2022 war ein profitables Jahr für Hacker, die Jagd auf die aufstrebenden Web3- und dezentralisierten Finanzbereiche (DeFi) machten, mit mehr als Kryptowährung im Wert von 2 Milliarden Dollar geschürft in einer Reihe von hochkarätigen Hacks bis zu diesem Punkt. Kettenübergreifende Protokolle wurden erheblich hart getroffen, wobei der 650-Millionen-Dollar-Ronin-Bridge-Hack von Axie Infinity in diesem Jahr einen guten Teil der gestohlenen Gelder ausmachte.

Die Plünderung setzte sich bis in die zweite Hälfte des Jahres 2022 fort, als die Cross-Chain-Plattform Nomad feststellte, dass 190 Millionen US-Dollar aus den Brieftaschen abgezogen wurden. Das Solana-Ökosystem war das folgende Ziel, bei dem Hacker Zugriff auf die nicht öffentlichen Schlüssel von etwa 8000 Wallets hatten, was zu einem Preis von 5 Millionen US-Dollar für Solana führte (SOL) und Die Token der Solana-Programmbibliothek (SPL) werden gestohlen.

deBridge Finance hat es geschafft am Montag, den 8. August, einem versuchten Phishing-Angriff ausweichen, die die Strategien entpacken, die von dem verwendet werden, was die Agentur für einen weitreichenden Angriffsvektor hält, der von Hackern der nordkoreanischen Lazarus-Gruppe verwendet wird. Nur wenige Tage später, Curve Finance erlitt einen Exploit die bemerkt haben, dass Hacker Kunden auf eine gefälschte Webseite umgeleitet haben führte zu einem Diebstahl im Wert von 600.000 $ von USD-Münzen (USDC).

Eine Reihe von Faktoren des Scheiterns

Die Gruppe von deBridge Finance lieferte in Korrespondenz mit Cointelegraph einige relevante Einblicke in die Prävalenz dieser Angriffe, unter der Bedingung, dass ziemlich viele ihrer Gruppenmitglieder zuvor für eine herausragende Antivirenfirma gearbeitet haben.

Mitbegründer Alex Smirnov betonte das treibende Problem hinter der Fokussierung auf Cross-Chain-Protokolle angesichts ihrer Funktion als Liquiditätsaggregatoren, die Cross-Chain-Wertwechselanforderungen erfüllen. Die meisten dieser Protokolle zielen darauf ab, so viel Liquidität wie möglich durch Liquiditätsabbau und verschiedene Anreize zu mischen, was sich unweigerlich in einen Honigtopf für schändliche Akteure verwandelt hat:

„Indem sie eine beträchtliche Menge an Liquidität sperren und versehentlich verschiedene zugängliche Angriffsstrategien anbieten, machen sich Bridges selbst zum Ziel für Hacker.“

Smirnov fügte hinzu, dass Überbrückungsprotokolle Middleware sind, die von den Sicherheitsmoden aller unterstützten Blockchains abhängen, aus denen sie gemischt werden, was die potenzielle Angriffsfläche drastisch erhöhen wird. Dies macht es auch möglich, einen Angriff in einer einzelnen Kette durchzuführen, um Liquidität von anderen anzuziehen.

Damit verbundenen: Gibt es eine sichere Zukunft für Cross-Chain-Bridges?

Smirnov fügte hinzu, dass sich der Web3- und Cross-Chain-Bereich in einer Phase der Entstehung befindet, mit einem iterativen Mittel zur Verbesserung, indem Gruppen die Fehler anderer untersuchen. Der deBridge-Mitbegründer zog Parallelen zu den ersten zwei Jahren im DeFi-Bereich, in denen Exploits weit verbreitet waren, und räumte ein, dass dies ein reiner Kinderkrankheitenkurs war:

„Der Cross-Chain-Bereich ist selbst im Kontext von Web3 außerordentlich jünger, daher sehen wir einen ähnlichen Ablauf. Cross-Chain hat ein großes Potenzial und es ist unvermeidlich, dass zusätzliches Kapital hereinfließt und Hacker zusätzliche Zeit und Ressourcen für die Entdeckung von Angriffsvektoren aufwenden.“

