Aktuelles, Branche - geschrieben von dp am Dienstag, Januar 8, 2019 22:22 - noch keine Kommentare
Der Fall orbit: FireEye liefert erste Erkenntnisse
In der ersten Januar-Woche 2019 bekannt gewordene Veröffentlichung persönlicher Daten von Politikern und Prominenten hat Spuren hinterlassen
[datensicherheit.de, 08.01.2019] Nach eigenen Angaben beobachtet, erfasst und analysiert die „FireEye iSIGHT Cyber Threat Intelligence“ mit einem Team aus weltweit 160 Datenspezialisten seit Jahren Cyber-Bedrohungen u.a. mit dem Ziel, detaillierte Informationen über die Motivationen, Absichten, bevorzugten Ziele und Methoden verschiedener Angreifer bzw. Angreifergruppen sowie die ihnen zugeschriebenen Aktivitäten zu gewinnen.
Veröffentlichung persönlicher Daten von Politikern und Prominenten
Auch die in der ersten Januar-Woche 2019 bekannt gewordene Veröffentlichung persönlicher Daten von Politikern und Prominenten hat demnach Spuren hinterlassen – hierzu die „wichtigsten Ergebnisse einer ersten Analyse“:
- Es sei davon auszugehen, dass die veröffentlichten Daten aus privaten Accounts über mehrere Wochen herausgefiltert und gesammelt wurden.
- Der unter dem Pseudonym „0rbit“ aktive, inzwischen vom BKA identifizierte mutmaßliche Täter, sei mindestens seit 2015 aktiv und habe mehrere Social-Media-Konten genutzt, um Accounts zu infiltrieren und Daten verschiedener deutscher Politiker und Prominenter – vor allem von „YouTubern“ – zu veröffentlichen.
- Die Daten seien nach derzeitigem Stand der Analysen hochgeladen und über zahlreiche Links auf File- und Image-Sharing-Seiten verbreitet worden, unter Verwendung von Backup-Spiegelseiten zum Hosten der Daten: Benutzt worden seien Web-Seiten wie „Megaupload“, „AnonFile“, „ForumFiles“, „Box“, „BayFiles“ und „Imgur“. Im Rahmen einer ersten Überprüfung hätten mindestens 375 Links zu File-Sharing-Sites mit „geleakten“ Daten identifiziert werden können.
- Es werde davon ausgegangen, dass „0rbit“ seit mindestens 2015 aktiv sei und verschiedene Social-Media-Accounts genutzt habe, um Accounts zu infiltrieren und das „Doxing“ (das internetbasierte Zusammentragen und anschließende Veröffentlichen personenbezogener Daten) vorzubereiten.
- Obwohl der sich dringend Tatverdächtige als Einzeltäter in den Vernehmungen dargestellt habe, sei es aufgrund der verschiedenen mit „0rbit“ verbundenen Konten und dem schieren Volumen der geposteten Links möglich, dass es doch mehrere Täter sein könnten.
- „0rbit“ habe kürzlich auf den Blogging- und Video-Sharing-Sites „Busy.org“, „Steemit“ und „DTube“ das Konto „@dennis567“ verwendet, um Leaks von infiltrierten Konten und andere Inhalte der Betroffenen zu posten.
- Beobachtet worden sei, dass mindestens das 2015 von „0rbit“ infiltrierte Instagram-Konto die Meldung „Hacked by NFO“ angezeigt habe. Darüber hinaus sei auch ein wahrscheinlich von „0rbit“ genutzten twitter-Account, „@NFOr00t“, beobachtet worden – der enthaltene Begriff „NFO“ sei ein möglicher, zuvor auch von „0rbit“ verwendeter Gruppennamen.
- Ein früheres wahrscheinlich von „0rbit“ genutztes twitter-Account, „@0rbitofr00t“ habe den Vermerk „Controlling the Internet since 2015“ im Profil. Ein weiteres twitter-Konto, „@_p0wer__“, zeige indes: „Controlling the Internet since – Seit 2013.“ Die Diskrepanz zwischen 2013 und 2015 könnte ein Hinweis darauf sein, dass „0rbit“ aus mehr als einer Person besteht.
- Obwohl in den Analysen einige Kontoeröffnungsdaten vor 2013 festgestellt worden seien, scheine es plausibel, dass „0rbit“ Infiltrierungen vorgenommen hat und diese Konten zu einem späteren Zeitpunkt in Betrieb genommen und reaktiviert wurden.
- Viele der älteren verdächtigen „0rbit“-Konten hätten Links zu „geleakten“ Daten veröffentlicht, die auf verschiedenen Web-Seiten, File-Sharing-Diensten und in zahlreichen Sicherungskopien auf alternativen Websites gespeichert seien. Dies stehe im Einklang mit Methoden, mit denen die undichten Daten der deutschen Politiker zusammengestellt und veröffentlicht worden seien. Viele der von älteren Konten beworbenen Web-Seiten hätten auch ASCII-Kunstheader verwendet, wie von „0rbit“ im Dezember 2018 verwendet.
- Von diesen älteren Konten zeigten auch Links zu Screenshots, die auf die Image-Sharing-Site „Imgur“ hochgeladen worden seien. Ebenso enthielten die jüngsten Leaks vom Dezember 2018 auf „Imgur“ gespeicherte Bilder.
- Die von den älteren Accounts veröffentlichten Daten seien auf verschiedenen Plattformen erscheinen, darunter twitter, Instagram, facebook, Snapchat, Skype, Amazon, Steam, EA (Electronic Arts) und Microsoft. Ähnlich wie die Daten vom Dezember 2018 hätten auch die älteren Konten Chat-Historien und andere private Daten veröffentlicht, welche anscheinend aus den kompromittierten Konten ihrer Ziele entfernt worden seien.
Weitere Informationen zum Thema:
datensicherheit.de, 04.01.2019
Stellungnahmen zur Hacker-Attacke auf deutsche Politiker
datensicherheit.de, 23.04.2013
FireEye-Studie belegt die zunehmend globale Natur von Cyber-Attacken
Aktuelles, Experten, Veranstaltungen - Okt 14, 2024 20:41 - noch keine Kommentare
Politisches Herbstforum der BfDI: Daten im Dienst der Patienten
weitere Beiträge in Experten
- ELITE 2.0 Wanderzirkus: OT-Awareness für KMU am 16. Oktober 2024
- Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren