News A1 Telekom Austria Group: Sechsmonatiger Cyberangriff wurde beendet

[worldoak]

50% der Kollegen hier haben gesperrte USB Ports.
40% haben keine gesperrten Ports.
Ich: 4/5 sind gesperrt^^

Devs brauchen USB Ports mit Data weil man iPads oder iPhones nicht anders debuggen kann.

DEV stecken aber keine gefundenen USB Sticks in den Port!

 

[Mordi]

@adas Woher weißt du denn nun dass das 100 gegen 1 waren?
Vielleicht gabs auf Angreiferseite auch eines oder mehrere Teams?

 

[mindfest]

Ich war schon auf zig großen IT Sec Konferenzen und habe mich mit Kollegen aus anderen Unternehmen dazu unterhalten. Ein Security Experte meinte dann zu mir, dass der einfachste Weg ein Unternehmen zu infiltrieren, sei es USB Sticks auf dem Gelände zu verteilen.... min. 1 Mitarbeiter wird es in den Firmen Rechner stecken.

Soweit ich weiss macht das BMW ganz gern intern, die gewinnen dann eine Security Schulung wie es @
Benji18 so schön beschrieben hat ^^)

 

[nein danke]

Frage an die Redaktion. Steckt eigene Recherche dahginter oder ist das ein vorgefertigter Publicity-Text? Die Art des Berichts ist irgendwie sehr merkwürdig, als ob die Ereignisse über die Dauer aus nächster Nähe mitverfolgt wurden. Aber das kann ja nicht sein, siehe Dankesspruch.

Wie das in Österreich führende Telekommunikationsunternehmen A1 Telekom Austria offiziell bekanntgab,

Kleiner Korrekturanmerkung. Der Link führt nur zu Wikipedia, aber nicht zu der Quelle. Bitte korrigieren. Ich finde die Primärquelle nicht, auf die sich berufen wird.

 

[Florianw0w]

Hoffe unser Datenschutz verklagt die Telekom. Extrem erbärmlich das wir es erst durch 3te erfahren und nicht direkt als betroffener.

Erste mal habe ich gestern durch den Austria sub auf reddit gelesen Reddit Post

 

[Benji18]

Hoffe unser Datenschutz verklagt die Telekom. Extrem erbärmlich das wir es erst durch 3te erfahren und nicht direkt als betroffener.

Erste mal habe ich gestern durch den Austria sub auf reddit gelesen Reddit Post

Wenn der Angriff frühzeitig erkannt wurde und man den Angreifer auf eine Honeypodumgebung umgeleitet hat kann man den Angriff in einen anbgeschotteten bereich absondern da kann er dann nichts wirklich verwertbares „stehlen“. So klingt für mich dieser Text

 

[Marc53844]

Verstehe die ganze Aufregung nicht.
Einfach Format C und fertig.
So habe ich das früher auch immer gemacht. Da haben wir kein 100 Mann großes Team gebraucht.
Das hab ich alleine an einem Abend gemacht.

Danach war kein Virus mehr drauf. Das haben die jetzt von dem ganzen Officekram und diesen tollen USB Schnittstellen. War soo klar das die das ausnutzen. Hätten die auf mich gehört dann hätten die gar kein Internet.
Kein Internet kein Problem.
Hätte ich denen gleich sagen können.

Und wer es nicht kapiert ... eine Parodie meinerseits an die ganzen Profis die anhand einer Meldung den ganzen Sachverhalt erkennen, bewerten und beurteilen können.
Hut ab an die Generation überflieger.

 

[bigfudge13]

Scheint als wäre der A1 Telekom der Grund für den Angriff nicht klar oder er wird nicht kommuniziert. Die Kundendaten waren nicht das Ziel sonst hätten sie die. 6 Monate inkl Admin Rechte in einem Firmennetz...

Steht doch im Artikel:

Das „Blue Team“, so der Name des Expertengremiums, analysierte seinerseits jeden Schritt des Angreifers, der kein Interesse an Daten zu haben schien.
Die Experten gehen von einem Angriff durch ein Spionageunternehmen aus, der das Beschaffen von Informationen zum Aufbau und der Strukturen des A1-Netzes zum Ziel hatte.

 

[JPsy]

Hmmm, bei der Geschichte musste ich sofort an Clifford Stoll denken...

 

[psyabit]

@bigfudge13 von etwas ausgehen oder etwas wissen ist noch längst nicht das gleiche.

 

[Florianw0w]

Wenn der Angriff frühzeitig erkannt wurde und man den Angreifer auf eine Honeypodumgebung umgeleitet hat kann man den Angriff in einen anbgeschotteten bereich absondern da kann er dann nichts wirklich verwertbares „stehlen“. So klingt für mich dieser Text

Trotzdem. Zu 100% weißt du es nie. Vorallem ist IT sicherheit in österreich nicht das gelbe vom ei was ich immer wieder mitbekomme.
Außerdem es ist A1, ich traue denen nicht mal zu das sie wissen wie man ein PW ändern ohne alles abzuschießen.

