[datensicherheit.de, 05.04.2023] „Es ist keine Überraschung, dass sich Australien den von den USA, dem Vereinigten Königreich und der Europäischen Kommission verhängten Verboten anschließt“, so Chris Vaughan, „VP Technical Account Management, EMEA“ bei Tanium, in seinem aktuellen Kommentar. Er führt aus: „Die Institutionen erkennen, dass die Nutzung von ,TikTok’ für Mitarbeiter und Bürger eine Vielzahl von Problemen mit sich bringen könnte, einschließlich Kampagnen, die darauf abzielen, die politischen Ziele von Gegnern zu fördern und die Spaltung der westlichen Gesellschaften zu vertiefen.“

Foto: Tanium

Chris Vaughan: Regierungen sollten Nutzung Sozialer Medien eindeutig mit größerer Priorität behandeln als zuvor!

Frage, ob ausreichende Trennung zwischen TikTok und chinesischer Regierung besteht

Die zugrundeliegende Besorgnis beziehe sich in erster Linie auf die Frage, „ob eine ausreichende Trennung zwischen ,TikTok’ und der chinesischen Regierung besteht, was jedoch schwer zu ermitteln ist“. Nur sehr wenige Menschen würden die Hintergründe kennen, wie die jüngste Aussage des „CEO“ von TikTok vor dem US-Kongress gezeigt habe. „Wir wissen allerdings, dass die chinesische Regierung in der Vergangenheit Cyber-Spionage betrieben und Informationen gesammelt hat, um ihre strategischen Ziele zu erreichen“, erläutert Vaughan.

Sie wüssten auch, dass die Nutzer durch die Annahme der „TikTok“-Bedingungen große Datenmengen preisgäben, „beispielsweise die Überwachung von Objekten, Landschaften und Gesichtszügen, die in den Videos erscheinen, sowie ihre Tastenanschlagmuster oder -rhythmen“. Diese Datenerhebungen seien deutlich umfangreicher als bei anderen Social-Media-Plattformen, was zu Bedenken geführt habe.

Spitze des Eisbergs: TikTok-Verbot auf staatlichen Geräten

Westliche Politiker müssten sich diesen Maßnahmen entgegenstellen und auf Regierungsebene entschieden dagegen vorgehen. Vaughan betont: „Sie können es sich nicht leisten, die Verantwortung den einzelnen Organisationen zu überlassen. Es bleibt abzuwarten, wie China auf die Verbote reagieren wird.“ Die Regierungen dürften sich aber durch diese Ungewissheit nicht davon abhalten lassen, Maßnahmen zur Gewährleistung der Nationalen Sicherheit zu ergreifen.

„Ich glaube, dass wir gerade erst die Spitze des Eisbergs sehen, was das Verbot von ,TikTok’ und anderen Social-Media-Plattformen auf staatlichen Geräten angeht. Unabhängig davon, ob die Menschen mit den einzelnen Verboten einverstanden sind, ist wichtig, dass die Regierungen die Nutzung Sozialer Medien eindeutig mit größerer Priorität behandeln als zuvor.“ Dies habe auch die Aufmerksamkeit der breiten Öffentlichkeit auf das Thema gelenkt, was ein weiterer zentraler Faktor sei.

Weitere Informationen zum Thema:

Frankfurter Allgemeine Zeitung, 04.04.2023
Tiktok-Verbot: Australien verbannt Tiktok

heise online, 04.04.2023
Australien verbietet Tiktok auf Regierungshandys / Australische Regierungsmitarbeiter dürfen auf ihren Diensthandys kein Tiktok mehr installiert haben – aus Sicherheitsgründen

[datensicherheit.de, 14.07.2020] Die Multi-Faktor-Authentifizierung (MFA) sei eine gängige Maßnahme, aber es gebe immer Wege, um präventive Kontrollen zu umgehen. Eine der bekannten MFA-Umgehungstechniken ist demnach die Installation von schädlichen „Azure/O365-OAuth“-Applikationen. Vectra AI sieht nach eigenen Angaben in den jüngsten Cyber-Angriffen auf die australische Regierung und Unternehmen ein „deutliches Warnsignal für Unternehmen und öffentliche Einrichtungen auch in Europa“. Die staatlich unterstützten Cyber-Kriminellen, welche für die Angriffe in Australien verantwortlich gewesen seien, hätten „OAuth“ eingesetzt, eine Standardtechnik, welche für die Zugriffsdelegation in Applikationen verwendet werde, um unbefugten Zugang zu Cloud-Konten wie „Microsoft Office 365“ zu erhalten.

Andreas Müller, „Director DACH“, Foto: Vectra

Andreas Müller: Ein deutliches Warnsignal für Unternehmen und öffentliche Einrichtungen auch in Europa

Angreifer schufen schädliche Office 365-Anwendung

Den Berichten zufolge hätten die Angreifer eine schädliche „Office 365“-Anwendung geschaffen, welche als Teil eines Speer-Phishing-Links an Zielnutzer hätten gesendet werden sollen. Diese Anwendung werde als legitim dargestellt; in diesem Fall sei die Anwendung ähnlich benannt wie eine bekannte E-Mail-Filterlösung, welche in der australischen Regierung weit verbreitet sei.
Beim Empfang überzeuge die schädliche Anwendung das Opfer davon, die Erlaubnis zum Zugriff auf Daten im Konto des Benutzers zu erteilen. Dabei gehe es vor allem um Dinge wie Offline-Zugriff, Benutzerprofilinformationen und die Möglichkeit, E-Mails zu lesen, zu verschieben und zu löschen.

