Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
Klarstellungen zu Passwörtern von Politiker*innen im Internet
9. Mai 2019

Heute (2019-05-09) veröffentlichte die Rechercheplattform Addendum einen Artikel über Passwörter von Politiker*innen die frei im Internet zugänglich sind (zum Artikel), der auch von anderen Medien schnell aufgenommen wurde. Darin wird angegeben, dass sich in einem Anfang diesen Jahres veröffentlichen Leak, den sog. Collections #1 - #5, E-Mailadressen und Passwörter von Politiker*innen sowie Angestellten von Ministerien befinden. Insgesamt handelt es sich um Zugangsdaten von 2.2 Milliarden Accounts, die aus vielen Quellen zusammengetragen wurden. Manche der Daten waren bereits mehrere Jahre alt. Für mehr Informationen zu diesen Collections vergleiche z.B. diesen Artikel auf Heise.de. Derartige Sammlungen sind leider nicht ungewöhnlich und werden häufig z.B. in Erpressungsmails genutzt, in denen Kriminelle Passwörter von Opfern als "Beweis" verwenden, dass sie deren Accounts übernommen haben, obwohl sie die Daten in Wirklichkeit nur aus einem solchen Leak kopiert haben.

Woher genau die Daten in diesem Fall stammen, ist unseres Wissens nicht bekannt, es kann aber davon ausgegangen werden, dass die überwiegende Mehrheit aus Leaks von Privatunternehmen stammt. Das bedeutet, dass es sich bei den veröffentlichten Passwörtern in den allermeisten Fällen um Accounts handelt, die betroffene Personen mit ihren beruflichen E-Mail-Adressen bei privaten Anbietern (Social Media, Online-Shopping, etc.) angelegt haben und nicht um die Passwörter, die sie für ihre beruflichen Mailboxen verwenden. Eine echte Gefahr stellt dabei vor allem Password-Reuse, also das Verwenden gleicher Passwörter bei verschiedenen Diensten dar.

Also: Ja, es sind E-Mailadressen und Passwörter von Politiker*innen und Angestellten mancher Ministerien in diesen Daten vorhanden, aber es handelt sich dabei aller Wahrscheinlichkeit nach nicht um deren dienstliche Zugangsdaten.

Um sichere und unterschiedliche Passwörter mühelos zu verwalten, empfiehlt CERT.at die Verwendung von Passwort-Managern. Außerdem empfehlen wir Zwei- oder Mehr-Faktorauthentisierung zu verwenden, sofern sie angeboten wird.


This blog post is part of a series of blog posts related to our CEF-Telcom-2016-3 project, which also supports our participation in the CSIRTs Network.

Autor: Dimitri Robl

Update: Aktuelle Malspam Kampagne
9. April 2019

CERT.at möchte auf eine aktuelle Malspam-Kampagne hinweisen zu der wir aus ganz Österreich Anfragen erhalten haben.

Update: 11. April 2019: Wir möchten uns bei allen bedanken, die uns Vorfälle gemeldet und bei der Sammlung von Informationen zu der Malspam-Welle mitgeholfen haben.

Die Welle scheint nicht auf Österreich beschränkt zu sein, wie dieser Tweet vom deutschen CERT Bund nahelegt.

Beschreibung

Der Betreff der E-Mails enhält einen Hinweis darauf, dass es sich um eine Rechnung oder einen Scan handelt. Der From-Header ist gefälscht und enthält als angezeigten Namen den lokalen Part der Domäne an die die E-Mail geht. Der Linktext scheint auf ein internes .doc-Dokument zu verweisen, de facto führt er aber auf eine externe Seite, die Malware hostet. Beispiel:

Die Kampagne liefert mehrere unterschiedliche Payloads aus; es gibt aber Hinweise darauf, dass es sich zumindest bei einem um Emotet handelt.

Update: 10. April 2019: Wir haben mehrere Meldungen erhalten, die besagen, dass die Schadsoftware, sobald sie einen Client übernommen hat und Zugriff auf einen E-Mail-Account bekommt, Mailverläufe "kapert". Dabei erstellt sie eine Antwort auf einen echten Verlauf und baut in diese Antwort Links zu Malware-auslieferenden Webseiten ein.

Update: 11. April 2019: Einer der Gründe zum Erfolg der aktuellen Kampagne sind ohne Zweifel die im Update vom 10. April erwähnten gekaperten Mailverläufe. Einem Artikel von Cofense zufolge verwendet Emotet seit 09. April 2019 hochgradig personalisierte E-Mails. Dies deckt sich mit Berichten die wir von Betroffenen erhalten haben. Bisher ist unseres Wissens nach noch nicht klar, wie genau Emotet die personalisierten Mails erstellt. Viele Mails enthalten im From-Header den String "<FRIEND.EMAIL>".

IoCs

Bisher sind uns folgende IP-Adressen, URLs und Hashes bekannt, die in der Kampagne benutzt werden/wurden:

Update: 11. April 2019: Täglich von Researcher*innen aktualisierte IoCs und aktuelle Entwicklungen zu Emotet finden sich hier und hier. Um doppelte Arbeit zu vermeiden werden die unten gelisteten IPs, URLs und Hashes nicht mehr aktualisiert.

