Über kürzlich gehackte IT-Dienstleister seien etliche Bundes- und Landesbehörden akut in Gefahr, warnt das ITZ Bund. Gleiches gilt für Unternehmenskunden.

Mehrere IT-Dienstleister, die für die hiesigen Bundesbehörden arbeiten, sind von unbekannten Angreifern gehackt worden. Das geht aus einem Warnschreiben des Informationstechnikzentrums Bund (ITZ Bund) hervor, das dem Bayrischen Rundfunk vorliegt. Die Daten wurden wahrscheinlich bereits für weitere Angriffe genutzt.

Laut dem Warnschreiben von Ende April ist es den Angreifern “sehr wahrscheinlich” gelungen, große Mengen der E-Mail-Kommunikation der betroffenen IT-Dienstleister abzugreifen. Die E-Mails sollen neben personenbezogenen Daten wie Telefonnummern und Dienstsitze auch aktuelle Projekte und Mailverläufe mit angehängten Dokumenten enthalten haben.

Die entwendeten Daten könnten für Social-Engineering-Angriffe genutzt werden, um weitere Daten zu erhalten oder in Behördennetzwerke einzudringen. “Es gibt Hinweise, dass diese Attacken möglicherweise bereits begonnen haben”, schreibt das ITZ Bund. Es bestehe ein “hohes Risiko”, dass Beschäftigte versehentlich vertrauliche Dokumente weitergeben oder aber ermöglichen, dass Angreifer Daten und Code in die Systeme des ITZ Bund einspeisen.

“Das Schreiben diente als reine Vorsichtsmaßnahme und zur Sensibilisierung der Beschäftigten”, erklärte das ITZ Bund Golem.de. Es seien bisher keine Daten oder Informationen abgeflossen.

Das ITZ Bund ist für rund 200 Bundes- und Landesbehörden tätig und arbeitet selbst mit den betroffenen IT-Dienstleistern zusammen. Bei diesen handelt es sich laut dem Warnschreiben um das Unternehmen Adesso, das bereits im Januar gehackt wurde und für seinen Umgang mit dem Angriff erhebliche Kritik bekam.

Im März und April wurde bekannt, dass die beiden IT-Dienstleister Materna und Init ebenfalls gehackt wurden. Zu ihren Kunden zählen beispielsweise das Robert-Koch-Institut und die Autobahn GmbH des Bundes sowie die Bundesministerien des Innern und der Wirtschaft. Dennoch sieht das Bundesinnenministerium auf Nachfrage des BR keine unmittelbare Bedrohung für die IT-Sicherheit der Bundesverwaltung.

Der Geschäftsführer der Deutschen Cyber-Sicherheitsorganisation (DCSO), Andreas Rohr, rät die vom ITZ Bund versandte Warnung ernst zu nehmen. “Wenn man sich anschaut, dass das ITZ Bund oder Behörden das Ziel sind, würde man tatsächlich mit hoher Wahrscheinlichkeit einen nachrichtendienstlichen Hintergrund unterstellen.” Aus Sicherheitskreisen heißt es laut dem BR, dass noch unklar sei, wer hinter den Angriffen stecke.

Der Beitrag ITZ Bund warnt: IT-Dienstleister für Behörden und Unternehmen gehackt erschien zuerst auf Linux-Magazin.

Eine Ransomwaregruppe hat nach einem Hack etliche interne Daten von MSI veröffentlicht. Darunter auch private Schlüssel zum Signieren.

Bei einem Ransomware-Angriff auf den Hardware-Hersteller MSI haben die Angreifer auch dessen Bootguard-OEM- und Firmware-Signatur-Schlüssel erbeutet und nun veröffentlicht, wie die Sicherheitsfirma Binarly berichtet.

Bei der Analyse der geleakten Daten entdeckte Binarly etliche Schlüssel zum Signieren von Firmware sowie den OEM-Schlüssel für Intels Bootguard. Die Sicherheitsfirma dokumentiert eine Liste der betroffenen Geräte mitsamt einer Liste der öffentlichen Firmware-Signier- sowie Bootguard-Schlüssel auf Github.

Die privaten Schlüssel sind in den durch die Ransomwaregruppe Money Message geleakten Daten ebenfalls enthalten. Die Untersuchung des Datenlecks dauert laut Binarly jedoch noch an.

Mit den geleakten Schlüsseln könnten Angreifer signierte Firmware-Updates verteilen, die scheinbar von MSI stammen, jedoch Schadcode enthalten. Bereits im April warnte MSI seine Kunden vor der Installation von davor Firmware- und Bios-Updates aus anderen Quellen als der offiziellen MSI-Webseite herunterzuladen.

Ähnliches gilt für Intels Bootguard auf der betroffenen Hardware. Die Technik soll unautorisierte Veränderungen an Hardware und Bios beim Bootvorgang erkennen und so einen sicheren Bootprozess ermöglichen. Mit der Veröffentlichung der privaten Schlüssel dürfte dies zumindest auf Hardware des Herstellers MSI nicht mehr gegeben sein.

Offensichtlich hat MSI die zur Gewährleistung der Firmware- und Bootguard-Sicherheit notwendigen privaten Schlüssel nur unzureichend geschützt, da die Angreifer die Schlüssel wohl über das Internet aus dem Netzwerk des Herstellers exfiltrieren konnten. Durch die geleakten Schlüssel seien auch Geräte anderer Hersteller wie Lenovo, Intel oder Supermicro betroffen, schreibt Binarly auf Twitter.

Der Beitrag Firmware- und Bootguard-Schlüssel von MSI veröffentlicht erschien zuerst auf Linux-Magazin.