Update: Schweizer Hackerin hat Knatsch mit dem FBI
Hacker haben sich Zugriff auf Live-Videokameras des US-amerikanischen Start-ups Verkada verschafft. Unter anderem bekannte sich die Schweizerin Tillie Kottmann zum Cyberangriff. Die Luzerner Polizei durchsuchte ihre Wohnung im Zusammenhang mit einer FBI-Untersuchung.
Update vom 17. März 2021: Die Schweizerin Tillie Kottmann und ihre Gruppe "Advanced Persistent Threat 69420" haben 150'000 Überwachungskameras gehackt. Sie brachen in die Systeme von Verkada ein, indem sie die Anmeldedaten eines Superadministrator-Kontos in die Hände bekamen, das Zugriff auf die Kameras aller Kunden des Herstellers gibt.
Wie "Bloomberg" berichtet, durchsuchte nun die Luzerner Polizei die Wohnung der 21-jährigen Hackerin und beschlagnahmte dabei Computerausrüstung. Der Durchsuchungsbefehl besage, dass die Razzia im Zusammenhang mit einer FBI-Untersuchung über "das Hacken von Computerdatenbanken und den anschliessenden Diebstahl und die Verteilung von Informationen einschliesslich Quellcode, vertraulichen Dokumenten und internen Benutzerdaten" stand.
Kottmann betitelt sich selbst als "Hacktivist". Sie tritt in den Medien als Expertin für Cybersicherheit auf und kandidierte laut "Blick" im vergangenen Jahr für die Jungsozialisten im Luzerner Stadtrat.
Update vom 11. März 2021: Okta-Systeme nicht von Überwachungskamera-Hack betroffen
Hacker sollen sich Zugriff auf tausende Überwachungskameras in Spitälern, Gefängnissen, Schulen und Polizeirevieren verschafft haben. Wie Tillie Kottmann, die sich zum Hack bekannte, auf Twitter verkündete, gelang es den Hackern in die Firmennetzwerke von Cloudflare und Okta einzudringen. Kottmanns Account wurde mittlerweile gesperrt.
"Okta hat den Vorfall weiter untersucht. Die Okta-Services waren nicht durch den Verkada-Hack betroffen", teilt das Unternehmen nun mit. Die Untersuchungen hätten gezeigt, dass fünf Verkada-Kameras kompromittiert wurden. "Diese Kameras waren isoliert und getrennt von Oktas Produktions- und Firmennetzwerken. Okta setzt keine Gesichtserkennungstechnologie ein, und es gibt keine Hinweise darauf, dass während des begrenzten Zugriffs Live-Streams angesehen wurden", heisst es seitens des Unternehmens. Okta setze die Verkada-Technologie nur an den Büroeingängen ein.
Originalmeldung vom 10. März 2021: Hacker zapfen 150'000 Überwachungskameras an – Tesla und Cloudflare betroffen
Hacker haben offenbar 150'000 Überwachungskameras einer US-amerikanischen-Firma unter anderem in Spitälern, Gefängnissen, Schulen und Polizeirevieren angezapft. Betroffen waren auch Unternehmen wie der Elektroautohersteller Tesla und die IT-Sicherheitsfirma Cloudflare, wie der Finanzdienst Bloomberg in der Nacht zum10. März berichtete.
So hätten die Hacker Aufnahmen vom Tesla-Standort Shanghai vorgeführt. Das kalifornische Start-up Verkada, von dem die Kameras stammen, teilte Bloomberg in einer ersten Reaktion mit, man untersuche das Ausmass des potenziellen Problems. Mitten drin: eine Schweizerin
Wer steckt dahinter?
Eine Hackergruppe, die sich APT-69420 Arson Cats nennt. Dabei soll es sich um IT-Spezialisten handeln, die nicht aus kriminellen Motiven gehandelt haben. Die Gruppe führte den Einbruch durch, um zu zeigen, wie weitreichend die Überwachung ist und wie Sicherheitssysteme ausgenutzt werden können, so Tillie Kottmann, eine der Hackerinnen, die sich zum Angriff bekannte. "Was wäre, wenn wir den Überwachungskapitalismus in zwei Tagen komplett beenden würden?", schrieb sie auf Twitter.
