Im Vorjahr sorgte eine zuvor unbekannte Hackergruppierung für einiges Aufsehen: Lapsus$ gelang es, in kurzer Abfolge gleich bei mehreren großen Unternehmen einzubrechen – darunter auch Branchengrößen wie Samsung oder Microsoft. Grund genug für das US-Heimatschutzministerium, sich diese Vorfälle sowie die dabei genutzten Methoden einmal näher anzusehen. Das Ergebnis ist ein Bericht, der zu einem wenig erfreulichen Fazit kommt: War es doch für die meist jugendlichen und technisch gar nicht sonderlich versierten Hacker viel zu einfach, ihr Ziel zu erreichen.

Sorgen

Statt ausgeklügelter Schadsoftware oder gar der Verwendung von Zero-Day-Exploits, also der Ausnutzung von zuvor unbekannten Sicherheitslücken, zeichnete sich Lapsus$ vor allem durch zwei Dinge aus: Kreativität und Beharrlichkeit.

"Es ist äußerst besorgniserregend, dass eine lose Gruppe an Hackern, darunter viele Teenager, mit großer Zuverlässigkeit bei den am besten abgesicherten Unternehmen des Planeten einbrechen konnte", resümiert Alejandro Mayorkas, amtierender Innenminister der Vereinigten Staaten, gegenüber CNN.

Nerven, bis das Gegenüber aufgibt

Für die Aushebelung jener Multi-Faktor-Authentifizierung, mit der die betroffenen Unternehmen mittlerweile die Konten ihrer Mitarbeiter vor Attacken schützen, bedienten sich die Hacker eines sehr simplen Tricks: Sie gingen den Betroffenen einfach unendlich auf die Nerven. Oder wie es ein Lapsus$-Hacker selbst formuliert: "Ruf einen Mitarbeiter um ein Uhr in der Früh hundertmal an, und er wird die Multi-Faktor-Anfrage ziemlich sicher akzeptieren, damit er wieder schlafen kann."

Mit dieser simplen Methode gelang den Hackern etwa der Einbruch beim – ausgerechnet – auf Multi-Faktor-Authentifizierung spezialisierten Unternehmen Twilio. In weiterer Folge wollte man das dann verwenden, um die Konten von Mitarbeitern eines der wichtigsten Internetunternehmen, des Content-Delivery-Netzwerks Cloudflare, zu knacken. Das scheiterte nur deswegen, weil bei Cloudflare mittlerweile die Nutzung von Hardwareschlüsseln als zusätzlichen Faktor vorgeschrieben ist, womit die Phishing-Attacken von Lapsus$ ins Leere liefen.

Social Engineering

Auch sonst setzte man vor allem darauf, was in der Fachsprache Social Engineering heißt. Die Lapsus$-Hacker waren einfach extrem gut darin, Schwachstellen in den jeweiligen Sicherheitskonzepten zu finden – und hier vor allem beim Faktor Mensch. Also im Endeffekt darin, Angestellte dazu zu bringen, ihnen die Tore ins Firmennetzwerk selbst zu öffnen.

Mit solchen Tricks gelang es Lapsus$ etwa, rund ein Terabyte an Daten aus dem internen Netzwerk von Nvidia zu kopieren. Die damit einhergehenden Forderungen der Hacker wie die Veröffentlichung der Nvidia-Grafiktreiber als Open Source oder auch das Freischalten der vollen Leistungsfähigkeit für Kryptomining ließen bereits damals vermuten, dass hinter den Attacken keine professionellen Cybercrimebanden oder gar staatlich finanzierte Hacker stecken.

Leaks

Zu den weiteren erfolgreichen Einbrüchen gehörten welche bei Microsoft und beim Single-Sign-On-Provider Okta, in deren Folge ebenfalls interne Daten veröffentlicht wurden. Besonders hart traf es den US-Ableger des Mobilfunkers T-Mobile, der im März 2022 gleich mehrfach hintereinander von Lapsus$ gehackt wurde. Freilich muss dazu gesagt werden, dass T-Mobile USA seit Jahren generell einen verheerend schlechten Ruf in Hinblick auf die eigene IT-Sicherheit hat.

Auch beim brasilianischen Gesundheitsministerium gelang den Hackern ein Einbruch, in dessen Folge satte 50 Terabyte an Daten gelöscht wurden.

Empfehlungen

Der Bericht enthält aber auch einige Empfehlungen für Unternehmen und Organisationen, die Ähnliches verhindern wollen. So rät man dringend die Nutzung von passwortloser Authentifizierung an, also etwa die noch recht neuen Passkeys, da diese nicht für Phishing anfällig sind.

Zudem drängt man aber gerade US-Telekombehörden dazu, ihre Vorschriften für Mobilfunkanbieter zu verschärfen. Erleichtern doch bekannte Schwächen in den bisherigen Abläufen das sogenannte SIM-Swapping, bei dem Anrufer die Telefonnummer einer anderen Person übernehmen, um dann Zwei-Faktor-Codes für den Login auf einem anderen System abfangen zu können. (apo, 11.8.2023)