Auf der Spur eines Cyberangriffs: Eine Chronik der Ereignisse und Gegenmaßnahmen

26.02.2024 | Erstellt von Thomas

Vor nicht allzu langer Zeit standen wir vor einer besonderen Herausforderung: Eine von uns gehostete Kunden-Website, betrieben mit WordPress, wurde Ziel eines ausgeklügelten Hackerangriffs. Solche Vorfälle sind in der digitalen Welt von heute keine Seltenheit, doch ihre Komplexität und Raffinesse können selbst erfahrene Webentwickler und Sicherheitsexperten überraschen. In diesem Beitrag möchte ich den Prozess der Aufdeckung und Behebung dieses speziellen Angriffs, verübt durch die bekannte Hackergruppe „Balada Injector“, detailliert beleuchten.

Hintergrund des Angriffs

Der Angriff auf die Website unseres Kunden war kein isoliertes Ereignis, sondern Teil einer Reihe von Angriffen, die von der bereits erwähnten Hackercrew „Balada Injector“ durchgeführt wurden (und werden! - zum Zeitpunkt dieses Blogposts sind sie gerade überdurchschnittlich aktiv). Diese Gruppe ist bekannt für ihre raffinierten Methoden, Sicherheitslücken in ungepatchten Plugins und Themes, insbesondere dem Newspaper Theme, auszunutzen … und ratet mal, welches Theme bei der Instanz verwendet wurde. Twenty-Fifteen hast Du jetzt gedacht? Twenty-Fourteen vielleicht? Knapp daneben, lieber Leser. Ein ausführlicher Beitrag vom Wordpress-Sicherheitspluginentwickler Sucuri liefert tiefe Einblicke in die Vorgehensweise dieser Angreifer.

Chronologie des Angriffs und der Gegenmaßnahmen

27. Oktober, 18:02 Uhr:

Der erste Verdacht kam auf, als ein unbekanntes Script versuchte, Daten von einer externen Quelle nachzuladen. Das Leeren des Caches bot nur eine vorübergehende Lösung; das Problem kehrte bei jedem Seitenaufruf zurück.

27. Oktober, 18:09 Uhr:

Eine kleine Erleichterung brachte die Anpassung der Content Security Policy, die die Ausführung des nachgeladenen Scripts verhinderte. Doch die wahre Ursache musste noch gefunden werden.

Interne Kommunikation: Ermittlung beginnt

18:54 Uhr – Detektiv im Einsatz (Thomas)

Ich frage mich, wer das Newspaper-Theme für diese Wordpress-Instanz ausgewählt hat. Und was genau macht der Kunde in der Installation? Das Backend scheint überladen mit Plugins.

27. Oktober, 19:23 Uhr:

Meine Untersuchung konzentrierte sich nach konkreten Hinweisen, die eine kurze Webrecherche zutage brachte, auf das Newspaper Theme. Die Kontrolle der Hooks wp_head, wp_enqueue_script und wp_enqueue_style sowie der functions.php und header.php von geladenen Plugins und Themes offenbarte rund 1000 Treffer. Diese Bereiche sind entscheidend für den Aufbau des Headers und das Einbinden von Skripten und Styles — und damit ideale Angriffsziele, wenn man einen Weg sucht, um fremde Scripte auf einer Wordpress-Website einzuschleusen.

27. Oktober, 23:26 Uhr:

Die Spurensuche wurde intensiver. Im Quellcode entdeckte ich ein JavaScript, das ein weiteres Script von einem externen Server nachlud. Dieses Script war stark verschleiert und nutzte Techniken wie String Obfuscation. Der Schadcode imitierte einen Admin-Nutzer und legte heimlich einen falschen Admin namens „greeceman“ in der Datenbank an, und das alles, während der nichts ahnende Wordpress-Admin-User, eingeloggt im Backend, seine Arbeit verrichtet.

Ein erster Ansatz bestand darin, die CSP – die Content Security Policy – bzw. die Security-Header so anzupassen, dass es der ausgelieferten Website im Browser nicht möglich ist, Scripte nachzuladen, welche nicht von derselben Domain stammen. Damit ist das eigentliche Problem zwar noch längst nicht gelöst, aber die Benutzer der Website sind zumindest ein bisschen sicherer vor der Gefahr, anstatt ihr komplett ausgeliefert zu sein.

Interne Kommunikation: Die Jagd geht weiter

19:23 Uhr - Headquarter (Dirk)

Thomas, hast du schon etwas gefunden? Wir müssen das Problem schnellstmöglich lösen.

19:30 Uhr - Detektiv im Einsatz (Thomas)

Ich bin auf der Spur. Das Newspaper-Theme scheint der Schlüssel zu sein. Ich durchforste gerade tausende von Codezeilen.

Weiterführung der Untersuchung

27. Oktober, 23:33 Uhr:

Eine weitere Entdeckung war, dass möglicherweise Fake-Plugins installiert wurden, die wahrscheinlich zusätzliche Sicherheitslücken öffneten. Die Durchsicht der Pluginliste enthüllte mehrere verdächtige Einträge.

