Warnmeldungen

Hier finden Sie Hinweise auf Warnmeldungen, die das Cyber-Allianz-Zentrum Bayern (CAZ) an potenziell betroffene Unternehmen und Institutionen herausgegeben hat:

  • 25.07.2017: Infrastruktur und Werkzeuge der APT-Gruppe OILRIG/CLEAVER

In Ergänzung zu der Warnmeldung vom 25.11.2016 hat das CAZ erneut Erkenntnisse zu aktuellen Infrastrukturmerkmalen der APT-Gruppe OLIRIG/CLEAVER an Unternehmen übermittelt, um diese bei der Abwehr von entsprechenden Angriffen zu unterstützen. Die hierbei übermittelten Indikatoren waren bislang öffentlich nicht verfügbar. Die aktuelle Warnmeldung beinhaltet darüber hinaus aktuelle Informationen zur Vorgehensweise der Angreifer. Hierbei wurden neben den Angriffswerkzeugen auch die Steuerungskomponenten und deren Funktionsumfang betrachtet.

  • 25.11.2016: Infrastruktur und Werkzeuge der APT-Gruppe OILRIG/CLEAVER

Im Jahr 2014 konnte das CAZ ein bayerisches Unternehmen bei der Abwehr eines elektronischen Angriffs der APT-Gruppe OILRIG/CLEAVER unterstützen. Es bestehen tatsächliche Anhaltspunkte dafür, dass die o.g. Gruppierung erneut aktiv ist. Es ist zu erwarten, dass – ebenso wie bereits 2014 – deutsche Unternehmen von den iranischen Aktivitäten betroffen sind. Das CAZ konnten Infrastrukturen der APT-Gruppe, die bislang in Berichten einschlägiger IT-Dienstleister nicht genannt werden, identifizieren. Des weiteren wurden Werkzeuge der APT-Gruppe zur Steuerung der genutzten Schadprogramme analysiert. Die Warnmeldung beinhaltet Informationen zur APT-Gruppe, ihrem Vorgehen, ihrer Infrastruktur und den von ihr genutzten Angriffswerkzeugen.

  • 18.08.2016: Aktuelle Kampagne der Winnti Gruppe

Dem CAZ liegen aktuell Meldungen über elektronische Angriffe auf Unternehmen in Bayern vor. Nach Analyse der Vorfälle ist nach unserer Einschätzung die APT-Gruppe Winnti für die Angriffe verantwortlich. Bei einem gezielten Angriff auf ein bayerisches Unternehmen konnten durch eigene Untersuchungen des Unternehmens Schadprogramme isoliert werden. Dem CAZ wurden die Schadprogramme für eine weitergehende Untersuchung übermittelt. Mittels einer IT-forensischen Untersuchung konnten Indikatoren ermittelt werden, die mit der Warnmeldung zur Gefahrenabwehr zur Verfügung gestellt wurden.

  • 20.7.2016: Elektronische Angriffe auf JBOSS-Server

Das CAZ hat eine Warnmeldung zu elektronischen Angriffen auf verwundbare JBOSS-Webserver erarbeitet. Eine nachrichtendienstlich gesteuerte Gruppe sowie Cyber-Crime Gruppen nutzen Schwachstellen in der Software JBOSS aus, um Zugriff auf Server zu erlangen.  Die Warnmeldung umfasste eine Beschreibung der Angriffswerkzeuge, den Angriffsweg und eine Indikatoren-Liste zur Detektion und Abwehr des Angriffs.

  • 16.05.2016: Angriffskampagne Snake

Nach Erkenntnissen des Verfassungsschutzverbundes könnten insbesondere deutsche Rüstungsunternehmen in das Visier elektronischer Angriffe durch die Gruppierung Snake/Turla/Uroburos geraten sein. Auch Unternehmen aus den Bereichen Luft- und Raumfahrt, Energietechnik, Röntgen- und Nukleartechnologie, Messtechnologie und Pharmazie, Forschungseinrichtungen sowie Behörden und andere staatliche Institutionen kommen als weitere potenzielle Ziele in Betracht. In einem Cyber-Brief des Bundesamtes für Verfassungsschutz (BfV) sind Informationen zu der Angriffskampagne zusammengefasst worden und stehen Unternehmen auf Anfrage zur Verfügung.

  • 28.10.2015: Einsatz des Trojaners PlugX zur Wirtschaftsspionage

Das CAZ hat aktuell genutzte Varianten der Schadprogramm-Familie PlugX (auch bekannt als KORPLUG und GULPIX) analysiert. Die Schadprogramme wurden vermutlich eingesetzt, um Unternehmensdaten auszuleiten. Die Warnmeldung beinhaltet einen Überblick über die eingesetzte Schadsoftware und beschreibt Indikatoren, die zur Erkennung der Rückkanalwege und zur Abwehr eines elektronischen Angriffs dienen können.

  • 23.07.2015: Ergänzende Warnmeldung zum SOFACY-Fallkomplex

Die SOFACY-Hackergruppe (siehe Warnmeldung vom 27.05.2015) nutzt eine weitläufige Infrastruktur zur Verschleierung ihrer Aktivitäten. Die in der Warnmeldung aufgeführten Indikatoren geben einen Überblick über die von der Gruppierung genutzten IP-Adressen und Domains.

  • 27.05.2015: Warnmeldung zu Aktivitäten der SOFACY-Hackergruppe

Seit mindesten 2009 ist die SOFACY-Hackergruppe mutmaßlich an verschiedenen Hackerangriffen beteiligt. Bekannte Opfer der Gruppierung sind nach offenen Berichten u.a. Verteidigungs- und Außenministerien, Militärangehörige, Politiker sowie Forschungsinstitute. Elektronische Angriffe auf Wirtschaftsunternehmen sind anzunehmen. Das CAZ möchte deshalb auch die bayerische Wirtschaft auf die Hackergruppe aufmerksam machen und stellt mit der Warnmeldung den Unternehmen Indikatoren zur Verfügung.

Weitergehende Informationen erhalten Sie beim CAZ unter

caz@lfv.bayern.de (verschlüsselte Kommunikation möglich)

oder über die Hotline 089/31201-222.

ACHTUNG:

Sollten Sie bzw. Ihr Unternehmen von einem in den Warnmeldungen genannten Sachverhalt betroffen sein oder anderweitige Übereinstimmungen (z.B. Angriffswege, Signaturen, Dateien) feststellen, melden Sie sich bitte auf jeden Fall!

Wir unterstützen Sie gerne und garantieren absolute Vertraulichkeit. Außerdem können diese Erkenntnisse möglicherweise für weitere Ermittlungen und Analysen verwendet werden. Das Ergebnis kommt Ihnen und anderen Unternehmen zu Gute. Sie leisten damit einen wertvollen Beitrag zur Cybersicherheit.