Datenleck bei Shimano: 4,5 TB Daten von russischen Hackern gestohlen

Datenleck bei Shimano: 4,5 TB Daten von russischen Hackern gestohlen

Der Komponenten-Gigant Shimano scheint das nächste prominente Opfer von Cyberkriminalität geworden zu sein. Wie einschlägige Medien berichten, wurden insgesamt 4,5 Terabyte Daten von einer bekannten russischen Hacker-Gruppe gestohlen.

Den vollständigen Artikel ansehen:
Datenleck bei Shimano: 4,5 TB Daten von russischen Hackern gestohlen

Denkt, ihr unter den gestohlenen Daten sind Entwicklungspläne für den MTB-Bereich?

 

[ufp]

mit dem schlecht gesicherten PC von Lieschen Müller oder dem superpraktischen und billigen Smarthome-Gadget von Onkel Heinz zusammen und fahren darüber ihre Angriffe.

Ein Angreifer mit ausreichend Zeit und Ressourcen schafft es immer in ein IT-Netzwerk einzudringen. Das liegt einfach daran, dass wir alle Menschen sind und Fehler machen. Trotz Qualitätssicherung lässt sich das nicht vermieden. Dieser Fehler kann dann genau die Lücke sein, die ein Angreifer nutzt.

Wie kann man sich das genau vorstellen?
Der Klassiker, das einfache Passwort eines einzelnen Mitarbeiters.
Dh wenn jemand dieses weiß, kann er in der Regel nur auf bestimmte Daten zugreifen.
Wird das oder die Passwörter nicht in Erfahrung gebracht, kann man auch nicht (nirgends) zugreifen.

Und würden biometrische Sicherheitssysteme etwas bringen?

Wie funktioniert das dann mit dem Link? Wenn man diesen klickt, kommt man auf eine andere Seite die dann den Zugang zum Firmenrechner herstellt? Wie sind die dann zum Passwort gekommen?

 

[ufp]

Das muss nicht mal so sein, will aber nicht ausschliessen dass die alle als Admin arbeiten. Wobei das bei einem Unternehmen dieser Größe eher unwahrscheinlich ist.

Kurzes Szenario:

Editorial: Der Angriff war sicherlich auf Shimano abgestimmt und es wurden auch entsprechende Personen als Ziel auserkoren. Stichwort Spear-Phishing.

Mitarbeiter bei Shimano erhält Email (vermutlich mit gefälschtem Mailheader) mit präpariertem Anhang.
Anhang wird gestartet und System 1 ist infiziert.

Je nach Stellung des MAs bekommt man so schon sehr viele Daten in den Zugriff.
Ansonsten kann der Rechner als Sprungturm genutzt werden um die Server zu finden und zu infiltirieren.
Bei einem Server ist evtl. eine 0-Day-Lücke (auch Hacker lesen CVS) offen durch die "man" reinkommt.

Das ganze noch in Kombination mit einer Privilige Elevation und das Netz steht dir offen.
Bist auf nem Server und hast Credentials dann ist eh alles zu spät. Da braucht es keinen "magischen Rechner" der alle Zugriffe hat.

Was vielleicht hätte auffallen können ist der Datentraffic nach "draussen". Wobei dann aber wieder die Frage ist in welchem Zeitraum die 4,5TB gesammelt wurde und ob das nicht im Grundrauschen untergegangen ist.

So und jetzt weg von IT-Nerd-Themen zurück zu den Bike-Nerd-Sachen. Nicht das sich @der-gute noch unwohl fühlt.

Alles klar, alles verstanden .
Kein Wunder das man sich über die IT wundert bzw diese Einstellung hat:

IT-Sicherheit kommt "von denen aus der IT" das geht mit nichts an.

 

[demlak]

Das muss nicht mal so sein, will aber nicht ausschliessen dass die alle als Admin arbeiten. Wobei das bei einem Unternehmen dieser Größe eher unwahrscheinlich ist.

Kurzes Szenario:

Editorial: Der Angriff war sicherlich auf Shimano abgestimmt und es wurden auch entsprechende Personen als Ziel auserkoren. Stichwort Spear-Phishing.

