Branche - geschrieben von cp am Freitag, Mai 15, 2020 19:40 - noch keine Kommentare
Angriff auf SSH zur Infiltrierung von Supercomputern passt ins Schema
Verschiedene europäischen Universitäten betroffen
[datensicherheit.de, 15.05.2020] Nach Meldungen verschiedener Medien wurden beginnend im Januar bis heute zahlreiche Supercomputer in europäischen Universitäten über Cyberangriffe infiltriert (Der Spiegel berichtet von 9). Nicht wenige wie Golem berichten, dass die Angreifer externe SSH-Zugänge gekapert haben, um sich Zugriff zu verschaffen. Was sie dort mit der Rechenkapazität tun und anstellen wollen, ist bislang noch unklar. Bislang wurden anscheinende nur Zugangsdaten abgefangen. Interessant ist aber, dass diese spektakuläre Angriffskampagne nur die jüngste in einer ganzen Reihe ist, die SSH als Angriffsvektor nutzen. Hierzu eine kurze Liste der jüngsten Malware, die sich SSH bedient, darunter Crimeware, Kryptominer, ein Wurm und Rootkits:
- TrickBot: Ursprünglich ein Banking-Trojaner, der 2016 erstmals auftauchte, wurde TrickBot zu einer flexiblen, universellen, modulbasierten Crimeware-Lösung, die sich im Laufe der Jahre auf Unternehmensumgebungen verlagert hat. TrickBot wird Cyberkriminellen als Dienst für verschiedene Zwecke angeboten, und seine Module sind auf die Bedürfnisse einer bestimmten kriminellen Aktivität ausgerichtet. Es umfasst viele Funktionen, von der Erstellung von Netzwerkprofilen, der Sammlung von Massendaten und der Einbindung von seitlich durchlaufenden Exploits. Im letzten Jahr hat TrickBot die Möglichkeit hinzugefügt, Berechtigungsnachweise sowohl für PuTTY (SSH-Client für Microsoft) als auch für OpenSSH zu erfassen. Zusätzlich zu den Berechtigungsnachweisen ist die Malware so konzipiert, dass sie nach Informationen über den Hostnamen und den Benutzernamen sucht, um sich seitlich (lateral) zu bewegen.
- KryptoSink: Diese Kryptomining-Kampagne nutzt eine fünf Jahre alte Schwachstelle (CVE-2014-3120) in Elasticsearch-Systemen auf Windows- und Linux-Plattformen aus, um die XMR-Kryptowährung abzubauen. CryptoSink erzeugt eine Hintertür zum Zielserver, indem der öffentliche Schlüssel des Angreifers der autorisierten Schlüsseldatei auf dem Rechner des Opfers hinzugefügt wird.
Linux-Wurm: Dieser Wurm zielt auf anfällige Exim-Mail-Server auf Unix-Link-Systemen, um Monero-Kryptowährungs-Miner zu liefern. Der Wurm erstellt eine Hintertür zum Server, indem er seinen eigenen öffentlichen SSH-Schlüssel hinzufügt und den SSH-Server aktiviert, falls dieser deaktiviert ist. - Skidmap: Hierbei handelt es sich um ein Kernel-Modus-Rootkit, das durch Hinzufügen des öffentlichen SSH-Schlüssels des Angreifers zu der autorisierten Schlüsseldatei Zugriff auf eine Hintertür zu einem Zielrechner erhält. Skidmap nutzt Ausnutzungen, Fehlkonfigurationen oder die Exposition gegenüber dem Internet, um Root- oder administrativen Zugriff auf das System zu erhalten und Kryptomining-Malware abzuwerfen.
Yana Blachman, Threat Intelligence Forscherin und Expertin für SSH bei Venafi kommentiert diese Entwicklungen wie folgt:
„Der Angriff auf die Supercomputer in Europa ist Teil einer wachsenden Zahl von Angriffskampagnen, die in jüngster Zeit weltweit auf SSH-Maschinenidentitäten abzielen. Diese werden zur Automatisierung von Kontrolle und Arbeitslasten verwendet und können den Zugriff auf die kritischsten Systeme und Informationen der Organisation ermöglichen und daher für Angreifer sehr wertvoll werden.
Die Gültigkeit von SSH-Maschinenidentitäten laufen nie ab, und die meisten Organisationen welchseln sie nicht rotierend aus. Deshalb ist es nicht überraschend, dass sie ein begehrtes Ziel für Angreifer sind, um möglichst lange im Netzwerk zu bleiben, sich darin zu bewegen und weitere Ziele zu infiltrieren.
Die Angriffskette, zu der die Supercomputer in Europa gehören, zeigt wie sehr die SSH-Maschinenidentitäten für Angreifer im Verlauf ihres Angriffs zugänglich sind und von Unternehmen nicht sicher verwaltet werden. Solange Unternehmen keine vollständige Sichtbarkeit und Inventarisierung über Rechenzentren und die Cloud hinweg haben und nicht über Richtlinien und automatisierte Rotationsprozesse verfügen, werden die Angreifer sie weiterhin ins Visier nehmen und ausnutzen, wenn sie schlecht verwaltet werden.“
Weitere Informationen zum Thema:
datensicherheit.de, 19.02.2020
Maschinenidentitäten: Drei Tipps und Tricks zur Erneuerung, Neuausstellung und Widerrufung
datensicherheit.de, 14.07.2019
Fünf Risiken von Maschinenidentitäten
Aktuelles, Experten - Nov 20, 2024 21:07 - noch keine Kommentare
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
weitere Beiträge in Experten
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
Aktuelles, Branche, Studien - Nov 20, 2024 20:59 - noch keine Kommentare
Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
weitere Beiträge in Branche
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
- NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren