Mail über den Abfluss «beschränkter Arten von Kundendaten». Dazu zählen laut golem.de Namen, physische Adressen, Informationen über Dell-Hardware und Kundenbestellungen. Dell hüllt sich in Schweigen, wie die Angreifer an die Daten gekommen sind. Bereits Ende April gab es laut Daily Dark Web in einem Hacking-Forum den Versuch, 49 Millionen Kundendaten von Dell zu verkaufen.

Werbekampagne gefaket mit Hilfe von KI
In Grossbritannien wurde laut dem «Guardian» Gesicht und Stimme einer bekannten Wissenschaftsmoderatorin der BBC für eine gefakte Werbekampagne für Insektenschutzspray gestohlen. Der CEO der getäuschten Werbeagentur dachte, mit der echten Moderatorin zu verhandeln und überwies für «ihr» Engagement 20'000 Pfund.

Dropbox verliert Kundendaten
Nutzerinnen und Nutzer des Signaturservices Dropbox Sign sind von einer Cyberattacke betroffen. Wie der Cloudspeicherdienst bestätigt, flossen nach einem erfolgreichen Angriff Kundendaten ab: E-Mail-Adressen, Benutzernamen, Telefonnummern, gehashte Passwörter und andere Informationen. Zugriff auf Inhalte wie Verträge habe es jedoch nicht gegeben. Die Hacker sind über ein Dienstkonto im Sign-Backend eingestiegen, das über entsprechende Berechtigungen verfügt hatte.

Hintergrund

Schwache Passwörter verboten
In Grossbritannien sind Unternehmen ab sofort verpflichtet, ihre Geräte zu schützen. Technische Geräte mit schwachen Passwörtern wie «1234» sind laut einem neuen Gesetz verboten. Hersteller müssen ihre Kunden zur Änderung auffordern, Kontaktdaten veröffentlichen und ihre Zeitpläne für Sicherheitsupdates offenlegen.

Russische Attacke auf Regierungsstellen und Unternehmen in Europa
Das Nachrichtenmagazin «Der Spiegel» berichtet über einen Angriff russischer Hacker auf das E-Mail-Postfach von SPD-Generalsekretär Kevin Kühnert. Die staatliche Gruppe nutzte im Dezember 2022 eine Sicherheitslücke in Outlook aus. Nun sind die Untersuchungen abgeschlossen. Welche und wie viele Daten gestohlen wurden, ist weiterhin unklar. Aussenministerin Annalena Baerbock bestätigte: Der gross angelegte Angriff soll sich gegen Regierungsstellen und Unternehmen in sensiblen Bereichen gerichtet haben, nicht nur in Deutschland.

Storytelling verbessert IT-Sicherheit
In einer Kolumne für Inside IT wirbt Darja-Anna Yurowski von Switch CERT für «Forensic Readiness» und gutes Storytelling bei der Bewältigung von Security Incidents. Ihre These: Wer relevante Daten rechtzeitig sichtbar macht und die Mitarbeitenden auf eine Heldenreise mitnimmt, bewältigt Kreisen besser und schafft mehr Cybersicherheit.

Marriott-Angriff: Daten doch nicht verschlüsselt
In einem Gerichtsverfahren musste die Hotelkette einräumen, dass die zwischen 2014 und 2018 erbeuteten sensiblen Kundendaten von über 500 Millionen Menschen doch nicht verschlüsselt waren. Das berichtet Heise online. Zum Einsatz kam nur das unsichere SHA-1-Verfahren. Das Gerichtsverfahren dürfte noch Jahre dauern.

Mutmasslicher Kopf der LockBit-Bande: ein Russe
Die Identität des LockBit-Anführers soll nun bekannt sein. Die internationalen Strafverfolger haben einen 31-jährigen Russen identifiziert, der «LockBit 3.0» als Ransomware-as-a-Service-Dienst entwickelt haben soll. Für Hinweise zu seiner Ergreifung haben die USA 10 Millionen Dollar ausgesetzt. Von seinen 194 Affiliates seien die meisten leer ausgegangen und hätten ihr deponiertes Pfand nicht wiedergesehen.

