JumpCloud, ein in den USA ansässiges kommerzielles Softwareunternehmen, hat eine Datenverletzung gemeldet, die auf einen ausgeklügelten Spear-Phishing-Angriff zurückzuführen ist, der von einem nicht identifizierten nationalen Akteur durchgeführt wurde. Der Angreifer verschaffte sich erfolgreich unbefugten Zugang zu den Systemen von JumpCloud und konzentrierte seine illegalen Aktivitäten auf eine kleine, bestimmte Kundengruppe.

Spear-Phishing ist ein gezielter Phishing-Angriff, bei dem sich ein Angreifer als vertrauenswürdige Quelle ausgibt, um scheinbar legitime Nachrichten an eine bestimmte Person, Organisation oder ein Unternehmen zu senden. Ihr Ziel ist es, vertrauliche Informationen zu erlangen, den Download von Malware zu fördern oder das Ziel finanziell zu betrügen.

JumpCloud betreibt eine Cloud-basierte Directory-as-a-Service-Plattform, die eine sichere Möglichkeit zur Verwaltung von Benutzeridentitäten, Geräten und Zugriff über verschiedene Plattformen wie VPN, Wi-Fi, Server und Workstations bietet.

Lesen Sie auch: “Telegram Channels mitschuldig an der Verbreitung von Kinderpornographie durch Hikvision-Kameras”

Ein nationalstaatlicher Bedrohungsakteur ist definiert als eine von der Regierung gesponserte Gruppe, die illegal in die Netzwerke anderer Regierungen oder Industriegruppen eindringt und diese kompromittiert. Ihre Absicht kann vom Diebstahl von Informationen bis zur Beschädigung oder Veränderung von Daten reichen.

Diese Akteure sind besonders berüchtigt für ihre Fähigkeit, ihre Aktivitäten zu verschleiern, so dass es schwierig ist, ihre Handlungen bis in ihr Herkunftsland zurückzuverfolgen. Sie verwenden häufig “falsche Flaggen”, um Cyber-Ermittler in die Irre zu führen.

Das Unternehmen entdeckte die bösartigen Aktivitäten am 27. Juni. Obwohl sie zu diesem Zeitpunkt keine direkten Auswirkungen feststellten, leiteten sie rasch Schutzmaßnahmen ein. Dazu gehörten der Wiederaufbau der Infrastruktur und die Einführung zusätzlicher Sicherheitsmaßnahmen für das Netz und die Außengrenzen. Sie arbeiteten auch mit Incident Response (IR)-Partnern bei der Systemanalyse zusammen und kontaktierten die Strafverfolgungsbehörden für weitere Untersuchungen.

Am 5. Juli, um 3:35 UTC, entdeckten sie weitere ungewöhnliche Aktivitäten innerhalb des Kommandorahmens. Zu diesem Zeitpunkt fanden sie Hinweise auf Auswirkungen auf die Kunden und arbeiteten eng mit den betroffenen Kunden zusammen, um deren Sicherheit zu verbessern.

Als Reaktion auf diese Feststellungen hat die Organisation am 5. Juli um 23:11 Uhr UTC alle API-Schlüssel der Administratoren zwangsweise ausgetauscht. Sie entdeckten, dass die Angreifer die Daten innerhalb des Befehlsrahmens manipuliert hatten und ausdrücklich auf bestimmte Kunden abzielten.

Dieses Ereignis hat zu einer erhöhten Sensibilisierung innerhalb der Organisation geführt, was dazu führte, dass eine Liste von beobachteten IOCs (Indicators of Compromise) im Zusammenhang mit dieser Kampagne erstellt und verteilt wurde.