Australiens Premierminister informierte sein Land am 19. Juni in einer Pressekonferenz über die fortwährenden Cyber-Angriffe auf sein Land. Die Regierung, der ganze öffentliche Sektor, das Bildungswesen und das Gesundheitswesen wären Angriffsziele. Aber auch Unternehmen verschiedener Branchen, die private Wirtschaft und Betreiber kritischer Infrastrukturen seien bedroht.
Premierminister Scott Morrison berief sich auf Informationen von Cyber-Experten. Demnach würden
„australische Organisationen derzeit von einem hoch entwickelten staatlichen Cyber-Akteur ins Visier genommen“.
Welcher Staat genau hinter den Angriffen steckt, sagte er nicht. Allerdings können Rückschlüsse aus seiner Erklärung gezogen werden:
„Was ich mit Zuversicht bestätigen kann, basierend auf technischen Informationen, die wir erhalten haben, ist, dass dies die Handlung eines staatlichen Akteurs mit bedeutenden Fähigkeiten ist. Es gibt nicht allzu viele staatliche Akteure, die über diese Fähigkeiten verfügen“,
ergänzte Morrison. Australiens Amt für Cybersicherheit konnten in den letzten Monaten eine Zunahme der Angriffe beobachtet. Dieser Trend überschneidet sich mit den Spannungen zwischen Australien und der chinesischen Regierung. Hintergrund sind hier, die Untersuchungen zum Ursprung des COVID-19-Virus in der chinesischen Stadt Wuhan.
Australien ist derart besorgt über die Angriffe, dass Premier Morrison die Sache mit dem britischen Premierminister Boris Johnson besprach. Außerdem suchte er auch die Zusammenarbeit mit den Five Eyes-Geheimdienstpartnern seines Landes: den USA, Kanada, Neuseeland und Großbritannien.
Laut Australiens nationaler Beratungsstelle Infosec hätten sich die Angreifer zwar Zugang zu einigen Systemen verschafft hat, aber keine „störenden oder zerstörerischen Aktivitäten in der Umgebung ihrer Opfer“ durchgeführt. Einzelheiten über die Auswirkungen der Angriffe gab Morrison nicht. Er sagte lediglich, dass man keine Hinweise darüber habe, dass es zu erheblichen Verletzungen personenbezogener Daten gekommen sei. Die Angriffe seien nichts völlig neues – ähnliche Angriffe würden andauernd stattfinden und wären auch weiterhin zu erwarten. Morrison erwähnte auf der Pressekonferenz auch, dass die jüngsten Cyber-Angriffe nicht im Zusammenhang mit den australischen Getränkeriesen Lion stünden.
Die australische Beratungsagentur für Cyber-Abwehr, das Australian Cyber Security Centre, gab einen Ratgeber heraus. Sein Titel „Copy-paste compromises – tactics, techniques and procedures used to target multiple Australian networks“. Kompromittierungen mehrerer australischer Netzwerke durch Kopieren und Einfügen – Taktiken, Techniken und Verfahren werden im Einzelnen beschrieben.
In dem Ratgeber wird klargestellt, dass das Cyber Security Centre bisher keine Aktivitäten mit tiefgreifenden Folgen für die Opfer festgestellt habe.
Erläutert wird, dass in erster Linie Schwachstellen ausgenutzt wurden. Diese steckte wohl in ungepatchten Versionen der Telerik-Benutzeroberfläche. Häufig eingesetzt bei den Angriffen wurden Proof-of-Concept-codes, Web-Shells und andere Tools. Weitere Schwachstellen in der öffentlich zugänglichen Infrastruktur wurden zudem ausgenutzt. Insbesondere eine in den Microsoft Internet Information Services, eine SharePoint-Schwachstelle und die Citrix-Schwachstelle, beide aus 2019.
Laut dem Australian Cyber Security Centre waren die Angriffe auf die öffentlich zugängliche Infrastruktur nicht erfolgreich. Die Angreifer richteten daher ihre Bemühungen daher auf Spearphishing Aktionen über. Damit konnten sie Zugang zu einigen Systemen erhalten. Links zu gefälschten Websites waren dazu gedacht, Benutzerdaten zu stehlen. Links zu bösartigen Dateien und die Nutzung von E-Mail-Trackingdiensten sollten ausspionieren, wann Benutzer E-Mails öffneten.
Die Behörde schloss ihren Bericht ab mit dem dringenden Rat, alles, was mit dem Internet zu tun hat, zu patchen. Auch Mehrfach-Authentifizierung für E-Mail, Remote-Desktops, VPNs sowie Kollaborationsplattformen müssten unbedingt eingeführt werden. Auch eine ausführliche Protokollierung sei kritisch, um künftige Angriffe besser einordnen zu können.
In einem Kommentar wies SANS IT-Experte John Pescatore auf zwei Punkte des Berichts hin. Zum einen seien der australischen Regierung die derzeit anhaltenden gezielten Angriffe auf australische Behörden und Unternehmen bekannt. Sie hätten auch gut darauf reagiert. Zum anderen seien wichtige Maßnahmen empfohlen worden. Denn, so Pescatore, waren alle Schwachstellen, die der Akteur im Laufe seine Angriffe ausnutzte, längst öffentlich bekannt. Außerdem gab es bereits Sicherheitspatches dagegen. Obwohl die Angriffe sehr raffiniert gewesen seien, hätte eine grundlegende Sicherheitshygiene sie im Keim erstickt. Es gebe Daten, so Pescatore weiter, wie nur mit den vier wichtigsten Maßnahmen bereits 85 % der gezielten Cyber-Angriffe abschwächt werden können.
Artikel von smh.com.au, 19.06.2020: Morrison reveals malicious ’state-based‘ cyber attack on governments, industry
Artikel von theregister.com, 19.06.2020: Australian PM says nation under serious state-run ‚cyber attack‘ – Microsoft, Citrix, Telerik UI bugs ‚exploited‘
Artikel von cyber.gov.au, 24.06.2020: Advisory 2020-008: Copy-Paste Compromises –tactics, techniques and procedures used to target multiple Australian networks
Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0, geralt über unsplash.com