Im Zusammenhang mit Angriffen auf britische Unternehmen haben Strafverfolger vier mutmaßliche Mitglieder der Bande „Scattered Spider“ festgenommen. Einer 20 Jahre alten Frau, zwei 19-jährigen Männern und einem Siebzehnjährigen werfen die Ermittler Computermissbrauch, Erpressung, Geldwäsche und Mitgliedschaft in einer kriminellen Organisation vor.

Die vier Verdächtigen sollen Mitglieder einer Gruppe namens „Scattered Spider“ sein, die in den vergangenen Monaten mehrere Einzelhandelsunternehmen lahmlegte. Vor allem die Kaufhauskette „Marks & Spencer“, Betreiberin hunderter Filialen in Großbritannien, litt unter den Angriffen und stellte Ende April sogar ihr Onlinegeschäft vorübergehend ein. Der Angriff kostete das Unternehmen Berichten zufolge bis zu 300 Millionen Pfund. Auch die Traditionsmarke Harrods und die Supermarktkette Co-Op Group beklagten Angriffe durch mutmaßliche Scattered-Spider-Mitglieder.

Die Gruppe ist personell mit Lapsus$ verbandelt, einer ebenfalls in Großbritannien aktiven kriminellen Cybergang, die sich ähnlicher Methoden bedient. Auch im Fall des Angriffs auf Marks & Spencer kam SIM-Swapping auf einen Dienstleister zum Einsatz, also die widerrechtliche Vervielfältigung von Mobilfunkkarten. Meist geht dem ein betrügerischer Anruf beim jeweiligen Mobilfunkanbieter voraus, in dem etwa der Diebstahl oder Verlust der Original-SIM behauptet und der zuständige Kundendienstmitarbeiter übertölpelt wird. SIM-Swapping ist in den USA und Großbritannien verbreitet, in Deutschland jedoch keine große Gefahr, wie uns Mobilfunkbetreiber bestätigten.

Erpressung und Datenklau

Die Bande bedient sich vorwiegend der Methoden aus dem Werkzeugkasten des Social Engineering, um sich in Unternehmensnetze einzumogeln. Dann exfiltrieren die Kriminellen Daten und erpressen ihre Opfer – ein Geschäftsmodell, auf das sich neuerdings auch Ransomware-Banden spezialisieren. Die Verschlüsselung von Daten, wie klassische Ransomware sie vornimmt, scheint nicht Teil des Scattered-Spider-Instrumentariums zu sein.

Der Journalist Brian Krebs hat die Bande und ihre Verbündeten von Lapsus$ seit Jahren im Auge. Er gibt an, dass einer der nun Festgenommenen bereits im April 2022 in einem internen Chat der Gruppe namentlich erwähnt und mutmaßlich bereits damals beim SIM-Swapping erwischt worden war. Wie Krebs schreibt, hatte der Nachwuchskriminelle seine Mittäter gebeten, Vorsicht walten zu lassen, um bei seinen Eltern keinen neuen Verdacht zu erregen. Offenbar war der mittlerweile 19-Jährige damals erst sechzehn Jahre alt. Sieben Mitglieder von Lapsus$ in Großbritannien waren im Jahr 2022 verhaftet worden, gegen fünf US-amerikanische Verdächtige erhoben Staatsanwälte im Jahr 2024 Anklage.

Die in Großbritannien kürzlich festgenommenen bleiben vorerst in Haft, teilte die National Crime Agency (NCA) mit. Ihre elektronischen Geräte seien beschlagnahmt worden und würden derzeit analysiert. Den betroffenen Unternehmen dankte die NCA für die Unterstützung bei den Ermittlungen.

(cku)

Eine international agierende Hackergruppe soll in Deutschland mindestens 170 Cyberangriffe verübt haben. „Ziel waren insbesondere Behörden, Krankenhäuser und größere Unternehmen“, teilten die Ermittler zu den Taten zwischen 2018 und 2021 mit. „Der bislang dokumentierte Schaden beträgt 46 Millionen Euro – die tatsächliche Summe liegt vermutlich höher.“

Auslöser der Ermittlungen war ein Cyberangriff auf die Stadt Neustadt am Rübenberge (Region Hannover) im August 2019, der die Verwaltung monatelang lahmlegte. Die Täter forderten damals eine hohe Summe in Bitcoin und drohten andernfalls mit der Löschung sämtlicher Daten. Ermittlungen ergaben, dass sich die Angreifer offenbar über Wochen Zugriff auf die Systeme verschafft hatten.

