Die Linux Foundation hat gemeinsam mit zahlreichen Tech-Unternehmen und Finanzinstituten die Initiative Akrites gestartet. Ziel ist es, den Umgang mit Sicherheitslücken in wichtiger Open-Source-Software zentral zu koordinieren, sie vertraulich mit den jeweiligen Projektverantwortlichen zu beheben und erst anschließend offenzulegen. Hintergrund ist die wachsende Sorge, dass moderne KI-Modelle Schwachstellen deutlich schneller finden als bisher und damit den Zeitdruck für Verteidiger erheblich erhöhen.

Zu den Gründungsmitgliedern gehören unter anderem Amazon Web Services, Anthropic, Cisco, Google, IBM, Microsoft, GitHub, Nvidia, OpenAI, Red Hat sowie JPMorganChase, Citi und Vodafone. Die beteiligten Unternehmen wollen Personal, Sicherheitswissen und finanzielle Mittel bereitstellen.

Reaktion auf KI-gestützte Schwachstellenanalyse

Nach Angaben in der Ankündigung der Linux Foundation verändert generative KI die Sicherheitslandschaft grundlegend. Während die Suche nach schwerwiegenden Sicherheitslücken bislang viel Fachwissen und oft Wochen an Analyse erforderte, könnten leistungsfähige KI-Modelle große Open-Source-Projekte inzwischen innerhalb weniger Minuten auf potenzielle Schwachstellen untersuchen. Dadurch verkürze sich die Zeit zwischen dem Auffinden einer Lücke und ihrer möglichen Ausnutzung erheblich.

Akrites soll diese Entwicklung mit einem gemeinsamen Sicherheitsprozess beantworten. Statt dass mehrere Unternehmen dieselbe Schwachstelle unabhängig voneinander melden oder unterschiedliche Patches entwickeln, bündelt die Initiative die Koordination. Kern des Projekts sind ein gemeinsames Security Incident Response Team (SIRT) sowie ein einheitlicher Prozess zur koordinierten Offenlegung von Sicherheitslücken (Coordinated Vulnerability Disclosure, CVD). Die beteiligten Organisationen wollen bestätigte Schwachstellen gemeinsam mit den Upstream-Maintainern beheben, bevor Details veröffentlicht werden.

Maintainer sollen entlastet werden

Ein Schwerpunkt liegt auf der Zusammenarbeit mit den Entwicklern der betroffenen Open-Source-Projekte. Laut Linux Foundation sollen Fehlerbehebungen grundsätzlich in die Originalprojekte zurückfließen. Maintainer behalten die Kontrolle über ihre Projekte und sollen nicht mit mehrfachen oder widersprüchlichen Sicherheitsmeldungen belastet werden.

Für Pakete, die nicht mehr aktiv gepflegt werden, sieht Akrites zudem eine Rolle als „Maintainer of Last Resort“ vor. In solchen Fällen soll die Initiative Korrekturen für aktuelle Versionen bereitstellen, damit kritische Sicherheitslücken auch dann geschlossen werden können, wenn ursprüngliche Entwickler nicht mehr verfügbar sind.

Aufbau auf bestehenden Sicherheitsstandards

Technisch setzt Akrites auf etablierte Verfahren und Standards der IT-Sicherheitsbranche. Dazu zählen unter anderem CVE zur Identifikation von Schwachstellen, CVSS zur Bewertung ihrer Schwere sowie CWE zur Klassifizierung von Schwachstellentypen. Dadurch soll sich die Initiative in bestehende Prozesse von Softwareherstellern, Sicherheitsforschern und Betreibern kritischer Infrastruktur einfügen.

Die Anschubfinanzierung übernimmt Alpha-Omega, ein Förderfonds der Linux Foundation für Open-Source-Sicherheit. Weitere Unternehmen und Organisationen können sich beteiligen, indem sie Entwicklerkapazitäten oder finanzielle Mittel bereitstellen. Parallel zum Start hat die Initiative einen offenen Brief veröffentlicht, in dem die Gründungsmitglieder zu einer gemeinsamen Absicherung der Open-Source-Infrastruktur aufrufen.

(fo)

Microsoft hat eine Angriffswelle auf das Hotel- und Gastgewerbe in Asien und Europa beobachtet. Sie läuft bereits seit April dieses Jahres. Die Quelle der Angriffe mag Microsoft jedoch nicht genau einordnen – es bleibt unklar, wer hinter den Attacken steckt.

Microsoft berichtet in einem Blogbeitrag, dass die Malware-Kampagne auf .zip-Dateien mit Foto-Namensschema setzt. Die laden potenzielle Opfer mit dem Webbrowser herunter. In den Archiven finden sich Shortcut-Dateien (Verknüpfungen), die als Bilder getarnt sind. Sofern ein Opfer diese etwa mittels Doppelklick startet, fangen diese eine Angriffskette an, die auf verschleierter PowerShell fußt. In der Folge installiert sie ein Node.js-Implantat, nistet sich zweifach in der Registry ein, um Persistenz zu erreichen und kommuniziert mit den Command-and-Control-Servern (C2) über Ports abseits der Standardports.