Der DNS-Hijacking-Vorfall von Curve Finance veranschaulicht zusätzlich die Anzahl der Angriffsstrategien für schändliche Akteure. Paolo Ardoino, Chief Know-how Officer von Bitfinex, informierte Cointelegraph, dass der Handel vor allen Sicherheitsbedrohungen auf der Hut sein muss:

„Dieser Angriff zeigt einmal mehr, dass der Einfallsreichtum von Hackern eine nahe und allgegenwärtige Gefahr für unsere Branche darstellt. Die Wahrheit, dass ein Hacker bereit ist, den DNS-Eintrag für das Protokoll zu ändern, Kunden an einen gefälschten Klon weiterzuleiten und einen böswilligen Vertrag zu genehmigen, sagt viel über die Wachsamkeit aus, die ausgeübt werden muss.“

Die Flut aufhalten

Da Exploits weit verbreitet sind, werden die Aufgaben zweifellos darin bestehen, Methoden zur Minderung dieser Gefahren in Betracht zu ziehen. Die Antwort ist alles andere als eindeutig, wenn man bedenkt, wie viele Möglichkeiten Angreifer haben. Smirnov verwendet gerne eine „Schweizer Käsefigur“, wenn es um die Sicherheit von Überbrückungsprotokollen geht, wobei die einzige Methode, einen Angriff auszuführen, darin besteht, dass sich viele „Löcher“ kurzzeitig aneinanderreihen.

Durch: Ravie Lakshmanan
Networking-Tools-Chef Cisco bestätigte am Mittwoch, dass es das Opfer eines Cyberangriffs am 24. Mai 2022 war, nachdem die Angreifer Zugriff auf das private Google-Konto eines Mitarbeiters erlangt hatten, das Passwörter enthielt, die von ihrem Internetbrowser synchronisiert wurden.
„Der vorläufige Zugang zum Cisco VPN wurde durch die gewinnbringende Kompromittierung des privaten Google-Kontos eines Cisco-Mitarbeiters erreicht“, sagte Cisco Talos in einem ausführlichen Artikel. „Der Verbraucher hatte die Passwortsynchronisierung über Google Chrome aktiviert und seine Cisco-Anmeldeinformationen seines Browsers gespeichert, sodass diese Daten mit seinem Google-Konto synchronisiert werden konnten.“
Die Offenlegung erfolgt, als mit der Yanluowang-Ransomware-Gang in Verbindung stehende Cyberkriminelle am 10.
Die exfiltrierten Daten, die auf Talos basieren, enthielten den Inhalt eines Cloud-Speicherordners von Field, der mit dem Konto des kompromittierten Mitarbeiters in Verbindung stand und von dem angenommen wird, dass er kein nützliches Wissen enthielt.
Neben dem Diebstahl von Zugangsdaten gab es noch eine weitere Phishing-Methode, bei der der Angreifer auf Methoden wie Vishing (auch bekannt als Voice-Phishing) und Multi-Faktor-Authentifizierung (MFA) zurückgriff, um den Täter dazu zu bringen, dem VPN-Kunden Zugang zu gewähren.

MFA-Müdigkeit oder sofortige Bombardierung ist der Titel einer Methode, die von Risikoakteuren verwendet wird, um die Authentifizierungs-App eines Verbrauchers mit Push-Benachrichtigungen zu überfluten, in der Hoffnung, dass sie nachgeben und es einem Angreifer aufgrund dieser Tatsache ermöglichen, unbefugten Zugang zu einem Konto zu erlangen.
„Dem Angreifer gelang es schließlich, eine MFA-Push-Akzeptanz zu erreichen, die ihm Zugang zu VPN im Kontext des fokussierten Verbrauchers gewährte“, sagt Talos.
Nachdem der Angreifer einen vorläufigen Halt in der Umgebung gefunden hatte, registrierte er eine Reihe neuerer Geräte für MFA und eskalierte zu Administratorrechten, die ihnen umfassende Berechtigungen zum Anmelden bei einer Reihe von Methoden erteilten – ein Antrag, der auch die Aufmerksamkeit der Sicherheitsgruppen von Cisco erregte .
Der Risikoakteur, den er einem vorläufigen Einstiegshändler (IAB) mit Verbindungen zur UNC2447-Cyberkriminalität, der LAPSUS$-Risikoakteurgruppe und den Yanluowang-Ransomware-Betreibern zuschreibt, unternahm außerdem Schritte, um seine eigenen Backdoor-Konten und Persistenzmechanismen hinzuzufügen.
UNC2447, ein „aggressiver“, finanziell motivierter Russland-Nexus-Akteur, wurde im April 2021 aufgedeckt, als er einen damaligen Zero-Day-Fehler in SonicWall VPN ausnutzte, um FIVEHANDS-Ransomware fallen zu lassen.
Yanluowang, benannt nach einer chinesischsprachigen Gottheit, ist eine Ransomware-Variante, die seit August 2021 gegen Unternehmen in den USA, Brasilien und der Türkei eingesetzt wird. Anfang April dieses Jahres ermöglichte ein Fehler in seinem Verschlüsselungsalgorithmus Kaspersky, die Malware zu knacken und eine kostenloser Entschlüsseler zur Unterstützung der Opfer.
Darüber hinaus soll der Schauspieler eine ganze Reihe von Tools eingesetzt haben, darunter Remote-Entry-Dienstprogramme wie LogMeIn und TeamViewer, offensive Sicherheitstools wie Cobalt Strike, PowerSploit, Mimikatz und Impacket, die darauf abzielen, ihre Zugangsstufe zu Methoden im Inneren zu erhöhen Gemeinschaft.

