Hacker wegen Einbruch bei Billing-Provider verhaftet
Das FBI soll den Führer der Hacktivistengruppe UGNazi verhaftet haben. Die Hacker hatten vor kurzem die Website des Bezahlsystemanbieters WHMCS gehackt und zahlreiche Kundendatensätze online gestellt.
- Gerald Himmelein
Die US-amerikanische Strafverfolgungsbehörde FBI soll den Hacker "Cosmo" verhaftet haben. Cosmo ist der mutmaßliche Anführer der vierköpfigen Hacktivistengruppe UGNazi, die vor anderthalb Wochen die Webseite des großen Bezahldienstanbieters WHMCS unter Kontrolle brachte.
Bis dahin war UGNazi vor allem durch DDoS-Angriffe über ein eigenes Botnetz bekannt – so hatte die Gruppe Anfang des Monats kurzzeitig die Website des US-Bildungsministeriums lahmgelegt. Weitergehende Beachtung erreichte UGNazi dadurch, dass sie am 21. Mai in die Server der britischen Firma WHMCS einbrachen, wichtige Server-Inhalte kopierten und zwei Tage später im Internet veröffentlichten. Zu den erbeuteten Inhalten gehörte unter anderem ein MySQL-Dump der Kundendatenbank des Unternehmens mit knapp 130 000 Datensätzen sowie der Inhalt des Haupt-Servers. Im Folgenden verschafften sich die Hacker auch Zugriff über den Twitter-Account von WHMCS und unterwanderten das Anwenderforum. Zudem setzten sie die WHMCS-Domain stundenweise per DDoS außer Gefecht.
Den Zugriff auf die WHMCS-Domain hatten sich die Hacker von UGNazi wohl per Social Engineering verschafft: Einer der Hacker, mutmaßlich Cosmo, hatte beim Hoster von WHMCS angerufen, sich als Geschäftsführer ausgegeben und die Sicherheitsabfragen richtig beantwortet. Daraufhin erhielten die Hacker kompletten Zugriff auf den Hauptserver des Unternehmens.
WHMCS bietet Bezahlsysteme für kleinere bis mittelgroße Websites an, darunter auch deutsche Adressen. Zum Zeitpunkt des Einbruchs enthielt die Kundendatenbank knapp 13 000 Kreditkartennummern, die nach dem symmetrischen AES-Verfahren verschlüsselt waren. Die Zugangskennwörter waren gesalzen und dürften dadurch schwerer zu entschlüsseln sein – da das Salt direkt hinter dem Kennwort stand, dürfte das aber auch keine unüberwindbare Hürde darstellen.
Nach dem Angriff tanzten die Hacker tagelang WHMCS auf der digitale Nase herum: Zum Einen veröffentlichten sie Tweets im Namen des Unternehmens; zum anderen schrieben sie Blog-Postings sowie Forenbeiträge des Betreibers nachträglich um. In einem Bekennerschreiben auf Pastebin erklärte UGNazi zur Motivation für den Hack lediglich, man habe den WHMCS-Anwendern die Augen öffnen wollen.
Die US-Website der Hackergruppe ist mittlerweile offline – einer Twitter-Meldung von Cosmo zufolge aufgrund einer FBI-Beschlagnahme. Angeblich wurde mittlerweile auch der Twitter-Account der Gruppe beschlagnahmt. Gegenüber Eduard Kovacs von Softpedia gaben sich die Hacker von UGNazi zuversichtlich, dass Cosmo nichts nachgewiesen werden könne. Ein fünftes Mitglied der Gruppe hatte kurz vor dem Angriff auf WHMCS den Hut genommen. Mittlerweile ist Softpedia zufolge ein weiteres Mitglied der Gruppe untergetaucht.
WHMCS derweil hat alle Kennwörter für den Kundenbereich zurückgesetzt und seine Anwender vor möglichen Spätfolgen des Angriffs gewarnt. Gestern musste das Unternehmen seine Kunden dann gleich wieder in Sachen Sicherheit kontaktieren: Ein Programmierer hatte WHMCS auf eine Lücke im Abrechnungssystem hingewiesen, für die der Hersteller sofort einen Patch bereitstellte. (ghi)