Entschlüsselung des Cyberangriffs auf Jaguar Land Rover
Prayukth KV
Entschlüsselung des Cyberangriffs auf Jaguar Land Rover
In einem bedeutenden Cybervorfall musste das führende Automobilunternehmen Jaguar Land Rover letzte Woche einen Cyberangriff verzeichnen, der zur erzwungenen Abschaltung von Systemen an mehreren Standorten führte. Das Unternehmen bemüht sich nach Kräften, die betroffenen Systeme neu zu starten. Der Vorfall beeinträchtigte hauptsächlich die Produktion, einschließlich der Herstellung von Ersatzteilen, was den Service für Fahrzeuge aufgrund fehlender Teile beeinträchtigte.
Was ist also schiefgelaufen?
Laut Quellen und Jaguar Land Rover begann der Vorfall damit, dass das Unternehmen eine „unerlaubte Eindringung“ in ihr Netzwerk entdeckte. Die Eindringung wurde entdeckt, als auf einem peripheren Netzwerk ungewöhnliche Aktivitäten festgestellt und von einem Mitarbeiter gemeldet wurden. Jaguar Land Rover leitete daraufhin eine Reihe von Maßnahmen im Rahmen ihrer Vorfallreaktionspolitik ein, um die Eindringung einzudämmen, darunter:
· Abschaltung von Systemen
· Sperrung von Zugriffen und Berechtigungen auf betroffene Systeme
· Stilllegung von Produktionslinien mit verbundenen Systemen
· Einleitung einer internen Untersuchung
· Einbeziehung externer Agenturen für eine detailliertere forensische Untersuchung
Analyse des Angriffs und des dahinter stehenden Bedrohungsakteurs
Die Ursprünge des Angriffs lassen sich auf eine Social-Engineering-/Vishing-Kampagne zurückführen, die der Bedrohungsakteur ShinyHunters vor einigen Wochen durchführte. ShinyHunters ist bekannt dafür, weltweit bekannte Marken über Kampagnen hinweg zu attackieren. Die Gruppe begann ihre Aktivitäten, indem sie bekannte Schwachstellen über Cloud-Anwendungen und eingeschränkte Datenbanken ausnutzte, und entschied sich dann, die Richtung zu ändern, als sie bemerkte, dass ihre Aktivitäten nicht die gewünschten Ergebnisse erzielten.
ShinyHunters, in Zusammenarbeit mit einem weiteren Bedrohungsakteur Scattered Spider, begann dann, große Datenbankmanager der Unternehmen ins Visier zu nehmen, um relevantere Daten und Anmeldedaten zu erhalten. Scattered Lapsus$ Hunters (AKA SCATTERED SP1D3R HUNTERS AKA THE COMHQ), eine Gruppe innerhalb von ShinyHunters, entschied sich, die von ShinyHunters gestohlenen Datenbanken zu nutzen, um groß angelegte Ransomware-Kampagnen zu führen, die auf große globale Marken abzielen. Eine dieser Kampagnen trug zu diesem Angriff auf Jaguar Land Rover bei.
Scattered Lapsus$ Hunters ist nichts anderes als eine weitere Markenidentität von ShinyHunters und möglicherweise eine umbenannte Variante von AlphV. Die ständige Umbenennung dient dazu, Strafverfolgungsbehörden zu beschäftigen, indem sie leere Spuren verfolgen. Tatsächlich, wenn man die Kommunikation dieser drei Bedrohungsgruppen analysiert, gibt es nur wenig Anstrengung, ihren gemeinsamen Ursprung zu verbergen.
Es könnte sehr wohl sein, dass diese drei Gruppen nicht nur Mitglieder teilen, sondern auch unter einem einzigen Banner unter einer gemeinsamen Führungsriege operieren. Da Scattered Lapsus$ Hunters auch Ransomware-as-a-Service betreibt, ist es möglich, dass gestohlene Anmeldedaten aktiv von dieser Gruppe gehandelt werden.
Scattered Lapsus$ Hunters hat auch eine Erpressungsdrohung an Google gestellt, in der sie fordern, zwei wichtige Sicherheitsforscher zu entlassen und eine laufende Untersuchung gegen sie einzustellen, um ein mögliches Datenleck zu vermeiden. Sie sind auch dafür bekannt, Kampagnen in sozialen Medien durchzuführen, um ihre nächsten Ziele zu bestimmen. In einer kürzlich durchgeführten Kampagne fragten sie ihre Follower, ob sie das weltweit größte Getränkeunternehmen und einen Lebensmittellieferdienst in Indien ins Visier nehmen sollten. Beide Unternehmen wurden anschließend von der Gruppe angegriffen.
TTP
· Erste Zugangsebene oder Initialzugang: Bereitstellung von OAuth-Apps über Testkonten, gefolgt von kompromittierten Konten aus nicht verwandten Organisationen.
· Vishing und gezieltes Social Engineering: Anrufe bei Schlüsselmitarbeitern mithilfe von KI-generierten Stimmproben und durch Nachahmung von Helpdesk/Support
· Datendiebstahl: Exfiltration erfolgt über entwickelte Python-Skripte, die DataLoader-Aktivitäten nachahmen.
· Genutzte Infrastruktur: Vishing-Anrufe werden über VPN-IPs geleitet, während Daten über TOR-Endknoten übertragen werden.
· Bedrohungen: Erste Bedrohungen könnten einfach und direkt sein, gefolgt von einer Forderung nach sofortiger Zahlung an den CEO der Opferorganisation
Unsere Theorie, wie der Angriff ablief und wie er sich entwickelte
Daten aus früheren Angriffen, die von Scattered Lapsus$ Hunters und anderen Bedrohungsakteuren durchgeführt wurden, wurden verwendet, um einen Angriff auf bestimmte Segmente der Infrastruktur von Jaguar Land Rover durchzuführen. Zusätzlich wurde ein Vishing-Angriff auf das CRM durchgeführt. Der CRM-Angriff legte gemeinsame Anmeldedaten offen, die dann verwendet wurden, um Anwendungen über VPN-basierten Zugriff zu manipulieren und zu nutzen.
Sobald der Angriff erfolgreich war, begann der Bedrohungsakteur, sein TTP-Playbook zu befolgen, um sich über das Netzwerk von JLR zu bewegen und Berechtigungen über ein oder mehrere Schlüsselanwendungen zu eskalieren. Mehrere Anfragen zum Datendiebstahl wurden dann gelöscht, indem TOR-IP-Adressen verwendet wurden. TOR-Verkehr könnte mit regulärem Verkehr vermischt worden sein, um eine Erkennung zu vermeiden. Daten wurden möglicherweise auch über TOR-Endknoten exfiltriert.
Sobald die Kernanwendungen zugänglich waren und die Daten exfiltriert waren, setzte der Akteur eine modulare Ransomware ein und löste sie aus, um die ersten beiden Phasen des Angriffs abzuschließen. Die Verschlüsselung der Daten alarmierte die Sicherheitsteams im Unternehmen über den Verstoß, und dann wurden rasch Maßnahmen ergriffen, um den Verstoß zu kontrollieren und Systeme zu isolieren.
Aufgrund der verzögerten Erkennung breitete sich der Angriff über das Unternehmen aus, stützte sich auf ERP und andere verbundene Anwendungen.
Was kann also getan werden, um Ihre Infrastruktur vor solchen Angriffen zu schützen?
· Bewertung der Anwendungsintegration: Anwendungen sollten als Knoten betrachtet werden, die von Bedrohungsakteuren manipuliert werden können, und Privilegien sollten nur nach dem Prinzip der Erforderlichkeit vergeben und bei Nichtverwendung widerrufen werden.
· Authentifizierung von Anfragen telefonisch: Jede telefonische Anfrage muss durch mindestens zwei weitere Offline-Authentifizierungsmodi authentifiziert werden, bevor die Anfrage gewährt wird.
· Annahme eines Null-Toleranz-Ansatzes bei Risiko: Jeder verbleibende Datastress sollte gemindert werden und darf nicht als „akzeptables Risiko“ im Risikoregister verbleiben.
· Durchführung einer spezifischen Risikobewertung durch Dritte und Vorfallreaktion: Dies kann durchgeführt werden, um Ihre Anfälligkeit für einen oben genannten Angriffstyp zu überprüfen.
Sprechen Sie mit unserem Experten für Cybervorfälle oder vereinbaren Sie eine kostenlose Beratung mit unserem Drittanbieterrisikoberater.
Lesen Sie unseren Blog über OT-Schwachstellenmanagement.
Wöchentlich erhalten
Ressourcen & Nachrichten
Dies könnte Ihnen auch gefallen.
Wie iranische Bedrohungsakteure ohne Konnektivität operieren
Prayukth K V
Während globale Konflikte eskalieren, ändern sich die APT-Strategien leise.
Prayukth K V
Iranische Bedrohungsakteure kehren zurück; eigentlich waren sie nie weg
Prayukth K V
NERC CIP-015-2 Erklärt: Erweiterung von INSM auf EACMS und PACS
Team Shieldworkz
Sicherung kritischer Infrastrukturen vor APT-Gruppen während geopolitischer Ereignisse
Prayukth K V
Entschlüsselung der strategischen Zurückhaltung iranischer Cybergruppen
Team Shieldworkz
