[Wien] GRIZZLY STEPPE hat den Marvin erwischt (gehackt)

Sven Engelberger (spam-protected)
Fr Dez 30 17:51:47 CET 2016 

Lieber Aaron,

danke für die Info.

Der von Euch eingeschlagene Weg der Transparenz erscheint uns richtig
und hat unsere Zustimmung

LG und guten Rutsch

Sven

 

Am 30.12.2016 um 14:28 schrieb L. Aaron Kaplan:
> Hallo alle,
>
> wir haben schlechte Nachrichten. In meiner Arbeit (CERT.at) haben wir erfahren, dass das US-CERT vor kurzem die sogenannten "Indicators of Compromise (IoC)" - also das sind IP Adressen, MD5 hashes von malware, Ara rules, etc. veröffentlicht hat.
>
> Öffentlich bekannte infos dazu:
>   https://www.us-cert.gov/security-publications/GRIZZLY-STEPPE-Russian-Malicious-Cyber-Activity
> PDF Report:
>   https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf
>   IoC Liste: https://www.us-cert.gov/sites/default/files/publications/JAR-16-20296A.csv
>   (dort nach "Austria" suchen. "C2" steht fuer "C&C" - also command & control).
>
> Was wissen wir somit?
> ======================
> Der marvin war (laut Behauptung) in einem bestimmten Zeitraum (oder evtl. noch immer?) ein C&C Server. Also er hat (vermutlich) den Angreifern gedient, um Kommandos an infizierte Systeme zu senden und / oder Daten abzuholen.
>
> Wann ist das passiert?
> =======================
> Wir kennen den Zeitraum nicht. Dazu habe ich gerade eine Anfrage rausgeschickt.
> Die Behauptung, dass der Marvin C&C Server ist/war kam ohne Zeitstempel. Das heisst, es kann noch immer der Fall sein oder es war in der Vergangenheit.
> Was wir aus der Vergangenheit wissen, ist dass er einmal kurz vor Weihnachten 2010 gehackt wurde (exim4 bug). Wir haben ihn damals sofort analysiert und aufgeräumt.  Vielleicht bezieht sich der Report vom US-CERT auf diesen Zeitraum.
> Wenn wir Pech haben, haben wir trotz intensiver Suche kurz vor Weihnachten 2010 etwas übersehen.
> Wie gesagt - eine Anfrage, in welchem Zeitraum das passiert ist, läuft gerade.
>
> Was ist somit potentiell betroffen?
> ===================================
>
> Services:
>  * billing
>  * members DB
>  * billing DB
>  * housing members DB
>  * ftp service fuer die cam
>  * DNS resolver
>  * netflow aggregator
>  * whois service
>  * frontend housing , frontend wien
> ... (mehr noch)
>
>
> Was sind unsere nächsten Schritte?
> ==================================
>
> 1. Euch einmal verstaendigen, dass das passiert ist (DONE)
> 2. Analyse und weitere Infos zusammentragen
> 3. Ein Konzept machen, wie wir den marvin migrieren (migration beinhaltet neu machen)
> 4. Umsetzung
> 5. Regelmäßiges Testen/Review des Konzeptes
>
>
> Wie betrifft das euch?
> ======================
>
> Potentiell sind user Daten & Passwoerter aus der marvin Kunden DB abgeflossen. Wir koennen es derzeit nicht ausschliessen
>
> Wer ist Schuld?
> ===============
> Diese Frage ist zwar sehr verlockend aber in einem best-effort Netz eher sinnlos.
> Was man aber *nicht* machen darf , ist zur Tagesordnung über zu gehen und das Problem zu ignorieren.
> Wenn du dich gut auskennst und uns helfen kannst, wären wir über Hilfe sehr dankbar.
>
>
>
> Mehr Infos, sobald wir diese haben. Mir ist das wichtig, dass dieses Thema transparent behandelt wird.
>
> lg,
> a.
>
>
> (diese Mail wurde reviewed von Clemens, Paul aus dem Vorstand)
>
>
> --
> //  CERT Austria
> //  L. Aaron Kaplan <(spam-protected)>
> //  T: +43 1 505 64 16 78
> //  http://www.cert.at
> //  Eine Initiative der nic.at GmbH
> //  http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
>
>
>
> --
> Wien mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/wien

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/wien/attachments/20161230/4e18cd77/attachment.htm>

Mehr Informationen über die Mailingliste Wien