Internationale Haftbefehle gegen sechs Verdächtige

Die Staatsanwaltschaft Verden und die Polizeidirektion Hannover suchten mit Behörden weltweit nach den Tätern. Sie regten nach eigenen Angaben internationale Haftbefehle gegen sechs Verdächtige an. Zwei von ihnen sollen hinter dem Angriff auf Neustadt am Rübenberge stecken. Außerdem fahnden die Ermittler nach fünf mutmaßlichen Geldwäschern.

Die Angreifer gelten als Teil des sogenannten „Wizard Spider“-Netzwerks – einer internationalen Gruppe, die unter anderem in Russland verortet wird.

(dmk)

„PerfektBlue“ haben IT-Sicherheitsforscher eine Kombination aus Bluetooth-Sicherheitslücken in einem Bluetooth-Stack genannt, der in mehreren Auto-Entertainment-Systemen zum Einsatz kommt. Die Entdecker schreiben von „kritischen Lücken, die Over-the-Air-Angriffe auf Millionen Geräten in Autos und anderen Branchen“ ermöglichen. Die Gefahr ist jedoch im Regelfall deutlich geringer als angedeutet.

Ein IT-Forscher-Team von PCA Cybersecurity hat die Schwachstellen in dem OpenSynergy Bluetooth Protocol Stack (BlueSDK) aufgespürt und analysiert. Dieser Stack kommt etwa in der Autobranche zum Einsatz, aber auch für andere – nicht erforschte – Geräte, etwa im IoT-Bereich. Darin klafften bis in den September 2024 die vier Sicherheitslücken, die OpenSynergy mit Patches korrigiert und an die betroffenen Hersteller verteilt hat.

PerfektBlue: Vier Sicherheitslücken in Kombination

Die IT-Sicherheitsforscher haben vier Schwachstellen ausgemacht. Die gravierendste stammt daher, dass das BlueSDK die Existenz eines Objekts nicht prüft, bevor es darauf Operationen vornimmt – eine Use-after-free-Lücke. Das mündet darin, dass eingeschleuster Schadcode ausführbar ist (CVE-2024-45434 / noch kein EUVD, CVSS 8.0, Risiko „hoch„). Hier weicht PAC Security von der CVSS-Einstufung ab und behauptet, die Lücke sei gar kritisch. Eine weitere Lücke lässt sich zur Umgehung einer Sicherheitsprüfung in RFCOMM und der Verarbeitung eingehender Daten missbrauchen (CVE-2024-45433 / noch kein EUVD, CVSS 5.7, Risiko „mittel„).

Zudem nutzt das BlueSDK in der RFCOMM-Komponente eine falsche Variable als Funktionsargument, was unerwartetes Verhalten oder ein Informationsleck erzeugt (CVE-2024-45432 / noch kein EUVD; CVSS 5.7, Risiko „mittel„). Die L2CAP-Channel-ID (CID) prüft das BlueSDK nicht korrekt, wodurch Angreifer einen L2CAP-Kanal mit Null-Identifier als Remote CID anlegen können – die IT-Forscher erklären jedoch nicht, inwiefern das problematisch ist (CVE-2024-45431 / noch kein EUVD, CVSS 3.5, Risiko „niedrig„).

Die IT-Sicherheitsforscher haben die Schwachstellenkombination auf Infotainment-Systemen von Mercedes Benz (NTG6 Head Unit), Volkswagen (MEB ICAS3 Head Unit) und Skoda (MIB3 Head Unit) getestet und verifiziert. Nicht genannte OEMs sollen ebenfalls anfällig sein. Auffällig ist, dass recht alte Firmware-Stände und Geräte getestet wurden. Es seien aber auch neuere Modelle anfällig, erklären die PAC-Mitarbeiter. Laut Timeline sollten etwa ab September 2024 fehlerkorrigierende Updates von den Autoherstellern verteilt werden.

