Ruag: Erst der Hack, dann das Golden Ticket

9. Februar 2021 um 16:38
image

4918 Tage alte Passworte, 100% verwundbare Maschinen... interne Dokumente zeigen erstmals: Das Ruag-Netzwerk stand im August 2019 weit offen.

Kurz vor Weihnachten 2015 wies der Schweizer Nachrichtendienst des Bundes die Ruag darauf hin, sie seien gehackt worden. Das ist für einen Betrieb in Staatshand, der mit geheimen Daten und kritischer Infrastruktur betraut ist, kein Ruhmesblatt.
Der Hack, der laut Melani (Melde- und Analysestelle Informationssicherung) möglicherweise im September 2014 begann, ist bis heute nicht bewältigt und könnte für einige Involvierte noch weitreichende Folgen haben. Das zeigen Recherchen von inside-it.ch basierend auf öffentlichen und bislang nie bekanntgewordenen internen Informationen.

Die bekannten Fakten zum Hack

Zuerst zu den Dimensionen aus heutiger Sicht: "Das ist so schlimm wie Corona!", sagt ein unabhängiger Security-Experte, der die publizierten Erkenntnisse in anonymisierter Form zu Gehör bekam. "Da hat jemand die grundlegenden Hausaufgaben nicht gemacht!"
Die von Experten von Melani (Melde- und Analysestelle Informationssicherung) verfassten und publizierten Aussagen im Wortlaut: "Die Angreifer benutzten eine seit mehreren Jahren im Umlauf befindliche Schadsoftware der Turla-Familie. Die im Netzwerk der RUAG beobachtete Variante hat keine Rootkit-Funktionalität und setzt auf Tarnung, um unerkannt zu bleiben. (…)
Einmal im Netzwerk drangen sie seitwärts vor, indem sie weitere Geräte infizierten und höhere Privilegien erlangten. Ein Hauptziel war das Active Directory zur Kontrolle weiterer Geräte und den richtigen Berechtigungen und Gruppenzugehörigkeiten für den Zugriff auf die interessanten Daten.
Die Schadsoftware nutzte HTTP für den Datentransfer nach aussen mit mehreren C&C-Server-Reihen. Die C&C-Server erstellten Tasks an die infizierten Geräte. Solche Tasks können beispielsweise neue Binär- und Konfigurationsdateien oder Batchjobs sein. Im infiltrierten Netzwerk konnten die Angreifer benannte Pipes für ihre interne Kommunikation verwenden, die schwer zu entdecken sind. Es kam ein hierarchisches System zum Einsatz, bei dem nicht jedes infizierte Gerät mit den C&C-Servern kommuniziert. Einige Systeme waren sogenannte Kommunikationsdrohnen, andere Arbeiterdrohnen. (…)"
Das bedeutet: Die Angreifer konnten ab September 2014 oder schon vorher mit einem längst bekannten Einbruchswerkzeug tief ins Netzwerk eindringen, sich ausbreiten. Sie blieben während langer Zeit unbemerkt, bis Ende 2015, also mindestens 15 Monate. Das bedeutet, dass sowohl die technische Abwehr wie die Netzwerk-Architektur/Segmentierung ungenügend waren und keine Security-Kultur gelebt wurde, die den Namen "gelebt" verdienen würde.
Dass die Malware "HTTP" für die Kommunikation benutzte, dass der Einbruch nur mit Proxylogs ab September 2014 analysiert werden konnte, oder dass die heimliche Überwachung des Verhaltens der Hacker wegen eines Informations-Leaks nur bedingt gelang, ist dabei nur eine Erwähnung wert.

"Die Migration wird erschwert"

