Seite 2: Von langer Hand geplant

Inhaltsverzeichnis

Die Cyberkriminellen nutzten verschiedene Taktiken, Techniken und Verfahren (TTP), um ihre Angriffe durchzuführen. Die TTPs, also der Modus Operandi im Fall der MOVEit-Sicherheitslücke, waren: Taktieren, Tarnen, Täuschen und Übertragen und das alles mit einem abgestimmten Timing. Als Startdatum für den Hack wird oft der Mai 2023 genannt. Die Aktion war jedoch schon viel länger geplant. Cybersicherheitsanalysten haben Hinweise gefunden, dass die ersten konkreten Vorbereitungen nicht nur ein paar Monate, sondern bis ins Jahr 2021 zurückreichen. Die Täter suchten beharrlich nach einer Schwachstelle in dem File-Transfer-Programm und fanden eine Zero-Day-Lücke: ihr Tor zu den Daten. Allerdings nutzten sie dieses Wissen nicht sofort aus.

Clop wollte möglichst viele Daten von möglichst vielen Opfern ungestört erbeuten können, also musste ein Plan für die konkrete Massenausführung der Taten her. Nicht nur das möglichst gleichzeitige Eindringen in viele Angriffsobjekte (Tatorte) war wichtig, sondern auch der erfolgreiche Abtransport der Beute. Um diese logistische Aufgabe zu bewältigen, mussten die technischen Voraussetzungen geschaffen werden. Damit zum Zeitpunkt X alles klappt, mussten auch Tests durchgeführt werden. Diese wurden sporadisch durchgeführt. So konnten auch Automatisierungen für die eigentliche Tatausführung erprobt werden, wie Untersuchungen nahelegen.

Chronologie des Angriffs

Der Zeitpunkt für den Angriff war taktisch klug gewählt: das Pfingstwochenende vom 27. Mai 2023: In den USA – dem Land mit den meisten MOVEit-Nutzern – stand ein langes Wochenende bevor, da am Montag der US Memorial Day als Feiertag begangen wurde. In Großbritannien war der darauffolgende Montag der Spring Bank Holiday und auch in Kanada, Deutschland und anderen europäischen Ländern ist der Pfingstmontag ein gesetzlicher Feiertag.

Wenn weniger Mitarbeiter der betroffenen Organisation tätig sind, wird ungewöhnlicher oder intensiver Systemaktivität weniger menschliche Beachtung geschenkt. Die CISA hatte in der Vergangenheit bereits zu erhöhter Wachsamkeit bei Ransomware-Attacken, speziell für Feiertage und an Wochenenden aufgerufen. So starteten die Täter in ein langes Arbeits-Wochenende und setzten den Hack als eine Prozedur der Daten-Exfiltration in sehr vielen identischen (automatisierten) Handlungen an unterschiedlichen Tatorten in großem Stil um.

Da die Täter hier nach dem erfolgreichen Einbruch nur die Daten über das Standardprogramm übertrugen und anschließend keine Verschlüsselung der Systeme einleiteten, wurde der Diebstahl von vielen direkten Opfern zunächst nicht sofort oder gar nicht bemerkt. Denn die Daten waren ja nicht weg, sondern nur woanders hin kopiert worden. So flossen ab dem 27. Mai die Daten aus den Quellen der Opfersysteme zu den Tätern.

Patches kamen für viele zu spät

Am 31. Mai veröffentlichte Progress erste Patches, nachdem das Unternehmen am Wochenende von Betroffenen über die Sicherheitslücke informiert worden war. Die Warnung und der Patch kamen für viele Opfer zu spät, um die Lecks in ihren Datenteichen vor dem Zugriff der Täter zu stopfen. Die Daten waren schon abgeflossen. Und tauchen in der Folge als Zufluss im größten öffentlichen Datenmeer wieder auf: dem Internet. Ob alle MOVEit-Systeme von den Tätern angegriffen wurden, ist unklar. Auch bei erfolgten Angriffen müssen nicht überall Daten abgeflossen sein.

Die Täter übernahmen am 6. Juni in einem Post auf ihrer Data Leak Site (DLS) "CL0P^_- LEAKS" die Verantwortung für die MOVEit-Attacke. Sie drohten mit der Veröffentlichung gestohlener Daten, nannten zunächst jedoch keine Opfer. Stattdessen forderten sie alle Firmen, die MOVEit-Nutzer sind, zur Kontaktaufnahme mit ihnen zwecks Verhandlungen über die Tatbeute auf. Die Opfer sollten für die Löschung der gestohlenen Daten zahlen. Wer nicht innerhalb der gesetzten Frist Kontakt aufnahm und anschließend zahlte, dessen Daten würden veröffentlicht werden. Zunächst setzten die Täter den 12. Juni als Ablauf der Frist. Kurz darauf verschoben sie den Fristablauf ohne weitere Erklärung auf den 14. Juni, möglicherweise, weil der 12. Juni als wichtigster Nationalfeiertag in Russland gilt. Den Tätern werden in verschiedenen Analysen (PDF) Russland-Verbindungen nachgesagt.