Die Sicherheitslücken erlauben den Einbruch in verwundbare Infotainment-Systeme. Die Hersteller verteilen in der Regel Aktualisierungen Over-the-Air (OTA), sofern die PKW-Besitzer entsprechende, üblicherweise mit beschränkter Laufzeit versehene Verträge unterschrieben haben. Diese Updates müssen Nutzer in der Regel aber auch aktiv akzeptieren und installieren lassen. Das sollten Betroffene jetzt gegebenenfalls nachholen. Wer keine OTA-Update-Möglichkeit hat, muss für die Aktualisierung einen Termin in der Werkstatt machen oder eine Aktualisierung über USB vornehmen.

Gefährdungseinschätzung von PerfektBlue

Sofern Firmen, die das BlueSDK nutzen und ein sehr niedriges Sicherheitsprofil oder „Just Works“-SSP-Modus dafür konfigurieren, ließen sich die Lücken ohne vorheriges Pairing missbrauchen. Das machen aber zumindest die PKW-Hersteller nicht. Dort ist Bedingung, dass ein Angreifer-Gerät mit dem Infotainment-System gekoppelt wird.

In einer Stellungnahme gegenüber heise online nennt VW das auch als eine der großen Hürden, die ein Ausnutzen der Schwachstellen unwahrscheinlich macht. Das Infotainment-System muss zunächst in den Pairing-Modus versetzt werden. Das passiert in der Regel lediglich einmalig. VW unterstellt zudem, dass Angreifer maximal fünf bis sieben Meter vom angegriffenen Wagen entfernt sein dürften. Diese Zahl lässt sich jedoch mit diversen Ansätzen weiter dehnen. Ein Start-up aus den USA will angeblich Bluetooth-Verbindungen zu Satelliten hergestellt haben.

Dann müssen potenzielle Opfer außerdem der Kopplung des Angreifer-Geräts zustimmen. In der Regel findet eine Kopplungsanfrage unter Anzeige einer Nummer an, die dann mit dem eigentlich in dem Moment zum Koppeln vorgesehenen Gerät nicht übereinstimmt.

Hürdenlauf

Wenn diese Hürden genommen sind, ist der Einbruch in die verwundbaren Infotainment-Systeme möglich. Angreifer können eigenen Code darauf ausführen. Volkswagen schreibt dazu: „Die Untersuchungen haben außerdem ergeben, dass die Fahrzeugsicherheit zu keinem Zeitpunkt betroffen ist, ebenfalls hat es keine Auswirkungen auf die Integrität des Autos. Eingriffe auf Fahrzeugfunktionen, die über das Infotainment hinausgehen, sind nicht möglich, z.B. also keine Lenkeingriffe, keine Eingriffe in Fahrerassistenzsysteme oder Motor- oder Bremsfunktionen. Diese liegen im Fahrzeug auf einem anderen Steuergerät, welches über seine eigenen Sicherheitsfunktionen ggü. Eingriffen von außen geschützt ist“. Es gebe zudem keine Hinweise, dass die Lücken in freier Wildbahn missbraucht würden.

Der Teil der Einschätzung ist zumindest fragwürdig. Bislang bekannt gewordene Angriffe auf Fahrzeugtechnik gelangen oftmals etwa über einen initialen Einbruch in das Infotainment-System, das mit CAN-Bus/RS485 an weitere Kfz-Elektronik und Steuergeräte angebunden ist. Über den CAN-Bus lassen sich etwa auch Autos starten.

In dem Kontext mit „PerfektBlue“ ist es jedoch weitgehend müßig, über solche Auswirkungen zu sinnieren. Es ist ziemlich unwahrscheinlich, dass die Bedingungen für einen erfolgreichen Angriff vorherrschen. Dennoch sollten PKW-Besitzer sicherstellen, dass sie die Firmware ihrer Head-Units auf den aktuellen Stand bringen.

(dmk)