Cyberangriffe des Monats: Rosneft, Stephansdom oder Nestlé

Cyberangriffe

Eine kleine, internationale Auswahl von erfolgreichen Cyberattacken im März.

Cyber-Attacke auf New Yorker Ethik-Wachhund
Die Joint Commission on Public Ethics (JCOPE) des Bundesstaates New York musste ihre Systeme nach einem bösartigen Cyberangriff abzuschalten. Die Ethikaufsichtsbehörde, die die Lobbyarbeit im Kapitol des Bundesstaates regelt, erklärte, dass eine Untersuchung eingeleitet wurde, um das Ausmaß des Angriffs und die Hintermänner zu ermitteln. Der Alarm wurde von Mitarbeitern des New Yorker Amtes für Informationstechnologie (ITS) ausgelöst, die eine Warnung über verdächtige Aktivitäten im JCOPE-Netzwerk erhielten. Die Kommission schaltete daraufhin vorsichtshalber ihre Systeme ab, darunter auch das System zur Online-Einreichung von Lobbying-Anträgen und Finanzerklärungen.

BKA ermittelt wegen Datenraubs bei Rosneft Deutschland
Der SPIEGEL berichtet Mitte März, Hacker des Anonymous-Kollektivs hätten die deutsche Tochter des russischen Mineralölkonzerns Rosneft angegriffen und offenbar Daten erbeutet. Das BSI hatte dem SPIEGEL auf Anfrage mitgeteilt, eine Cybersicherheitswarnung an andere Unternehmen und Organisationen der Mineralölwirtschaft herausgegeben zu haben. Aus Sicherheitsgründen soll das Unternehmen nach dem Angriff seine Systeme vorerst vom Netz genommen haben.

Hacker stehlen Quellcode für Samsung Galaxy-Geräte
Der koreanischeHandyhersteller bestätigte, dass Hacker den Quellcode für  Galaxy-Smartphones und -Tablets gestohlen haben. Die Hackergruppe Lapsus$ übernahm die Verantwortung für den digitalen Diebstahl, bei dem sie 190 GB an Daten erbeuteten, darunter den Quellcode für Samsungs Knox, das unter anderem Passwörter, biometrische Daten und Zahlungsinformationen schützen soll. Samsung sagt, dass keine Kunden- oder Mitarbeiterdaten betroffen waren. Lapsus$, bietet in der Regel gestohlenen Daten zum Austausch gegen eine hohe Geldsumme an, scheint aber kein Lösegeld von Samsung gefordert zu haben. Stattdessen sollen es Teile des Codes online geteilt worden sein.

Toyota stoppt Produktion nach Cyberangriff auf Zulieferer
Der Automobilhersteller hat Anfang März die Produktion in 14 Werken in Japan für mindestens einen Tag unterbrochen, um auf einen Systemausfall beim Zulieferer Kojima Industries zu reagieren. In einer kurzen Erklärung bestätigte Toyota die vorübergehende Abschaltung, die nach Schätzungen von Experten der Automobilindustrie zu einem Rückgang der monatlichen Toyota-Produktion um 5 Prozent oder zu einem Verlust von etwa 13.000 Einheiten geführt haben könnte. Toyota entschuldigte sich “bei unseren betroffenen Zulieferern und Kunden für etwaige Unannehmlichkeiten, die dadurch entstehen.”

Hacker steigen bei Spielefirma Ubisoft ein
Das französische Computerspiel-Unternehmen Ubisoft hat bestätigt, dass der Angriff zu vorübergehenden Unterbrechungen von Spielen, Systemen und Diensten geführt hat. Das in Montreuil ansässige Unternehmen teilte mit, dass es eine Untersuchung der Sicherheitsverletzung angestoßen hat und als Vorsichtsmaßnahme einen unternehmensweiten Passwort-Reset eingeleitet habe. “Außerdem können wir bestätigen, dass alle unsere Spiele und Dienste normal funktionieren und dass es zum jetzigen Zeitpunkt keine Hinweise darauf gibt, dass auf persönliche Daten von Spielern zugegriffen wurde oder diese als Folge dieses Vorfalls offengelegt wurden”, so das Unternehmen in einer Erklärung.

