IKRK: Es handelt sich um einen "zielgerichteten Cyberangriff"

16. Februar 2022, 10:29
  • security
  • cyberangriff
  • schweiz
  • Robert Mardini
image
IKRK-Generaldirektor Robert Mardini. Foto: IKRK

Der IKRK-Generaldirektor äussert sich zur Attacke auf das Rote Kreuz. Daten von über 515'000 Menschen seien gehackt worden. Auch bekannt ist die Schwachstelle, die ausgenutzt wurde.

Beim Cyberangriff auf das Internationale Komitee vom Roten Kreuz (IKRK) soll es sich um ein "ausgeklügeltes" und "zielgerichtetes" kriminelles Werk gehandelt haben. Sensible Daten seien aber bis jetzt nicht an die Öffentlichkeit gelangt.
In einem offenen Brief schreibt IKRK-Generaldirektor Robert Mardini: "Wir wissen, dass der Angriff gezielt war, weil die Angreifer Code erstellt haben, der ausschliesslich für die Ausführung auf den betroffenen IKRK-Servern entwickelt wurde, eine Technik, von der wir glauben, dass sie entwickelt wurde, um die Aktivitäten der Hacker vor der Entdeckung und anschliessenden forensischen Untersuchungen zu schützen."
Die Schadsoftware sei mit ausgeklügelten Verschleierungstechniken versteckt worden. Danach hätten sich die Hacker als legitime Nutzer ausgegeben und sich so vor einer Entdeckung geschützt.

Ungepatchte Schwachstelle in Authentifizierungsmodul

In einem separaten Update zum Angriff nennt das IKRK weitere Details zum Vorgehen der Angreifer: "Die Anti-Malware-Tools, die wir auf den betroffenen Servern installiert hatten, waren aktiv und konnten einige der von den Angreifern verwendeten Dateien erkennen und blockieren. Die meisten der eingesetzten bösartigen Dateien waren jedoch speziell dafür konzipiert, unsere Anti-Malware-Lösungen zu umgehen, und erst als wir im Rahmen unseres geplanten Verbesserungsprogramms fortschrittliche EDR-Lösungen (Endpoint Detection and Response) installierten, wurde dieses Eindringen entdeckt." Eingedrungen seien die Angreifer über eine "ungepatchte kritische Schwachstelle in einem Authentifizierungsmodul". Die Lücke "CVE-2021-40539" betrifft eine Passwortverwaltungs- und Single-Sign-On (SSO)-Lösung des indischen Unternehmens Zoho. "Diese Schwachstelle ermöglicht es böswilligen Cyber-Akteuren, Web-Shells zu platzieren und Aktivitäten nach der Ausnutzung durchzuführen, wie z. B. die Kompromittierung von Administrator-Anmeldeinformationen, laterale Bewegungen und die Exfiltration von Registrierungs- und Active-Directory-Dateien."

Datenabfluss ab November 2021

Bei dem Angriff auf die Server des IKRK wurden ab dem 9. November 2021 die personenbezogenen Daten von über 515'000 Menschen gehackt. Entdeckt wurden die Unregelmässigkeiten erst 70 Tage später im Januar 2022. Wer hinter dem Angriff steht, ist zurzeit noch nicht bekannt.
Gestohlen worden seien die Daten von vermissten Personen und ihren Familien, von Inhaftierten und anderen Personen, denen das IKRK bei bewaffneten Konflikten, Naturkatastrophen oder Migration geholfen habe. Diese Menschen müssten nun schnellstmöglich informiert werden, sei es per Telefon, Hotlines, Briefe oder persönliche Besuche. Denn es sei die höchste Priorität des IKRK, mögliche Risiken für sie zu vermeiden.
Das IKRK bedauere zutiefst, dass diese sensiblen Daten bei dem "inakzeptablen Angriff" kompromittiert worden seien. Die Kontakte mit Regierungen und nicht-staatlichen Akteuren würden nun intensiviert, und das IKRK verlange dabei, dass der Schutz des humanitären Auftrags auch für die Daten und die Infrastruktur gelte.

IKRK arbeitet zurzeit mit Low-Tech-Lösungen

Es sei zwar kein Lösegeld gefordert worden. Doch man müsse davon ausgehen, dass die Daten kopiert und exportiert worden seien. In der Zwischenzeit habe das IKRK die Arbeit zur Auffindung von vermissten Familienmitgliedern wieder aufgenommen.
"Wir haben es geschafft, durch Low-Tech-Lösungen (z. B. unter Verwendung einfacher Tabellenkalkulationen) sicherzustellen, dass die lebenswichtige Arbeit der Suche nach vermissten Familienmitgliedern fortgesetzt wurde, wenn auch auf minimalem Serviceniveau, während wir darauf hinarbeiten, den vollen Service mit verbesserten Sicherheitsfunktionen wieder aufzunehmen", so Mardini im Brief.
Update 15.30 Uhr: Der Artikel wurde um weitere Details zum Vorgehen der Angreifer und die ausgenutzte Schwachstelle ergänzt.

Loading

Mehr zum Thema

image

Slack gibt Passwort-Fehltritt zu

Fünf Jahre lang hätten böswillige Angreifer unter Umständen Passwörter abgreifen können.

publiziert am 9.8.2022
image

In Zürich werden auch die Stühle smart

Im Rahmen von Smart City Zürich testet die Stadt neue Sensoren. Diese sollen an öffentlichen Stühlen Sitzdauer, Lärmpegel und mehr messen.

publiziert am 8.8.2022
image

Google wird bald Nachbar von AWS am Zürcher Seeufer

Google baut seine Büro­räumlichkeiten in Zürich weiter aus und zieht demnächst im ehemaligen Schweizer IBM-Hauptsitz ein. In der Nähe hat sich bereits AWS eingerichtet.

publiziert am 8.8.2022
image

IT-Security: Personalmangel ist das Problem, nicht das Geld

Laut einer internationalen Umfrage sehen Security-Verantwortliche nur bei jedem 10. Unternehmen Probleme wegen des Security-Budgets.

publiziert am 8.8.2022