Aber waren nur harmlose und interne Daten vom Hack betroffen? Oder sind auch als "vertraulich" oder "geheim" klassifizierte Daten abgeflossen? Auch FA-18-Daten, Ruag-Eigenentwicklungen oder solche zu Blaulicht-Organisationen? Wie steht es mit den Netzwerken des Bundes, beispielsweise von Swisstopo-Daten, auf welche auch Kampfflieger zugreifen?
Unabhängig davon stellen sich zwei Fragen, die die Ruag direkt betreffen:
  1. Konnte die Ruag die Malware(s) aus ihren Netzwerken, Servern und Daten löschen und die Hacker hinauswerfen?
  2. Tat die Ruag auf Ebene Sicherheitskultur, Personal, Netzwerk, Server und Daten das Richtige, um zu verhindern, dass ein Hack im Normalbetrieb ab 2016 zumindest sehr schwer möglich war?
Beide Fragen erhalten spezielle Brisanz, weil der Bundesrat als eine Konsequenz des Hacks im März 2018 beschloss, die Ruag Holding in einen Schweizer Teil und einen internationalen Teil aufzusplitten. Und dies nicht nur rechtlich, sondern auch technologisch. Das heisst, die bei Ruag liegenden Daten sollten bis Anfang 2020 in die IT-Systeme des VBS migriert werden.
Soweit der Plan. Der damalige Ruag-CEO Urs Breitmeier bezeichnete diesen als "sportlich aber machbar". Der Druck, finanziell erfolgreich zu sein, werde zunehmen, kündigte er gleichzeitig vor Medien an. Zeit und Geld können zu grossen Risiken für alle Vorhaben werden und sie wurden es tatsächlich. Dies zeigen uns vorliegende interne Dokumente.
Dass der öffentlich verkündete Management-Optimismus wenig mit der Ruag-Realität gemein hatte, zeigte sich öffentlich am 19. November 2019 erstmals deutlich. An diesem Tag erschien ein Dokument der Geschäftsprüfungskommission des Nationalrates (GPK-NR) unter dem Titel "Bewältigung des Cyber-Angriffs auf die RUAG: Bewertung der Stellungnahme des Bundesrates vom 28. September 2018". Darin wird auf geheime Untersuchungen der Eidgenössischen Finanzkontrolle EFK von 2018 und 2019 referenziert. Die GPK schreibt, "dass die Migration durch bisher fehlende Datenklassifikationen, das fehlende bzw. unvollständige Gesamtinventar sowie durch potentiell mit Schadsoftware infizierte Daten und Systeme erschwert wird und sehr aufwendig ist".
Die GPK sagt weiter: "Die Vorsteherin des VBS wies gegenüber der zuständigen Subkommission EDA/ VBS darauf hin, dass die Integration der Informatik und der Daten der RUAG in den Sicherheitsbereich der Armee schwieriger sei als erwartet. Erstens gebe es mehr Daten als angenommen. Zweitens brauche es absolute Gewissheit, dass diese Daten 'sauber' seien – dies könne man bisher aber nicht mit Sicherheit sagen." Dies mit Verweis auf ein nicht öffentliches Protokoll.

Flossen wirklich keine geheimen Daten ab?

Nun darf man davon ausgehen, dass die Ruag alles daran setzte, ihre IT wesentlich sicherer aufzustellen, die Daten zu säubern, eine höhere Sicherheitskultur zu etablieren, in die Security zu investieren und als Top-Thema beim VR und im Top-Management zu behandeln. Tat sie dies? Die Ruag betonte öffentlich, sie habe Konsequenzen gezogen. Die Antwort war ein Programm namens "Impact". Es sei ein zweistelliger Millionenbetrag in die Verbesserung der IT-Sicherheit investiert worden, so Bruno Blumenthal, damals CISO Ruag, am 28. Juli 2017 zur 'Bilanz'. Man habe Anfang 2016 für Mitarbeitende eine topmodern ausgestattete Cyber Training Range errichtet, in welchen IT-Spezialisten mit simulierten Attacken geschult würden. Er versicherte, es seien "weniger als zehn Rechner mit Malware infiziert worden. Und keiner davon habe Zugang zu als "vertraulich" oder "geheim" klassifizierten Kundeninformationen oder Technologien gehabt.
Wie passt dies mit den EFK-Aussagen von 2019 zusammen? Wie konnte man sich bei der Ruag so sicher sein, was wirklich abfloss? Laut Melani bekam man bis Mai 2016 nicht heraus, was gestohlen, beziehungsweise kopiert wurde.
Die uns vorliegenden Dokumente deuten darauf hin, dass in Tat und Wahrheit jahrelang bei der Ruag nichts Wirksames geschah.
Dabei schrieb Melani im Rahmen des technischen Berichts zum Hack zu Massnahmen auf der System-, Active-Directory- und Netzwerkebene: "Wichtig ist anzumerken, dass viele Gegenmassnahmen nicht kostenintensiv sind und mit vernünftigem Aufwand implementiert werden können."
10 Millionen Franken nannte die Ruag als Summe, die "Impact" gekostet habe. Dies als man gleichzeitig bekannt gab, man werde noch mehr in die IT-Security stecken.
Reicht diese Summe, um ein IT-Netzwerk für einen multinationalen Betrieb mit 9000 Mitarbeitenden wie die Ruag zu säubern und zu erneuern ?
Mit "intelligenten Algorithmen" sollen alle Daten fortlaufend gescannt werden, so dass nur "gesäuberte Daten" in die neuen IT-Systeme der aufgeteilten Ruag transferiert werden, hiess es dazu.
Zudem werde "die Härtung des Netzwerkes weiter vorangetrieben und dieses mit Sensoren der neusten Technologie ausgerüstet", hiess es bei 'itbusiness.ch' ergänzend.