Mitarbeiter bei Shimano erhält Email (vermutlich mit gefälschtem Mailheader) mit präpariertem Anhang.
Anhang wird gestartet und System 1 ist infiziert.

Je nach Stellung des MAs bekommt man so schon sehr viele Daten in den Zugriff.
Ansonsten kann der Rechner als Sprungturm genutzt werden um die Server zu finden und zu infiltirieren.
Bei einem Server ist evtl. eine 0-Day-Lücke (auch Hacker lesen CVS) offen durch die "man" reinkommt.

Das ganze noch in Kombination mit einer Privilige Elevation und das Netz steht dir offen.
Bist auf nem Server und hast Credentials dann ist eh alles zu spät. Da braucht es keinen "magischen Rechner" der alle Zugriffe hat.

Was vielleicht hätte auffallen können ist der Datentraffic nach "draussen". Wobei dann aber wieder die Frage ist in welchem Zeitraum die 4,5TB gesammelt wurde und ob das nicht im Grundrauschen untergegangen ist.

So und jetzt weg von IT-Nerd-Themen zurück zu den Bike-Nerd-Sachen. Nicht das sich @der-gute noch unwohl fühlt.

Da haben wir uns evtl. missverstanden.. wenn ich sage "der Rechner" / "aufsplitten der Rechtestruktur", etc, dann meine ich damit nicht die Sicherheitseinstellungen / Rechtevergabe auf dieser Kiste.. ich meine damit eher, dass die Kiste so isoliert ist, dass sie gar keinen Sprung zu einer anderen Instanz mit mehr Rechten hinbekommen kann..passende Separation - auch physisch.

Natürlich gibt es auch Angriffswinkel die physische Gaps überwinden.. aber da wirds halt super unattraktiv..

 

[Ozii]

Okay, aber könnte man so einen " IOCs (digitalen Fingerabdruck) " auch fälschen?

Fälschen nicht, aber eine andere Gruppe kann den selben oder einen ähnlichen Code nutzen. Ransomware wird auch als Service für andere bereitgestellt, die selber keine Schadsoftware entwickeln wollen. Nennt sich dann Ransomware as a service. Der Ursprung bleibt derselbe.

 

[cluso]

Wie kann man sich das genau vorstellen?
Der Klassiker, das einfache Passwort eines einzelnen Mitarbeiters.
Dh wenn jemand dieses weiß, kann er in der Regel nur auf bestimmte Daten zugreifen.
Wird das oder die Passwörter nicht in Erfahrung gebracht, kann man auch nicht (nirgends) zugreifen.

Und würden biometrische Sicherheitssysteme etwas bringen?

Wie funktioniert das dann mit dem Link? Wenn man diesen klickt, kommt man auf eine andere Seite die dann den Zugang zum Firmenrechner herstellt? Wie sind die dann zum Passwort gekommen?

Der Angreifer investiert vor seinem Angriff Zeit in Recherche und stellt anhand diverser Social-Media Profile fest dass Kimura Hanako in der Fibu arbeitet.

Anschliessend wird eine Email verfasst mit einer fingierten Abrechnung eines Restaurants oder so....
Der Anhang ist manipuliert und installiert beim Aufruf diverse Tools von Servern aus dem Internet nach.

Je nach dem installieren sich z.B. Keylogger oder diverse andere Programme um den Rechner als Kontroll- und Einsprungpunkt zu verwenden.

Da es für die gängigen Systeme immer irgendwelche Lücken gibt die ausgenutzt werden können bekommt der Angreifer dadurch schnell Zugriff auf das System selbst bzw. erreichbare Dienste/Server im Netz.

So hangelt sich der Angreifer dann schön durchs Netz und sammelt z.B. seine Daten.

Biometrische Sicherheitssysteme sind nur ein Teil der Absicherung. Dazugehören auch weitere Punkte.

 

[xrated]

Wie kann man sich das genau vorstellen?
Der Klassiker, das einfache Passwort eines einzelnen Mitarbeiters.
Dh wenn jemand dieses weiß, kann er in der Regel nur auf bestimmte Daten zugreifen.
Wird das oder die Passwörter nicht in Erfahrung gebracht, kann man auch nicht (nirgends) zugreifen.

