Aktuelles, Branche - geschrieben von dp am Dienstag, Januar 8, 2019 22:22 - noch keine Kommentare
Der Fall orbit: FireEye liefert erste Erkenntnisse
In der ersten Januar-Woche 2019 bekannt gewordene Veröffentlichung persönlicher Daten von Politikern und Prominenten hat Spuren hinterlassen
[datensicherheit.de, 08.01.2019] Nach eigenen Angaben beobachtet, erfasst und analysiert die „FireEye iSIGHT Cyber Threat Intelligence“ mit einem Team aus weltweit 160 Datenspezialisten seit Jahren Cyber-Bedrohungen u.a. mit dem Ziel, detaillierte Informationen über die Motivationen, Absichten, bevorzugten Ziele und Methoden verschiedener Angreifer bzw. Angreifergruppen sowie die ihnen zugeschriebenen Aktivitäten zu gewinnen.
Veröffentlichung persönlicher Daten von Politikern und Prominenten
Auch die in der ersten Januar-Woche 2019 bekannt gewordene Veröffentlichung persönlicher Daten von Politikern und Prominenten hat demnach Spuren hinterlassen – hierzu die „wichtigsten Ergebnisse einer ersten Analyse“:
- Es sei davon auszugehen, dass die veröffentlichten Daten aus privaten Accounts über mehrere Wochen herausgefiltert und gesammelt wurden.
- Der unter dem Pseudonym „0rbit“ aktive, inzwischen vom BKA identifizierte mutmaßliche Täter, sei mindestens seit 2015 aktiv und habe mehrere Social-Media-Konten genutzt, um Accounts zu infiltrieren und Daten verschiedener deutscher Politiker und Prominenter – vor allem von „YouTubern“ – zu veröffentlichen.
- Die Daten seien nach derzeitigem Stand der Analysen hochgeladen und über zahlreiche Links auf File- und Image-Sharing-Seiten verbreitet worden, unter Verwendung von Backup-Spiegelseiten zum Hosten der Daten: Benutzt worden seien Web-Seiten wie „Megaupload“, „AnonFile“, „ForumFiles“, „Box“, „BayFiles“ und „Imgur“. Im Rahmen einer ersten Überprüfung hätten mindestens 375 Links zu File-Sharing-Sites mit „geleakten“ Daten identifiziert werden können.
- Es werde davon ausgegangen, dass „0rbit“ seit mindestens 2015 aktiv sei und verschiedene Social-Media-Accounts genutzt habe, um Accounts zu infiltrieren und das „Doxing“ (das internetbasierte Zusammentragen und anschließende Veröffentlichen personenbezogener Daten) vorzubereiten.
- Obwohl der sich dringend Tatverdächtige als Einzeltäter in den Vernehmungen dargestellt habe, sei es aufgrund der verschiedenen mit „0rbit“ verbundenen Konten und dem schieren Volumen der geposteten Links möglich, dass es doch mehrere Täter sein könnten.
- „0rbit“ habe kürzlich auf den Blogging- und Video-Sharing-Sites „Busy.org“, „Steemit“ und „DTube“ das Konto „@dennis567“ verwendet, um Leaks von infiltrierten Konten und andere Inhalte der Betroffenen zu posten.
- Beobachtet worden sei, dass mindestens das 2015 von „0rbit“ infiltrierte Instagram-Konto die Meldung „Hacked by NFO“ angezeigt habe. Darüber hinaus sei auch ein wahrscheinlich von „0rbit“ genutzten twitter-Account, „@NFOr00t“, beobachtet worden – der enthaltene Begriff „NFO“ sei ein möglicher, zuvor auch von „0rbit“ verwendeter Gruppennamen.
- Ein früheres wahrscheinlich von „0rbit“ genutztes twitter-Account, „@0rbitofr00t“ habe den Vermerk „Controlling the Internet since 2015“ im Profil. Ein weiteres twitter-Konto, „@_p0wer__“, zeige indes: „Controlling the Internet since – Seit 2013.“ Die Diskrepanz zwischen 2013 und 2015 könnte ein Hinweis darauf sein, dass „0rbit“ aus mehr als einer Person besteht.
- Obwohl in den Analysen einige Kontoeröffnungsdaten vor 2013 festgestellt worden seien, scheine es plausibel, dass „0rbit“ Infiltrierungen vorgenommen hat und diese Konten zu einem späteren Zeitpunkt in Betrieb genommen und reaktiviert wurden.
- Viele der älteren verdächtigen „0rbit“-Konten hätten Links zu „geleakten“ Daten veröffentlicht, die auf verschiedenen Web-Seiten, File-Sharing-Diensten und in zahlreichen Sicherungskopien auf alternativen Websites gespeichert seien. Dies stehe im Einklang mit Methoden, mit denen die undichten Daten der deutschen Politiker zusammengestellt und veröffentlicht worden seien. Viele der von älteren Konten beworbenen Web-Seiten hätten auch ASCII-Kunstheader verwendet, wie von „0rbit“ im Dezember 2018 verwendet.
- Von diesen älteren Konten zeigten auch Links zu Screenshots, die auf die Image-Sharing-Site „Imgur“ hochgeladen worden seien. Ebenso enthielten die jüngsten Leaks vom Dezember 2018 auf „Imgur“ gespeicherte Bilder.
- Die von den älteren Accounts veröffentlichten Daten seien auf verschiedenen Plattformen erscheinen, darunter twitter, Instagram, facebook, Snapchat, Skype, Amazon, Steam, EA (Electronic Arts) und Microsoft. Ähnlich wie die Daten vom Dezember 2018 hätten auch die älteren Konten Chat-Historien und andere private Daten veröffentlicht, welche anscheinend aus den kompromittierten Konten ihrer Ziele entfernt worden seien.
Weitere Informationen zum Thema:
datensicherheit.de, 04.01.2019
Stellungnahmen zur Hacker-Attacke auf deutsche Politiker
datensicherheit.de, 23.04.2013
FireEye-Studie belegt die zunehmend globale Natur von Cyber-Attacken
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren