Mit der Pandemie 2022 war ein unruhiges und oft verwirrendes Jahr in der digitalen Sicherheit, das sich in eine amorphe neue Phase und eine zunehmende politische Polarisierung auf der ganzen Welt entwickelte. Und während sich Hacker häufig auf alte Kastanien wie Phishing- und Ransomware-Angriffe stützten, fanden sie immer noch bösartige neue Varianten, um die Abwehr zu untergraben.
Hier ist der Rückblick von WIRED auf die schlimmsten Verstöße, Lecks, Ransomware-Angriffe, staatlich geförderten Hacking-Kampagnen und digitalen Übernahmen des Jahres. Wenn die ersten Jahre der 2020er ein Hinweis darauf sind, wird das Feld der digitalen Sicherheit im Jahr 2023 bizarrer und unberechenbarer denn je sein. Bleiben Sie wachsam und bleiben Sie sicher da draußen.
Jahrelang hat Russland die Ukraine mit brutalen digitalen Angriffen heimgesucht, die Stromausfälle verursachten, Daten stahlen und zerstörten, sich in Wahlen einmischten und zerstörerische Malware veröffentlichten, um die Netzwerke des Landes zu verwüsten. Seit dem Einmarsch in die Ukraine im Februar haben sich die Zeiten für einige der prominentesten und gefährlichsten militärischen Hacker Russlands jedoch geändert. Kluge Langzeitkampagnen und grimmig ausgeklügelte Hacks sind größtenteils einem strengeren und reglementierteren Clip von schnellen Eingriffen in ukrainische Institutionen, Aufklärung und weitreichender Zerstörung des Netzwerks gewichen – und dann immer wieder wiederholter Zugriff, sei es durch eine neue Lücke oder durch Beibehalten des alten Zugangs. Das russische Spielbuch auf dem physischen Schlachtfeld und im Cyberspace scheint das gleiche zu sein: ein wildes Bombardement, das Macht projiziert und der ukrainischen Regierung und ihren Bürgern so viel Schmerz wie möglich zufügt.
Die Ukraine war während des Krieges jedoch nicht digital passiv. Das Land bildete nach der Invasion eine freiwillige „IT-Armee“ und hat zusammen mit anderen Akteuren auf der ganzen Welt DDoS-Angriffe, disruptive Hacks und Datenschutzverletzungen gegen russische Organisationen und Dienste durchgeführt.
Im Laufe des Sommers unternahm eine Gruppe von Forschern namens 0ktapus (manchmal auch als „Scatter Swine“ bekannt) einen massiven Phishing-Bender, bei dem fast 10.000 Konten in mehr als 130 Organisationen kompromittiert wurden. Die Mehrheit der Opferinstitutionen war in den USA ansässig, aber laut Forschern gab es auch Dutzende in anderen Ländern. Die Angreifer schickten Zielen in erster Linie bösartige Links, die zu gefälschten Authentifizierungsseiten für die Identitätsverwaltungsplattform Okta führten, die als Single-Sign-On-Tool für zahlreiche digitale Konten verwendet werden kann. Das Ziel der Hacker war es, Okta-Anmeldeinformationen und Zwei-Faktor-Authentifizierungscodes zu stehlen, damit sie gleichzeitig Zugriff auf eine Reihe von Konten und Diensten erhalten.
Ein Unternehmen, das während des Amoklaufs getroffen wurde, war die Kommunikationsfirma Twilio. Anfang August kam es zu einem Datenleck, von dem 163 seiner Kundenorganisationen betroffen waren. Twilio ist ein großes Unternehmen, so dass nur 0,06 Prozent seiner Kunden auf sensible Dienste wie die Secure-Messaging-App entfallen Signal, die Zwei-Faktor-Authentifizierungs-App Authy und die Authentifizierungsfirma Okta waren alle in diesem Bereich und wurden sekundäre Opfer des Verstoßes. Da einer der von Twilio angebotenen Dienste eine Plattform zum automatischen Versenden von SMS-Textnachrichten ist, war eine der Folgewirkungen des Vorfalls, dass Angreifer Zwei-Faktor-Authentifizierungscodes kompromittieren und die Benutzerkonten einiger Twilio-Kunden knacken konnten.
Als ob das nicht genug wäre, fügte Twilio hinzu Bericht Oktober dass es im Juni auch von 0ktapus verletzt wurde und dass die Hacker Kundenkontaktinformationen gestohlen haben. Der Vorfall unterstreicht die wahre Macht und Bedrohung von Phishing, wenn Angreifer ihre Ziele strategisch auswählen, um die Auswirkungen zu verstärken. Twilio schrieb im August „sind wir sehr enttäuscht und frustriert über diesen Vorfall“.
In den letzten Jahren haben sich Länder auf der ganzen Welt und die Cybersicherheitsbranche zunehmend darauf konzentriert, Ransomware-Angriffen entgegenzuwirken. Während bei der Abschreckung einige Fortschritte erzielt wurden, tobten Ransomware-Banden im Jahr 2022 immer noch und griffen weiterhin gefährdete und lebenswichtige soziale Einrichtungen an, darunter Gesundheitsdienstleister und Schulen. Die russischsprachige Gruppe Vice Society zum Beispiel hat sich seit langem darauf spezialisiert, beide Kategorien anzugreifen, und konzentrierte ihre Angriffe in diesem Jahr auf den Bildungssektor. Die Gruppe hatte Anfang September einen besonders denkwürdigen Showdown mit dem Los Angeles Unified School District, bei dem die Schule schließlich Stellung bezog und sich weigerte, die Angreifer zu bezahlen, obwohl ihre digitalen Netzwerke zusammenbrachen. LAUSD war ein hochkarätiges Ziel, und die Vice Society hat möglicherweise mehr abgebissen, als es kauen konnte, da das System mehr als 1.000 Schulen umfasst, die etwa 600.000 Schüler bedienen.
Unterdessen, im November, die US-Behörde für Cybersicherheit und Infrastruktursicherheit, das FBI und das Ministerium für Gesundheit und menschliche Dienste veröffentlichte eine gemeinsame Warnung über die mit Russland verbundene Ransomware-Gruppe und den Malware-Hersteller HIVE. Die Agenturen sagten, dass die Ransomware der Gruppe verwendet wurde, um über 1.300 Organisationen auf der ganzen Welt anzugreifen, was zu Lösegeldzahlungen von rund 100 Millionen US-Dollar von den Opfern führte. „Von Juni 2021 bis mindestens November 2022 haben Bedrohungsakteure Hive-Ransomware eingesetzt, um ein breites Spektrum von Unternehmen und kritischen Infrastruktursektoren anzugreifen“, schrieben die Behörden, „darunter Regierungseinrichtungen, Kommunikation, kritische Fertigung, Informationstechnologie und insbesondere Gesundheitswesen und Gesundheitswesen.”
Die digitale Erpresserbande Lapsus$ befand sich Anfang 2022 auf einem intensiven Hacker-Bummel, stahl Quellcode und andere sensible Informationen von Unternehmen wie Nvidia, Samsung, Ubisoft und Microsoft und veröffentlichte dann im Rahmen von offensichtlichen Erpressungsversuchen Proben. Lapsus$ hat ein finsteres Phishing-Talent und hat im März einen Auftragnehmer mit Zugang zum allgegenwärtigen Authentifizierungsdienst Okta kompromittiert. Die Angreifer schienen hauptsächlich im Vereinigten Königreich stationiert zu sein, und Ende März verhaftete die britische Polizei sieben Personen in Verbindung mit der Gruppe und klagte Anfang April zwei Personen an. Im September erwachte die Gruppe jedoch wieder zum Leben und stürmte gnadenlos die Mitfahrplattform Uber und scheinbar die schwerer Kraftfahrzeugdiebstahl Entwickler Rockstar ebenso. Am 23. September Polizei in Großbritannien sagten, sie hätten festgenommen ein namenloser 17-Jähriger aus Oxfordshire, der anscheinend einer der Personen ist, die zuvor im März im Zusammenhang mit Lapsus$ festgenommen wurden.
Der angeschlagene Passwort-Manager-Gigant LastPass, der wiederholt behandelt mit Datenschutzverletzungen und Sicherheitsvorfällen im Laufe der Jahre, sagte Ende Dezember dass eine Verletzung des Cloud-Speichers im August zu einem weiteren Vorfall führte, bei dem Hacker gezielt einen LastPass-Mitarbeiter anvisierten, um Zugangsdaten und Cloud-Speicherschlüssel zu kompromittieren. Die Angreifer nutzten diesen Zugriff dann, um die verschlüsselten Passwort-Tresore einiger Benutzer – die Dateien, die die Passwörter der Kunden enthalten – und andere sensible Daten zu stehlen. Darüber hinaus sagt das Unternehmen, dass während des Vorfalls im August „einige Quellcodes und technische Informationen aus unserer Entwicklungsumgebung gestohlen wurden“.
Karim Toubba, CEO von LastPass, sagte in einem Blogbeitrag, dass Hacker bei den späteren Angriffen eine Kopie eines Backups kompromittiert hätten, das Kunden-Passwort-Tresore enthielt. Wann das Backup erstellt wurde, ist unklar. Die Daten werden in einem „proprietären Binärformat“ gespeichert und enthalten sowohl unverschlüsselte Daten wie Website-URLs als auch verschlüsselte Daten wie Benutzernamen und Passwörter. Das Unternehmen gab keine technischen Details zum proprietären Format bekannt. Auch wenn die Vault-Verschlüsselung von LastPass stark ist, Hacker werden versuchen, mit Brute-Force in die Passwort-Schätze einzudringen, indem sie versuchen, die „Master-Passwörter” zu erraten, die Benutzer zum Schutz ihrer Daten festlegen. Mit einem starken Master-Passwort ist dies möglicherweise nicht möglich, aber schwache Master-Passwörter könnten gefährdet sein Da die Tresore bereits gestohlen wurden, können LastPass-Benutzer diese Brute-Force-Angriffe nicht stoppen, indem sie ihr Master-Passwort ändern. Benutzer sollten stattdessen bestätigen, dass sie die Zwei-Faktor-Authentifizierung für so viele ihrer Konten wie sie selbst eingerichtet haben selbst wenn ihre Passwörter kompromittiert sind, können Angreifer immer noch nicht einbrechen. Und LastPass-Kunden sollten erwägen, die Passwörter ihrer wertvollsten und sensibelsten Konten zu ändern.