„Nachdem der Zugriff auf das VPN hergestellt wurde, begann der Angreifer, das kompromittierte Benutzerkonto zu verwenden, um sich bei mehreren Methoden anzumelden, bevor er begann, sich weiter in die Umgebung einzuklinken“, erklärte es. „Sie sind in die Citrix-Umgebung eingedrungen, haben eine Reihe von Citrix-Servern kompromittiert und schließlich einen privilegierten Zugang zu Bereichscontrollern erhalten.“
Die Risikoakteure wurden später auch beim Übertragen von Datensätzen zwischen Methoden innerhalb der Umgebung mithilfe von Distant Desktop Protocol (RDP) und Citrix beobachtet, indem sie hostbasierte Firewall-Konfigurationen änderten, um nicht darauf hinzuweisen, dass das Toolset in Listen unter dem öffentlichen Benutzerprofil auf kompromittierten Hosts bereitgestellt wurde .
Allerdings wurde keine Ransomware eingesetzt. „Während wir bei diesem Angriff keine Ransomware-Bereitstellung beobachtet haben, waren die verwendeten TTPs gemäß der ‚Pre-Ransomware-Übung‘, die Übung wurde im Allgemeinen genauso stark wahrgenommen wie die Verbreitung von Ransomware in betroffenen Umgebungen“, sagte das Unternehmen.
Cisco sagte weiter, dass die Angreifer, nachdem sie gebootet worden waren, mindestens dreimal versuchten, die E-Mail-Kommunikation mit den Führungskräften des Unternehmens zu ermitteln, sie zur Zahlung aufforderten und dass „niemand von dem Vorfall und dem Datenleck erfahren wird“. Die E-Mail enthielt außerdem einen Screenshot der Auflistung des exfiltrierten Field-Ordners.
Abgesehen von der Einleitung eines unternehmensweiten Passwort-Resets verwirrte die in San Jose ansässige Behörde, dass der Vorfall keinen Einfluss auf ihre Unternehmensabläufe hatte oder zu einem unbefugten Zugriff auf sensibles Käuferwissen, Mitarbeiterdaten und geistiges Eigentum führte, einschließlich dessen, dass „effizient blockiert wird“. Versuch“, seitdem in seine Community einzudringen.

Das Web of Issues (IoT) hat für verwandte Einheiten neue Zwecke geschaffen. Hersteller übertragen ältere Headsets und Tastaturen. Eine dieser neuen Nutzungsinstanzen sticht besonders hervor: Zwecke, die viel weniger auf kontinuierliches Streaming angewiesen sind und stattdessen regelmäßig kleine Mengen an Wissen weitergeben. Dies gilt insbesondere für Sensorzwecke, wenn ein entferntes Peripheriegerät Details über seine Umgebung weitergibt – vergleichbar mit einem Thermostat, einem Sicherheitssensor oder einem medizinischen Überwachungsgerät. Gleichzeitig macht ein Fortschritt im Bluetooth-Standard diese neuen Zwecke möglich.