Und würden biometrische Sicherheitssysteme etwas bringen?

es reicht schon MFA aber da sind die MA oft zu faul oder zu blöd dafür.
Passkeys sollen ja der neue heisse shice werden, dann braucht man keine Passwörter mehr.

Problematisch ist auch das heute alles in der Cloud liegt und ein einzelner MA hat meist schon viel zu viel Berechtigungen auf Files. Deswegen ist sowas heute leichter als früher wo man sich noch in ein Netzwerk reinhacken musste.

Und ganz früher als man noch Server in der Firma hatte, die Leute alle lokal gearbeitet hatten und es auch noch kein VPN gab, da gabs auch keine Datenlecks.

Schwachstelle sind immer die MA, weniger die Systeme selber.

 

[DeluXer]

Was ich immer nicht verstehe bei solchen Meldungen: Warum baut man ein Konstrukt auf, bei dem einzelne User so viele Daten erreichen können. Aufsplitten der Rechtestruktur macht es für Angreifer nicht nur schwer, sondern auch unattraktiv.

Du gibst dir einfach selber Admin Rechte und fertig: https://arstechnica.com/security/20...confluence-server-is-under-mass-exploitation/

Oder du setzt einen Authorisierungs/Login Dienst ein der selber seine Daten verliert: https://krebsonsecurity.com/2023/10/hackers-stole-access-tokens-from-oktas-support-unit/

Oder auf die sichere Cloud setzen: https://www.heise.de/news/Neue-Erke...ken-viel-groesser-als-angenommen-9224640.html

Schwachstelle sind immer die MA, weniger die Systeme selber.

Stimmt eher nicht.

 

[cluso]

Da haben wir uns evtl. missverstanden.. wenn ich sage "der Rechner" / "aufsplitten der Rechtestruktur", etc, dann meine ich damit nicht die Sicherheitseinstellungen / Rechtevergabe auf dieser Kiste.. ich meine damit eher, dass die Kiste so isoliert ist, dass sie gar keinen Sprung zu einer anderen Instanz mit mehr Rechten hinbekommen kann..passende Separation - auch physisch.

Natürlich gibt es auch Angriffswinkel die physische Gaps überwinden.. aber da wirds halt super unattraktiv..

Sicherheitstechnisch sicher besser aber dann sind wir wieder beim oben besagten Kosten-Nutzenverhältnis.

Kann der Mitarbeiter (normaler Mitarbeiter, kein IT-ler) mit einem völlig gekapselten Rechner noch seiner Arbeit nachgehen. Kann er auf Netzwerkresourcen zugreifen oder nutzt er ein Rechner für Emailkommunikation und einen für interne Arbeiten?

Alles nicht so einfach.

 

[fone]

Nice!
Gibt's dann demnächst ne elektrische XTR aus russischer Herstellung?

 

[xrated]

Stimmt eher nicht.

ok, "immer" war übertrieben. Aber was ist denn zb mit Ransomware, dass betrifft immer PCs von MA als erstes. Die Schwachstelle Mensch ist am größten.

 

[cluso]

Ja klar, es dauert bis die ganzen Daten abgeflossen sind. Soll ja keiner anhand des gestiegenen Traffics merken. Außerdem muss wirklich alles verschlüsselt werden, und man muss sich ein Bild über die wirtschaftliche Leistungsfähigkeit des Unternehmens machen.
Die wissen schon sehr genau was sie tun.

Eben, das darf man nicht mit plumpen DHL/Amazon/Bank Emails verwechseln die massenweise täglich reinkommen.

 

[DeluXer]

Aber was ist denn zb mit Ransomware, dass betrifft immer PCs von MA als erstes

Würde es nur den einen Mitarbeiter betreffen könnte man den einfach sperren und aus den Backups wiederherstellen. Ein betroffener Mitarbeiter ist eher das Einfallstor um tiefer einzudringen. Also in die unsicheren System(Active Directory, Confluence etc.)

“As of November 5, 2023, Rapid7 Managed Detection and Response (MDR) is observing exploitation of Atlassian Confluence in multiple customer environments, including for ransomware deploymen“
Just one request is all it takes to reset the server and gain admin access,”

 

[cluso]

Alles klar, alles verstanden .
Kein Wunder das man sich über die IT wundert bzw diese Einstellung hat:

Sorry... da sind mir glaube ich die Gäule durchgegangen.

