Geheime Dokumente bei F-35 Lieferant gestohlen

In einem 50-Mann Ingenieurbüro in Australien wurden geheime Dokumente über F-35, P-8 und C-130 gestohlen.

Immerhin hatte der Angreifer “nur” drei Monate Zugriff. Solche Angriffe bleiben teilweise deutlich länger unbemerkt.

Wie konnte der Einbruch gelingen?

  • The victim’s network was small. One person managed all IT-related functions, and they’d only been in the role for nine months. High staff turnover was typical.
  • There was no protective DMZ network, no regular patching regime, and a common Local Administrator account password on all servers. Hosts had many internet-facing services.
  • Access was initially gained by exploiting a 12-month-old vulnerability in the company’s IT Helpdesk Portal, which was mounting the company’s file server using the Domain Administrator account. Lateral movement using those same credentials eventually gave the attacker access to the domain controller and the remote desktop server, and to email and other sensitive information.

Ein Mitarbeiter des Australian Signals Directorate (ASD) meinte, die sicherheitslücke wäre nur 12 Monate alt gewesen. So arg veraltet wäre die Software gar nicht gewesen xD.

Bei einer anschließenden Analyse durch das ASD hat sich allerdings herausgestellt, dass zum Internet hin angebotene Dienste weiterhin default Passwörter, nämlich admin:admin bzw. guest:guest verwendeten.

Obwohl das Netzwerk offensichtlich ungeeignet war, ist es der Firma dennoch gelungen, eine International Traffic in Arms Regulations (ITAR) Zertifizierung zu erhalten. Für eine solche Zertifizierung seien aber nur zwei, drei Seiten notwendig, in denen nur wenige einfache Dinge zur Sicherheit abgefragt würden.

zdnet

Leave a Reply

Your email address will not be published.

*