Google erhöht Prämien für Android-Bugs und sperrt immer mehr Trojaner
Google bewertet das seit einem Jahr laufende Bug-Bounty-Programm für Android als Erfolg und erhöht die Prämien. Vierzig valide Meldungen seien bisher eingegangen und fast 100’000 Dollar an Prämien ausbezahlt worden. Melder können neu bis zu 300’000 Dollar einstreichen. Gleichzeitig berichtet das Sicherheitsteam von Google Play, man habe 2023 mehr als zwei Millionen böse Apps ausgesperrt und 333'000 Play-Accounts von Entwicklern entfernt.

Australien: Gesichtserkennungsdaten gestohlen
«Have I Been Outaboxed»: Das australische Unternehmen Outabox steht in der Kritik, heikle Personendaten seines kommerziellen Gesichtserkennungssystems einem Anbieter von Glücksspielautomaten verkauft zu haben. Wie WIRED berichtet, untersucht die Polizei den Vorfall. Das Outabox-System wurde während der Corona-Zeit in Bars und Clubs installiert, um Besucher zu scannen und ihre Körpertemperatur zu prüfen.

Testen Sie jetzt Ihre Cybersicherheit
Kostenloser Abraxas Security-Check

Schwachstellen

Buchungsdaten fremder Passagiere abgerufen
Bei der Lufthansa und damit auch der Swiss sind vertrauliche Buchungsdaten in die Hände Dritter gelangt. Das berichtete die Neue Zürcher Zeitung (NZZ). Ursache sei eine Fehlkonfiguration gewesen. Nutzer der App und der Website konnten dadurch kurzzeitig auf fremde Daten zugreifen. Eifrig hat zudem Siri in zwei bekannten Fällen die fremden Buchungen automatisch in den Kalender eingetragen. Die NZZ kritisiert in ihrem Artikel den leichtfertigen Umgang der Airlines mit den Buchungscodes. Diese genügten, um sich anzumelden und auf weitere Daten zuzugreifen. Angreifer könnten zudem einchecken oder eine Reise annullieren.

VPNs mit fataler Sicherheitslücke
Über eine seit Jahrzehnten existierende Lücke lässt sich laut Ars Technica fast jedes VPN knacken, mit dem Internetverkehr anonymisiert werden soll. Beim «TunnelVision» (CVE-2024-3661) genannten Angriff wird der DHCP-Server manipuliert, der Geräten IP-Adressen zuweist. Die «Option 121» erlaubt dabei dem Server, Standard-Routing-Regeln ausser Kraft zu setzen. Android ist das einzige Betriebssystem, bei dem ein solcher Angriff fehlschlägt.

PuTTY-Lücke bedroht Citrix Hypervisor
Im Kontext von XenCenter für Citrix Hypervisor können Angreifer private SSH-Schlüssel von Admins erobern. Admins müssen laut Warnmeldung von Citrix die Schwachstelle (CVE-2024-31497) selbst durch Aktualisierung oder Deinstallierung von PuTTY beheben.

Kontrolle über Big-IP-Appliances von F5
Noch gibt es keine Hinweise auf Attacken, obwohl gleich mehrere Sicherheitslücken im Next Central Manager entdeckt wurden. Das Verwaltungstool für die BIG-IP-Appliances sollte deshalb so rasch als möglich aktualisiert werden. Hersteller F5 hat zwei CVE-Nummern veröffentlicht: CVE-2024-21793 und CVE-2024-26026.

Webex-Konferenzen der Bundeswehr offen
Eine Sicherheitslücke in Cisco Webex führte bei der deutschen Bundeswehr dazu, dass Metadaten wie Termine, Teilnehmer und Themen von Konferenzen offen im Internet einsehbar waren. Konferenzen und vertrauliche Inhalte seien nicht betroffen gewesen. Das berichtet Zeit online (Paywall), bewertet aber die offenen Daten als heikel. So seien etwa die Meetings fortlaufend nummeriert gewesen – hilfreich zum Erraten von URLs. Meetingräume seien ohne Passwort zugänglich gewesen. Die Schwachstelle sei laut Bundeswehr innert 24 Stunden behoben worden.

Bruno Habegger

Über Bruno Habegger

Bruno Habegger ist Abraxas-Magazin-Autor und Senior Communication Manager. Er verfügt über eine langjährige Erfahrung im ICT- und Energie-Bereich als Journalist, Contentproduzent und Berater. Er war Präsident einer Regionalpartei und an seinem damaligen Wohnort acht Jahre Mitglied der Sicherheitskommission.