Kurze Erklärung:

Spear-Phishing = Im Gegensatz zum Phishing (der Begriff sollte aber geläufig sein, oder) sind solche Angriffe zielgerichtet und abgestimmt auf das Zielobjekt. Beispielsweise mit Anrede oder Bezug auf was aktuelles.

0-Day-Lücke = Lücke oder Fehler im Programm die bekannt ist und ausgenutzt wird. Es darf quasi 0 Zeit vergehen sich darum zu kümmern.

Privilige Elevation = Programme bzw. Fehler die es ermögliche als normaler Benutzer auf einem Rechner plötzlich Adminrechte zu haben.

Credentials = Benutzername und Passwörter.

Hoffe das hilft weiter.
Gibt halt gewisse Fachbegriffe die "normal" sind.

Was ein Nippelspanner ist weiß hier ja auch jeder. Ein Nichtradfahrer denkt direkt an Schweinkram.

 

[cluso]

ok, "immer" war übertrieben. Aber was ist denn zb mit Ransomware, dass betrifft immer PCs von MA als erstes. Die Schwachstelle Mensch ist am größten.

Gibt auch Ransomware die Netzlaufwerke auch verschlüsselt...dann wird es spassig.

 

[demlak]

So überheblich das jetzt auch klingt.. aber wer heute noch ein ernsthaftes Problem durch Ransomware bekommt, hat es sich auch redlich verdient..

 

[Bern_aus_S]

Wie kann man sich das genau vorstellen?
Der Klassiker, das einfache Passwort eines einzelnen Mitarbeiters.
Dh wenn jemand dieses weiß, kann er in der Regel nur auf bestimmte Daten zugreifen.
Wird das oder die Passwörter nicht in Erfahrung gebracht, kann man auch nicht (nirgends) zugreifen.

Und würden biometrische Sicherheitssysteme etwas bringen?

Wie funktioniert das dann mit dem Link? Wenn man diesen klickt, kommt man auf eine andere Seite die dann den Zugang zum Firmenrechner herstellt? Wie sind die dann zum Passwort gekommen?

so stellt man sich das vor.

In echt sind das hochspezialisierte Gruppen, die sich monatelang auf solche Aktionen vorbereiten.
Von Mitarbeitern die man „gewinnen“ kann, bis hin zu manipulierten Rechner, die die IT nichtsahnend über den IT Großhandel kauft.

Wie so was läuft, hat der Fall der Crypto AG gezeigt

Lustigerweise, da Regierungen genauso arbeiten, sind solche Hacker gern gesuchte Spezialisten für Spionage usw.

 

[Osti]

wenn man sich beruflich damit beschäfftigt, dann sollte man wissen, dass es doch deutlich komplexer ist, als hier zum Teil (nicht von allen) dargestellt wird. Sowohl technisch als auch auf organisatorisch/prozesstechnischer Ebene - vor allem in einem multinationalen Konzern. Zur Organisation und den Prozessen haben sich schon schlaue Menschen Gedanken gemacht, aber setze sowas mal in der Praxis um. Die meisten scheitern schon daran ihre (wichtigsten) Assets zu definieren, die es zu schützen gilt.

Und wenn man sich ALLE Gedanken gemacht und vorbereitet ist, dann kommt sowas um die Ecke: https://www.heise.de/hintergrund/Ge...geredete-GAU-der-Microsoft-Cloud-9234601.html

nicht dass es nicht schon schlimm wäre, dass MS der O365 Master Key abhanden kommt, sondern die Art und Weise ist dermaßen grotesk und eine Verquickung von menschlichen, technsichem und organisatorischem Versagen oder zumindest Versäumnissen, aber auf sowas muss man auch erst mal kommen.

 

[26TriXXer]

So überheblich das jetzt auch klingt.. aber wer heute noch ein ernsthaftes Problem durch Ransomware bekommt, hat es sich auch redlich verdient..