Interne Kommunikation: Neue Erkenntnisse

23:33 Uhr – Detektiv im Einsatz (Thomas)

Dirk, es sieht so aus, als wären zusätzlich Fake-Plugins installiert worden. Ich überprüfe jetzt jedes einzelne, um weitere Schwachstellen zu finden.

28. Oktober, 01:30 Uhr:

Der entscheidende Durchbruch gelang beim Tagdiv Composer. Im Code der Datei css-live.php fand ich einen verdächtigen Codeabschnitt. Eine weitere Manipulation wurde in der wp-blog-header.php entdeckt, wo gut getarnter Schadcode eingeschleust wurde.

Abschluss der Analyse und Empfehlungen

Nachdem ich den Schadcode entfernt und den falschen Admin-User gelöscht hatte, konnte ich die akute Gefahr bannen. Doch dies war nur ein Teil der Lösung. Um zukünftige Angriffe zu verhindern, ist es entscheidend, Plugins und Themes regelmäßig zu aktualisieren und nur die wirklich benötigten zu installieren. Eine Neuinstallation von WordPress ist ratsam und regelmäßige Sicherheitsüberprüfungen sind unerlässlich.

Interne Kommunikation: Abschluss der Ermittlung

28. Oktober, 02:00 Uhr – Headquarter (Dirk)

Großartige Arbeit, Thomas! Was sind die nächsten Schritte?

28. Oktober, 02:05 Uhr – Detektiv im Einsatz (Thomas)

Ich habe den Schadcode entfernt und den falschen Admin-User gelöscht. Jetzt müssen wir eine komplette Neuinstallation von WordPress in Betracht ziehen und alle Sicherheitsmaßnahmen überprüfen.

Informationen zur Hackergruppe „Balada Injector“

Die Hackergruppe „Balada Injector“ ist seit ihrer Entdeckung im Jahr 2022 für ihre ausgeklügelten Angriffe auf WordPress-Websites bekannt, obwohl es Hinweise gibt, dass ihre Aktivitäten bereits seit 2017 stattfinden. Diese Gruppe nutzt bekannte Sicherheitslücken in Premium-WordPress-Themes und -Plugins, um bösartige Backdoors zu implantieren. Diese Backdoors leiten Besucher der kompromittierten Websites auf gefälschte technische Support-Seiten, betrügerische Lotteriegewinne und Push-Benachrichtigungs-Betrügereien um.

Ein markantes Merkmal der „Balada Injector“-Kampagnen ist der Einsatz neuer, frisch registrierter Domainnamen für jede ihrer Infektionswellen. Diese Domainnamen bestehen oft aus einer sinnlosen Kombination von zwei bis vier englischen Wörtern. Die Kampagne hat über 100 solcher Domainnamen verwendet, und 32 davon waren im Jahr 2022 für 67,2 % aller von SiteCheck blockierten Ressourcenerkennungen verantwortlich.

Die Angreifer von „Balada Injector“ haben sich durch die Ausnutzung der CVE-2023-3169 Cross-Site-Scripting (XSS)-Schwachstelle im tagDiv Composer-Plugin, einem Begleitwerkzeug für die Newspaper- und Newsmag-Themes von WordPress, ausgezeichnet. Diese neueste Kampagne begann im September, kurz nach der Veröffentlichung der Schwachstellendetails und eines Proof-of-Concept-Exploits. Über 9.000 der 17.000 kompromittierten Websites wurden durch die Ausnutzung dieser speziellen Schwachstelle gehackt, was die extreme Effektivität und Anpassungsfähigkeit der Angreifer unterstreicht.

Zur Abwehr von „Balada Injector“ wird empfohlen, das tagDiv Composer-Plugin auf Version 4.2 oder höher zu aktualisieren, um die genannte Schwachstelle zu beheben. Regelmäßige Updates von Themes, Plugins und allen Website-Komponenten bleiben entscheidend, um sich gegen solche besorgniserregenden Bedrohungen zu schützen.

Insgesamt zeigt die Aktivität von „Balada Injector“, dass WordPress aufgrund seiner Beliebtheit und der großen Anzahl an Themes und Plugins ein attraktives Ziel für Cyberkriminelle ist. Daher ist es wichtig, über die neuesten Sicherheitsbedrohungen informiert zu bleiben und proaktive Schritte zur Sicherung von Websites zu unternehmen.

Fazit

Diese Erfahrung zeigt, wie wichtig es ist, wachsam zu bleiben und proaktiv zu handeln, um unsere Websites zu schützen. Sicherheit ist ein fortlaufender Prozess, und wir müssen stets auf der Hut sein, um solche Angriffe in Zukunft zu verhindern. Unser Fall demonstriert, dass auch eine scheinbar harmlose Plugin- oder Theme-Installation verheerende Folgen haben kann, wenn nicht sorgfältig überprüft und gewartet wird.