Eine kurze historische Vergangenheit von Bluetooth Basic und Bluetooth Low Energy

Bluetooth fühlt sich an, als wäre es ununterbrochen rund gewesen. Tatsächlich gibt es die einzigartige Spezifikation seit 1998, und die ersten Freisprech-Headsets kamen 1999 auf den Markt. Seitdem wird sie verwendet, um alles von PC-Mäusen und Tastaturen bis hin zu tragbaren Audiosystemen und Kopfhörern zu verbinden. Bluetooth Basic, wie es heute heißt, deckt 79 Kanäle ab und kann bis zu 3 Mb/s bis zu 50 Meter übertragen – was es unter anderem für die Informationsübertragung, das Streamen von Audio und das Teilen von Filmmaterial mit verschiedenen Smartphones hilfreich macht .

Während viele Geräte, die Bluetooth Basic verwenden, batteriebetrieben sind (zumindest die Peripheriegeräte), war Energie kein Problem – da Elemente für einfaches Aufladen und Batteriewechsel konzipiert wurden. Es spielte keine Rolle, ob der Akku Ihrer PC-Maus nur ein paar Tage dauerte. Sie können einfach ein Ladekabel einstecken oder die Akkus tauschen.

Ein brandneues Normal, Bluetooth Low Energy (BLE), ist entstanden, um die Bandbreitengebühren zu senken, beginnend bei 125 Kb/s bis zu 2 Mb/s, zusammen mit einem brandneuen verbindungslosen Modus zusammen mit dem verbindungsorientierten Modus von Basic . Die wichtigste Entwicklung in BLE ist die Stromsparfunktionalität, um Energieeinheiten viel länger zu nutzen. Standardmäßig schlafen BLE-Peripheriegeräte, bis sie Informationen übertragen können. Zusammen mit einer geringeren Energienutzung während der Übertragung bei geringeren Informationsgebühren beträgt der Energieverbrauch von BLE-Einheiten normalerweise nur 1-5 % der Einheiten, die Bluetooth Basic verwenden. Ihr Energieverbrauch liegt im Bereich von 15-20 Mikroampere, was bedeutet, dass eine normale Knopfzelle die meisten BLE-Einheiten jahrelang mit Energie versorgen kann.

Neugestaltung des Netzes medizinischer Probleme

Günstige Gebühren für Informationsschalter gepaart mit niedrigem Energieverbrauch machen BLE-Einheiten für Käuferzwecke interessant, vergleichbar mit Kopfhörern und Thermostaten, aber das ist nur ein Teil der Geschichte. Diese gleichen Eigenschaften machen BLE auch für verwandte medizinische Einrichtungen – oder auch bekannt als Web of Medical Issues (IoMT) – zu einem herausragenden BLE. Ein Glukosemonitor kann beispielsweise BLE verwenden, um Glukosebereiche zur praktischen Überwachung an ein Smartphone weiterzuleiten. In einer Krankenhausumgebung könnten billige BLE-Tags, die an Einheiten angeschlossen sind, die Bestandsüberwachung und -platzierung erheblich vereinfachen. Darüber hinaus macht die Hilfe von BLE für eine große Anzahl verwandter Peripheriegeräte es viel hilfreicher in einer medizinischen oder Krankenhausumgebung, die viele (oder Hunderte) verwandter medizinischer Einheiten enthalten kann. Denken Sie zum Beispiel an die Überwachungsstation einer Krankenschwester. Mit BLE haben Sie möglicherweise alle EKGs am Boden und verschiedene Überwachungseinheiten für betroffene Personen, die Telemetrieinformationen an einen zentralen Ort weiterleiten. Es ist der gleiche Gedanke hinter gesundheitsbezogenen Wearables, vergleichbar mit koronaren Herzmonitoren und Gesundheitsuhren – die alle Pulsinformationen über BLE weiterleiten.

Das Zuteilen von Kabeln, umständlichen Batterien und das Ermöglichen der Smartphone-Kommunikation ist ein großer Schritt nach vorne. Doch wie bei jeder Innovation gibt es unvermeidliche Gefahren. Und im Fall von medizinischen Einheiten führen diese Gefahren nicht nur zu Problemen wie einer Verringerung der Audioqualität oder der Batterielebensdauer. Apropos IoMT: Maschinengefahren können gerade die Sicherheit betroffener Personen gefährden.