Der Name Kottmann dürfte IT-Sicherheitsinteressierten bekannt sein. Es handelt sich gemäss früheren Medienberichten um eine Schweizer Softwareentwicklerin, die wiederholt mit spektakulären und juristisch fragwürdigen Aktionen und Veröffentlichungen für weltweite Schlagzeilen sorgte:
Im Mai 2020 soll die Schweizer Sicherheitsforscherin vertrauliche Daten aus Hunderten "Repositories" (Onlinearchiven) von Mercedes-Benz abgezogen und im Internet veröffentlicht haben. Darunter war gemäss Berichten der Quellcode von Smartcar-Komponenten.
Im August 2020 veröffentlichte Kottmann dann mindestens 20 Gigabyte an internen (und vertraulichen) Dokumenten des US-Chipherstellers Intel. Diese Daten seien ihr von einem unbekannten Hacker zugespielt worden.
Gemäss einem damaligen ZDNet-Bericht erhielt Kottmann die Intel-Leaks, weil sie einen sehr populären Telegram-Kanal verwaltete, in dem sie immer wieder Daten von grossen Tech-Unternehmen veröffentlichte, die versehentlich ins Internet gelangt waren. Und zwar über falsch konfigurierte Software-Archive, Cloud-Server und Onlinewebportale.
Wie schlimm ist die neuste Attacke?
Das Ausmass lässt sich nicht abschätzen. Für die betroffenen Unternehmen bedeutet es einen Image-Schaden.
Über Kottmanns inzwischen gesperrten Twitter-Account wurde behauptet, den Angreifern sei es gelungen, in die Firmennetzwerke von Cloudflare und Okta einzudringen und sich "Root Shell"-Zugriff zu verschaffen. Das würde bedeuten, die Angreifer konnten die höchsten Administratorrechte erlangen und hätten grossen Schaden anrichten können.
Okta ist ein börsennotiertes Unternehmen für Identitäts- und Zugriffsmanagement mit Sitz in San Francisco. Cloudflare stellt als sogenanntes Content Delivery Network (CDN) Internetsicherheitsdienste weltweit zur Verfügung.
Pikant: Kottmann behauptet auch, Verkada-Angestellte hätten auf Aufnahmen von Kunden zugreifen können. "Verschiedene Mitarbeiter innerhalb des Unternehmens hatten Konten, die sie für den persönlichen Gebrauch nutzten und die auch so privilegiert waren, dass sie dies mit jeder Kamera eines beliebigen Kunden tun konnten", schrieb Kottmann auf Twitter. Eine Bestätigung dazu liegt nicht vor.
Verkada teilte mit, es seien alle internen Administratorkonten deaktiviert worden, um jeglichen unbefugten Zugriff zu verhindern. Das Unternehmen wolle zusammen mit einer externen Firma das Ausmass des Angriffs untersuchen.
Wie war das möglich?
Es passiert zwar immer wieder, dass Bilder von günstigen Sicherheitskameras für den Haushalt abgegriffen werden – vor allem wenn die Nutzer und Nutzerinnen nicht die voreingestellten Standard-Passwörter der Geräte ersetzen. Dass eine Firma mit grossen Kunden gehackt wurde, die speziell mit mehr Sicherheit durch Gesichtserkennung warb, ist dagegen aussergewöhnlich.
Die Hacker fanden nach eigenen Angaben Zugangsdaten für einen Administrator-Account mit weitreichendem Zugriff, öffentlich erreichbar im Internet. Als "Super-Administrator" habe man eine Vielzahl von Kameras anzapfen können.
Die Hacker hätten den Zugang verloren, nachdem Bloomberg eine Anfrage beim Unternehmen zum Thema gestellt hatte.
Was zeigen die von den Hackern veröffentlichten Aufnahmen?
Die Hacker belegen mit bei Twitter veröffentlichten Aufnahmen, dass sie auf Überwachungskameras aus einem Polizeirevier im US-Bundesstaat Massachusetts, einem Gefängnis in Alabama und einem Krankenhaus in Florida zugreifen konnten. In dem Gefängnis sei es ihnen gelungen, 330 Kameras anzuzapfen. Bei Tesla seien es 222 Kameras gewesen.
Sie hätten sich auch Zugang zum Videoarchiv der Verkada-Kunden verschafft. Dass gespeicherte interne Aufnahmen nicht ausschliesslich für das Unternehmen oder die Einrichtung selbst zugänglich sind, ist eher ungewöhnlich.
Dieser Beitrag erschien zuerst bei Watson.ch
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.