Kommentar: Uber mit einfachen Tricks gehackt

Der Angriff auf Uber ist ein weiteres Beispiel für einen relativ einfachen Angriff, der zu einem großen Vorfall mit enormem Imageschaden wurde. Andere Schäden lassen sich derzeit noch nicht beziffern. Der Angreifer verschaffte sich durch Social Engineering eines Mitarbeiters über ein VPN Zugang zum Netzwerk.

Große Unternehmen wie Uber sind wertvolle Ziele für Cyberangriffe, da sie über eine große Menge an sensiblen Kundendaten verfügen, die Hacker zu Geld machen können. „Obwohl es noch nicht bestätigt wurde, ist die Wahrscheinlichkeit groß, dass die Hacker Infomationen wie Kreditkartendaten und Gehaltsabrechnungen abgegriffen haben“, so Chris Vaughan, AVP of Technical Account Management, EMEA bei Tanium zu dem Vorfall. „Nach ersten Analysen sieht es so aus, als ob sowohl die Daten der Fahrer als auch die der Kunden kompromittiert worden sind. Nach dem Eindringen konnten die Angreifer in Skripten kodierte Passwörter finden und diese dann verwenden, um in verschiedene Teile des Netzwerks einzudringen. Dazu gehörte auch der Zugriff auf die Verwaltungs-Tools sowie auf mehrere Datenbanken. Dies wirft natürlich einige Fragen auf. Zum einen wurde ein einziges fest codiertes Kennwort für den Zugriff auf das PAM-System (Privileged Access Management) verwendet, das Zugang zu allen Bereichen der IT-Umgebung gewährt, die damit verbunden sind. Ein weiteres Problem ist, dass für das VPN offenbar keine Zwei-Faktor-Authentifizierung verwendet wurde, denn sonst hätten die Anmeldedaten allein keinen Zugang gewährt. Es kann besonders gefährlich sein, wenn Angreifer mit einem solchen gültigen Passwort in ein Netzwerk eindringen, da es dadurch schwierig ist, ihre Bewegungen von legitimen Benutzeraktivitäten zu unterscheiden.

Dies sollte als Erinnerung daran dienen, dass ein hohes Maß an Cyber-Hygiene dazu beitragen kann, dass solche einfacheren Angriffsmethoden nicht erfolgreich sind. Im Rahmen dieser Bemühungen müssen IT-Teams jederzeit wissen, wo sich ihre sensibelsten Daten befinden, um sie wirksam schützen zu können. Eine vollständige Transparenz des Unternehmensnetzwerks ist ebenfalls von entscheidender Bedeutung, um Geräte zu identifizieren, die möglicherweise kompromittiert wurden, und diese dann schnell zu reparieren.“

Dass auch Unternehmen mit gut aufgestellter Security nicht unantastbar sind, meint Ian McShane, Vice President of Strategy bei Arctic Wolf. Er kommentiert den Vorfall und seine Bedeutung so: „Uber, Anbieter einer Mobilitätsplattform, ist bekannt dafür, dass das Unternehmen über eine der besten Cybersicherheitsmaßnahmen der Branche verfügt. Die Tatsache, dass das Unternehmen kompromittiert wurde, zeigt, was wir alle wissen sollten: Niemand ist perfekt, und selbst die bestgeführten Organisationen können kompromittiert werden. Wichtig ist, wie schnell Unternehmen reagieren und das Problem entschärfen, was in diesem Fall offenbar gelungen ist.

Zwar gibt es noch keine offizielle Erklärung, doch eine Person, die sich zum Cyberangriff bekennt, erklärt, dass der anfängliche Zugang durch Social Engineering erlangt wurde. Er kontaktierte einen ahnungslosen Uber-Mitarbeitenden, gab sich dort als technischer Support aus und setzte das Passwort zurück. Dann konnte der Angreifer eine Verbindung zum Unternehmens-VPN herstellen, um weiteren Zugriff auf das Uber-Netzwerk zu erhalten. Dabei scheint er auf Gold gestoßen zu sein, und zwar in Form von Admin-Anmeldedaten, die im Klartext auf einer Netzwerkfreigabe gespeichert waren.

Die Einstiegshürde für diesen Angriff stellte sich als ziemlich niedrig heraus. Die Attacke ähnelt jener, bei der sich Angreifer als MSFT-Mitarbeitende ausgaben und so Endnutzer dazu brachten, Keylogger oder Remote-Access-Tools zu installieren. Angesichts des Zugangs, den der Angreifer angeblich erlangt hat, bin ich überrascht, dass er nicht versucht hat, Lösegeld zu erpressen. Es sieht so aus, als wäre nur aus ´Spaß´ gehandelt worden.

Angriffe, die sich Insider-Bedrohungen und kompromittierte Anmeldeinformationen zunutze machen, nehmen weiter zu – um 47 Prozent, wie es im 2022 Ponemon Institute Report heißt. Das beweist einmal mehr, dass das schwächste Glied in der Sicherheitsverteidigung oft der Mensch ist. Daher ist es von entscheidender Bedeutung, dass Unternehmen dieses Risiko durch regelmäßige Security-Awareness-Schulungen, Monitoring- und Detection-and-Response-Maßnahmen sowie weitere rund um die Uhr durchgeführte Security Operations in den Griff bekommen, um das Risiko zu verringern und das Unternehmen zu schützen.“