Bereits Anfang 2020 wurde bei Citrix eine enorme Sicherheitslücke entdeckt. Jetzt tauchen erste Folgen auf, die User des VPN-Gateways wie etwa Supermärkte, Ministerien, Ämter etc. betrifft. Sie alle könnten durch die Malware in ihren Systemen Opfer von Erpressungsattacken werden. Aktuellstes Opfer ist die Uniklinik Düsseldorf. Hier hatte der Angriff nicht nur finanzielle Folgen, sondern forderte aufgrund einer Behandlungsverzögerung auch ein Todesopfer.
„Shitrix“ bereits Anfang 2020 entdeckt
Der Name sagt alles: Anfang dieses Jahres sorgte „Shitrix“ (eine Schwachstelle in den Einwahlsystemen von Citrix, die für die Installation von Backdoors genutzt wurde) für Ärger.
HiSolutions (deutsche Sicherheitsberater) sind nun einigen Verschlüsselungsangriffen auf die Spur gekommen, die aufgrund dieser Backdoors möglich wurden. Selbst das damals (allerdings sehr spät) angebotene Software-Update ist gegen bereits vorhandene Hintertüren machtlos. Es ist nicht klar, wie viele derartige Fälle es gilt. Aber sicher nicht wenige, denn schon im Jänner wiesen zahlreiche untersuchte Citrix-Gateways Malware verschiedener Art auf.
Updates helfen nicht gegen bereits installierte Hintertüren
Diese „VPN-Gateways“ wurden fast alle viel zu spät durch Software-Updates gesichert, gegen davor installierte Hintertüren hilft das aber nicht. Nur völlig neu aufgesetzte Systeme gelten als gesichert. Beim aktuellen Erpressungsangriff auf das Klinikum Düsseldorf, der einen Todesfall zur Folge hatte, waren die Angreifer über den Citrix-Gateway eingedrungen. (Mehr dazu weiter unten). Es ist davon auszugehen, dass auch hierzulande eine unbekannte Zahl an Hintertüren in den hunderten Citrix-Gateways großer Netze existieren.
Vorgehensweise der Angreifer plump
Bei den Erpressern handelt es sich um keine genialen Masterminds. Sie haben laut HiSolutions einfachste Vorgehensweisen und Standard-Malware verwendet, um die Daten in den attackierten Systemen zu verschlüsseln. Citrix-User sind davor nicht gefeit. Momemtan können es zu zahlreichen derartigen Attacken kommen. HiSolutions empfiehlt deswegen, „Citrix NetScaler Systeme insbesondere auf mögliche neue Benutzer oder auffällige Netzwerkaktivitäten zu überprüfen“. Außerdem sollen Betroffene einen Blick in den Ordner /var/vpn/bookmark werfen, „da hier vom Angreifer eingeschleusten XML-Dateien zu finden sind.“
Backdoor-Macher nicht gleich Erpresser
Jene Cyberkriminelle die Anfang des Jahres die Backdoors installiert haben, sind eher nicht dieselben, welche nun die Unternehmen erpressen. Dieser Meinung ist zumindest Sicherheitsexperte Joe Pichlmayr im ORF-Interview. Denn derartige Backdoors sind gern gehandelte Ware im Darknet, generell spielt es sich am Schwarzmarkt in Sachen Malware-Kauf etc. richtig ab. Für Geld kann man hier alles kaufen, was es für Cyberattacken braucht. Deshalb sind die Citrix-Hintertüren auch ein sehr großes Risiko für massive(re) zukünftige Angriffe. Hier gehe es um weitaus „potentere Angreifer“ mit großem Know-how so Pichlmayr, die z. B. Finanzsektor attackieren könnten. Oder es handelt sich um staatliche Hacker wie die Lazarus-Group aus Nordkorea, die massenweise Geld mit Ransomware-Erpressungen macht.
Aktuelles Opfer: Universitätsklink Düsseldorf
Dass es sich beim Ausnutzen der installierten Hintertüren in Citrix nicht nur um Theorie handelt zeigt der jüngste Vorfall in der Uniklinik Düsseldorf. Hier hat „Shitrix“ zu einer Ransomware-Attacke geführt – und damit sogar zu einem Todesfall! Wie es zu dem Vorfall kommen konnte erklärt die Klinik so: „Die Sicherheitslücke befand sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware. Bis zur endgültigen Schließung dieser Lücke durch die Softwarefirma war ein ausreichendes Zeitfenster gegeben, um in die Systeme einzudringen.“ Anscheinend hat auch die Uniklinik zwar das Update von Citrix ausgeführt, aber zu spät – damit waren die Hintertüren schon produziert. Nur ein komplettes Neu-Aufsetzen des Systems hätte etwaige Backdoors und damit Erpressungen zunichte gemacht! Die Klinik hatte Tage später noch mit den Folgen des Angriffs zu kämpfen und konnte nicht zurück in den Normalbetrieb gehen.
Klinik anscheinend „Fehler“ der Hacker
Es scheint allerdings so, dass die Klinik nicht das Opfer hätte sein sollen. Denn die Täter zogen die Erpressung zurück und schickten einen Schlüssel, als sie von der Polizei informiert wurden, dass nicht die Uni, sondern das Krankenhaus gehackt und somit Patienten in Gefahr seien. Die Staatsanwaltschaft ermittelt jedenfalls wegen „fahrlässiger Tötung“.
Erstellt am: 24. September 2020
