{"id":1438,"date":"2025-01-07T11:27:29","date_gmt":"2025-01-07T11:27:29","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=1438"},"modified":"2025-01-07T11:27:29","modified_gmt":"2025-01-07T11:27:29","slug":"chinesische-hacker-attackieren-us-finanzministerium","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=1438","title":{"rendered":"Chinesische Hacker attackieren US-Finanzministerium"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Die IT-Security im US-Finanzministerium d\u00fcrfte angesichts des chinesischen Hackerangriffs wenig erholsame Weihnachtsferien gehabt haben.\n

Mark Gomez \/ Shutterstock<\/p>\n<\/div>\n

Zum\u00a0 Jahreswechsel musste das US-amerikanische Finanzministerium einr\u00e4umen, dass es Hackern offenbar gelungen war, in Rechner der Beh\u00f6rde einzudringen und dort Dokumente sowie Daten zu stehlen. Noch ist nicht klar, wie viele Systeme von dem Angriff betroffen waren und in welchem Umfang vertrauliche Informationen abgegriffen wurden. Die Untersuchungen liefen derzeit noch, hie\u00df es. Grunds\u00e4tzlich habe es sich allerdings um einen schweren Cybersicherheitsvorfall gehandelt, verlautete von Seiten der US-Beh\u00f6rde.<\/p>\n

In einem Brief an den zust\u00e4ndigen Ausschuss des US-Senats<\/a> teilte das Finanzministerium mit, dass man am 8. Dezember von BeyondTrust dar\u00fcber informiert worden sei, dass ein Bedrohungsakteur Zugriff auf einen Schl\u00fcssel erlangt habe, der den Fernzugriff des technischen Supports auf die Arbeitsstationen des Finanzministeriums sichert. \u201eAufgrund der verf\u00fcgbaren Indikatoren wurde der Vorfall einem vom chinesischen Staat gesponserten Advanced-Persistent-Threat- (APT-)Akteur<\/a> zugeschrieben\u201c, hie\u00df es in dem Brief.<\/p>\n

FBI und Geheimdienste ermitteln<\/h2>\n

Der betroffene Dienst sei offline genommen worden, teilten die Verantwortlichen mit. Au\u00dferdem arbeiteten die Cybersecurity and Infrastructure Security Agency (CISA), das Federal Bureau of Investigation (FBI), die Geheimdienste und externe forensische Ermittler daran, \u201eden Vorfall vollst\u00e4ndig zu beschreiben und seine Gesamtauswirkungen zu bestimmen\u201c.<\/p>\n

BeyondTrust erkl\u00e4rte in einer Sicherheitswarnung<\/a>, dass am 2. Dezember bei einem einzelnen Kunden \u201epotenziell anomales Verhalten\u201c festgestellt worden sei. Weitere Untersuchungen h\u00e4tten ergeben, dass eine \u201ebegrenzte\u201c Anzahl von Remote Support SaaS-Instanzen betroffen seien. Der kompromittierte Schl\u00fcssel sei aus dem Verkehr gezogen worden. Die betroffenen Instanzen seien f\u00fcr eine forensische Analyse angehalten und unter Quarant\u00e4ne gestellt worden. Die betroffenen Kunden h\u00e4tten alternative Remote Support SaaS-Instanzen erhalten.<\/p>\n

Das Unternehmen r\u00e4umte ein, zwei Schwachstellen in seinen Produkten Remote Support und Privileged Remote Access entdeckt zu haben, eine mit kritischem und eine mit mittlerem Schweregrad. Bis zum 16. Dezember seien Cloud-Instanzen gepatcht und Patches f\u00fcr die von Anwendern selbst gehosteten Versionen ver\u00f6ffentlicht worden, teilten die BeyondTrust-Verantwortlichen mit.<\/p>\n

Bei dem Angriff wurden folgende beiden spezifischen Schwachstellen in der Remote-Support-Software von BeyondTrust ausgenutzt, berichtete der Security-Anbieter Check Point Anfang Januar:<\/p>\n

