Das Australian Signals Directorate (ASD), eine Behörde für Informationssicherheit und ein Nachrichtendienst des australischen Verteidigungsministeriums, vermutet, dass die zu Weihnachten bekannt gewordenen Schwachstellen in Citrix-Produkten von böswilligen Akteuren am 24. Januar 2020 genutzt wurde, um auf eine Datenbank mit Einzelheiten zur Rekrutierung von Mitarbeitern des australischen Verteidigungsministeriums (Australian Defence Force, ADF) zuzugreifen.
Laut der neuen Generaldirektorin des ASD Rachel Noble haben Mitte Januar Angriffe über die Citrix-Schwachstellen auf das Netzwerk (Defence Force Recruiting Network, DFNR) mit der Datenbank stattgefunden. Nach bisherigen Erkenntnissen wurden jedoch keine Daten kompromittiert. Es habe aber Versuche gegeben, auf das Netzwerk zuzugreifen, die mit der Sicherheitslücke in Zusammenhang stehen.
„Angesichts des globalen Charakters der Schwachstellen, von der Unternehmen weltweit betroffen waren, glaube ich nicht, dass das der einzige Vorfall dieser Art gewesen ist“, sagte Noble. Sie teilte außerdem mit, dass das ASD seit dem 1. Juli letzten Jahres im Durchschnitt fünf Vorfallsmeldungen pro Tag und alle 10 Minuten eine Meldung über Cyberkriminalität erhalte.
Wie ABC am Mittwochmorgen berichtete, war das DFRN vom 2. bis 12. Februar für 10 Tage offline. Eine Quelle teilte ABC mit, dass das Problem vor Weihnachten entdeckt wurde und dass zweimal täglich Krisensitzungen zu diesem Thema abgehalten wurden. Die Datenbank wurde von der ManpowerGroup betrieben.
Gemäß der Befragung durch Penny Wong von der Autralian Labour Party (ALP) war Noble nicht besorgt über die Verzögerung innerhalb des Verteidigungsministeriums von der Benachrichtigung über das Problem am 24. Januar bis zur Abschaltung der Datenbank eine Woche später. „Das ist häufig so, damit die Organisationen etwa eine Woche lang untersuchen können, was wirklich in ihrem Netzwerk passiert ist.“, sagte Noble.
„Dieses spezielle Netzwerk, über das wir hier für die Rekrutierung der Streitkräfte sprechen, ist ein externes Netzwerk, das nicht Teil des Verteidigungsnetzwerks ist“, sagte Stephen Pearson, CIO des Verteidigungsministeriums. Pearson sagte, er wisse nicht, ob DXC, der Dienstleister von ManpowerGroup, die von Citrix am 20. Januar herausgegebenen Patches jemals installiert habe.
Citrix hatte Patches für die Lücke in ihren Produkten zwischen dem 19. und 24. Januar veröffentlicht. Zuvor hatte das Unternehmen Workarounds veröffentlicht, mit denen Angriffe über die Schwachstelle erschwert werden sollen.
Der Angriff auf die australische Militätdatenbank ist nicht der einzige Vorfall in Zusammenhang mit der Citrix-Schwachstelle. Forscher von FireEye und Under The Breach hatten Ende Januar bestätigt, dass Hackergruppen die Zero-Day-Lücke in Citrix-Produkten aktiv ausnutzen, um in Firmennetzwerke einzudringen und dort Ransomware zu installieren. Zwar liegen inzwischen für alle betroffenen Produkte des Unternehmens Sicherheitspatches vor – offenbar wurden sie aber noch nicht flächendeckend installiert.
Eine der Gruppen, die sich der Zero-Day-Lücke angenommen hat, ist den Forschern zufolge die Ransomware-Gang REvil. „Ich habe die Dateien der REvil-Bande untersucht, die von Gedia.com online gestellt wurden, nachdem das Unternehmen sich weigerte, die Lösegeldforderung zu bezahlen“, sagten Sicherheitsforscher von Under the Breach. „Das Interessante, was ich entdeckt habe, ist, dass sie Gedia offensichtlich über den Citrix-Exploit gehackt haben.“
FireEye beobachtete wiederum seit 16. Januar Attacken auf Citrix-Produkte, die ebenfalls das Ziel haben, eine Ransomware einzuschleusen. Allerdings soll es sich um die Erpressersoftware Ragnarok handeln. Deren Hintermänner fordern für die Freigabe verschlüsselter Dateien ein Bitcoin pro Rechner oder einen Pauschalbetrag von fünf Bitcoin für alle Rechner in einem Netzwerk – wobei ein Bitcoin derzeit rund 7800 Euro entspricht.
Allerdings scheint die Zahl der gepatchten Citrix-Geräte stetig zuzunehmen. War man im Dezember noch von rund 80.000 angreifbaren Geräten ausgegangen, soll sich die Zahl bereits Ende Januar auf rund 11.000 reduziert haben.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…