URLs

  • hXXp://ssrai[.]org/wp-admin/I_M/
  • hXXp://stylishlab.webpixabyte[.]com/hrpel37lgd/0_o/
  • hXXp://iran-gold[.]com/BzCYu-9u_ldXkubCA-K4/75ulao-6l63pw-ebca/
  • hXXp://houstonroselimo[.]com/wp-includes/b1jq-scfsdo-qegs/
  • hXXps://45.79.72[.]132:443/cone/splash/
  • hXXps://45.79.72[.]132:443/acquire/scripts/sess/merge/
  • hXXp://www.goldenholiday[.]vn/App_Data_/xxn8sb-ennvz-sqngcn/
  • hXXp://vimbr[.]com/wp-includes/qk98ajj-nralgm-dmrjgic/
  • hXXp://ardapan[.]com/wp-snapshots/h_k/
  • hXXp://markelliotson[.]com/css/z92gg-bgxb7b-qxac/
  • hXXp://mangaml[.]com/jdownloader/scripts/pyload_stop/6dgvf9-siwn2k-brvbri/
  • hXXp://kirstenbijlsma[.]com/webmail/16fnbwz-fxffhc-mszndw/
  • hXXp://www.lecombava[.]com/Surlenet/z6i00pt-alrk88-rixthw/

Update 10. April 2019: Folgende weitere URLs sind uns mitgeteilt worden:

  • hXXp://www.courchevel-chalet[.]ovh/fbmyql7/v8woyl-k6efvoz-tlns/
  • hXXp://drjamalformula[.]com/cgi-bin/4i6n-ecb8z3-aulvckq/
  • hXXp://mihoko[.]com/_vti_bin/d93yvm-q5lmc5r-qttig/
  • hXXps://wildheifer[.]de/mzrpn/hs3en5-k2zj4g5-rqgs/
  • hXXp://patmanunggal[.]com/wp-admin/kfds-du0l9-yriyxfg/

IPs:

Update 10. April 2019: Das A1-CERT hat uns darauf hingewiesen, dass sie mittlerweile mehrere hundert IP-Adressen in der Kampagne gesehen haben. Es handelt sich daher mit hoher Wahrscheinlichkeit um ein Botnetz. IP-Adressen als IoCs sind daher leider nicht sehr nützlich.

  • 62[.]77.153[.]120
  • 109[.]158.205[.]99
  • 188[.]221.112[.]91
  • 45[.]79.72[.]132
  • 88[.]156.97[.]210
  • 103[.]224.243[.]39
  • 198[.]20.177[.]35
  • 104[.]24.125[.]32
  • 94[.]130.52[.]106
  • 112[.]78.2[.]154

Hashes

MD5
1e859b707b768effd247919ec539757d
SHA-1
0613c8c10efd4df07ec5e227d85310c1c8165f9e


This blog post is part of a series of blog posts related to our CEF-Telcom-2016-3 project, which also supports our participation in the CSIRTs Network.

Autor: Dimitri Robl

Neue PGP-Keys
13. März 2019

Nachdem unsere "alten" PGP-Keys nahe ihres Ablaufdatums sind, haben wir einen Satz neue Keys generiert. Diese sind wie üblich über den CERT.at PGP keyring verfügbar.

Ein Transition-Dokument - signiert mit alten & neuen Keys - steht via key-transition-2019.txt bereit.

Autor: Robert Waldner

Russland und Artikel in diepresse.com
14. Februar 2019

Wir wurden am MI, den 13.2.2019 von der Presse zum Thema "Russland tested die Internet-Abtrennung" um eine Experteneinschätzung gefragt. Aus dieser Anfrage wurden wir dann mit der Aussage

'Es wird ein teurer und spannender Test', sagt Aaron Kaplan von Österreichs Computer Emergency Response Team (Cert). 'Wir gehen davon aus, dass nicht viel funktionieren wird.'
Zitiert.

Unsere schriftliche Aussage war aber:

"Insofern kann man sehr auf den Test gespannt sein. Unsere Vermutung ist, dass sehr viel nicht mehr gehen wird. Es wird ein teurer Test. Aber eventuell auch sehr aufschlussreich, weil man diverse Interdependenzen erkennen kann."
Das liest sich wesentlich neutraler. Und in der Tat, ist das sicherlich ein spannender Test (technisch gesehen).

Man beachte, dass das CERT generell keine politischen Aussagen macht. Wir versuchen, rein technische Aussagen zu treffen.

 

Autor: L. Aaron Kaplan

<< Vorige Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019 | Beschreibung In ...
Kritische RCE Schwachstelle in Oracle WebLogic Server
19. Juni 2019 | Beschreibung | Mehrere ...
mehr ...
Das CERT, das Wolf rief
11. Juni 2019 | Die Fabel ...
CEO Fraud goes WhatsApp
24. Mai 2019 | Uns wurde ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2019/6/11 - 09:35:33
Haftungsausschluss / Datenschutzerklärung