Categories: Sicherheit

Citrix-Schwachstellen: Australische Militärbehörde berichtet über Spionage

Das Australian Signals Directorate (ASD), eine Behörde für Informationssicherheit und ein Nachrichtendienst des australischen Verteidigungsministeriums, vermutet, dass die zu Weihnachten bekannt gewordenen Schwachstellen in Citrix-Produkten von böswilligen Akteuren am 24. Januar 2020 genutzt wurde, um auf eine Datenbank mit Einzelheiten zur Rekrutierung von Mitarbeitern des australischen Verteidigungsministeriums (Australian Defence Force, ADF) zuzugreifen.

Laut der neuen Generaldirektorin des ASD Rachel Noble haben Mitte Januar Angriffe über die Citrix-Schwachstellen auf das Netzwerk (Defence Force Recruiting Network, DFNR) mit der Datenbank stattgefunden. Nach bisherigen Erkenntnissen wurden jedoch keine Daten kompromittiert. Es habe aber Versuche gegeben, auf das Netzwerk zuzugreifen, die mit der Sicherheitslücke in Zusammenhang stehen.

„Angesichts des globalen Charakters der Schwachstellen, von der Unternehmen weltweit betroffen waren, glaube ich nicht, dass das der einzige Vorfall dieser Art gewesen ist“, sagte Noble. Sie teilte außerdem mit, dass das ASD seit dem 1. Juli letzten Jahres im Durchschnitt fünf Vorfallsmeldungen pro Tag und alle 10 Minuten eine Meldung über Cyberkriminalität erhalte.

Wie ABC am Mittwochmorgen berichtete, war das DFRN vom 2. bis 12. Februar für 10 Tage offline. Eine Quelle teilte ABC mit, dass das Problem vor Weihnachten entdeckt wurde und dass zweimal täglich Krisensitzungen zu diesem Thema abgehalten wurden. Die Datenbank wurde von der ManpowerGroup betrieben.

Gemäß der Befragung durch Penny Wong von der Autralian Labour Party (ALP) war Noble nicht besorgt über die Verzögerung innerhalb des Verteidigungsministeriums von der Benachrichtigung über das Problem am 24. Januar bis zur Abschaltung der Datenbank eine Woche später. „Das ist häufig so, damit die Organisationen etwa eine Woche lang untersuchen können, was wirklich in ihrem Netzwerk passiert ist.“, sagte Noble.

„Dieses spezielle Netzwerk, über das wir hier für die Rekrutierung der Streitkräfte sprechen, ist ein externes Netzwerk, das nicht Teil des Verteidigungsnetzwerks ist“, sagte Stephen Pearson, CIO des Verteidigungsministeriums. Pearson sagte, er wisse nicht, ob DXC, der Dienstleister von ManpowerGroup, die von Citrix am 20. Januar herausgegebenen Patches jemals installiert habe.

Citrix hatte Patches für die Lücke in ihren Produkten zwischen dem 19. und 24. Januar veröffentlicht. Zuvor hatte das Unternehmen Workarounds veröffentlicht, mit denen Angriffe über die Schwachstelle erschwert werden sollen.

Weitere Angriffe auf Basis der Citrix-Schwachstellen

Der Angriff auf die australische Militätdatenbank ist nicht der einzige Vorfall in Zusammenhang mit der Citrix-Schwachstelle. Forscher von FireEye und Under The Breach hatten Ende Januar bestätigt, dass Hackergruppen die Zero-Day-Lücke in Citrix-Produkten aktiv ausnutzen, um in Firmennetzwerke einzudringen und dort Ransomware zu installieren. Zwar liegen inzwischen für alle betroffenen Produkte des Unternehmens Sicherheitspatches vor – offenbar wurden sie aber noch nicht flächendeckend installiert.

Eine der Gruppen, die sich der Zero-Day-Lücke angenommen hat, ist den Forschern zufolge die Ransomware-Gang REvil. „Ich habe die Dateien der REvil-Bande untersucht, die von Gedia.com online gestellt wurden, nachdem das Unternehmen sich weigerte, die Lösegeldforderung zu bezahlen“, sagten Sicherheitsforscher von Under the Breach. „Das Interessante, was ich entdeckt habe, ist, dass sie Gedia offensichtlich über den Citrix-Exploit gehackt haben.“

FireEye beobachtete wiederum seit 16. Januar Attacken auf Citrix-Produkte, die ebenfalls das Ziel haben, eine Ransomware einzuschleusen. Allerdings soll es sich um die Erpressersoftware Ragnarok handeln. Deren Hintermänner fordern für die Freigabe verschlüsselter Dateien ein Bitcoin pro Rechner oder einen Pauschalbetrag von fünf Bitcoin für alle Rechner in einem Netzwerk – wobei ein Bitcoin derzeit rund 7800 Euro entspricht.

Allerdings scheint die Zahl der gepatchten Citrix-Geräte stetig zuzunehmen. War man im Dezember noch von rund 80.000 angreifbaren Geräten ausgegangen, soll sich die Zahl bereits Ende Januar auf rund 11.000 reduziert haben.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

14 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

19 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

19 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

20 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

20 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

22 Stunden ago