Bei Erfolg hat der Angreifer direkten Zugriff auf ein internes Office 365-Konto

„Bei Erfolg hat dann der Angreifer direkten Zugriff auf ein internes ,Office 365‘-Konto. Dies ist eine perfekte Plattform zum Phishing anderer interner Ziele oder zum Ausführen schädlicher Aktionen innerhalb von ,Office 365, im Zusammenhang mit ,SharePoint‘, ,OneDrive‘, ,Exchange‘ und ,Teams‘“, erläutert Andreas Müller, „Director DACH“ bei Vectra AI.
Bei dieser Art von Angriff werde auf dem Endpunkt kein Schadcode ausgeführt, so dass kein Signal für die Erkennung durch Endpunkt-Sicherheitssoftware entstehe. Eine legitim konstruierte „Office 365“-Anwendung, welche für solche böswilligen Absichten verwendet werde, biete dem Angreifer auch dauerhaften Zugriff auf ein Benutzerkonto, unabhängig davon, ob der Benutzer sein Kennwort ändert oder MFA nutzt. Die meisten Benutzer inventarisierten ihre „Office 365“-Anwendungen nicht in einem regelmäßigen Rhythmus, so dass es für längere Zeit unwahrscheinlich sei, dass sie etwas bemerken würden.

Office 365 ermöglicht es Endbenutzern, Anwendungen ohne Zustimmung der Administratoren zu installieren

Müller: „Wir erwarten, dass diese Art von Angriffen in Zukunft häufiger vorkommen wird. ,Office 365‘ ermöglicht es Endbenutzern, Anwendungen ohne Zustimmung der Administratoren zu installieren. Ein effektiver Ansatz ist die Implementierung von Detection-basierten Lösungen.“
Durch die Analyse und Korrelation von Ereignissen, wie verdächtige Anmeldungen, schädlicher Anwendungsinstallationen, Regeln für die E-Mail-Weiterleitung oder Missbrauch nativer „Office 365“-Tools, sei es möglich, Sicherheitsteams zu alarmieren, bevor Schaden entsteht. Mittlerweile gebe es aber Anwendungen in Security-Plattformen, die auf künstlicher Intelligenz (KI) basierten, und die explizit zur Erkennung solcher Verhaltensweisen in „Office 365“ entwickelt worden seien.

Weitere Informationen zum Thema:

datensicherheit.de, 19.05.2020
Hacker-Angriff auf Easyjet

Ein Kommentar von Tim Wellsmore, Director, Mandiant Government Solutions, Asia Pacific bei FireEye

[datensicherheit.de, 21.06.2020] Die Meldung über die Cyberangriffe auf australische Institutionen ist eine besorgniserregende, aber nicht unerwartete Erinnerung an das Ausmaß der ernsthaften Cyberbedrohungen, die in diesem Land und in dieser Region auftreten. In Australien gab es in jüngster Zeit eine beträchtliche Anzahl aufsehenerregender Vorfälle. Dies ist ein weiterer Bericht über schwerwiegende Cyberbedrohungen.

Thema im Fokus nationaler Sicherheit

Der australische Premierminister sowie der Verteidigungsminister gehen mit dieser Art von Information nicht leichtfertig um. Die einheitliche Botschaft von ihnen lautet, dass es sich um staatlich geförderte Aktivitäten handelt, wodurch das Thema in den Fokus der nationalen Sicherheit rückt. Gegenwärtig gibt es beträchtliche geopolitische Spannungen, in die Australien verwickelt ist. Wir wissen, dass staatlich geförderte Cyber-Bedrohungsaktivitäten geopolitische Spannungen direkt abbilden. Daher ist es wahrscheinlich, dass die gemeldeten Aktivitäten und der Bericht der Regierung miteinander in Zusammenhang stehen.

FireEye kennt die gemeldeten Vorfälle und die Art der Ausnutzung von Systemen, die derzeit stattfinden. Wir haben aber nur wenige damit zusammenhängende Auswirkungen auf unseren Kundenstamm gesehen. Was wir jedoch sehen, ist, dass sich sowohl staatlich geförderte als auch kriminelle Cyber-Bedrohungsakteure immer mehr darauf konzentrieren, Common Vulnerabilities and Exposures (CVE’s) auszunutzen, und zwar kurz nachdem sie öffentlich bekannt gegeben wurden. Die Systeme der Opfer werden häufig nicht schnell genug gepatcht. Wir haben quasi täglich mit staatlich geförderten Bedrohungen gegen unsere Kunden zu tun.

Die im Bericht des Australian Cyber Security Centre der australischen Regierung zu diesem Thema enthaltenen Informationen sind sehr detailliert und bieten eine gute Orientierungshilfe. Sie dienen als rechtzeitige Mahnung für Unternehmen, damit diese bei ihren Cyber-Sicherheitsprogrammen – einschließlich der Verwendung von Patches und Multi-Faktor-Authentifizierung in ihren Netzwerken – Wachsamkeit walten lassen. Es ist leider zu erwarten, dass wir weiterhin eine Zunahme der Aktivitäten im Bereich der Cyberbedrohungen auch in Australien feststellen werden, da unsere Welt technologisch immer abhängiger wird.

Weitere Informationen zum Thema:

datensicherheit.de, 04.05.2020
FireEye Insights: Aktuelle Ransomware-Trends 2020