Eine frühere Ransomware der Gruppe überprüfte beispielsweise, ob auf dem Opfersystem ein russisches Keyboard-Layout und als Schriftart der russische Zeichensatz eingestellt war. War dies der Fall, wurde die Ransomware nicht aktiv und löschte sich vom System. Bei der Analyse vorangegangenen Hacks wurden als Spuren der Täter auch russischsprachigen Datei-Metadaten entdeckt. Aktuelle Analysen zur Infrastruktur, die in Verbindung mit dem MOVEit-Hack steht, führen zu Standorten in Russland. Mitglieder von Clop wurden auch in der Ukraine lokalisiert.

Am 14. Juni 2023 gab Clop die ersten Namen von Opfern bekannt. Nach und nach wurden immer mehr Opfer stückweise der Öffentlichkeit präsentiert. Die Veröffentlichung der erbeuteten Daten erweist sich aufgrund der Datenmenge als besondere Herausforderung nach dem Diebstahl. Die Täter "sind überwältigt von der Zahl der Opfer" meint Charles Charmakal, der Geschäftsführer von FireEye (Mandiant).

Generell werden Updates zu betroffenen Unternehmen und Institutionen und deren Daten auf der Data-Leak-Seite der Täter im Onion-Darknet veröffentlicht. Für prominente Firmen" registrierte Clop im Juli separate Leakseiten im Web und veröffentlichte dort ab dem 19. Juli Daten.

Nicht alles schien für die Cyberkriminellen nach Plan zu laufen. Die veröffentlichten Leak-Seiten verschwanden schnell wieder von der Bildfläche. Die erste Seite mit gestohlenen Daten von PriceWaterhouseCoopers (PWC) wurde beispielsweise bereits eine Woche nach ihrer Registrierung wieder gelöscht.

Auf wessen Veranlassung die Data-Leak-Seiten im Internet abgeschaltet wurden, ist bislang nicht öffentlich bekannt. Am 10. August drohten die Täter erneut damit, die Daten aller Unternehmen zu veröffentlichen, die nicht bis zum 15. August ihren Forderungen nachkommen und das Lösegeld zahlen. Am 15. August veröffentlichten sie dann tatsächlich die Daten von Hunderten von Opfern und nutzten zusätzlich einen dritten Verbreitungsweg: Peer-to-Peer-Netzwerke.

Auch Gesundheitsdaten veröffentlicht

Die gestohlenen Daten werden anscheinend nach wertvoll erscheinenden Informationen durchsucht. Diese präsentiert Clop dann als Updates mit dem Hinweis "UPDATES [Domain des Opfers] SOME SECRET INFORMATION FILES PART [Zahl] PUBLISHED". Typischerweise werden dabei interne Vertragsdokumente, Projektunterlagen, Kalkulationen, E-Mail-Verläufe, aber auch Scans von Ausweispapieren/Pässen gezeigt.

Die Cyberkriminellen veröffentlichten nicht nur eine Liste der durchgeführten chirurgischen Eingriffe, sondern auch Auszüge aus Patientenakten einer im Gesundheitswesen tätigen Institution. Darunter befanden sich sensible medizinische Daten aus der Krankengeschichte, Unterlagen aus der Anästhesievorbesprechung und die OP-Dokumentation.

Im September nahm die Zahl der Veröffentlichungen von Opferdaten ab. In Bezug auf die Medienberichterstattung erklärte Clop Eintrag, sie seien "die einzige Gruppe, die den Exploit hatte, bevor er gesperrt wurde" und auch "die einzige Gruppe, die alle Daten hatte. Es sei denn, die Daten werden veröffentlicht". Sie würden die Namen der Opfer langsam durchsickern lassen, um den "großen Unternehmen" Zeit zu geben, Kontakt aufzunehmen.

Die Täter werden mit der schieren Masse an Opfern und Daten wohl noch längere Zeit beschäftigt sein. Nach dem Diebstahl müssen sie den Umgang mit den gestohlenen Daten vom Hosting bis zur Veröffentlichung auf verschiedenen Vertriebswegen organisieren.

Sie veröffentlichten ihre Erpressernachricht (Ransomnote) nicht nur als allgemeinen Aufruf an alle potenziellen Opfer auf ihrer Website, sondern verschickten laut Reuters in Einzelfällen auch eine E-Mail mit einer Erpressernachricht an ausgewählte Opfer. Wenn diese E-Mails nicht in einem Spam-Filter hängen geblieben sind und Opfer aufgrund einer der Ransomnote-Varianten Kontakt zu den Tätern aufnehmen wollten, kann es auch sein, dass die Täter davon nichts mitbekommen haben, weil die E-Mails der Opfer sie nicht erreicht haben. Die Täter haben auf ihrer Seite in einem gesonderten Update darauf hingewiesen, dass sie "aus technischen Gründen" ihre E-Mail-Adresse geändert haben. Alle, die ihnen an die alte E-Mail-Adresse geschrieben hatten, wurden pauschal gebeten, ihre Nachrichten noch einmal an die neue Adresse zu senden.

Sollte ein Kontakt zwischen Opfer und Tätern zustande kommen, müssen die Täter sich auch um die Verhandlungen mit den einzelnen Opfern kümmern, wenn sie das Lösegeld haben wollen. Auch in Zeiten von ChatGPT und ähnlichen Tools haben sie die Lösegeldverhandlungen bisher nicht automatisiert.

Der zweite Teil unseres Missing Links zur MOVEit-Sicherheitslücke widmet sich am kommenden Wochenende der Frage, aus welchen Branchen die Opfer kommen und welche Umstände dazu geführt haben, dass so viele Unternehmen betroffen sind.

(mack)