Sparen und Personalwechsel als neue Risiken

Das klingt gut, doch der Faktor Geld gewann in der Hackbewältigungs-Phase an Bedeutung und die schnell gewachsene Ruag geriet unter ein Spardiktat, unter anderem weil die Aufträge der Schweizer Armee weniger wurden. Es gab zudem diverse Personalwechsel und Abgänge von zentralen Figuren, sei es des CIO, den CISO und auf Fachleute-Niveau, wie bei LinkedIn festzustellen ist.
Ruag versuchte gleichzeitig, mit Cybersecurity ein neues Geschäftsfeld aufzubauen, unter anderem mit dem bis heute umstrittenen Kauf der britischen Firma Clearswift und einem grossen Auftritt im Swiss Pavillon der Cebit 2017. Die Antwort eines Ruag-Verkäufers an inside-it.ch auf eine Frage vor Ort: "Gerade der Hack und die Reaktion darauf qualifizieren uns als Security-Partner, wir wissen, wovon wir sprechen." Das Vorhaben gelang offenbar nicht.
Und was lief intern beim neugeborenen Security-Spezialisten ab? Ursprünglich lautete das Hack-Bewältigungskonzept laut einem Informanten, die Ruag werde ihr Netzwerk neu aufbauen, inklusive aller Server. Dies, weil Security-Experten vermuteten, dass die Hacker noch im Netzwerk waren, auch wenn ihnen Beweise dafür fehlten. Sowohl ein Netzwerkspezialist wie externe Security-Experten wollen ohne Detailkenntnisse keine Einschätzung des Konzepts machen, aber halten eine neue Netzwerk-Architektur mit Segmentierung, neuen Servern und allenfalls zusätzlichen Security-Layern für den sichersten und zielführenden Weg, um einen nachhaltigen Neuanfang zu machen.
Wurde dieser vielversprechende, maximal sichere Weg von der Ruag eingeschlagen? Oder wurde eine billigere Variante gewählt, in welcher die Ruag die alten Server behielt, diese bereinigt und mit Kopien der Server aus dem bestehenden Netzwerk versehen hat? Und wurde es komplett im bestehenden Ruag-Netzwerk gebaut? Wurde nur ein neuer Adressbereich für das Netzwerk verwendet, und wurde die Storage aus dem alten Netzwerk auf das neue erweitert und komplett verbunden? Dies jedenfalls wäre eine "Billig-Variante" gewesen, ohne den höchsten Sicherheitsgrad zu bieten.
Frage an den Rüstungskonzern: Wurde das Ruag-Netzwerk dahingehend geändert, dass ein vergleichbarer Hack mit lateraler Bewegung bis zur geplanten Netz-Entflechtung und Datenmigration Ruag/MRO/Bund unmöglich war? (Server neu aufsetzen oder ersetzen, Architektur, Segmentierung)?
Die Ruag antwortet auf diese und andere Fragen nur allgemein und aus Sicht der Ruag MRO Holding: Es sind "viele Fragen, auf die wir aus Sicherheitsgründen nicht spezifisch antworten können. Was wir antworten können ist folgendes: Ihre Anfrage betrifft teilweise den früheren Ruag-Konzern. Per 1. Januar 2020 ist dieser Konzern gemäss Bundesratsbeschluss in zwei völlig unabhängig voneinander operierende Unternehmen entflochten worden. Neben der rechtlichen und finanziellen Trennung der RUAG International Holding AG und der Ruag MRO Holding AG befinden sich die beiden Unternehmen auch in unterschiedlichen IT-Umgebungen, die keinerlei Verbindungen mehr zueinander haben." Die Ruag führt aus: "Dabei wurden sämtliche Systeme neu aufgebaut und ausschliesslich auf Malware geprüfte Daten in den FUB-Perimeter transferiert. Die neue IT-Infrastruktur der Ruag AG hat somit heute den gleichen Schutz wie die Systeme des VBS."