 

[bigfudge13]

@bigfudge13 von etwas ausgehen oder etwas wissen ist noch längst nicht das gleiche.

Korrekt, dennoch wurde es kommuniziert.

 

[Bigeagle]

Also der Angreifer hatte Adminrechte und einen Monat Zeit bis er entdeckt wurde, plus noch mal 5 Monate Spielzeit unter Aufsicht.
Nicht übel O.o

Kann man daraus schließen dass der Angreifer vollständigen Systemzugriff hatte? Wenn ja, woher wissen die dann dass nicht z.b. in Firmware oder den (wie heißen die zusatz CPUs in den CPUs noch mal? diese voll sicheren kontrollchips mit für die große cpu unsichtbarem hardwarezugriff.) 'management' systemen rückstände geblieben sind?
Haben die sämtliche Firmware erneuert?

Wenn der Angreifer Adminrechte hatte, wie funktioniert dann das Feststellen was er genau getan hat? Kann jemand mit entsprechendem Wissen nicht damit auch Logs bereinigen?

Ansonsten liest sich das ganze irgendwie zu sehr nach heroischer Schlacht. Feind vertrieben, die Orks sind mit eingezogenen Äxten wieder nach Hause gezogen. Bis zum nächsten WAAAAAGHH! erhm Sicherheitsvorfall. Alles gut, die Mauern werden repariert und der Imperator schützt uns!

 

[Thaxll'ssillyia]

Worauf willst du eigentlich hinaus? "Office-Umgebung" bedeutet nicht "Microsoft Office Umgebung". Den ganzen Rest deines Postings versteh ich noch weniger.

Doch, zumindest sehr wahrscheinlich:
https://blog.haschek.at/2020/the-a1-telekom-hack.html

The source suspects, that the attackers got in using a vulnerability of an (unspecified) Microsoft product.

Zusammen mit der Aussage des Unternehmens, dass über die Office-Umgebung eingebrochen wurde, ergibt das schon Sinn.

Was hast du an dem Rest nicht verstanden?

Active Directory und MS Office waren schon immer Einfallstor Nummer 1, manchmal weil der Softwarehersteller mal wieder nen löchrigen Käse auf den Markt geworfen hat oder aber die Admins zu unfähig waren.

Um sich sicher zu fühlen, wird dann Anti-Virensoftware ("Schlangenöl") installiert. Weder der Hersteller noch der Kunde kann beweisen, dass damit die Sicherheit erhöht wird. Nur blöd, dass fast alle Anti-Virensoftware wieder neue Angriffsoberflächen schaffen, deren Details auch regelmäßig publiziert und die Lücken teilweise auch genutzt werden (Beispiel1, Beispiel2, Beispiel3, Beispiel4, Beispiel5, ...).

Und mein Verweis auf KI ist ein Wink an die Falschbezeichnung, wie sie oft am Markt bezeichnet wird. KI/AI/Blockchain wird als Buzzword verwendet, um seine Produkte besser zu vermarkten. Nur ist bei genauerer Betrachtung oft gar kein KI oder AI enthalten, sondern ein stinknormaler Algorithmus.

 

[Benji18]

Trotzdem. Zu 100% weißt du es nie. Vorallem ist IT sicherheit in österreich nicht das gelbe vom ei was ich immer wieder mitbekomme.
Außerdem es ist A1, ich traue denen nicht mal zu das sie wissen wie man ein PW ändern ohne alles abzuschießen.

hahaha true story stimme dir natürlich zu, da hier aber scheinbar eine große Security Abteilung daran gewerkt hat kann ich mir das gut vorstellen solange es kein A1 Mitarbeiter war

 

[Andreas10000]

Naja A1 glaube ich nicht mehr sonderlich.
Seit es mitte Oktober im letzten Jahr mehrere Stunden österreichweit das A1 Netz zusammengebrochen ist.
Und das Backup für die Notrufnummern usw. nicht funktioniert hat, alles nur wegen eines Hardwaredefekts.

News:
https://www.derstandard.at/story/20...-nach-massiver-netzstoerung-wieder-erreichbar

Und jetzt soll ein Hacker 6 Monate im System teilweise mit Adminrechten gewesen sein, und dieser soll keine Kundendaten bekommen habe?

Klingt für mich so als wolle man massiven Sicherheitsprobleme kleinreden.
Würde mich nicht wundern wenn in Zukunft rauskommen würde, dass im Oktober ein Hacker am werk gewesen ist.
Und in den letzten Monaten Kundendaten erbeutet wurden.