Aktuelles, Branche - geschrieben von dp am Dienstag, Januar 8, 2019 22:22 - noch keine Kommentare
Der Fall orbit: FireEye liefert erste Erkenntnisse
In der ersten Januar-Woche 2019 bekannt gewordene Veröffentlichung persönlicher Daten von Politikern und Prominenten hat Spuren hinterlassen
[datensicherheit.de, 08.01.2019] Nach eigenen Angaben beobachtet, erfasst und analysiert die „FireEye iSIGHT Cyber Threat Intelligence“ mit einem Team aus weltweit 160 Datenspezialisten seit Jahren Cyber-Bedrohungen u.a. mit dem Ziel, detaillierte Informationen über die Motivationen, Absichten, bevorzugten Ziele und Methoden verschiedener Angreifer bzw. Angreifergruppen sowie die ihnen zugeschriebenen Aktivitäten zu gewinnen.
Veröffentlichung persönlicher Daten von Politikern und Prominenten
Auch die in der ersten Januar-Woche 2019 bekannt gewordene Veröffentlichung persönlicher Daten von Politikern und Prominenten hat demnach Spuren hinterlassen – hierzu die „wichtigsten Ergebnisse einer ersten Analyse“:
- Es sei davon auszugehen, dass die veröffentlichten Daten aus privaten Accounts über mehrere Wochen herausgefiltert und gesammelt wurden.
- Der unter dem Pseudonym „0rbit“ aktive, inzwischen vom BKA identifizierte mutmaßliche Täter, sei mindestens seit 2015 aktiv und habe mehrere Social-Media-Konten genutzt, um Accounts zu infiltrieren und Daten verschiedener deutscher Politiker und Prominenter – vor allem von „YouTubern“ – zu veröffentlichen.
- Die Daten seien nach derzeitigem Stand der Analysen hochgeladen und über zahlreiche Links auf File- und Image-Sharing-Seiten verbreitet worden, unter Verwendung von Backup-Spiegelseiten zum Hosten der Daten: Benutzt worden seien Web-Seiten wie „Megaupload“, „AnonFile“, „ForumFiles“, „Box“, „BayFiles“ und „Imgur“. Im Rahmen einer ersten Überprüfung hätten mindestens 375 Links zu File-Sharing-Sites mit „geleakten“ Daten identifiziert werden können.
- Es werde davon ausgegangen, dass „0rbit“ seit mindestens 2015 aktiv sei und verschiedene Social-Media-Accounts genutzt habe, um Accounts zu infiltrieren und das „Doxing“ (das internetbasierte Zusammentragen und anschließende Veröffentlichen personenbezogener Daten) vorzubereiten.
- Obwohl der sich dringend Tatverdächtige als Einzeltäter in den Vernehmungen dargestellt habe, sei es aufgrund der verschiedenen mit „0rbit“ verbundenen Konten und dem schieren Volumen der geposteten Links möglich, dass es doch mehrere Täter sein könnten.
- „0rbit“ habe kürzlich auf den Blogging- und Video-Sharing-Sites „Busy.org“, „Steemit“ und „DTube“ das Konto „@dennis567“ verwendet, um Leaks von infiltrierten Konten und andere Inhalte der Betroffenen zu posten.
- Beobachtet worden sei, dass mindestens das 2015 von „0rbit“ infiltrierte Instagram-Konto die Meldung „Hacked by NFO“ angezeigt habe. Darüber hinaus sei auch ein wahrscheinlich von „0rbit“ genutzten twitter-Account, „@NFOr00t“, beobachtet worden – der enthaltene Begriff „NFO“ sei ein möglicher, zuvor auch von „0rbit“ verwendeter Gruppennamen.
- Ein früheres wahrscheinlich von „0rbit“ genutztes twitter-Account, „@0rbitofr00t“ habe den Vermerk „Controlling the Internet since 2015“ im Profil. Ein weiteres twitter-Konto, „@_p0wer__“, zeige indes: „Controlling the Internet since – Seit 2013.“ Die Diskrepanz zwischen 2013 und 2015 könnte ein Hinweis darauf sein, dass „0rbit“ aus mehr als einer Person besteht.
- Obwohl in den Analysen einige Kontoeröffnungsdaten vor 2013 festgestellt worden seien, scheine es plausibel, dass „0rbit“ Infiltrierungen vorgenommen hat und diese Konten zu einem späteren Zeitpunkt in Betrieb genommen und reaktiviert wurden.
- Viele der älteren verdächtigen „0rbit“-Konten hätten Links zu „geleakten“ Daten veröffentlicht, die auf verschiedenen Web-Seiten, File-Sharing-Diensten und in zahlreichen Sicherungskopien auf alternativen Websites gespeichert seien. Dies stehe im Einklang mit Methoden, mit denen die undichten Daten der deutschen Politiker zusammengestellt und veröffentlicht worden seien. Viele der von älteren Konten beworbenen Web-Seiten hätten auch ASCII-Kunstheader verwendet, wie von „0rbit“ im Dezember 2018 verwendet.
- Von diesen älteren Konten zeigten auch Links zu Screenshots, die auf die Image-Sharing-Site „Imgur“ hochgeladen worden seien. Ebenso enthielten die jüngsten Leaks vom Dezember 2018 auf „Imgur“ gespeicherte Bilder.
- Die von den älteren Accounts veröffentlichten Daten seien auf verschiedenen Plattformen erscheinen, darunter twitter, Instagram, facebook, Snapchat, Skype, Amazon, Steam, EA (Electronic Arts) und Microsoft. Ähnlich wie die Daten vom Dezember 2018 hätten auch die älteren Konten Chat-Historien und andere private Daten veröffentlicht, welche anscheinend aus den kompromittierten Konten ihrer Ziele entfernt worden seien.
Weitere Informationen zum Thema:
datensicherheit.de, 04.01.2019
Stellungnahmen zur Hacker-Attacke auf deutsche Politiker
datensicherheit.de, 23.04.2013
FireEye-Studie belegt die zunehmend globale Natur von Cyber-Attacken
Aktuelles, Experten - Juli 11, 2025 6:51 - noch keine Kommentare
KI-Modelle: BfDI hat öffentliches Konsultationsverfahren gestartet
weitere Beiträge in Experten
- Bitkom-Transparenzbericht 2025 veröffentlicht
- Urlaubsfotos in Sozialen Medien: Nur fünf Prozent machen Kindergesichter unkenntlich
- Blaupause für Deutschland: Hessens Rechenzentren-Strategie als Vorbild
- VDI-Forderung nach gezielter KI-Kompetenz für Ingenieurarbeit
- NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert
Aktuelles, Branche, Studien - Juli 11, 2025 7:04 - noch keine Kommentare
Cybersicherheit: Deutsche Unternehmen setzen zunehmend auf Digitale Souveränität
weitere Beiträge in Branche
- Online-Betrug in Deutschland: 10,6 Milliarden Euro Verlust in zwölf Monaten
- Dragos’ Ransomware-Analyse: 68 Prozent der Angriffe im ersten Quartal 2025 trafen die Fertigung
- KI droht zur größten Cyberbedrohung zu werden
- Schutz vor Auswirkungen von GNSS-Störungen: Kevin Heneka begrüßt EU-Vorschlag
- DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren