Support

Vier Chinesen wegen Equifax-Hack angeklagt

Vier Chinesen wegen Equifax-Hack angeklagt

Hacker sitzt vor zwei Laptops

Vier Chinesen wegen Equifax-Hack angeklagt

Nach Ansicht von US-Ermittlern sind chinesische Militär-Hacker für den Angriff auf den US-Scoring-Dienst Equifax verantwortlich. Über mehrere Monate sollen sie eine Sicherheitslücke im Webframework Apache Struts ausgenutzt haben. Nun wurde die Anklage erhoben.

Über 150 Millionen US-Bürger von Hack betroffen

Die US-Justiz hat den vier Angehörigen der chinesischen Volksbefreiungsarmee in ihrer Anklageschrift unter anderem das unerlaubte Eindringen in Computersysteme und Wirtschaftsspionage vorgeworfen. Laut US-Justizminister William Barr sind bei dem im September 2017 bekannt gewordenen Hack die Daten von mehr als 150 Millionen US-Bürgern entwendet worden. Diese Daten können von China für die Entwicklung nachrichtendienstlicher Angriffspakete und künstlicher Intelligenzen genutzt werden, so Barr.

Zu den Daten gehörten unter anderem:

  • Namen
  • Geburtsdaten
  • Sozialversicherungsnummern

Grundsätzlich gilt die Zuordnung von Cyber-Angriffen zu Tätern als schwierig. Die Angreifer sollen mehr als 34 Server in fast 20 Ländern genutzt haben, um ihre Spuren unkenntlich zu machen. Die Verbindung mit den Equifax-Servern soll über Microsofts Remote Desktop Protocol und SSH erfolgt sein. Um den Angriff möglichst unauffällig durchzuführen, hätten die Hacker alle Daten in kleine Pakete aufgeteilt und zusätzlich mit einer Verschlüsselung versehen.

Warum die vier Beschuldigten Wu Zhiyong, Wang Qian, Xu Ke, und Liu Lei an dem Angriff beteiligt waren, geht aus der Anklageschrift nicht hervor. Damit in Zusammenhang stehende Fragen müssen nun im Laufe der Verhandlung geklärt werden.

Ein Rückblick

Laut Anklageschrift haben die vier Hacker die Netzwerke von Equifax am 13. Mai 2017 infiltriert. Dabei nutzten sie eine Sicherheitslücke im Webframework Apache Struts mit der Bezeichnung CVE-2017-5638 aus. Entdeckt wurde der Hack Ende Juli 2017. In der Zwischenzeit sollen die Hacker unbemerkt die Daten der Equifax-Kunden abgegriffen haben.

Wie die vier Hacker den Angriff genau durchführten und wie sie das System im Vorfeld auf Schwachstellen untersuchten, können Sie in diesem umfassenden Wired-Artikel nachlesen.

Das Prekäre an dem Fall: Bereits am 8. März 2017 hatte das US-CERT (Computer Emergency Readiness Team) Equifax offiziell über eine Sicherheitslücke in Apache Struts informiert. Die Warnung wurde an über 430 Personen und über verschiedene E-Mail-Verteiler weitergeleitet. Sie enthielt die Anweisung, den bereits verfügbaren Patch innerhalb von 48 Stunden einzuspielen. Dies ist jedoch nicht auf allen Systemen geschehen.

Hätte man den Hack verhindern können?

Wie das United States House Commitee on Oversight and Reform in seinem Bericht ausführte, hätte der Hack mit verhältnismäßigem Aufwand verhindert werden können. Die Schwachstellen hätten vor allem folgende drei Bereiche betroffen.

  1. Unvollständige Updates

Die Warnungen durch US-CERT wurden intern an über 400 Personen weitergeleitet. Dennoch wurde es versäumt, das bereitgestellte Patch auf sämtlichen Systemen einzuspielen. Dies wäre vermeidbar gewesen, wenn man nicht nur das Root-Verzeichnis, sondern auch die Unterverzeichnisse nach unsicheren Struts-Versionen gescannt hätte.

  1. Unverschlüsselte Passwörter

Ein weiterer Grund dafür, dass der Hack in diesem Ausmaß möglich war, sind unverschlüsselte Daten. Usernamen und Passwörter wurden unverschlüsselt im Netzwerkspeicher abgelegt. Dass Hacker angesichts eines solchen Datenfundes zuschlugen, sei naheliegend.

  1. Abgelaufene Zertifikate

Das dritte Versäumnis betrifft die Zertifikate von Equifax. Sie waren seit Januar 2016 abgelaufen, sodass die Intrusion Detection Bedrohungen nicht mehr zuverlässig registrierte.

Die gravierenden Auswirkungen davon zeigten sich am Abend des 29. Juli 2017, als man 67 der mehr als 300 abgelaufenen Zertifikate austauschte. Die Intrusion Detection arbeitete wieder korrekt und schlug Alarm, als weitere Daten an verdächtige chinesische IP-Adressen übertragen wurden.

Fazit: Der Equifax wäre mit klareren Zuständigkeiten und gewissenhaften Schutzmaßnahmen zu verhindern gewesen.

Bild: © Sergey Nivens/Adobe Stock

Category:  News