[Wien] [Housing] GRIZZLY STEPPE hat den Marvin erwischt (gehackt)

[Wolfgang Nagele]

Liebe Community,

Hier ein Update vom Vorstand und Forensik Team zum dzt. Status der Marvin
Hack Situation.

Wir haben die letzten Wochen zusammen mit CERT.at die Forensik ein gutes
Stück weiter gebracht. Durch verschiedene Backups und Snapshots die noch
aus 2015 existierten konnten wir einige Access Logs sichern, welche sich
mit der Grizzly Steppe Attacke decken. Auch konnte ein eingeschleustes PHP
Script gefunden werden welches in weiterer Folge als der Angriffsvektor
identifiziert wurde.

Desweiteren haben wir den Fall mit dem BMI (Cyber Security Center)
bearbeitet und auch denen wurden die relevanten Log Daten zur Verfügung
gestellt.

Die guten Nachrichten sind das wir uns mit hoher Wahrscheinlichkeit sicher
sein können das keine Daten entwendet wurden. Da es sich um ein Script mit
spezifischem Command und Control Zweck gehandelt hat lag es den Betreibern
wohl daran so wenig als möglich aufzufallen. Daher dürften diese auch davon
abgesehen haben am System selbst, abgesehen von Weiterleitung von Command
and Control Payloads, was gemacht zu haben. Wir können das zwar nicht zu
100% garantieren aber es ist relativ unwahrscheinlich und die Kollegen von
CERT.at und BMI sehen das gleich.

Nun - was haben wir daraus gelernt? Im Vorstand sind wir uns einig das wir
beim Betrieb strikter agieren werden müssen. Was viele von uns ohnehin
schon länger gewusst haben wurde durch diesen Fall noch klarer. Das
Internet ist nunmal leider nicht mehr wie es vor 10 Jahren mal war. Daher
müssen wir schauen das wir die Services die wir betreiben entsprechend
anpassen. Ich werde in den nächsten Wochen hierzu noch konkreter
vorschlagen was wir uns vorstellen. Klar ist - einfach so weitermachen wie
bisher können wir nicht, aber wir sollten auch nicht über die Stränge
schlagen.

Unser besonderer Dank gilt allen die sich bei dieser Untersuchung beteiligt
haben. Es hat sich hier wieder einmal der Kern des FunkFeuer Gedankens
gezeigt. Die Community hat super Leute und kann tolles leisten wenn die
Möglichkeiten dafür geschaffen werden.

Anbei findet ihr den abschliessenden Public Report vom Forensik Team mit
einem FAQ das viele eurer Fragen beantworten sollte. Natürlich könnt ihr
gerne weiterführende Fragen hier schicken.

Abschliessend sei noch gesagt - wir werden um die Services auf Vordermann
zu bringen Leute brauchen die sich hier commiten wollen. Bitte überlegt
euch das und meldet euch ggf. Eine Liste mit Services die Aufmerksamkeit
brauchen kommt dann noch.

Liebe Grüsse,
Wolfgang (für den FunkFeuer Wien Vorstand)
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/wien/attachments/20170208/5d9c0e6f/attachment.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : report-public.pdf
Dateityp    : application/pdf
Dateigröße  : 330805 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.funkfeuer.at/pipermail/wien/attachments/20170208/5d9c0e6f/attachment.pdf>