Oder lebt sein Leben einfach draussen und verwendet seinen PC nur für Dinge, die ohne PC heutzutage unmöglich sind.
Aber deine Aussage klingt für mich nicht überheblich, sondern engstirnig

 

[Antitainment]

Wer Bock auf ein wenig digitalen Voyeurismus rund um "Hacks" hat:

https://darknetdiaries.com/
In inglisch it is - Hat Unterhaltungswert und passt zum Thema

 

[demlak]

Oder lebt sein Leben einfach draussen und verwendet seinen PC nur für Dinge, die ohne PC heutzutage unmöglich sind.
Aber deine Aussage klingt für mich nicht überheblich, sondern engstirnig

Zur Auflösung des Dilemmas:

Wie hier einige schon geschrieben haben:
Attacken zu 100% zu verhindern geht nicht.

Was aber geht:
Seine Daten so wegsichern, dass man keinen Verlust erleidet.. und ein Konzept parat haben, womit man nach Verlust/Verschlüsselung/etc. der Produktivsysteme schnell aus der Sicherung wieder an den Start kommt.

Engstirnig ist es, dies nicht zu haben/zu machen/aufzubauen/etc. -> "ach.. uns passiert sowas schon nicht"

Oder auch: Kein Backup, kein Mitleid

p.s. bei uns im Unternehmen gibt es zwar inkrementelle appending backups in kurzen Intervallen, die das Thema ransomware quasi aushebeln.. uns fehlt es nur aktuell an den Kapazitäten um das Wiederherstellen der Produktivsysteme zeitlich zu optimieren.. =(
Naja.. und ohne Windows-Server, Active-Directory, Outlook, MS-Cloud-kram, etc.. sind wir auch nicht so attraktiv für scriptkiddies =)

 

[ufp]

Anschliessend wird eine Email verfasst mit einer fingierten Abrechnung eines Restaurants oder so....
Der Anhang ist manipuliert und installiert beim Aufruf diverse Tools von Servern aus dem Internet nach.

Nach wohin?
Auf dem Server der angegriffenen Firma?
Die müßte doch insoferne geschützt sein, als dass man keine (fremden, von außen) Programme zulässt; egal ob Excel, Word oder eine exe Datei.
Selbst bei Windows 10/11 wird man als Privatperson gefragt, ob man dies und jenes Programm installieren möchte...

 

[Osti]

Zur Auflösung des Dilemmas:

Wie hier einige schon geschrieben haben:
Attacken zu 100% zu verhindern geht nicht.

Was aber geht:
Seine Daten so wegsichern, dass man keinen Verlust erleidet.. und ein Konzept parat haben, womit man nach Verlust/Verschlüsselung/etc. der Produktivsysteme schnell aus der Sicherung wieder an den Start kommt.

Engstirnig ist es, dies nicht zu haben/zu machen/aufzubauen/etc. -> "ach.. uns passiert sowas schon nicht"

Oder auch: Kein Backup, kein Mitleid

p.s. bei uns im Unternehmen gibt es zwar inkrementelle appending backups in kurzen Intervallen, die das Thema ransomware quasi aushebeln.. uns fehlt es nur aktuell an den Kapazitäten um das Wiederherstellen der Produktivsysteme zeitlich zu optimieren.. =(
Naja.. und ohne Windows-Server, Active-Directory, Outlook, MS-Cloud-kram, etc.. sind wir auch nicht so attraktiv für scriptkiddies =)

und wie verhinderst Du ein komprommitiertes Backup bzw wie ist sichergestellt, dass da die Sch.... nicht von vorne anfängt, nach dem das Backup wieder hergestellt ist? Über die Sinnhaftigkeit eines Backups müssen wir nicht diskutieren, aber einfach mal eben Daten zurück spielen ist es auch nicht...

 

[MTBMaverick]

Die müßte doch insoferne geschützt sein, als dass man keine (fremden, von außen) Programme zulässt; egal ob Excel, Word oder eine exe Datei.
Selbst bei Windows 10/11 wird man als Privatperson gefragt, ob man dies und jenes Programm installieren möchte...