Cybersicherheit im Web of Medical Issues

Für verwandte medizinische Einheiten sind Cyberangriffe eine große Bedrohung für die Sicherheit betroffener Personen. Beispielsweise kann ein Angriff auf eine BLE-Funkschnittstelle die wichtige Leistung eines IoMT-Geräts beeinträchtigen – was eine betroffene Person verletzen oder möglicherweise töten kann. Eine Reihe von Sicherheitslücken wie diese wurden bereits in Bluetooth-fähigen medizinischen Einheiten gefunden, was zu weit verbreiteten Offenlegungen, obligatorischen Schadensbegrenzungen und Maschinenerinnerungen führte. Einige der wirkungsvollen Beispiele sind die SweynTooth-Schwachstellen die sich auf eine Vielzahl von BLE-IoMT-Einheiten auswirkte. Die Wirkung war so extrem, dass die FDA ein druckte Sicherheitskommunikation an Hersteller medizinischer Geräte, Warnung vor den Gefahren, die entstehen, wenn eine von vielen Schwachstellen ausgelöst wurde – was zum Absturz, zum Stillstand und Einfrieren von Einheiten führen und es einem Angreifer sogar ermöglichen kann, seine Sicherheitsvorkehrungen zu umgehen.

Die wichtigste Lektion von SweynTooth (und andere Schwachstellen bevorzugen es) war, dass es Hersteller auf Upstream-Schwachstellen innerhalb der Bereitstellungskette aufmerksam machte. Was die Schwachstellen anbelangt, so haben Medizingerätehersteller den fehlerhaften Code nicht geschrieben. In Wahrheit waren sie sich ihrer Existenz nicht bewusst. Sie beschafften lediglich ein Bluetooth System on Chip (SoC) von einem vertrauenswürdigen, bekannten Hersteller digitaler Teile und bauten es in ihre Maschine ein. Die SoCs lieferten die Schwachstellen. Es wurden lediglich vor der Produktladung keine ausreichenden Sicherheitstests durchgeführt, was jedes System, in das sie integriert sind, in Gefahr bringt.

Aufdecken versteckter Schwachstellen mit Protokoll-Fuzzing

Die SweynTooth-Schwachstellen betrafen eine Reihe qualifizierter Hersteller, darunter Texas Devices, NXP, Cypress, Dialog Semiconductors, Microchip, STMicroelectronics und Telink Semiconductor. Wie wurden so viele alternative Hersteller beeinflusst? Das Problem ist, dass die Schwachstellen in den Protokollstapeln versteckt wurden, was es äußerst schwierig macht, sie zu erkennen und zu diagnostizieren. Während die Sicherheitsbranche eine Reihe bewährter Verfahren zum Auffinden von Schwachstellen auf Anwendungsebene entwickelt hat – zusammen mit gängigen Techniken und Datenbanken von Bedrohungsbibliotheken, die mit Softwareprogrammen und -bibliotheken abgeglichen werden können – sind Schwachstellen auf Protokollebene viel schwieriger zu lokalisieren . In Wahrheit gibt es nur eine Strategie, um diese Art von Schwachstellen angemessen zu untersuchen: einen umfassenden Testmechanismus, der oft als Protokoll-Fuzzing bezeichnet wird.

Laienhaft ausgedrückt bedeutet Protokoll-Fuzzing das systematische Einfügen verschiedener Fehler direkt in eine Kommunikationsänderung, um die Einheit am anderen Ende einer Verbindung zu verwirren und in einen falschen Zustand zu versetzen. Dies kann ziemlich einfache Fehler enthalten, vergleichbar mit dem Senden mehrerer Kopien eines Pakets, oder kann zu subtileren Beschädigungen eines Protokolls führen. Nachfolgend sind einige Beispiele aufgeführt:

• Die Flags, die den Beginn und das Ende einer Verbindung angeben, können in einem einzigen Paket gesetzt werden.
• Felder innerhalb eines Pakets können zu massiv oder zu klein sein.
• Felder innerhalb eines Pakets können auf ungültige Werte gesetzt werden.
• Pakete können außerhalb der Reihenfolge zugestellt werden.

