Die Hackergruppe Lapsus$ hat in den letzten Wochen einiges an aufsehen erregt und unter anderem NVIDIA und Microsoft gehackt und diese dann Erpresst.
Man forderte von NVIDIA die Offenlegung der Treibersoftware als OpenSource und die Entfernung der LHR Limitierungen auf den Grafikkarten und drohte damit dies sonst selbst in die Hand zu nehmen. Um die Forderungen zu unterstreichen veröffentlichte man gleich die Source Codes von DLSS mit den Forderungen zusammen.
Ähnlich ging man bei Microsoft vor: Es wurden Forderungen gestellt und Zeitgleich der Code von Bing / Cortana veröffentlicht.
Nur scheint man bei zuletzt Microsoft dem Falschen Riesen auf die Füße getreten zu sein. Nicht kurz nach dem Hack wurde bekannt das man bereits die erste Festnahme bei einem 16 jährigen in England durchgeführt hat. Gestern Abend kam es zu weiteren festnahmen sodass nun vermeintlich die gesamte Lapsus$ Hackergruppe ( alles Teenager ) hinter Gittern sitzt.
So wie es aussieht haben Hacker wohl Zugriff auf Zentrale Server von NordVPN gehabt.
Während einer Twitter Werbeaktion, wo von NordVPN Community Managern betont wurde das ein VPN geschützter Web Verkehr es unmöglich mache Identitäten zu stehlen, wurde eine Nachricht gepostet inder man betonte das es vor allem bei NordVPN doch möglich sei und als beweis wurde ein Terminal Screenshot gepostet mit Internals aus dem NordVPN Netzwerk … die so Intern waren das man bedenken bekam und sofort die Werbekampagne Einstellte und den Haupt Tweet löschte.
Zu sehen war wie bereits gesagt das Terminal und in diesem der MasterKey für die VPN Verschlüsselung als auch das genutzte Zeritifikat mit dem sich zugriff verschafft wurde.
Wie es aussieht war erschreckenderweise das zur Authentifizierung Notwendige Zertifikat seit längerem abgelaufen und dennoch weiterhin im Einsatz, was auf Massive Faulheit bei der IT der Firma schließen lässt welche mit Sicherheit wirbt.
Die Vermutung liegt nahe das ein Hacker sogenanntes Dumpster Diving betrieben hat und sich aus dem Firmen Müll alte Hardware ( Festplatten / Laptops / Desktops / andere Datenträger ) gezogen hat und bei der Auswertung auf das SSH Authentifizierungszertifikat gestoßen ist.
Offensichtlich konnte man damit auf die Infrastruktur von NordVPN zugriff erhalten und nicht nur den MasterKey auslesen sondern somit auch die vermeintliche Sicherheit aller Kunden Kompromitieren.
Alles in allem Finde ich Drittanbieter für Sicherheitslösungen immer mehr als Fraglich, da gerade diese Externen Anbieter immer wieder Ziel von Hackern werden die es den Firmen dennoch beweisen wollen.
Die Vermeintliche Lösung ist an sich selbst einen VPN Dienst zu hosten oder TOR zu benutzen um den Datentransfer zu verschleiern, ersteres ist ziemlich ungünstig wenn man Wechselnde VPN ausgänge benötigt und zweiteres ist Ungünstig wenn man Persistent von einem bestimmten Bereich aus surfen möchte ( aber eben nicht über seine Private IP ).
Unter dem Namen Vault 7 betreibt der US Aussengeheimdienst CIA in dem Konsulat der USA in Frankfurt eine Umfangreiche Hackerabteilung die auf unter anderem das Brechen der Sicherheit von iOS Geräten als auch Malware und Zero Day Exploits spezialisiert sind.
Ein Umfangreiches Dossier von rund 9.000 Dokumenten und einiges an Exploit Quellcode wurden Wikileaks zur Verfügung gestellt und werden nun nach und nach Veröffentlicht. Im gegensatz zu den Vorhergehenden Wikileaks veröffentlichungen sind diesmal Namen durch Referenznummern ersetzt worden, um eine identifizierung von CIA Mitarbeitern zu erschweren oder komplett zu verhindern und gleichzeitig für Forscher eine Möglichkeit zu bieten eine Art Beziehungsdiagramm zw. den einzelnen Personen anonymisiert zu erstellen.