Wenn auch Sie eine Wordpress-Installation besitzen oder betreiben wollen: Wir haben da eine Empfehlung für einen starken Partner, der sich mit dem Thema Sicherheit auskennt und Ihnen hilft, einen möglichst sicheren Betrieb zu gewährleisten. Auch nach einem Angriff wird alles getan, um Ihre Webpräsenz wieder sicher auf die Beine zu bringen.

Sprechen Sie uns an!

Telefon: +49 (0)721 35456-62 | Mail: info(at)werkraum(dot)net

Lektionen und präventive Maßnahmen

Die Aufdeckung und Behebung dieses Angriffs war eine lehrreiche Erfahrung. Sie zeigte uns die Bedeutung von Wachsamkeit und proaktiven Sicherheitsmaßnahmen. Hier sind einige Schlüsselerkenntnisse und Empfehlungen:

Regelmäßige Updates: Halten Sie Ihre WordPress-Installation, inklusive aller Plugins und Themes, immer auf dem neuesten Stand. Veraltete Software ist eines der größten Einfallstore für Hacker.
Begrenzung der Plugins: Installieren Sie nur Plugins, die unbedingt notwendig sind. Jedes zusätzliche Plugin kann potenzielle Sicherheitsrisiken bergen.
Überprüfung von Drittanbieter-Plugins: Seien Sie besonders vorsichtig bei der Verwendung von Plugins unbekannter Herkunft. Diese können bewusst oder unbewusst Sicherheitslücken enthalten.
Backups und Notfallpläne: Stellen Sie sicher, dass regelmäßige Backups Ihrer Website erstellt werden. Im Falle eines Angriffs können Sie so schnell reagieren und den Schaden begrenzen.
Sicherheitsbewusstsein: Schulen Sie sich und Ihr Team im Umgang mit Cybersicherheit. Bewusstsein und Wissen sind die besten Werkzeuge im Kampf gegen Cyberbedrohungen.

Interne Kommunikation: Reflexion und Ausblick

28. Oktober, 09:00 Uhr – Detektiv im Einsatz (Thomas)

Nach einer langen Nacht der Analyse und Reparatur denke ich, dass wir einige wichtige Lektionen gelernt haben. Wir müssen unsere Sicherheitsprotokolle überprüfen und verstärken.

28. Oktober, 09:15 Uhr – Headquarter (Dirk)

Absolut, Thomas. Wir sollten auch Workshops zum Thema Cybersicherheit in Betracht ziehen. Es ist wichtig, dass unser gesamtes Team auf dem neuesten Stand ist.

Ausblick und der Weg in die Zukunft

Die erfolgreiche Abwehr dieses Angriffs zeigt, dass wir in der Lage sind, selbst ausgeklügelte Cyberangriffe zu erkennen und zu bewältigen. Aber es unterstreicht auch die Notwendigkeit, unsere Sicherheitsmaßnahmen ständig zu überprüfen und zu verbessern. Die Welt der Cyberbedrohungen entwickelt sich ständig weiter, und wir müssen bereit sein, diesen Herausforderungen mit Wissen, Erfahrung und der richtigen Technologie zu begegnen.

In diesem Kontext planen wir, regelmäßige Sicherheitsaudits als festen Bestandteil unseres Serviceangebots zu etablieren. Diese Audits sollen dazu dienen, potenzielle Schwachstellen proaktiv zu identifizieren und zu beheben – ein zusätzlicher Schutzwall, der ergänzend zu unseren bereits bestehenden Standardsicherheitsprotokollen agiert. Dies gilt insbesondere für Kunden, die ihre Installationen selbst verwalten, denn eine partnerschaftliche Zusammenarbeit in Sachen Sicherheit ist essentiell, um solche Vorfälle in Zukunft zu verhindern. Mit diesem erweiterten Ansatz möchten wir die Sicherheit unserer Kunden und deren digitale Präsenzen nachhaltig stärken und gewährleisten.

Ende Gelände!

Telefon: +49 (0)721 35456-62 | Mail: info(at)werkraum(dot)net

Kategorien

Allgemeine News WordPress

Hat Dir der Artikel gefallen?

werkraum News

Apr. 25. 2024

KreativStart 2024

Wir teilen unsere Highlights aus den inspirierenden Vorträgen dieses kleinen, aber feinen Kongresses für die Kreativwirtschaft mit Euch

Apr. 03. 2024

werkraum setzt auf Webdesign mit Stil

Wir haben unser Portfolio erweitert: Erleben Sie die Vereinigung von Technologie und Kreativität zu einer Einheit.

Grafik mit zwei Menschen die Kommunizieren und mit Hilfe von DeepL ihre Texte Übersetzten

März 22. 2024

Übersetze Deine Website ganz einfach in TYPO3

Eine komplette Website in eine andere Sprache zu übersetzen, kann ziemlich aufwendig sein. Mit der Extension DeepL Translation wird es dagegen fast zum Kinderspiel.