In vielen Fällen ist der „Handshake“, der zu Beginn einer Verbindung stattfindet, um Sicherheit, Verschlüsselung und andere Kommunikationsparameter zu überprüfen, ein einfaches Ziel für Ausbeutung. Da sich die entfernte Maschine hauptsächlich auf der Grundlage der während des Handshakes festgelegten Einstellungen selbst konfiguriert, können speziell beschädigte Pakete (oder Paketsequenzen) Abschaltungen oder Kommunikationsfehler verursachen, die manuell zurückgesetzt werden müssen.

Im schlimmsten Fall kann ein Angreifer auf den Handshake selbst abzielen, wie in dokumentiert CVE-2019-19194. Da der Handshake Sicherheits- und Verschlüsselungsparameter festlegt, kann ein Angreifer die Kontrollen umgehen, die normalerweise bestimmte Aktionen einschränken und eine willkürliche Verwaltung des Systems ermöglichen. Insbesondere für IoMT-Einheiten kann dies offensichtliche und katastrophale Auswirkungen haben. Ein Angreifer kann das Gerät anweisen, falsche Telemetrieinformationen zu melden, andere Anweisungen zu ignorieren, die Datenschutzrichtlinien der betroffenen Person zu verletzen, indem er Informationen an ein nicht autorisiertes System weiterleitet, und sogar eine wahrscheinlich tödliche Behandlungsdosis verabreichen.

Sichern von Schwachstellen auf Protokollebene in BLE-fähigen IoMT-Einheiten

Jede solche Schwachstelle ist eindeutig ein kritisches Anliegen für Hersteller medizinischer Geräte – wie der Fokus der FDA auf die USA und die damit verbundene behördliche Prüfung weltweit widerspiegelt. Aber was ist eine der einfachsten Möglichkeiten, verwandte Einheiten zu bewachen? Für den Anfang bedeutet dies, Validierungs- und Verifizierungsmethoden zu implementieren, um Schwachstellen in SoC-Protokollstapeln festzustellen. Produzenten müssen die letzte Schutzlinie erfüllen. In jedem Fall sind sie an der Reihe, um schnell Warnmeldungen, Minderungsmethoden und Firmware-Updates zur Behebung betroffener Einheiten an Betroffene und Pflegedienstleister zu verteilen. Und, wie im obigen Fall bekannt, sind selbst die ressourcenstärksten Anbieter nicht davor gefeit, anfällige Chipsätze zu liefern.

Dennoch ist Sicherheit eine Reise, kein Urlaubsort. Aus diesem Grund sollten Maschinenhersteller zumindest vor der Produkteinführung auf Abhilfe-Updates von Chipsatz-Händlern bestehen. Und gleichzeitig müssen sie es auch selbst auf sich nehmen, intensive Protokoll-Fuzzing-Bewertungen ihrer Einheiten durchzuführen – und zwar zusammen mit ihren Validierungs- und Verifizierungsmethoden in FDA-Vorabzulassungsanträgen.

Für medizinische #ConnectedDevices sind #Cyberattacken eine massive Bedrohung für die Patientensicherheit. Mit zunehmender Verbreitung von BLE-Konnektivität für #IoMT-Geräte wird die Protokoll-Fuzzing-Validierung noch wichtiger. #Cybersicherheit #Daten respektierenZum Twittern klicken

Da die BLE-Konnektivität für IoMT-Geräte immer mehr an Bedeutung gewinnt, wird die Protokoll-Fuzzing-Validierung immer wichtiger, um die Sicherheit betroffener Personen und den Glauben an den Fortschritt der angewandten Wissenschaften aufrechtzuerhalten. Glücklicherweise sind Protokoll-Fuzzing-Toolkits besonders weit verbreitet und einfacher zu verwenden – selbst für hochkarätige Managementgruppen, die wenig bis gar keine Erfahrung in Cybersicherheit haben. Angesichts der Zeit, die ein Chipsatz-Anbieter möglicherweise benötigt, um Schwachstellen vollständig zu reproduzieren, zu diagnostizieren, zu behandeln und zu validieren, ist es jetzt an der Zeit, mit der Methode zum Testen von Waren innerhalb der Verbesserungspipeline zu beginnen. Man sollte sich nur an SweynTooth wenden, um zu sehen, dass je später eine Schwachstelle entdeckt wird, desto teurer die Behebung ist.