Fall Lapsus$ Mutmaßlicher Uber-Hacker – Londoner Polizei nimmt 17-Jährigen fest

Die angebliche Teenager-Bande Lapsus$ treibt die IT-Sicherheitsbranche vor sich her – womöglich auch in den Fällen Uber und Rockstar Games. Hat die britische Polizei jetzt einen der Täter erwischt?
Uber-Büro in San Francisco: Opfer eines »Advanced Persistent Teenagers«?

Uber-Büro in San Francisco: Opfer eines »Advanced Persistent Teenagers«?

Foto: JUSTIN SULLIVAN/ AFP

Die City of London Police hat auf Twitter  die Festnahme eines 17-Jährigen in Oxfordshire bekannt gegeben. In Zusammenarbeit mit der National Cyber Crime Unit (NCCU) sei die Festnahme am Donnerstagabend erfolgt, heißt es, »wegen des Verdachts auf Hacking«. Der Verdächtige bleibe in Gewahrsam.

Mehr geht aus der Mitteilung nicht hervor, und mehr wollte die Polizei auch auf erste Medienanfragen hin nicht sagen. Aber warum sollte die Festnahme eines einzigen Teenagers dann diesen Tweet rechtfertigen?

Die naheliegendste Vermutung ist, dass die Ermittler davon ausgehen, den oder einen der Hacker erwischt zu haben, die zuletzt in die Systeme von Uber eingedrungen waren und in einem weiteren Fall internes Material von Rockstar Games zu dessen Videospiel »GTA VI« kopiert und ins Netz gestellt hatten. Im Fall Uber hatte der Täter über sich selbst gesagt, er sei erst 18 Jahre alt.

Comeback nach mehreren Polizeiaktionen?

Der Fahrdienstvermittler hatte bei seiner Aufarbeitung des Vorfalls die Hackergruppe Lapsus$ beschuldigt  und auf Berichte verwiesen, laut denen der Rockstar-Games-Hacker behauptet hatte, er sei auch der Uber-Hacker. Träfe das zu, wäre das Ganze eine Art Comeback der Hackergruppe, die im Frühjahr international Schlagzeilen gemacht hatte.

Lapsus$  hatte damals Microsoft, Vodafone, Ubisoft, Samsung, Nvidia, LG und Okta bloßgestellt, indem sich die Gruppe Zugang zu internen Daten der Techunternehmen verschafft und diese teilweise veröffentlicht hatte, mit allerlei Prahlerei. Doch nachdem die britische Polizei im März sieben Verdächtige im Alter von 16 bis 21 Jahren im Rahmen »einer Untersuchung gegen eine Hacking-Gruppe« vorübergehend festgenommen  hatte, war es ruhig geworden um Lapsus$. Auf Telegram kündigte die offenbar international agierende Gruppe eine Art Hackerferien an. Im August ging außerdem die brasilianische Bundespolizei mit Durchsuchungen und Beschlagnahmungen gegen eine »transnationale kriminelle Organisation«  vor, deren Beschreibung zu Lapsus$ passte.

Und nun? Fest steht bisher nur, dass zumindest der Uber-Vorfall zum typischen Vorgehen von Lapsus$ passt. Wahrscheinlich, konstatierte das Unternehmen, hatten der oder die Täter die irgendwann von irgendwem gestohlenen Zugangsdaten eines externen Mitarbeiters im Darknet gekauft und diese immer wieder ausprobiert. Weil Uber sich aber mit einer Zwei-Faktor-Authentifizierung schützt, bekam der Betroffene immer wieder Mitteilungen mit der Aufforderung, den Log-in-Versuch zu bestätigen. Dazu überredeten ihn der oder die Täter schließlich nach eigener Auskunft  per WhatsApp, wo sie sich als Uber-IT ausgaben.

In der IT-Sicherheitsbranche hat diese Masche mittlerweile einen Namen: »MFA fatigue attack«, Mehrfaktor-Authentifizierungs-Ermüdungsangriff. Man nervt die Opfer so lange mit den MFA-Benachrichtigungen, bis diese genervt von der vermeintlichen Fehlfunktion auf den »Akzeptieren«-Button klicken, um endlich in Ruhe weiterarbeiten zu können.

»Advanced Persistent Teenager«

Der angeblich 18-Jährige hat sich für seine Beharrlichkeit bereits einen Spitznamen verdient. In Anlehnung an den Begriff Advanced Persistent Threat (APT), mit dem technisch fortschrittliche, andauernde Bedrohungen etwa durch staatliche Hackergruppen bezeichnet werden, nannte ein führender Sicherheitsexperte von Google den mutmaßlichen Täter bereits »Advanced Persistent Teenager«.

Es ist mehr als ein Witz. Dass Gruppen wie Lapsus$ die Schwächen heutiger, auf den ersten Blick recht gut gesicherter IT-Systeme durch Beharrlichkeit und mithilfe altbekannter Methoden wie Social Engineering bloß legen und damit die Sicherheitsbranche vor sich hertreiben, haben mittlerweile mehrere Experten festgestellt .

»MFA fatigue attacks« etwa sind vergleichsweise neu. Aber dass sie offensichtlich erfolgreich sind, setzt Organisationen unter Zugzwang. Haben sie überhaupt schon eine Mehrfaktor-Anmeldung eingeführt, dann ist das in der Regel noch nicht lange her und für Teile der Belegschaft sicherlich schon kompliziert und aufwendig genug. Sollten sie die Anmeldeprozedur trotzdem erneut verändern und damit die eigenen Leute verwirren oder verärgern? Sollten sie warten, bis nach Apple auch Microsoft und genügend andere große Anbieter den offenen Standard FIDO (Fast Identity Online) für ein passwortloses und zugleich sicheres Anmelden (mehr dazu lesen Sie hier) umsetzen?

Darauf zu hoffen, dass das Phänomen nach der Festnahme vom Donnerstag verschwindet, wäre jedenfalls auch keine bessere Lösung.

Die Wiedergabe wurde unterbrochen.