Cybersicherheit der Vereinigten Staaten Beamte sagten gestern, dass eine „kleine Anzahl“ von Regierungsbehörden im Rahmen einer breit angelegten Hacking-Kampagne, die wahrscheinlich von der in Russland ansässigen Ransomware-Bande Clop durchgeführt wird, Datenschutzverletzungen erlitten habe. Die Cyberkriminelle nutzte eine Schwachstelle im Dateiübertragungsdienst MOVEit aus, um wertvolle Daten von Opfern wie Shell, British Airways und der BBC abzugreifen. Aber das Erreichen der Ziele der US-Regierung wird die weltweite Kontrolle der Strafverfolgungsbehörden über die Cyberkriminellen im ohnehin schon viel beachteten Hackerangriff nur noch verstärken.
Progress Software, dem MOVEit gehört, gepatcht die Sicherheitslücke Ende Mai und die US-amerikanische Cybersecurity and Infrastructure Security Agency ein Advisory veröffentlicht Das Federal Bureau of Investigation warnte am 7. Juni vor Clops Ausbeutung und der dringenden Notwendigkeit, dass alle Organisationen, sowohl öffentliche als auch private, den Fehler beheben. Ein hochrangiger CISA-Beamter teilte Reportern gestern mit, dass alle MOVEit-Instanzen der US-Regierung inzwischen aktualisiert wurden.
CISA-Beamte lehnten es ab, zu sagen, welche US-Behörden Opfer des Amoklaufs sind, sie bestätigten jedoch, dass das Energieministerium CISA darüber informiert hat, dass es zu ihnen gehört. CNN, das zuerst berichtet die Angriffe auf US-Regierungsbehörden, weiter berichtet gab heute bekannt, dass der Hackerangriff Auswirkungen auf die Führerschein- und Ausweisdaten der Bundesstaaten Louisiana und Oregon von Millionen Einwohnern hatte. Clop hat sich zuvor auch für Angriffe auf die Landesregierungen von Minnesota und Illinois verantwortlich gemacht.
„Wir unterstützen derzeit mehrere Bundesbehörden, bei denen es zu Eingriffen in ihre MOVEit-Anwendungen gekommen ist“, sagte CISA-Direktorin Jen Easterly am Donnerstag gegenüber Reportern. „Basierend auf Diskussionen, die wir mit Industriepartnern im Rahmen der Joint Cyber Defense Collaborative geführt haben, werden diese Eingriffe nicht ausgenutzt, um einen breiteren Zugang zu erlangen, um in Zielsystemen Einzug zu halten oder um bestimmte hochwertige Informationen zu stehlen – kurz gesagt, wie wir verstehen Daher ist dieser Angriff weitgehend opportunistisch.“
Easterly fügte hinzu, dass CISA nicht gesehen habe, dass Clop damit gedroht habe, von der US-Regierung gestohlene Daten herauszugeben. Und der hochrangige CISA-Beamte, der mit Reportern unter der Bedingung sprach, dass sie nicht genannt werden, sagte, dass CISA und seine Partner derzeit keine Beweise dafür sehen, dass Clop sich mit der russischen Regierung abstimmt. Clop hat seinerseits behauptet, dass es sich auf Unternehmen konzentriert und alle Daten von Regierungen oder Strafverfolgungsbehörden löschen wird.
Clop trat 2018 als Standard-Ransomware-Akteur auf, der die Systeme eines Opfers verschlüsselte und dann eine Zahlung für die Bereitstellung des Entschlüsselungsschlüssels verlangte. Die Ransomware-Bande ist auch dafür bekannt, Schwachstellen in weit verbreiteter Software und Ausrüstung zu finden und auszunutzen, um Informationen von verschiedenen Unternehmen und Institutionen zu stehlen und anschließend Datenerpressungskampagnen gegen sie zu starten.
Allan Liska, ein auf Ransomware spezialisierter Analyst des Sicherheitsunternehmens Recorded Future, sagt, dass Clop mit dem Ransomware-Ansatz „mäßig erfolgreich“ war. Letztlich differenzierte sich das Unternehmen jedoch dadurch, dass es sich von der auf Verschlüsselung basierenden Ransomware abwandte und sich seinem aktuellen Modell zuwandte, bei dem Exploits für Schwachstellen in Unternehmenssoftware entwickelt und diese dann für Massendatendiebstahl eingesetzt werden.
Auch wenn es möglicherweise keine direkte Koordination zwischen dem Kreml und Clop gibt, haben Untersuchungen wiederholt gezeigt, dass es Verbindungen zwischen der russischen Regierung und Ransomware-Gruppen gibt. Gemäß der Vereinbarung können diese Syndikate ungestraft von Russland aus operieren, solange sie nicht Opfer im Land ins Visier nehmen und sich dem Einfluss des Kremls unterwerfen. Löscht Clop also wirklich Daten, die es von Regierungsopfern sammelt, und sei es auch nur nebenbei?
„Wir glauben nicht, dass US-Regierungsbehörden gezielt ins Visier genommen wurden. „Clop hat einfach jeden anfälligen Server angegriffen, auf dem die Software läuft“, sagt Liska über die MOVEit-Kampagne. „Aber es ist sehr wahrscheinlich, dass alle Informationen, die Clop von der US-Regierung oder anderen interessanten Zielen gesammelt hat, an den Kreml weitergegeben wurden.“