Darknet: Zugangsdaten für HPE-Systeme in Hackerforum aufgetaucht
Vor rund einer Woche hatte HPE bestätigt, dass Hacker auf E-Mail-Postfächer von Mitarbeitern zugreifen konnten. Nun stehen Anmeldeinformationen und weitere sensible Daten des Konzerns in einem Hackerforum zum Verkauf. Ob ein Zusammenhang besteht, ist noch unklar – aber durchaus naheliegend.
Zugangsdaten, Netzwerkkonfigurationen und mehr
Ein Screenshot des Angebots ist beispielsweise in einem kürzlich veröffentlichten X-Post von Daily Dark Web zu sehen. Seit gestern stehen demnach interne Protokolle, Zugangsdaten und andere sensible Informationen von dem US-amerikanischen IT-Konzern Hewlett Packard Enterprise (HPE) zum Verkauf. Der Anbieter nennt sich IntelBroker und ist kein Neuling auf diesem Gebiet. So bot er beispielsweise schon im November 2023 interne Daten von General Electric an, darunter SSH- und SVN-Verbindungsdaten sowie „eine Menge“ militärischer Informationen mit Bezug zur DARPA, der Forschungsabteilung des US-Militärs.
Die nun von IntelBroker angebotenen und angeblich von HPE erbeuteten Daten umfassen dem Forenbeitrag zufolge einen „CI/CD-Zugang, Systemprotokolle, Konfigurationsdateien, Zugangstoken, HPE-StoreOnce-Dateien (Seriennummern, Garantie usw.) und Zugangspasswörter“ sowie Zugänge für E-Mail-Dienste des Konzerns. Um dem Angebot eine höhere Glaubwürdigkeit zu verleihen, hat der Anbieter ein paar Beispieldaten beigefügt.
In dem Screenshot von Daily Dark Web sind mehrere Paare von Benutzernamen und Passwörtern zu sehen, angereichert mit weiteren Datenfeldern, die augenscheinlich Informationen darüber umfassen, für welches System die jeweiligen Anmeldedaten vorgesehen sind. Einem Bericht von The Cyber Express zufolge umfassen die Beispieldaten aber wohl ebenso einige Details über Netzwerkkonfigurationen in Form von IP-Adressen, Subnetzmasken, Gateways und DNS-Einstellungen sowie einen Beispieleintrag für einen SMTP-Server. Sämtliche Daten liegen im JSON-Format vor, wie es häufig bei API-Abfragen zum Einsatz kommt.
HPE untersucht den Vorfall
Die Echtheit der Daten lässt sich derzeit noch nicht abschließend bewerten. Ein HPE-Sprecher erklärte auf Nachfrage der Redaktion, die Behauptungen von IntelBroker seien dem Konzern bekannt und der Wahrheitsgehalt werde derzeit untersucht. „Zum jetzigen Zeitpunkt haben wir keine Belege für Auswirkungen auf unsere Produkte oder Dienstleistungen“, so der Sprecher.
Dass Cyberkriminelle auch gerne mal gefälschte Daten zum Verkauf anbieten, ließ sich erst vor wenigen Tagen am Beispiel von Europcar nachvollziehen. Ein Nutzer namens lean hatte in einem Hackerforum am 28. Januar unter anderem eine Reihe persönlicher Daten von fast 50 Millionen Kunden der Autovermietung angeboten. Eine Prüfung von Europcar hatte jedoch gezeigt, dass es in dem Datensatz einige Ungereimtheiten gab, die auf eine Fälschung hindeuteten. Der Konzern vermutete daraufhin, die Daten seien „wahrscheinlich von ChatGPT generiert“ worden. Aus der Datenbank von Europcar stammten sie aber angeblich nicht.
Verbindung zu Midnight-Blizzard-Angriff denkbar
Unklar bleibt noch, ob das Angebot von IntelBroker mit einem Sicherheitsvorfall zusammenhängt, den HPE erst kürzlich an die SEC gemeldet hatte. Eine Hackergruppe konnte sich Zugriff auf die Office-365-E-Mail-Umgebung des Konzerns und damit auch auf E-Mail-Postfächer mehrerer Mitarbeiter verschaffen und sensible Informationen abgreifen. Verantwortlich gemacht wurde dafür ein mutmaßlich mit russischen Geheimdiensten in Verbindung stehender Bedrohungsakteur namens Midnight Blizzard.
Microsoft hatte nur wenige Tage zuvor einen ähnlichen Vorfall gemeldet, bei dem die gleiche Hackergruppe ebenfalls Zugriff auf interne E-Mails von Führungskräften und Mitarbeitern des Softwarekonzerns erlangen konnte. Später erklärte Microsoft, Midnight Blizzard habe es auch noch auf andere Organisationen abgesehen, ohne diese konkret zu benennen. Ein Zusammenhang zwischen den Angriffen auf Microsoft und HPE ist jedoch angesichts der vielen Parallelen naheliegend.