Kampagnen-Ziel unklar

Die IT-Sicherheitsforscher von Microsoft führen weiter aus, dass die Täter die betroffenen Maschinen nach der Infektion am C2-Server anmelden. Teils erzwingen sie das Herunterfahren der Systeme. Außerdem kompilieren sie Binärdateien im Portable-Executable-Format (PE). Allerdings bleibt den IT-Forschern zufolge unklar, was das eigentliche Ziel der Angreifer ist. Durch die Verschleierung und das Einnisten gehen sie jedoch davon aus, dass sie Nachfolge-Aktivitäten auf den kompromittierten Systemen planen.

Die Drahtzieher hinter der Kampagne haben im Mai dieses Jahres legitime Dienste missbraucht, um Phishing-E-Mails an die Opfer zu senden. Darunter die Cloud-Plattform Calendly und Googles URL-Redirector-Dienst. In Anlehnung an „Geldwäsche“ bezeichnen Microsofts IT-Forscher das als „Authentifizierungswäsche“. Die Phishingmails erhalten dadurch einen seriöseren Anstrich. Die Betrugsmails waren mehrsprachig, mit unterschiedlichen Ködern und Betreffzeilen. Thematisch gaben die Angreifer vor, es gehe um Beschwerden von Gästen und Zimmeranfragen. Das soll die Angestellten der Hotel- und Gastwirtschaftsbetriebe dazu bringen, die E-Mails zu lesen und die enthaltenen bösartigen Links und Dateien zu öffnen.

In den zwei beobachteten Wellen der Kampagne kamen zunächst bösartige Dateien nach dem Namensschema „IMG.png.lnk“ zum Einsatz, in der zweiten hingegen „PHOTO.png.lnk“. Die zweite Welle war noch etwas ausgefeilter und kompiliert dynamisch eine .NET-DLL mittels „csc.exe“. Die C2-Infrastruktur haben die Täter zudem auf „.cfd“-Domains ausgeweitet, die hinter Cloudflare-Schutz gehostet werden. Der Blogbeitrag beschreibt die einzelnen Stufen der Angriffe für Interessierte im Detail.

Während Microsofts IT-Forscher sich nicht sicher sind, was die Angreifer bezwecken, fällt die Kampagne in die Zeit, in der viele Menschen ihren Urlaub buchen. Uns erreichen noch immer zahlreiche Hinweise, dass Leser nach Buchung eines Hotelzimmers Phishing-WhatsApp-Nachrichten mit echten Daten und Bezug auf die Buchung erhalten. Im März hatten etwa die Best Western Hotels vor Cyberangriffen auf touristische Buchungssysteme gewarnt. Im April wurde bekannt, dass auch bei Booking.com Zugriffe von unbefugten Kriminellen entdeckt wurden.

(dmk)

Das US-Justizministerium hat fast 400 Internet-Domains beschlagnahmt, über die Spiele der Fußball-Weltmeisterschaft 2026 illegal per Streaming übertragen wurden. Die Seiten sollen gegen Urheberrecht verstoßen haben, teilte die Behörde am Freitag mit.

Die Aktion läuft unter dem Namen „Operation Offsides“. Der Beschlagnahmungsbeschluss wurde nach Angaben aus der Mitteilung des Justizministeriums am Eastern District of Virginia eingereicht. Ermittler bestätigten zuvor, dass über die Domains laufende WM-Spiele in Echtzeit übertragen wurden.

Hinweise von FIFA und Sendern

Identifiziert wurden die Domains mit Hilfe der FIFA. Zusätzliche Hinweise lieferten die Sender beIN Media Group und NBCUniversal, die Anti-Piraterie-Allianz ACE der Motion Picture Association, die Kampfsport-Liga UFC und Warner Bros., schreibt das US-Justizministerium. Die FIFA hält die Rechte an der Fußball-WM 2026, die von den USA, Kanada und Mexiko ausgerichtet wird.

Die US-Behörden warnen Nutzer illegaler Streaming-Seiten vor erheblichen Risiken: Solche Angebote setzten Besucher Schadsoftware und unsicheren Verbindungen aus, über die persönliche und finanzielle Daten abgegriffen werden könnten.

Fünfmal so groß wie 2022

Es handelt sich bereits um die zweite „Operation Offsides“: Bei der ersten Operation während der WM 2022 in Katar beschlagnahmten die Behörden 78 Domains, berichtet Tom’s Hardware. Dass die WM 2026 in Nordamerika stattfindet, gibt den US-Behörden mehr rechtlichen Spielraum als beim Turnier in Katar.

Über das ICHIP-Netzwerk (International Computer Hacking and Intellectual Property) koordinierte das Justizministerium zudem Maßnahmen mit dem Ausland. Server und Domains wurden etwa in Peru und Bulgarien ins Visier genommen, die das Ministerium als Zentren der Online-Piraterie bezeichnet. Auch in Kroatien, Rumänien, Polen und Kolumbien wurden Server abgeschaltet. Zuvor gelang europäischen Behörden mit der Operation KRATOS 2 ein Schlag gegen Streaming-Netzwerke. Europol meldete 29 Festnahmen gegen illegales Streaming.

Keine offizielle Liste

Eine Liste der betroffenen Domains hat das Justizministerium nicht veröffentlicht. Das Branchenportal TorrentFreak hat allerdings mehrere abgeschaltete Websites identifiziert, darunter bekannte Sport-Streaming-Seiten wie Rojadirecta und istreameast.app.

Betreiber illegaler Streams wechseln bei einer Beschlagnahmung meist auf vorbereitete Ersatz-Domains und verteilen neue Links über soziale Netzwerke.

(dahe)