Hackerangriff auf die ARRL – LoTW ausgefallen
Ein schwerwiegender Vorfall hat dazu geführt, dass die Dienste und das Netzwerk der American Radio Relay League (ARRL) seit dem 12. Mai nicht mehr zugänglich sind. Trotz intensiver Bemühungen der ARRL und externer Experten, die Systeme wieder in Betrieb zu nehmen, ist es bisher nicht gelungen, den Logbook of the World (LoTW) Server wieder online zu bringen. Funkamateure weltweit sind von diesem Ausfall betroffen und können ihre Logs seit Tagen nicht aktualisieren.
Die Art des Vorfalls lässt auf einen Ransomware-Angriff schließen, da weder ein DDoS-Angriff noch eine Attacke auf Cloud-Server eine derart lange Ausfallzeit rechtfertigen würden. Es wird vermutet, dass sogar die physischen Server der ARRL in Mitleidenschaft gezogen wurden, was die Wiederherstellung der Dienste erheblich erschwert. Die ARRL versichert jedoch, dass ein sicheres Backup der Daten existiert.
Nutzer müssen sich keine Sorgen um ihre persönlichen Informationen machen, da die ARRL keine sensiblen Daten wie Kreditkarteninformationen speichert. Die Mitglieder-Datenbank enthält ausschließlich öffentlich zugängliche Informationen.
Weitere Einzelheiten zu dem Vorfall und den Wiederherstellungsmaßnahmen sind auf der Website der ARRL zu finden.
Website der ARRL: https://www.arrl.org/news/arrl-systems-service-disruption
Update vom 04. Juni 2024
Die ARRL hat in einem Statement etwas mehr Informationen über den Vorfall preisgegeben. Hier der ins Deutsche übersetzte Pressetext:
Am oder um den 12. Mai 2024 wurde die ARRL Opfer eines ausgeklügelten Netzwerkangriffs durch eine böswillige internationale Cyber-Gruppe. Die ARRL schaltete sofort das FBI ein und beauftragte Experten von Drittanbietern mit den Ermittlungen.
Dieser schwerwiegende Vorfall war umfangreich und wurde vom FBI als "einzigartig" eingestuft, da Netzwerkgeräte, Server, Cloud-basierte Systeme und PCs betroffen waren.
Die ARRL-Verwaltung richtete schnell ein Reaktionsteam für diesen Vorfall ein. Dies hat zu umfangreichen Bemühungen geführt, die Netzwerke einzudämmen und zu sanieren, die Server wiederherzustellen, und die Mitarbeiter beginnen mit dem Testen von Anwendungen und Schnittstellen, um einen ordnungsgemäßen Betrieb sicherzustellen.
Wir danken Ihnen für Ihre Geduld und Ihr Verständnis, während unsere Mitarbeiter zusammen mit einem hervorragenden Expertenteam daran arbeiten, die volle Funktionalität unserer Systeme und Dienste wiederherzustellen.
Wir werden unsere Mitglieder weiterhin auf dem Laufenden halten, soweit wir dazu in der Lage sind.
Update vom 12. Juni 2024:
(Pressetext übersetzt ins Deutsche)
Derzeit können wir weder Zertifikate bearbeiten noch auf LoTW-Konten zugreifen. Es wurde uns kein Zeitpunkt genannt, wann LoTW wieder in Betrieb genommen werden kann.
Wenn Sie Unterstützung für das Logbuch benötigen, beachten Sie bitte, dass die ARRL unter https://www.arrl.org/news/arrl-systems-service-disruption eine Unterbrechung des Dienstes in unseren Computernetzwerken erlebt.
Alle Logbuch- und DXCC/Awards-Daten sind sicher.
Sobald wir mitteilen können, dass die Systeme wieder in Betrieb sind, werden wir dies auf der ARRL-Website bekannt geben und eine E-Mail an die Logbuchbenutzer versenden. Zu diesem Zeitpunkt können Sie alle Probleme, die Sie seit dem 12. Mai hatten, erneut testen. Dazu gehören:
◉ Erneutes Hochladen von Cabrillo- oder ADI-Logdateien ins Logbuch.
