Aktuelles, Branche - geschrieben von dp am Dienstag, November 5, 2024 19:28 - noch keine Kommentare
SweetSpecter hatte OpenAI im Visier
2023 hatte der Bedrohungsakteur „SweetSpecter“ erstmals von sich reden gemacht
[datensicherheit.de, 05.11.2024] 2023 habe der vermutlich in der Volksrepublik China ansässige Threatactor „SweetSpecter“ erstmals von sich reden gemacht. Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, berichtet in seiner aktuellen Stellungnahme: „Damals zielten seine Cyber-Angriffe auf politische Einrichtungen im Nahen Osten, in Afrika und Asien. Nun hat er sich ein neues Angriffsziel gesucht – das bekannte US-amerikanische KI-Unternehmen OpenAI.“ Dieses habe vor Kurzem bekanntgegeben, dass einige seiner Mitarbeiter Ziel einer Spear-Phishing-Angriffskampagne geworden seien. Zu Schäden sei es nicht gekommen. Die Sicherheitsteams des Unternehmens hätten den Angriff rechtzeitig erkannt, die implementierte Sicherheitsarchitektur habe gehalten.
Dr. Martin J. Krämer kritisiert: Viele Unternehmen schrecken immer noch vor Investitionen in regelmäßige Sicherheitsschulungen, -trainings und -tests für ihre Belegschaft zurück…
„Spear Phishing“-Angriff: „SweetSpecter“ verschickte E-Mails mit bösartigen Anhängen an OpenAI-Mitarbeiter
Für seinen Spear-Phishing-Angriff habe „SweetSpecter“ E-Mails mit bösartigen Anhängen an Mitarbeiter von OpenAI versandt – sowohl an die privaten als auch an die Mitarbeiter-E-Mail-Konten. „SweetSpecter“ habe sich dabei als „ChatGPT“-Nutzer ausgegeben, welcher Support bei der Aufspürung und Behebung einiger „ChatGPT-Fehler“ benötig habe.
„Klickten die Mitarbeiter auf den Anhang der E-Mail, der den Namen ‚some problems.zip‘ trug, öffneten sie eine ,DOCX’-Datei, die verschiedene Fehler- und Servicemeldungen von ,ChatGPT’ enthielt. Was sie nicht mitbekamen: Gleichzeitig begann sich im Hintergrund die Malware ,SugarGh0st RAT’ zu entschlüsseln, zu installieren und zu starten.“ Diese sollte „SweetSpecter“ in die Lage versetzen, die Kontrolle über den kompromittierten Computer zu erhalten, um zum Beispiel Screenshots zu erstellen und Daten zu kompromittieren oder zu entwenden.
Bei Analyse auf verdächtige „ChatGPT“-Konten gestoßen, welche vermutlich von „SweetSpecter“ missbraucht wurden
OpenAI habe indes rasch und erfolgreich auf diese Kampagne reagieren können. „Im Mai hatten seine Sicherheitsteams einen Tipp einer ungenannten vertrauenswürdigen Quelle erhalten. Umgehend setzten sie sich mit Mitarbeitern, von denen angenommen wurde, dass sie Ziel der Angriffs-Kampagne geworden seien, in Kontakt.“ Rasch habe geklärt werden können, dass die E-Mail-Sicherheitskontrollen des Unternehmens gehalten hätten. Keine der bösartigen E-Mails sei bis zu einem Mitarbeiter-Konto im Unternehmensnetzwerk vorgedrungen.
„Dennoch begannen die Sicherheitsteams den Angriff und seine Infrastruktur eingehend zu analysieren. Dabei kam auch ,ChatGPT’ zum Einsatz – um Interaktionen von feindlichen Konten zu analysieren, zu kategorisieren, zu übersetzen und zusammenzufassen.“ Interessanterweise seien sie hierbei auch auf eine Reihe verdächtiger „ChatGPT“-Konten gestoßen, welche wahrscheinlich von „SweetSpecter“ genutzt worden seien – um Antworten auf technische Fragen zu erhalten, um Scripting- und Schwachstellenforschungsaufgaben zu erledigen. „Sie alle wurden vorsichtshalber von den OpenAI-Sicherheitsteams geschlossen.“
Besser noch wäre es gewesen, wenn OpenAI-Mitarbeiter das Sicherheitsteam selbst über verdächtige Auswirkungen der „SweetSpecter“-Attacke informiert hätten
Das Beispiel OpenAI zeigt laut Dr. Krämer, „wie wichtig es nach wie vor ist, ein möglichst engmaschiges Netz aus menschlichen Informanten zu unterhalten, die verdächtige Aktivitäten melden“. Nur durch das kontinuierliche Teilen bedrohungsrelevanter Erkenntnisse, nur durch kollektive Zusammenarbeit könne und werde es gelingen, die Risikolage zu verbessern und KI-Plattformen wie „ChatGPT“ auch in Zukunft sicher zu halten. „OpenAI hatte Glück. Eine ungenannte Quelle informierte das Unternehmen über den Angriff auf seine Mitarbeiter. Seine Sicherheitsteams konnten dann erfolgreich die erforderlichen Gegenmaßnahmen einleiten“, resümiert Dr. Krämer.
Besser wäre es aber gewesen, wenn die eigenen Mitarbeiter die Sicherheitsteams informiert hätten – auch über verdächtige Aktivitäten auf ihren privaten E-Mail-Accounts. Vielerorts mangele es hierbei immer noch am erforderlichen Sicherheitsbewusstsein – an einer stabilen und effektiven Sicherheitskultur. Viele Unternehmen schreckten immer noch vor Investitionen in regelmäßige Sicherheitsschulungen, -trainings und -tests für ihre Belegschaft zurück – und verbauten sich damit die Chance, dass ihre Mitarbeiter Phishing-, Spear-Phishing und Social-Engineering-Angriffe rechtzeitig erkennen und ihre Sicherheitsteams dabei unterstützen könnten, diese erfolgreich abzuwehren.
Weitere Informationen zum Thema:
OpenAI, Oktober 2024
Influence and cyber operations: an update
Aktuelles, Experten, Studien - Nov 7, 2024 17:39 - noch keine Kommentare
KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf
weitere Beiträge in Experten
- eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz
- US-Angemessenheitsbeschluss und Datenschutz bei Strafverfolgungsbehörden – EDSA bezieht Position
- Neue Grundsatzentscheidung zwingt Notare zur Ermittlung von Daten für das Nachlassverzeichnis
- Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung
- Cyber-Schwachstellen von Alarmierungsbehörden und Außenministerien aufgedeckt
Aktuelles, Branche, Studien - Nov 7, 2024 17:50 - noch keine Kommentare
ONEKEY-Report warnt Industrie vor Einkauf von Cyber-Sicherheitslücken
weitere Beiträge in Branche
- SweetSpecter hatte OpenAI im Visier
- Smart Cities: Aspekte der Sicherheit in urbaner Zukunft
- Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor
- Trinity-Ransomware: Vorfall zeigt, warum starke Sicherheitskultur unverzichtbar auch für den Gesundheitssektor ist
- Cyber-Angriffe auf die Lieferkette: Unternehmen sollten Risiken erkennen und gezielt vorbeugen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren