Die US-Regierung hat bestätigt, dass mehrere Bundesbehörden Opfer von Cyberangriffen geworden sind, bei denen eine Sicherheitslücke in einem beliebten Dateiübertragungstool ausgenutzt wurde.
In einer mit Tech geteilten Erklärung bestätigte CISA, dass „mehrere“ US-Regierungsbehörden Einbrüche im Zusammenhang mit der Ausnutzung einer Schwachstelle in MOVEit Transfer erlebt haben, einem von Progress Software entwickelten Dateiübertragungstool für Unternehmen. Die Agentur führte die Angriffe auch auf die mit Russland verbundene Ransomware-Bande Clop zurück, die diese Woche damit begann, die Namen von Organisationen zu veröffentlichen, die sie angeblich unter Ausnutzung der MOVEit-Schwachstelle gehackt haben.
CISA machte keine Angaben dazu, wie viele Behörden von den Angriffen betroffen waren CNN zuerst gemeldet und die betroffenen Behörden nicht genannt. Allerdings bestätigte das Energieministerium gegenüber Tech, dass zwei seiner Unternehmen zu den Verstößen gehörten.
„Als das DOE erfuhr, dass bei dem globalen Cyberangriff auf die Filesharing-Software MOVEit Transfer Datensätze von zwei DOE-Unternehmen kompromittiert wurden, ergriff das DOE sofort Maßnahmen, um eine weitere Gefährdung durch die Schwachstelle zu verhindern, und benachrichtigte die Cybersecurity and Infrastructure Security Agency (CISA)“, so ein DoE sagte ein Sprecher. „Das Ministerium hat den Kongress benachrichtigt und arbeitet mit den Strafverfolgungsbehörden, der CISA und den betroffenen Einrichtungen zusammen, um den Vorfall zu untersuchen und die Auswirkungen des Verstoßes abzumildern.“
Entsprechend der BundesnachrichtennetzwerkOak Ridge Associated Universities und eine Pilotanlage zur Abfallisolierung in New Mexico waren die beiden DOE-Unternehmen, die von der Sicherheitslücke betroffen waren und „die persönlich identifizierbaren Informationen von potenziell Zehntausenden von Personen offenlegten, darunter Mitarbeiter und Auftragnehmer im Energiebereich“.
Nach Angaben des Federal Data Procurement System verfügen rund ein Dutzend weitere US-Behörden über aktive MOVEit-Verträge. Dazu gehören das Department of the Army, das Department of the Air Force und die Food and Drug Administration.
In einer Pressekonferenz am Donnerstag, in der es um die MOVEit-Schwachstelle ging, sagte CISA-Direktorin Jen Easterly, die Cybersicherheitsbehörde arbeite „dringend mit den betroffenen Behörden zusammen, um die Auswirkungen zu verstehen und eine rechtzeitige Behebung sicherzustellen“. Obwohl noch nicht bekannt ist, ob Daten gestohlen wurden, fügte Easterly hinzu, dass die Einbrüche nicht ausgenutzt würden, um „bestimmte hochwertige Informationen zu stehlen“ oder um in Zielsystemen Einzug zu halten.
„Zusammenfassend lässt sich sagen, dass dieser Angriff nach unserem Verständnis weitgehend opportunistisch ist“, sagte Easterly. „Darüber hinaus sind uns keine Clop-Akteure bekannt, die damit drohen, von US-Regierungsbehörden gestohlene Daten zu erpressen oder freizugeben.“
In einem neuen Update, das auf seiner Dark-Web-Leak-Site veröffentlicht wurde, behauptete Clop, dass Regierungsdaten gelöscht worden seien und noch keine Regierungsbehörden als Opfer aufgeführt seien.
Allerdings hat Clop eine weitere Gruppe von Opfern hinzugefügt, die angeblich über die MOVEit-Schwachstelle kompromittiert wurden, darunter die in Boston Globe, Kalifornien, ansässige East Western Bank, das in New York ansässige Biotechnologieunternehmen Enzo Biochem und das zu Microsoft gehörende KI-Unternehmen Nuance.
Lynn Granito, eine Sprecherin der Agentur, die Enzo vertritt, sagte gegenüber Tech, das Unternehmen werde keinen Kommentar abgeben. Keines der anderen neu gelisteten Unternehmen hat auf die Fragen von Tech geantwortet.
Die mit Russland verbundene Ransomware-Gruppe veröffentlichte nur einen Tag zuvor die ersten betroffenen Organisationen – eine Liste, zu der die in den USA ansässigen Finanzdienstleistungsunternehmen 1st Source und First National Bankers Bank sowie der britische Energieriese Shell gehören.
Da weiterhin neue Opfer ans Licht kommen, hat Progress Software beeilt, einen Patch zu erstellen neue Schwachstelle Auswirkungen auf MOVEit Transfer. Diese als CVE-2023-35708 verfolgte Schwachstelle könnte zu unbefugtem Zugriff auf Kundenumgebungen führen, warnte Progress in seinem Advisory.