Es gibt Wege ausführbare Dateien an den gängigen Schutzmaßnahmen vorbeizuschmuggeln. Braucht es nicht viel für, ist praktisch kaum zu verhindern und hat gute Erfolgschancen. Leider klicken viele Benutzer auf alles was sich anklicken lässt. Dazu gehört auch ein "JA, ich weiß, dass das was ich hier gerade mache unsicher ist aber das mache ich immer so weil in Prozess x kommt auch immer diese Abfrage und deshalb klicke ich hier auch auf Ja, weil ich muss die Arbeit ja machen und die Bewerbung muss ich ja aufmachen nicht das wer traurig ist und die Rechnung von der Firma die ich nicht kenne muss ich auch noch ansehen, wie soll ich das denn sonst machen?"

 

[demlak]

und wie verhinderst Du ein komprommitiertes Backup bzw wie ist sichergestellt, dass da die Sch.... nicht von vorne anfängt, nach dem das Backup wieder hergestellt ist? Über die Sinnhaftigkeit eines Backups müssen wir nicht diskutieren, aber einfach mal eben Daten zurück spielen ist es auch nicht...

Darum appending Backups.. ich kann jederzeit auf das backup "davor" zurückgreifen.. ransomware kann dort nicht greifen.*

"Backup" ist ein Konzept.. das Sichern von Daten ist nur ein Teil davon.. Wenn ich gesicherte Daten nicht zurückspielen kann, habe ich kein Backup.
Ein weiterer Teil wäre z.B., dass das Produktivsystem während dem zurückspielen der Daten nur durch den Admin erreichbar ist und der sich dann direkt um Updates und Zugangsdaten kümmert -> Das Einfallstor schließt, bevor jemand anderes als er selber wieder mit dem Produktivsystem kommunizieren kann.
Noch besser ist, wenn credentials und Daten getrennt sind.. und ein Update bei credentials zu erst stattfindet und dann die Daten eingespielt werden.

Konteptionell sind sichere Systeme (relativ) schnell zusammengeschrieben.. es hapert meist an der Umsetzung. Sowohl bei dem Willen, der Kompetenz aber auch wegen komplexer Integration. Gründe gibt es viele. Aber viele davon sind auch handlebar - wenn man es möchte.

Genauso ist auch das Thema "Firewall" ein Konzept und nicht einfach nur ein Stück Hardware oder Software..


*
Zur Erklärung für die, die nicht wissen was das ist:
"to append" = hinzufügen. Bei einem Appending Backup wird einer vorhandenen Datensicherung immer nur in einer eigenen Session etwas hinzugefügt und altes wird zur Löschung nur markiert. Dabei sind die bereits vorhandenen Daten zur Bearbeitung gesperrt. Wenn also Rechner A Daten auf Rechner B sendet um sie dort im "Backup" zu sichern, hat Rechner A keine Möglichkeit ransomware über das ganze Backup laufen zu lassen, sondern nur über die aktuelle hinzugefügte Sicherung.

Wenn man dann noch Platz sparen will, macht man das ganze "inkrementell". Das heißt, dass nicht jedesmal alle Daten hinzugefügt werden, sondern nur die Daten, die sich von der letzten Sicherung unterscheiden.

Und beim Wiederherstellen kann man dann jede einzelne Sicherungssession auch einzeln ansteuern/auslesen.

Wir verwenden dazu z.B. restic + restic-rest-server
Und zusätzlich noch eine redundante Kopie des ganzen auf einem komplett entkoppelten System

 

[cluso]

Nach wohin?
Auf dem Server der angegriffenen Firma?
Die müßte doch insoferne geschützt sein, als dass man keine (fremden, von außen) Programme zulässt; egal ob Excel, Word oder eine exe Datei.
Selbst bei Windows 10/11 wird man als Privatperson gefragt, ob man dies und jenes Programm installieren möchte...

Erstmal auf den Client auf dem die Datei ausgeführt wurde. Brauchst ja einen "Einsprungpunkt" ins Netz auf dem man sich einnisten und gemütlich machen kann.

Danach kann erstmal beobachtet werden was passiert so im Netz und auf dem Rechner.
Und ja müsste eigentlich alles geschützt sein...aaaaber....

Es gibt Wege ausführbare Dateien an den gängigen Schutzmaßnahmen vorbeizuschmuggeln. Braucht es nicht viel für, ist praktisch kaum zu verhindern und hat gute Erfolgschancen. Leider klicken viele Benutzer auf alles was sich anklicken lässt.