Jelle Wieringa, Security Awareness Advocate bei KnowBe4
Die jüngste Kompromittierung des international erfolgreichen US-Fahrdienstleisters Uber dominiert nicht nur in Deutschland die Nachrichten in den IT-Medien. Es wird vermutet, dass es einem Hacker durch den Einsatz von Social-Engineering-Methoden gelang, sich Zugriff auf das gesamte Netzwerk von Uber zu verschaffen.
Der Angreifer soll bei diesem Vorfall in mehrere interne Systeme eingedrungen sein und sich administrativen Zugriff auf die Cloud-Dienste von Uber verschafft haben, unter anderem auf Amazon Web Services (AWS) und Google Cloud (GCP). Er selbst behauptet, eine vollständige Kompromittierung von Uber erreicht zu haben und hat Screenshots veröffentlicht, auf denen er volle Administratorrechte auf AWS und GCP besitzt. Ein Sicherheitsingenieur bei Yuga Labs, der mit dem Hacker korrespondierte, hat diese Behauptungen bereits bestätigt, wobei das tatsächliche Ausmaß des Angriffs immer noch unklar ist.
Der Hacker, der laut eigenen Angaben erst 18 Jahre alt ist, hat zudem gegenüber der New York Times erklärt, dass der Angriff durch eine Textnachricht an einen Uber-Mitarbeiter initiiert wurde. Im Zuge dessen gab er sich als Mitarbeiter der IT-Abteilung des Unternehmens aus und überredete den Angestellten zur Preisgabe eines Passworts. So gelang es ihm, mit dem Einsatz dieser klassischen und simplen Social-Engineering-Technik, tief in die Systeme von Uber einzudringen. Er soll laut neuesten Angaben auch ein Mitglied der bekannten und äußerst erfolgreichen Hackergruppe Lapsus$ sein.
Mit Hilfe des Passworts konnte sich der Angreifer schließlich leicht Zugang zum internen VPN verschaffen. Im Unternehmensnetzwerk fand er hochprivilegierte Anmeldeinformationen auf Netzwerkdateifreigaben und nutzte diese, um auf alles zuzugreifen, einschließlich der Produktionssysteme, der EDR (Endpoint Detection and Response)-Konsole und der Slack-Verwaltungsoberfläche von Uber.
Fazit
Die Kombination aus Zero Trust und der Multi-Faktor-Authentifizierung scheint in der Sicherheitsbranche zu einem leeren Versprechen für totale Sicherheit geworden zu sein, aber der Vorfall bei Uber zeigt deutlich, wie anfällig auch dieser Ansatz für Sicherheitslücken ist. Nachdem sich die Angreifer Zugang zum Unternehmen verschafft hatten, konnten sie nach eigenen Angaben auf im Netzwerk freigegebene Ressourcen zugreifen. Umso wichtiger sind effektive Maßnahmen zur Vorbeugung solcher raffinierter Social-Engineering-Angriffe. Beim Social Engineering geht es darum, eine Person so zu manipulieren, dass sie tut, was der Bedrohungsakteur möchte. Das Fundament der Sicherheitsstrategie sollte deshalb ein umfassendes Training des Sicherheitsbewusstseins der Mitarbeiter bilden. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Die Anzahl der erfolgreichen Cyber-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden.
Weitere Artikel
NOBELIUM – russische Hacker setzen auf Social Engineering-Techniken
Web 3.0 stellt eine neue Angriffsfläche für Social Engineering und Phishing-Angriffe dar
„Exotic Lilly“ – Initial Access Broker Gruppe setzt auf Social Engineering
Cyberangriffskampagne schleust mehrere Remote Access Trojaner (RATs) über vertrauenswürdige Cloud-Dienste ein