Hatte die Ruag kein Offline-Backup?

Einer Best-Practice der Security zufolge sollte eine Organisation wie die Ruag nicht nur ein Online-Backup haben, sondern ein aktuelles Offline-Backup. Eine Datenspeicherung, die offline beziehungsweise lokal durchgeführt wird, ohne dabei das Internet oder sonstige Netzwerke zu brauchen, sei es mit Bändern, externen Festplatten oder anderem mehr.
Also ein Backup, das die Ruag für den Neuanfang hätte nutzen können, weil es den Stand vor dem Hack abbilden könnte. Oder gab es kein Offline-Backup, sondern nur ein Online-Backup? Mit möglicherweise verseuchten Daten und Malware tief versteckt in unterschiedlichen Datei-Formaten. Das können Stockphotos sein, die in Powerpoint-Präsentationen gelandet sind oder auch andere gängige Dateiformate. Diese Angriffsmethoden sind seit einigen Jahren bekannt, ebenso, dass sie mit einem Antiviren-Scanner kaum gefunden werden. Eine mit der Situation vertraute Person behauptet: Die Ruag hatte kein Offline-Backup.
Frage an die Ruag: Gab es ein brauchbares Offline-Backup (zentrale Daten, bspw. Geschäftsdaten, IP, Konfigurationen), das man hätte als Grundlage für die neue, gut abgesicherte Ruag-IT nutzen können?
Die Ruag beantwortet diese Frage nicht. Ebensowenig will die heutige Ruag sagen, ob es gegenwärtig ein aktuelles Offline-Backup gibt.
Jedenfalls wurde "Impact", das Bewältigungs- und Security-Programm, im Laufe des Jahres 2019 als abgeschlossen erklärt.
Frage an die Ruag: Wann wurde bei einem unabhängigen Audit festgestellt, dass der Schutzgrad der Ruag seit dem Hack sehr gut ist und als deutlich höher als zuvor gilt?
Auch diese Frage wird nicht beantwortet.

