Rotes Kreuz: Gezielter Cyberangriff erfolgte über ungepatchte Sicherheitslücke

Der Cyberangriff auf das Internationale Komitee vom Roten Kreuz (IKRK) war eine gezielte Aktion, ausgenutzt wurde eine ungepatchte Sicherheitslücke in einem Single-Sign-On-System. Das und weitere technische Informationen zu der Attacke hat die Organisation jetzt öffentlich gemacht. Beleg dafür ist der Organisation zufolge ein Stück Quellcode der entdeckten Angriffssoftware, in dem explizit auf einen der Server der Organisation Bezug genommen werde – und zwar auf dessen MAC-Adresse. Außerdem hätten die unbekannten Angreifer hochentwickelte Werkzeuge speziell für Cyberangriffe eingesetzt, die primär von staatlichen oder staatlich unterstützten Akteuren genutzt würden. Entdeckt worden sei der Angriff 70 Tage nach dem Einbruch.

Software nicht rechtzeitig gepatcht

Ausgenutzt haben die Angreifer die Sicherheitslücke mit der Bezeichnung CVE-2021-40539, erklärt das IKRK jetzt. Das ist eine kritische Lücke im Single-Sign-On-System der indischen Softwarefirma Zoho, für die es seit Mitte September einen Patch gibt. "Aber unglücklicherweise" sei der nicht rechtzeitig eingespielt worden. Anderthalb Monate später, am 9. November, seien die Angreifer unter Ausnutzung der Lücke in das Netzwerk eingedrungen und hätten sich danach als legitimer Nutzer getarnt. So hätten sie Zugriff auf die verschlüsselten Daten erhalten.

Zur Verschleierung ihrer Aktivitäten hätten sie hoch entwickelte Techniken eingesetzt, die nur wenigen Akteuren überhaupt zur Verfügung stehen. Zwar habe die Antivirensoftware einige ihrer Dateien blockiert, aber die meisten seien bis zur Installation neuer Technik unentdeckt geblieben. Bei der Aufarbeitung des Angriffs arbeitet die Organisation aus Genf mit dem National Cyber Security Center (NCSC) der Schweiz zusammen. Die vom IKRK unabhängigen nationalen Gesellschaften der Rotkreuz- und Rothalbmond-Bewegung, deren Arbeit das Komitee koordiniert, seien in Kontakt mit den jeweiligen nationalen Behörden.

Das IKRK hatte den Angriff am 18. Januar entdeckt und einen Tag später öffentlich gemacht. Zugang hatten die unbekannten Täter zu Daten von mehr als 500.000 besonders verletzlichen Menschen, die durch Konflikte, Flucht und Naturkatastrophen von ihren Angehörigen getrennt wurden. Dutzende Rotkreuz- und Rothalbmond-Gesellschaften in aller Welt haben sie zusammengetragen, um bei der Wiedervereinigung der Familien zu helfen. In der Mitteilung heißt es jetzt, dass das IKRK nicht darüber spekulieren werde, wer dahintersteckt. Man sei diesbezüglich nicht kontaktiert worden. Man müsse davon ausgehen, dass die Daten abgegriffen wurden, bislang habe man aber keine Hinweise auf eine Veröffentlichung. Die Organisation appelliert weiterhin an die Verantwortlichen, die Daten nicht weiterzugeben, zu verkaufen oder anderweitig zu nutzen.

(mho)