IKRK: Es handelt sich um einen "zielgerichteten Cyberangriff"

16. Februar 2022, 10:29
  • security
  • cyberangriff
  • schweiz
  • Robert Mardini
image
IKRK-Generaldirektor Robert Mardini. Foto: IKRK

Der IKRK-Generaldirektor äussert sich zur Attacke auf das Rote Kreuz. Daten von über 515'000 Menschen seien gehackt worden. Auch bekannt ist die Schwachstelle, die ausgenutzt wurde.

Beim Cyberangriff auf das Internationale Komitee vom Roten Kreuz (IKRK) soll es sich um ein "ausgeklügeltes" und "zielgerichtetes" kriminelles Werk gehandelt haben. Sensible Daten seien aber bis jetzt nicht an die Öffentlichkeit gelangt.
In einem offenen Brief schreibt IKRK-Generaldirektor Robert Mardini: "Wir wissen, dass der Angriff gezielt war, weil die Angreifer Code erstellt haben, der ausschliesslich für die Ausführung auf den betroffenen IKRK-Servern entwickelt wurde, eine Technik, von der wir glauben, dass sie entwickelt wurde, um die Aktivitäten der Hacker vor der Entdeckung und anschliessenden forensischen Untersuchungen zu schützen."
Die Schadsoftware sei mit ausgeklügelten Verschleierungstechniken versteckt worden. Danach hätten sich die Hacker als legitime Nutzer ausgegeben und sich so vor einer Entdeckung geschützt.

Ungepatchte Schwachstelle in Authentifizierungsmodul

In einem separaten Update zum Angriff nennt das IKRK weitere Details zum Vorgehen der Angreifer: "Die Anti-Malware-Tools, die wir auf den betroffenen Servern installiert hatten, waren aktiv und konnten einige der von den Angreifern verwendeten Dateien erkennen und blockieren. Die meisten der eingesetzten bösartigen Dateien waren jedoch speziell dafür konzipiert, unsere Anti-Malware-Lösungen zu umgehen, und erst als wir im Rahmen unseres geplanten Verbesserungsprogramms fortschrittliche EDR-Lösungen (Endpoint Detection and Response) installierten, wurde dieses Eindringen entdeckt." Eingedrungen seien die Angreifer über eine "ungepatchte kritische Schwachstelle in einem Authentifizierungsmodul". Die Lücke "CVE-2021-40539" betrifft eine Passwortverwaltungs- und Single-Sign-On (SSO)-Lösung des indischen Unternehmens Zoho. "Diese Schwachstelle ermöglicht es böswilligen Cyber-Akteuren, Web-Shells zu platzieren und Aktivitäten nach der Ausnutzung durchzuführen, wie z. B. die Kompromittierung von Administrator-Anmeldeinformationen, laterale Bewegungen und die Exfiltration von Registrierungs- und Active-Directory-Dateien."

Datenabfluss ab November 2021

Bei dem Angriff auf die Server des IKRK wurden ab dem 9. November 2021 die personenbezogenen Daten von über 515'000 Menschen gehackt. Entdeckt wurden die Unregelmässigkeiten erst 70 Tage später im Januar 2022. Wer hinter dem Angriff steht, ist zurzeit noch nicht bekannt.
Gestohlen worden seien die Daten von vermissten Personen und ihren Familien, von Inhaftierten und anderen Personen, denen das IKRK bei bewaffneten Konflikten, Naturkatastrophen oder Migration geholfen habe. Diese Menschen müssten nun schnellstmöglich informiert werden, sei es per Telefon, Hotlines, Briefe oder persönliche Besuche. Denn es sei die höchste Priorität des IKRK, mögliche Risiken für sie zu vermeiden.
Das IKRK bedauere zutiefst, dass diese sensiblen Daten bei dem "inakzeptablen Angriff" kompromittiert worden seien. Die Kontakte mit Regierungen und nicht-staatlichen Akteuren würden nun intensiviert, und das IKRK verlange dabei, dass der Schutz des humanitären Auftrags auch für die Daten und die Infrastruktur gelte.

IKRK arbeitet zurzeit mit Low-Tech-Lösungen

Es sei zwar kein Lösegeld gefordert worden. Doch man müsse davon ausgehen, dass die Daten kopiert und exportiert worden seien. In der Zwischenzeit habe das IKRK die Arbeit zur Auffindung von vermissten Familienmitgliedern wieder aufgenommen.
"Wir haben es geschafft, durch Low-Tech-Lösungen (z. B. unter Verwendung einfacher Tabellenkalkulationen) sicherzustellen, dass die lebenswichtige Arbeit der Suche nach vermissten Familienmitgliedern fortgesetzt wurde, wenn auch auf minimalem Serviceniveau, während wir darauf hinarbeiten, den vollen Service mit verbesserten Sicherheitsfunktionen wieder aufzunehmen", so Mardini im Brief.
Update 15.30 Uhr: Der Artikel wurde um weitere Details zum Vorgehen der Angreifer und die ausgenutzte Schwachstelle ergänzt.

Loading

Mehr zum Thema

image

Podcast: Lehren aus dem Drama um das Organspenderegister

Nach dem Ende des Registers von Swisstransplant bleibt vor allem Konsternation. Christian Folini und Florian Badertscher im Gespräch über Meldeprozesse für Lücken und heikle Datenbanken.

publiziert am 9.12.2022
image

Wilken nach Cyberangriff wiederhergestellt

Der ERP-Anbieter kann sein volles Portfolio wieder liefern. Kunden­daten sollen bei dem Hack keine abhandengekommen sein.

publiziert am 8.12.2022
image

Glutz nach Cyberangriff wieder im eingeschränkten Betrieb

Die Solothurner Firma wurde zum Ziel eines Ransomware-Angriffes. Spezialisten sowie IT-Forensiker arbeiten noch immer daran, die Systeme gänzlich wiederherzustellen.

publiziert am 8.12.2022
image

Apple riegelt seine Cloud ab und wirft den Schlüssel weg

Der Konzern plant ein rigides Verschlüsselungssystem für den hauseigenen Cloudspeicher. Usern gefällt das, den US-Straf­verfolgungs­behörden hingegen nicht.

publiziert am 8.12.2022