Ruag-Netzwerk anfällig für Golden Ticket und Pass-The-Hash

Wie war der Zustand des Ruag-Netzwerks, der Server und Clients rund 4 Jahre nach Entdeckung des Hacks und nach "Impact" in Sachen Security wirklich? Schlecht, sehr schlecht, das zeigen zwei interne Dokumente von 2019, die uns vorliegen.
Ein Scan des Ruag-Netzwerks, übertitelt "Privileged Account Security - Discovery & Audit (DNA)", vom 19. März 2019, ergab, dass es anfällig für Golden Ticket-Attacken sei. Das heisst laut gängiger Definition, dass es zu diesem Zeitpunkt möglich war, dass ein Angreifer umfassend und vollständig Zugriff auf das gesamte Netzwerk erhalten konnte. Sie hätten laut dem Dokument bei einer "Maschine" eine "goldenen Eintrittskarte" zu allen Computern, Dateien, Ordnern und sogar zu Domain-Controllern (DC) gehabt.
Die Präsentation, welche das Ruag-Logo und das einer externen Firma trägt, reflektiert den damals aktuellen Stand.
Die externen Experten deckten laut dem Dokument auch auf, dass 100% aller erfolgreich gescannten rund 2400 "Maschinen" zu diesem Zeitpunkt verwundbar für Pass-the-Hash-Angriffe waren. "Pass the Hash" ist eine Hacking-Technik, die es einem Angreifer ermöglicht, sich bei einem Remote-Server oder -Dienst zu authentifizieren, indem er den zugrunde liegenden Hash des Kennworts eines existierenden Benutzers verwendet, anstatt das zugehörige Klartext-Passwort zu verlangen, wie es normalerweise der Fall ist. Anstelle des Klartext-Passworts muss nur der Hash gestohlen und zur Authentifizierung verwendet werden. Anschliessend ist es ohne Brute-Force möglich, das Klartextpasswort zu erhalten.
Der Report listet auch eine Top-Liste von rund 20 privilegierten Accounts auf, welche zum einen tausende von weiteren Computern angreifbar machten und zum anderen bis zu 4918 Tage alte Passworte aufwiesen. Sie fanden auch Hard-Coded-Credentials.
Unter dem Titel "Risiken" heisst es in der Präsentation: "Schafft es ein Angreifer die Kontrolle über einen einzelnen Client oder Server zu übernehmen, kann er relativ einfach seine Rechte erweitern und sich im ganzen Unternehmen bewegen." Dies beinhalte Zugang zu diversen Datenbanken und Businessapplikationen, ein Angreifer könnte "ohne weiteres" den Account eines Mitarbeiters missbrauchen, "um an den IT-Systemen Unfug zu treiben". Eine erfolgreiche Übernahme hätte es unter diesen Bedingungen sogar möglich gemacht, die Ruag selbst von ihrem Netzwerk auszuschliessen.
Ein unabhängiger Security-Experte, der eine anonymisierte Version des Dokuments "Privileged Account Security - Discovery & Audit (DNA)" vom März 2019 zu Gesicht bekam, bestätigt die Reputation der externen Partner und die Plausibilität der Warnungen.
Die Autoren schlugen auch konkrete Massnahmen vor, um sicherzustellen, dass die Ruag nicht mehr in eine solche Situation gelangen konnte. Sie hielten auch fest: "Bereinigung ist Symptombekämpfung und ohne Ursachenbekämpfung nutzlos." Man müsse verhindern, dass Angreifer die zentrale Benutzer- und Berechtigungsplattform der Ruag "irreversibel" übernehmen. Das Dokument schliesst mit dem Foto eines Post-It-Zettels … "Danke!"
Was ab März 2019 geschah? Ein weiteres Dokument zeigt es.

"Teilweise unmöglich, unsere vertraglichen Verpflichtungen zu erfüllen"

Als eine Konsequenz des Hacks wurde der Ruag-Spitze irgendwann klar, dass die Ruag ein Security Operations Center benötigte. Im Juli 2018 schliesslich wurde der Auftrag zum Aufbau an externe Experten vergeben. Doch das SOC-Projekt geriet in Turbulenzen, wie ein weiteres Dokument zeigt.
Ein "Memorandum SOC – Security Operation Center RUAG" der mit dem Aufbau betrauten Experten vom 29. August 2019, also Monate nach dem Netzwerk-Scan und nach dem mutmasslichen Ende von "Impact" liest sich wie ein Hilfeschrei: Sie hätten ein Security Information & Event Management (SIEM) und Vulnerability Assessment (VAS) integriert. Aber aktuell könnten aufgedeckte Incidents mit hohem Risiko von den Ruag-Experten nur teilweise abgearbeitet werden: "84,1% der Incidents befinden sich im System im Status 'Unacceptable'. Das sind Incidents, welche eindeutig auf kritische IT-Risiken sowie auf Schwachstellen im internen Netz der Ruag hinweisen."
Im Memorandum hielten die Experten auch fest, es gebe in den Bereichen VAS und SIEM auch immer mehr "blinde Flecken", dies seien Top-Risiken.
Wie konnte es soweit kommen? "Drastische personelle Einsparungen und organisatorische Veränderungen seit Anfang 2019", schreiben die Auftragnehmer Ende August. Das SOC-Team sei geschrumpft, im Operations Team sei von 6 Mitarbeitenden gerade noch einer übrig, so das Memorandum. "Wir empfehlen dringend, umgehend das SOC Team und das Operation Team personell aufzustocken, damit diese ihre Aufgaben im Betrieb der SOC Plattform erfüllen können. (…) Diese Veränderungen seitens der Ruag Organisation machen es uns sehr schwer bzw. sogar teilweise unmöglich, unsere vertraglichen Verpflichtungen zu erfüllen."
Die Frage - Wurde das Ruag-SOC sowie das entsprechende Operations-Team nach dem Hack personell aufgestockt? Falls nein, weshalb nicht? – beantwortet die Nachfolgefirma Ruag MRO nicht.
In der Tat fand in dieser Phase neben üblichen Abgängen ein eigentlicher "Brain-Drain" statt. Zwischen 2018 und 2019 gingen zwei CISOs, laut einer Quelle war in einer Phase der Chef von Ruag-Real-Estate in die IT-Security involviert und der Konzern mietete einen externen Senior Risk and Security Consultant (Name der Redaktion bekannt) für CISO-Tasks.
Am 30. August 2019 ging zudem der Ruag-Konzern-CIO Herbert Brecheis, der seine Stelle im Mai 2016 angetreten hatte. Er hatte in einem Interview der 'Netzwoche' gesagt, er rapportiere direkt an den CEO und zu "Impact" 2017 erklärt: "Das Programm umfasst etwa Massnahmen zur Reduktion von Komplexität, Verbesserungen in den Administrationsprozessen und neue Überwachungsfähigkeiten. Wir verstärkten den Bereich Sicherheit zudem auch personell."

