Das israelische Nationale Direktorat für Cybersicherheit sagte, es habe „keinen Verstoß“ gegen sein Netzwerk gegeben, nachdem Anfang des Jahres Passwörter eines hochrangigen Beamten von dessen Heimcomputer gestohlen und online veröffentlicht wurden.
Ein Sicherheitsforscher, der nicht namentlich genannt werden wollte, sagte gegenüber Tech, dass er kürzlich die gestohlenen Zugangsdaten des INCD-Beamten gefunden habe, die Mitte Juni in einer öffentlichen Telegram-Gruppe gepostet worden seien, die dafür bekannt sei, Caches mit Passwörtern, Krypto-Wallet-Schlüsseln und anderen sensiblen Daten zu teilen, die von Computern gestohlen wurden mit der RedLine-Passwortdiebstahl-Malware infiziert.
Tech hat den öffentlichen Telegram-Beitrag gesehen, der den Cache enthielt, der als unscheinbare Archivdatei mit den Anmeldeinformationen von Hunderten von Opfern, darunter dem hochrangigen INCD-Beamten, beworben wurde.
Der Cache enthielt gespeicherte Zugangsdaten, Kreditkartennummern und automatisch ausgefüllte Passwörter vom Heimcomputer des Beamten, darunter Passwörter, die sich auf die Arbeit des leitenden Beamten beim INCD beziehen, etwa bei Bedrohungserkennungsdiensten und anderen internen israelischen Regierungssystemen.
Ein Desktop-Screenshot des Heimcomputers des Beamten, der zum Zeitpunkt der Kompromittierung aufgenommen und im Cache mit gestohlenen Anmeldeinformationen gebündelt war, zeigt, wie der INCD-Beamte seinen Heimcomputer versehentlich mit der RedLine-Malware infiziert. Der Screenshot zeigt deutlich eine virtuelle Maschine, auf der FlareVM ausgeführt wird, eine benutzerdefinierte Software, die von Cybersicherheitsexperten zum Reverse Engineering und Analysieren von Malware verwendet wird, mit einem Beispiel von RedLine auf dem Desktop der virtuellen Maschine.
RedLine ist eine berüchtigte Schadsoftware zum Diebstahl von Passwörtern, die auf den Hack bei Uber im letzten Jahr und den Diebstahl von Anmeldedaten von Worldcoin Orb-Betreibern zurückgeführt wurde.
Tech nennt den INCD-Beamten nicht, der auf eine Bitte um Stellungnahme nicht geantwortet hat. Der INCD ist für die Verteidigung des israelischen Cyberspace gegen Cyberangriffe verantwortlich.
Auf die Frage nach dem Vorfall sagte INCD, der Beamte der Behörde habe „in Übereinstimmung mit unseren etablierten Sicherheitsprotokollen gemeldet“, sagte jedoch nicht, wann oder wie lange nach dem Vorfall der Vorfall gemeldet wurde.
„Nach dem Vorfall leitete das INCD eine gründliche Untersuchung ein, die bestätigte, dass kein Verstoß gegen unser gut gesichertes Organisationsnetzwerk vorliegt“, sagte Libi Oz, Sprecherin des INCD.
„Der Vorfall ereignete sich auf einem privaten Computer, der vom Netzwerk der Organisation getrennt und isoliert war, wodurch eine klare Trennung zwischen persönlichen und arbeitsbezogenen digitalen Räumen gewährleistet wurde, wie erforderlich. Darüber hinaus waren darauf keine sensiblen Informationen gespeichert“, fügte der Sprecher hinzu.
INCD sagte, dass es „routinemäßig einen mehrschichtigen Sicherheitsrahmen im Organisationsnetzwerk anwendet, der Multi-Faktor-Authentifizierung und andere Maßnahmen umfasst, um die potenziellen Auswirkungen solcher Vorfälle wirksam zu verhindern und zu minimieren.“
Lesen Sie mehr auf Tech: