Neuer Jira-Exploit? Angeblich Apple- und T-Mobile-Daten im Darknet aufgetaucht
Ein bekannter Cyberkrimineller versucht, mutmaßlich interne Daten sowie Schadcode für Jira zu Geld zu machen. Kundendaten sind nicht betroffen.
(Bild: Gorodenkoff/Shutterstock.com)
Ein bekannter Cybergauner versucht derzeit, mutmaßliche Interna von Apple und T-Mobile USA im Darknet zu verkaufen. Zudem bietet derselbe Akteur einen Zero-Day-Exploit für Atlassians Ticketsystem Jira zum Kauf an. Handelt es sich um einen seltsamen Zufall, eine absichtlich gelegte falsche Fährte oder besteht zwischen den drei Verkaufsangeboten doch ein Zusammenhang?
Apple: Weitgehend harmlose Interna
Offenbar ist der Angreifer mit dem Pseudonym "IntelBroker" in interne Systeme eines Auftragnehmers oder bei Apple selber eingedrungen und hat dort Konfigurationsdateien und Quellcode für Jira- und Confluence-Plugins entwendet. Deren Wert scheint er oder sie jedoch selbst nicht besonders hoch einzuschätzen – der Kaufpreis von umgerechnet knapp drei Euro deutet nicht auf einen einmaligen Datenschatz hin. In einer technischen Analyse der Daten weisen die Sicherheitsexperten von AHCTS ebenso darauf hin, dass es sich hauptsächlich um unspektakuläre Daten handele. In einigen Konfigurationsdateien stünden Zugangsdaten im Klartext, negative Auswirkungen auf Apple-Kunden seien jedoch nicht zu erwarten. Apple äußerte sich bislang nicht.
(Bild: Screenshot / heise security)
Zudem fanden die Experten in den Dateien Kontaktdaten eines US-Unternehmens, das die Plugins offenbar entwickelt hat. Ob das Leck dort oder beim Soft- und Hardwaregiganten aus Cupertino aufgetreten ist, konnte AHCTS nicht zweifelsfrei feststellen.
T-Mobile USA: Wir wurden nicht gehackt
Auch die US-Dependance des Bonner Mobilfunkanbieters ist von einem Datenleck desselben Akteurs betroffen. Neben vielen Dateien im Jira-eigenen SIL-Format (Simple Issue Language) und SQL-Dumps finden sich in der Dateiliste auch Skripte für die IaC-Plattform Terraform. Auffällig: Auch T-Mobile steht in der Kundenliste des US-amerikanischen Dienstleisters, der neben Softwareentwicklung auch Beratung zu Themen wie Digitalisierung und agilen Prozessen anbietet.
Ein Konzernsprecher dementierte gegenüber heise security ausdrücklich, dass das Leck beim Mobilfunkanbieter zu suchen und der Datensatz aus den Beständen von T-Mobile sei. "Die im Netz angebotenen Daten stammen von einer Dienstleistungs-Firma. Und dort aus einem bereits bekannten und behobenen Sicherheitsvorfall, der ein Ticketing-System betraf. Mit dieser Firma arbeitet eine Reihe von Unternehmen zusammen. Darunter ist T-Mobile US, für die dieser Dienstleister den technischen Support von Softwareentwicklungs-Tools erbringt. Es gibt also keinen unbefugten Zugriff auf die Systeme von T-Mobile.", so der Sprecher.
Auch Mitglieder des Untergrundforums meldeten Zweifel an Authentizität und Herkunft der Daten an und stellten die Verbindung zwischen dem Apple- und T-Mobile-Leck her. Dem Geschäft mit den Daten taten die Zweifel jedoch offenbar keinen Abbruch: Sie sind mittlerweile als "verkauft" markiert.
Großangriff über Zero-Day in Jira?
Ob es sich um ein größeres Datenleck bei besagtem Dienstleister handelt, wie die AHCTS-Experten spekulieren, ist noch vollkommen unklar. Jedoch scheint "IntelBroker" noch ein drittes Ass im Ärmel zu haben: Einen bislang ungepatchten ("Zero-Day") Exploit der höchsten Kategorie gegen Atlassian Jira, den er ebenfalls zu Geld machen möchte. Glaubt man dem Cyberkriminellen, handelt es sich um eine "Remote Code Execution", mit der Angreifer Schadcode in die neueste Version der Desktop-App und mutmaßlich auch die webbasierte Serveranwendung einschleusen können. Möglicherweise nutzte der Kriminelle diese Sicherheitslücke bereits aus, um die Apple- und T-Mobile-Daten zu kopieren.
Der Kaufpreis für den Exploit beträgt 800 Monero, mithin gut 125.000 Euro. Atlassian selbst zahlt Sicherheitsforschern für die Meldung einer solchen Lücke lediglich eine Belohnung von 6.000 US-Dollar.
Glaubwürdig oder nicht?
Ob die Verkaufsangebote Substanz haben oder es sich um heiße Luft handelt, ist bisher kaum einzuschätzen. Auch lässt sich nicht sagen, ob zwischen den drei Vorgängen tatsächlich ein Zusammenhang besteht. Auf Anfrage von heise security konnte sich Atlassian zunächst nicht zur Existenz eines Zero-Day-Exploits äußern; das T-Mobile-Dementi wirkt plausibel.
Wie im Darknet üblich, sind die Aussagen des Anbieters zudem nicht unabhängig zu verifizieren; der Forumsnutzer "IntelBroker" ist derzeit jedoch besonders umtriebig. Er gibt an, AMD Daten gestohlen zu haben und verkaufte unlängst einen vermutlich recht wertlosen Zugang zum Netzwerk des Sicherheitsunternehmens Zscaler.
T-Mobile und die Deutsche Telekom sind getrennte Unternehmen, wir haben die irrtümliche Nennung Letzterer an einer Stelle im Text korrigiert.
Am späten Freitagvormittag ging ein Dementi des Telekom-Konzerns bei heise security ein, wir haben daher das Dementi aus einer anderen Quelle ersetzt und einige mißverständliche Textpassagen präzisiert.
(cku)