Wiener Domglocken läuten nach Hackerangriff in der Nacht
Einige Wiener*innen waren irritiert, als Mitte März um 2 Uhr nachts  die Glocken des Stephansdoms läuteten. Sie glaubten, dass der Papst verstorben oder der Krieg in der Ukraine eskaliert sei. Es dauerte rund 20 Minuten, bevor der Dompfarrer das Glockengeläut abschalten konnte. Offenbar hatten die Hacker eine Online-Verbindung für die Fernwartung der Glocken genutzt. Laut STANDARD haben der oder die Hacker zunächst das sogenannte Festgeläute im Südturm mit insgesamt elf Glocken und danach das barocke Geläute im nördlichen Heidenturm gestartet.  

DDoS-Attacke legt auch israelische Regierungswebseiten lahm
Betroffen waren die Websites des Innenministeriums, des Verteidigungsministeriums und anderer Ministerien. “In den letzten Stunden wurde ein DDoS-Angriff auf einen Kommunikationsanbieter festgestellt, der den Zugang zu einer Reihe von Websites, darunter auch Regierungsseiten, für kurze Zeit verhindert hat”, teilte das israelische National Cyber Directorate auf Twitter mit. Auch die Website des Büros des Premierministers war betroffen. Es soll sich bei dem Vorfall um den größten jemals gegen Israel durchgeführten Cyberangriff gehandelt haben.

Hacker entriegelt und startet Auto von Honda
Zum Glück waren es Forscher die eine “Replay Attack”-Schwachstelle aufgedeckt haben, die nur ausgewählte Honda- und Acura-Fahrzeugmodelle betrifft. Bei der Schwachstelle handelt es sich um einen Man-in-the-Middle (MitM)-Angriff oder genauer gesagt um einen Replay-Angriff, bei dem ein Angreifer die RF-Signale abfängt, die normalerweise von einem ferngesteuerten Schlüsselanhänger an das Auto gesendet werden, diese Signale manipuliert und sie zu einem späteren Zeitpunkt erneut sendet, um das Auto nach Belieben zu entriegeln.

Anonymous hackt Nestlé
Die als Anonymous bekannte Hacktivisten- und Aktivistengruppe hat eine Datenbank von Nestle veröffentlicht. Dies geschah wenige Tage, nachdem der ukrainische Präsident Zelensky den weltgrößten Lebensmittelkonzern wegen seiner fortgesetzten Beziehungen zu Russland kritisiert hatte. Anonymous kündigte den Einbruch in einem Tweet an: “Die Hackergruppe Anonymous hat 10 GB an Daten des Schweizer Unternehmens Nestlé veröffentlicht. Dies ist die Vergeltung des Kollektivs für die Fortsetzung der Geschäfte des Unternehmens in Russland”. Die Gruppe postete dann einen weiteren Tweet mit einem Link zu den durchgesickerten Informationen. Der Schweizer Lebensmittelkonzern hat allerdings dementiert, dass es sich um sensible Informationen handelt.

Post in Griechenland durch Ransomware-Angriff offline
Der Ransomware-Angriff hatte die meisten Dienste des staatlichen Unternehmens ELTA  in Griechenland offline geschaltet. Laut ELTA hat die sofortige Reaktion und die Isolierung eines Rechenzentrums dazu beigetragen, die Auswirkungen zu mildern. Das Ziel des Cyberangriffs bestand darin, die für ELTA wichtigen Systeme zu verschlüsseln. Das Unternehmen erwähnte keine Lösegeldforderung. Die griechische Verbraucherschutzbehörde wurde entsprechend informiert, so dass die Frage, ob eine Datenverletzung vorliegt, unabhängig geprüft wird. Unter anderem mussten mehr als 2.500 Terminalsysteme einzeln untersucht und Agentenprogramme installiert werden.