Citrix-Schwachstellen: Australische Militärbehörde berichtet über Spionage

Das Australian Signals Directorate (ASD), eine Behörde für Informationssicherheit und ein Nachrichtendienst des australischen Verteidigungsministeriums, vermutet, dass die zu Weihnachten bekannt gewordenen Schwachstellen in Citrix-Produkten von böswilligen Akteuren am 24. Januar 2020 genutzt wurde, um auf eine Datenbank mit Einzelheiten zur Rekrutierung von Mitarbeitern des australischen Verteidigungsministeriums (Australian Defence Force, ADF) zuzugreifen.

Laut der neuen Generaldirektorin des ASD Rachel Noble haben Mitte Januar Angriffe über die Citrix-Schwachstellen auf das Netzwerk (Defence Force Recruiting Network, DFNR) mit der Datenbank stattgefunden. Nach bisherigen Erkenntnissen wurden jedoch keine Daten kompromittiert. Es habe aber Versuche gegeben, auf das Netzwerk zuzugreifen, die mit der Sicherheitslücke in Zusammenhang stehen.

„Angesichts des globalen Charakters der Schwachstellen, von der Unternehmen weltweit betroffen waren, glaube ich nicht, dass das der einzige Vorfall dieser Art gewesen ist“, sagte Noble. Sie teilte außerdem mit, dass das ASD seit dem 1. Juli letzten Jahres im Durchschnitt fünf Vorfallsmeldungen pro Tag und alle 10 Minuten eine Meldung über Cyberkriminalität erhalte.

Wie ABC am Mittwochmorgen berichtete, war das DFRN vom 2. bis 12. Februar für 10 Tage offline. Eine Quelle teilte ABC mit, dass das Problem vor Weihnachten entdeckt wurde und dass zweimal täglich Krisensitzungen zu diesem Thema abgehalten wurden. Die Datenbank wurde von der ManpowerGroup betrieben.

Gemäß der Befragung durch Penny Wong von der Autralian Labour Party (ALP) war Noble nicht besorgt über die Verzögerung innerhalb des Verteidigungsministeriums von der Benachrichtigung über das Problem am 24. Januar bis zur Abschaltung der Datenbank eine Woche später. „Das ist häufig so, damit die Organisationen etwa eine Woche lang untersuchen können, was wirklich in ihrem Netzwerk passiert ist.“, sagte Noble.

„Dieses spezielle Netzwerk, über das wir hier für die Rekrutierung der Streitkräfte sprechen, ist ein externes Netzwerk, das nicht Teil des Verteidigungsnetzwerks ist“, sagte Stephen Pearson, CIO des Verteidigungsministeriums. Pearson sagte, er wisse nicht, ob DXC, der Dienstleister von ManpowerGroup, die von Citrix am 20. Januar herausgegebenen Patches jemals installiert habe.

Citrix hatte Patches für die Lücke in ihren Produkten zwischen dem 19. und 24. Januar veröffentlicht. Zuvor hatte das Unternehmen Workarounds veröffentlicht, mit denen Angriffe über die Schwachstelle erschwert werden sollen.

Weitere Angriffe auf Basis der Citrix-Schwachstellen

Der Angriff auf die australische Militätdatenbank ist nicht der einzige Vorfall in Zusammenhang mit der Citrix-Schwachstelle. Forscher von FireEye und Under The Breach hatten Ende Januar bestätigt, dass Hackergruppen die Zero-Day-Lücke in Citrix-Produkten aktiv ausnutzen, um in Firmennetzwerke einzudringen und dort Ransomware zu installieren. Zwar liegen inzwischen für alle betroffenen Produkte des Unternehmens Sicherheitspatches vor – offenbar wurden sie aber noch nicht flächendeckend installiert.

Eine der Gruppen, die sich der Zero-Day-Lücke angenommen hat, ist den Forschern zufolge die Ransomware-Gang REvil. „Ich habe die Dateien der REvil-Bande untersucht, die von Gedia.com online gestellt wurden, nachdem das Unternehmen sich weigerte, die Lösegeldforderung zu bezahlen“, sagten Sicherheitsforscher von Under the Breach. „Das Interessante, was ich entdeckt habe, ist, dass sie Gedia offensichtlich über den Citrix-Exploit gehackt haben.“

FireEye beobachtete wiederum seit 16. Januar Attacken auf Citrix-Produkte, die ebenfalls das Ziel haben, eine Ransomware einzuschleusen. Allerdings soll es sich um die Erpressersoftware Ragnarok handeln. Deren Hintermänner fordern für die Freigabe verschlüsselter Dateien ein Bitcoin pro Rechner oder einen Pauschalbetrag von fünf Bitcoin für alle Rechner in einem Netzwerk – wobei ein Bitcoin derzeit rund 7800 Euro entspricht.

Allerdings scheint die Zahl der gepatchten Citrix-Geräte stetig zuzunehmen. War man im Dezember noch von rund 80.000 angreifbaren Geräten ausgegangen, soll sich die Zahl bereits Ende Januar auf rund 11.000 reduziert haben.