Hilfe bei Vorfällen
Auch wenn die Hauptaufgabe von CERT.at und GovCERT Austria darin besteht, koordinierend zu untertützen, gibt es Fälle, die dabei herausstechen und wesentlich mehr Zeit erfordern, als im normalen Tagesgeschäft.
Cyberangriff auf das BMEIA
GovCERT Austria gibt immer wieder Hinweise über Bedrohungen an die öffentliche Verwaltung weiter. Diese reichen von sehr generischen Informationen zu Schwachstellen in verbreiteter Software, über Beschreibungen von Angriffsmustern (Indicators of Compromise “IoCs") bis hin zu sehr konkreten Hinweisen; etwa, dass gewisse E-Mail Adressen das Ziel von Spear-Phishing waren.
So auch rund um das Neujahr 2020: Im Außenministerium (BMEIA) wurde auf Grundlage von übermittelten Indikatoren durch die TechnikerInnen des BMEIA sowie MitarbeiterInnen des GovCERTs und des früh eingebundenen Cyber Security Centers (CSC) im BVT entsprechende Nachforschungen durchgeführt.
Auf Basis der Erkenntnisse dieser Nachforschungen und darauf aufbauender weitergehenden Analysen des CSC im BVT wurde am Samstag, den 4. Jänner eine Sitzung des IKDOK einberufen, bei dem das darauffolgende Treffen des Koordinationsausschusses laut §25 NISG vorbereitet worden ist. Von diesem wurde nach entsprechenden Beratungen das Vorliegen einer Cyberkrise durch den Bundesminister für Inneres festgestellt und der Vorfall proaktiv kommuniziert.
In der folgenden Woche wurde ein Einsatzteam bestehend aus Personal des BMEIA, Bundeskanzleramts, GovCERTs, Innenministeriums (CSC und Bundeskriminalamt/C4) und Bundesheers (MilCERT, Abwehramt und Nachrichtenamt) etabliert, um diesen Vorfall mit allen verfügbaren Kräften abzuarbeiten. Zusätzlich wurde durch das BMEIA ein österreichischer Dienstleister hinzugezogen, der vor allem bei der Vorbereitung der Remediation unterstützte. So konnte kurz nach den ersten Erkenntnissen an einem Wochenende das Netz des BMEIA auf einen Schlag bereinigt werden.
Das Einsatzteam bestand aus mehrern AnalystInnen und gliederte sich u.a. in die Bereiche “Analyse", “Verbesserung der Sichtbarkeit", “Remediation", “Stab" und “Infrastruktur. Da dies der erste Einsatz in dieser Konstellation war, wurden Infrastruktur und Prozesse aufgebaut und laufend verbessert.
Die Zusammenarbeit in dieser sehr diversen Gruppe hat nicht nur auf menschlicher Ebene gut funktioniert, sondern war auch technisch erfolgreich und Grundlage für die schlussendlich erfolgreiche Bereinigung des kompromittierten Systems.
Eine der Aufgaben des GovCERTs war, als Informationsdrehscheibe auf technischer Ebene zwischen dem Team vor Ort und externen Teams zu fungieren – sowohl in Österreich (CERT Verbund, andere Ministerien) als auch auf europäischer Ebene (CSIRTs Network und European Government CERTs Group). Wir wollen uns hier noch einmal bei allen bedanken, die uns bei der Bewältigung des Vorfalls mit ihrem Know-How geholfen haben.
Nicht zu unterschätzen war neben der Arbeit auf technischer Ebene die Kommunikation in Richtung des Koordinationsausschusses und der Politik sowie die außenpolitische Kommunikation mit Partnern. Es wurde sich stets bemüht, die gewonnen Erkenntnisse und deren Implikationen so zusammenzufassen und zu präsentieren, dass diese auch für Nicht-TechnikerInnen verständlich und nutzbar sind.
Rückblickend war der Vorfall im BMEIA ein erster großer und insgesamt erfolgreicher Test für die Strukturen, die mit dem NIS Gesetz geschaffen wurden. Gleichzeitig konnten aber auch Optimierungsmöglichkeiten für diese Strukturen identifiziert werden, die es umzusetzen gilt.
CVE-2019-19781 a.k.a. “Shitrix"
Bereits am 17. Dezember 2019 hatte Citrix in einem Advisory bekanntgegeben, dass es über eine kritische Lücke (CVE-2019-19781, späterer Spitzname “Shitrix") in einigen seiner Produkte Bescheid wusste und Workarounds zur Verfügung gestellt. Diese wurden allerdings (vermutlich unter anderem aufgrund der weltweit verbreiteten Feiertage zum Jahreswechsel) in vielen Fällen nicht zeitgerecht eingespielt und richtige Updates wurden erst in der zweiten Jännerhälfte zu Verfügung gestellt.
Am 10. Jänner wurde der erste Exploit auf GitHub veröffentlicht, und spätestens da zeigte sich, wie einfach die Lücke auszunutzen war: Mit wenigen HTTP-Requests mit einem bestimmten Pfad konnten AngreiferInnen über das Netzwerk beliebige Befehle auf den Geräten ausführen ohne irgendwelche Zugangsdaten zu benötigen.
In diesem Fall hatten wir ein wenig Glück im Unglück: CERT.at hatte mithilfe befreundeter CERTs/CSIRTs schon etwas früher mit dem Scan nach verwundbaren Geräten beginnen können und unsere Warnungen an die Betroffenen konnten dadurch am 10. Jänner, kurz bevor die ersten größeren Medienberichte zu den Exploits die Runde machten, bereits verschickt werden.
Dennoch waren die nächsten Wochen von vielen Anrufen und Nachfragen zu “Shitrix" geprägt.
Ganz aus den Schlagzeilen verschwand die Lücke während des gesamten Jahres nicht, aber zumindest die Anzahl der Betroffenen in Österreich war unseren späteren Scans zufolge gering.