CVE-2024-12356 (CVSS 9.8): Eine kritische Sicherheitsl\u00fccke in der BeyondTrust Privileged Remote Access (PRA) und Remote Support (RS) Software, die es Angreifern erm\u00f6glicht, sich \u00fcber nicht ordnungsgem\u00e4\u00df validierte API-Endpunkte einen Zugang zu verschaffen.<\/p>\n

CVE-2024-12686 (CVSS 6.6): Ein zus\u00e4tzlicher Fehler im Zusammenhang mit der Token-Verwaltung, den Angreifer zur Aufrechterhaltung der Persistenz nutzen.<\/p>\n

Die Angreifer erbeuteten einen digitalen Signierschl\u00fcssel f\u00fcr die Software, der es ihnen erm\u00f6glichte, sich als legitime Benutzer mit privilegiertem Zugang auszugeben. Auf diese Weise h\u00e4tten die Hacker auf nicht klassifizierte Arbeitsstationen und Dokumente in den Systemen des Finanzministeriums zugreifen und sensible, aber nicht klassifizierte Daten kompromittieren k\u00f6nnen. Organisationen \u00fcberall auf der Welt, die dieselbe Software einsetzen, seien dem Risiko \u00e4hnlicher oder noch schwerwiegenderer Sicherheitsverletzungen ausgesetzt, warnten die Sicherheitsexperten von Check Point.<\/p>\n

Patch-Management muss oberste Priorit\u00e4t haben<\/h2>\n

Um derartigen Risiken vorzubeugen, m\u00fcssten Anwenderunternehmen besonderes Augenmerk auf die Patch-Verwaltung<\/a> und die Behebung von Sicherheitsl\u00fccken legen, r\u00e4t der Anbieter von Sicherheitsl\u00f6sungen. Es gelte sicherzustellen, dass Software von Drittanbietern regelm\u00e4\u00dfig aktualisiert werde. Auch auf Updates und Hinweise der Anbieter m\u00fcsse genau geachtet werden. Hilfreich seien beispielsweise Systeme zur Verwaltung von Sicherheitsl\u00fccken, um kritische CVEs zu identifizieren und zu priorisieren, sowie Programme zur Verwaltung externer Angriffssysteme (EASM), um relevante Schwachstellen zu priorisieren und zu beheben, bevor sie von Angreifern entdeckt werden.<\/p>\n

Schwachstellen managen: Die 6 besten Vulnerability-Management-Tools<\/a><\/strong><\/p>\n

Ganz ausschlie\u00dfen lie\u00dfen sich Angriffe, wie der auf das US-Finanzministerium jedoch nicht. In der Regel seien es nicht die sichtbaren Schwachstellen, sondern die bislang unbekannten, die derartige Attacke erm\u00f6glichten, hie\u00df es von Seiten der Check-Point-Verantwortlichen. Der Anbieter empfiehlt eine Kombination aus vorausschauendem Schwachstellen-Management, einer Echtzeit-\u00dcberwachung und Defense-in-Depth-Strategie, um die Risiken \u00e4hnlicher Angriffe kontinuierlich zu mindern.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Die IT-Security im US-Finanzministerium d\u00fcrfte angesichts des chinesischen Hackerangriffs wenig erholsame Weihnachtsferien gehabt haben. Mark Gomez \/ Shutterstock Zum\u00a0 Jahreswechsel musste das US-amerikanische Finanzministerium einr\u00e4umen, dass es Hackern offenbar gelungen war, in Rechner der Beh\u00f6rde einzudringen und dort Dokumente sowie Daten zu stehlen. Noch ist nicht klar, wie viele Systeme von dem Angriff betroffen waren […]<\/p>\n","protected":false},"author":0,"featured_media":1423,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1438","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1438"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1438"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1438\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1423"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1438"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1438"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1438"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}