Unmissverständliches Fazit von externen Experten

Ein offensichtlich höchst verwundbares Netzwerk, Personalwechsel bei zentralen Funktionen und der Abschluss des IT-Security-Projekts "Impact", so der Stand der Dinge per Ende August 2019. In den Worten der externen Experten: "Der Global Risc Score steht derzeit bei 8.3. von 10 möglichen Punkten, was einen sehr schlechten Wert und hohes Risiko der Infrastruktur darstellt." An anderer Stelle heisst es Ende August 2019: "Der aktuelle Schutzgrad der Ruag ist nicht höher als zur Zeit des öffentlich gewordenen Angriffs 2016."
Laut 'Aargauer Zeitung' war dieses Ruag-Netzwerk keine hermetisch abgeschottete Festung oder gar eine Insel, im Gegenteil. "Noch im Jahr 2020 ergaben interne Analysen, dass vom Ruag-Netz 700 nicht verzeichnete Übergänge nach aussen führten. Zur Führungsunterstützungsbasis (FUB) der Armee etwa, zu Swisstopo, aber auch zur Universität München", heisst es. Da die Ruag Aufträge der Armee ausführte, ist dies sehr gut denkbar.
Stimmt all dies – offenbar gibt es sehr wenig Schriftlichkeit bei der Ruag in kritischen Fragen –, hätten die möglicherweise russischen Angreifer die Ruag während Jahren ausplündern können. Oder neue Angreifer hätten ins Netz gelangen können, und dies bis wenige Monate vor der geplanten Entflechtung der Ruag-Firmen und deren IT sowie der Datenmigration zum VBS.
Geschah dies? Vielleicht ja, vielleicht nein. Bemerkt oder abgewehrt worden wären die Hacker durch die Ruag wahrscheinlich kaum. Damit taucht aus der Vergangenheit eine weitere Frage auf. Wie eigentlich kam der Nachrichtendienst des Bundes initial 2015 den Ruag-Hackern auf die Spur? Laut 'Luzerner Zeitung' 2016 durch einen ausländischen Geheimdienst.
Rein Ruag-seitig fokussiert sich nun vieles auf die Frage: Konnte der Rüstungskonzern nichtsdestotrotz die wichtigsten Daten mit absoluter Gewissheit säubern und termingerecht migrationsfertig für das VBS aufbereiten?
Dazu Teil 2 morgen.

Loading

Mehr erfahren

Mehr zum Thema

image

Scandit übernimmt polnisches Startup Marketlab

Der Schweizer Anbieter von Smart-Data-Capture-Lösungen sichert sich mit der Übernahme neue Kompetenzen. Ein Expertenteam von Marketlab wechselt zu Scandit.

publiziert am 21.8.2024
image

Softwareone senkt Umsatzziel und verhandelt mit möglichen Käufern

Trotz Umsatzplus senkt der Lizenzhändler seine Jahresziele. Gleichzeitig vermeldet Softwareone, Gespräche mit Kaufinteressenten zu führen.

publiziert am 21.8.2024
image

Föllmi ICT übernimmt Kälin Informatik

In der Ostschweiz entsteht dadurch ein Dienstleister mit acht Standorten und 50 Mitarbeitenden.

publiziert am 21.8.2024
image

SBB suchen neuen Handy-Lieferanten

In den letzten fünf Jahren hat Interdiscount die Bahn mit Handys und Tablets versorgt. Der Vertrag läuft aber schon bald aus.

publiziert am 20.8.2024