Tim Philipp Schäfers @TimPhSchaefers@chaos.social
Intrested in itsec, society and literature Mostly hacker. co-founder of @Internetwache, author of info-sec books, writer @golem & Junior Fellow @informatikradar
Joined Sep 2018
Die Vorgehensweise selbst erinnert in Teilen an die Gruppe "Shadowbrokers" (https://en.wikipedia.org/wiki/The_Shadow_Brokers).
Auch dort wurden Daten aus Hacks zunächst in "Auktionen" versteigert und später dann öffentlichwirksam gepublished.
Angreifergruppe behauptet die Solarwinds Tools & Source-Codes von Microsoft, Cisco, SolarWinds & Fireeye erbeutet zu haben und versteigert diese für insgesamt 1,000,000$.
Derzeit ist unklar, ob dies ein Betrugsversuch ist oder ob es sich um tatsächlich erbeutete Daten handelt.
RT @TimOnSec@twitter.com
Microsoft announces that the SolarWinds hackers had access to Microsoft source code.
https://www.reuters.com/article/us-global-cyber-microsoft/solarwinds-hackers-accessed-microsoft-source-code-the-company-says-idUSKBN2951M9
Original post from @msftsecresponse@twitter.com https://msrc-blog.microsoft.com/2020/12/31/microsoft-internal-solorigate-investigation-update/
Former analysis by @Malwarebytes@twitter.com: https://blog.malwarebytes.com/threat-analysis/2020/11/german-users-targeted-with-gootkit-banker-or-revil-ransomware/
I wrote a detailed email to @certbund@twitter.com @ncsc_nl@twitter.com and the owner of the affected site and will perform further investigation. #Gootkit
Several detection avoidance mechanism in place: looking for a valid user agent, language, check for former sitevisit
If one condition "fails" - a "normal" site shows up (on the hacked Wordpress).
JS-file (in ZIP) is "well" obfuscated ... delay for starting malware, etc.
Examples via Google:
"datei mit curl herunterladen"
"audible als mp3 downloaden"
"granny smith vollversion kostenlos downloaden"
Aff. URLs:
1. stage: studiostempel[.]com
2. stage: m. URLs
No detection:
https://www.virustotal.com/gui/file/d18eef0f852a0e737e55a660e873d69f46c0bb50dd1f738321b216c816ce66be/detection
@certbund@twitter.com @ncsc_nl@twitter.com @HonkHase@twitter.com @ffforward@twitter.com
RT @certbund@twitter.com
Basierend auf Sinkhole-Daten hat CERT-Bund in den letzten Wochen täglich durchschnittlich ca. 20.000 Infektionen in Deutschland mit dem Schadprogramm #Gootkit an die zuständigen Netzbetreiber/Provider gemeldet.
Die GI (@informatikradar@twitter.com) und zahlreiche weitere Verbände fordern "Angemessene Fristen statt Scheinbeteiligung"!
Zuletzt kam es immer wieder dazu, dass umfangreiche Referentenentwürfe (#ITSG) erst wenige Stunden/Tage vor Beschluss zur Stellungnahme vorlagen.
RT @informatikradar@twitter.com
🤔 48 Stunden für 465 Seiten? #GI und weitere Unterzeichner*innen fordern längere Fristen zur Kommentierung von Gesetzentwürfen und einen offeneren Beteiligungsprozess. 💬 Für die wirkliche #demokratischeMitsprache statt #Beteiligungssimulation! 👉 https://gi.de/meldung/offener-brief-ausreichende-fristen-fuer-verbaendebeteiligung-1
🐦🔗: https://twitter.com/informatikradar/status/1339908268085424129
RT @informatikradar@twitter.com
🤔 48 Stunden für 465 Seiten? #GI und weitere Unterzeichner*innen fordern längere Fristen zur Kommentierung von Gesetzentwürfen und einen offeneren Beteiligungsprozess. 💬 Für die wirkliche #demokratischeMitsprache statt #Beteiligungssimulation! 👉 https://gi.de/meldung/offener-brief-ausreichende-fristen-fuer-verbaendebeteiligung-1
🐦🔗: https://twitter.com/informatikradar/status/1339908268085424129
In the meantime @msftsecresponse@twitter.com has sinkholed the Domain. With that and "cracking" the DGS should be easy to track down all targets:
https://krebsonsecurity.com/2020/12/solarwinds-hack-could-affect-18k-customers/
via @briankrebs@twitter.com
CC: @HonkHase@twitter.com @certbund@twitter.com @BSI_Bund@twitter.com
Using the decode script (for known hosts) you get the follwing results: https://pastebin.com/5tHGmijn
#SolarWinds
Mostly US-targets. No or just a few German targets (with a domain) - as far as I can see at the moment.
RT @RedDrip7@twitter.com
By decoding the #DGA domain names, we discovered nearly a hundred domains suspected to be attacked by #UNC2452 #SolarWinds, including universities, governments and high tech companies such as @Intel@twitter.com and @Cisco@twitter.com. Visit our github project to get the script.
RT @SemperVideo@twitter.com
Für alle die glauben, nur weil man über 11 Jahre Partner auf YouTube ist, würde man "Support" erhalten.
Wie fruchtlos der aussieht, kann man hier sehen. :-)
🐦🔗: https://twitter.com/SemperVideo/status/1338499631639121921
Very positive shoutout to @LiveOverflow@twitter.com
I really like the idea of the "December/Advent project" and sharing your personal experience from different events and years.
Thank you for sharing!
Go and watch it: https://www.youtube.com/watch?v=zAqFhQ0yxTE&list=PLhixgUqwRTjwy6HCzLfwNzdrSrcrLOM4d
Das Vorgehen zum #ITSIG wirft tatsächlich einige Fragen auf. Fundierte inhatliche Kritik / Anmerkungen zum bisherigen Entwurf gibt es zudem auch, bspw. von @informatikradar@twitter.com
https://gi.de/fileadmin/GI/Allgemein/PDF/2020-12-02_GI_PAK_IT-SiG_20_FINAL.pdf
RT @P_Groeschel@twitter.com
Kannste dir nicht ausdenken: Gerade hat das BMI einen neuen Entwurf des #ITSIG an die Verbände versendet und die Kommentierungsfrist großzügig bis morgen 14 Uhr verlängert. Im neuen Entwurf sind teilweise signifikante Änderungen, z.B. Definition kritischer Komponenten https://twitter.com/P_Groeschel/status/1334136460988080129
🐦🔗: https://twitter.com/P_Groeschel/status/1336640991130947584
Intrested in itsec, society and literature Mostly hacker. co-founder of @Internetwache, author of info-sec books, writer @golem & Junior Fellow @informatikradar
Joined Sep 2018
