[Wien] GRIZZLY STEPPE hat den Marvin erwischt (gehackt)

L. Aaron Kaplan (spam-protected)
Fr Dez 30 14:28:41 CET 2016 

Hallo alle,

wir haben schlechte Nachrichten. In meiner Arbeit (CERT.at) haben wir erfahren, dass das US-CERT vor kurzem die sogenannten "Indicators of Compromise (IoC)" - also das sind IP Adressen, MD5 hashes von malware, Ara rules, etc. veröffentlicht hat.

Öffentlich bekannte infos dazu:
  https://www.us-cert.gov/security-publications/GRIZZLY-STEPPE-Russian-Malicious-Cyber-Activity
PDF Report:
  https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf
  IoC Liste: https://www.us-cert.gov/sites/default/files/publications/JAR-16-20296A.csv
  (dort nach "Austria" suchen. "C2" steht fuer "C&C" - also command & control).

Was wissen wir somit?
======================
Der marvin war (laut Behauptung) in einem bestimmten Zeitraum (oder evtl. noch immer?) ein C&C Server. Also er hat (vermutlich) den Angreifern gedient, um Kommandos an infizierte Systeme zu senden und / oder Daten abzuholen.

Wann ist das passiert?
=======================
Wir kennen den Zeitraum nicht. Dazu habe ich gerade eine Anfrage rausgeschickt.
Die Behauptung, dass der Marvin C&C Server ist/war kam ohne Zeitstempel. Das heisst, es kann noch immer der Fall sein oder es war in der Vergangenheit.
Was wir aus der Vergangenheit wissen, ist dass er einmal kurz vor Weihnachten 2010 gehackt wurde (exim4 bug). Wir haben ihn damals sofort analysiert und aufgeräumt.  Vielleicht bezieht sich der Report vom US-CERT auf diesen Zeitraum.
Wenn wir Pech haben, haben wir trotz intensiver Suche kurz vor Weihnachten 2010 etwas übersehen.
Wie gesagt - eine Anfrage, in welchem Zeitraum das passiert ist, läuft gerade.

Was ist somit potentiell betroffen?
===================================

Services:
 * billing
 * members DB
 * billing DB
 * housing members DB
 * ftp service fuer die cam
 * DNS resolver
 * netflow aggregator
 * whois service
 * frontend housing , frontend wien
... (mehr noch)


Was sind unsere nächsten Schritte?
==================================

1. Euch einmal verstaendigen, dass das passiert ist (DONE)
2. Analyse und weitere Infos zusammentragen
3. Ein Konzept machen, wie wir den marvin migrieren (migration beinhaltet neu machen)
4. Umsetzung
5. Regelmäßiges Testen/Review des Konzeptes


Wie betrifft das euch?
======================

Potentiell sind user Daten & Passwoerter aus der marvin Kunden DB abgeflossen. Wir koennen es derzeit nicht ausschliessen

Wer ist Schuld?
===============
Diese Frage ist zwar sehr verlockend aber in einem best-effort Netz eher sinnlos.
Was man aber *nicht* machen darf , ist zur Tagesordnung über zu gehen und das Problem zu ignorieren.
Wenn du dich gut auskennst und uns helfen kannst, wären wir über Hilfe sehr dankbar.



Mehr Infos, sobald wir diese haben. Mir ist das wichtig, dass dieses Thema transparent behandelt wird.

lg,
a.


(diese Mail wurde reviewed von Clemens, Paul aus dem Vorstand)


--
//  CERT Austria
//  L. Aaron Kaplan <(spam-protected)>
//  T: +43 1 505 64 16 78
//  http://www.cert.at
//  Eine Initiative der nic.at GmbH
//  http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 801 bytes
Beschreibung: Message signed with OpenPGP using GPGMail
URL         : <http://lists.funkfeuer.at/pipermail/wien/attachments/20161230/05dd402b/attachment.sig>

Mehr Informationen über die Mailingliste Wien