◉ Erneute Einreichung von Anträgen auf Erneuerung von Call Sign-Zertifikaten oder neuen/abgelaufenen Zertifikaten (bei abgelaufenen oder neuen Zertifikatsanträgen müssen alle ausstehenden früheren Anträge gelöscht werden {mit der rechten Maustaste auf ausstehende Anträge klicken und sie löschen}) und dann erneute Einreichung.
Folgen Sie unserer Haupt-URL für weitere Aktualisierungen unter https://www.arrl.org/news/arrl-systems-service-disruption.
Mit freundlichen Grüßen,
Kathy Allison, KA1RWY
ARRL RadioSport-Spezialistin
Update 22.08.2024
Heute hat die ARRL für ihre Mitglieder einen Bericht mit deutlich mehr Details zum Hackerangriff und der „Lösung“ des Problems veröffentlicht. Kurzfassung: Die ARRL hat 1 Million Dollar Lösegeld bezahlt.
Hier die deutsche Übersetzung des Berichts im vollen Wortlaut:
ARRL IT-Sicherheitsvorfall - Bericht an die Mitglieder
Irgendwann Anfang Mai 2024 wurde das ARRL-Systemnetzwerk von Bedrohungsakteuren (TAs) mit Hilfe von Informationen, die sie im Dark Web erworben hatten, kompromittiert. Die TAs verschafften sich Zugang zu den Systemen der Zentrale vor Ort und zu den meisten Cloud-basierten Systemen. Sie verwendeten eine Vielzahl von Nutzdaten, die von Desktops und Laptops bis hin zu Windows- und Linux-basierten Servern reichten. Trotz der großen Vielfalt an Zielkonfigurationen schienen die TAs über eine Nutzlast zu verfügen, die für jedes System eine Verschlüsselung oder Löschung von netzwerkbasierten IT-Ressourcen bereitstellt und ausführt sowie die Zahlung von Lösegeld fordert.
Bei diesem schweren Vorfall handelte es sich um einen Akt der organisierten Kriminalität. Der hochgradig koordinierte und ausgeführte Angriff fand in den frühen Morgenstunden des 15. Mai statt. Als die Mitarbeiter an diesem Morgen eintrafen, war sofort klar, dass die ARRL Opfer eines umfangreichen und ausgeklügelten Ransomware-Angriffs geworden war. Das FBI stufte den Angriff als „einzigartig“ ein, da es unter den vielen anderen Angriffen, mit denen es Erfahrung hat, keine derartig ausgefeilten Angriffe gesehen hatte. Innerhalb von drei Stunden wurde ein Krisenmanagementteam zusammengestellt, das sich aus der ARRL-Leitung, einem externen Anbieter mit umfangreichen Ressourcen und Erfahrungen im Bereich der Ransomware-Wiederherstellung, Anwälten mit Erfahrung im Umgang mit den rechtlichen Aspekten des Angriffs, einschließlich der Zusammenarbeit mit den Behörden, und unserem Versicherungsträger zusammensetzte. Die Behörden und der ARRL-Präsident wurden sofort kontaktiert.
Die Lösegeldforderungen der TAs als Gegenleistung für den Zugang zu ihren Entschlüsselungstools waren exorbitant hoch. Es war klar, dass sie nicht wussten und es ihnen egal war, dass sie eine kleine 501(c)(3)-Organisation mit begrenzten Ressourcen angegriffen hatten. Ihre Lösegeldforderungen wurden durch die Tatsache, dass sie keinen Zugang zu kompromittierenden Daten hatten, drastisch abgeschwächt. Es war auch klar, dass sie davon ausgingen, dass ARRL über einen umfangreichen Versicherungsschutz verfügte, der eine Lösegeldzahlung in Höhe von mehreren Millionen Dollar abdecken würde. Nach tagelangen, angespannten Verhandlungen stimmte ARRL der Zahlung eines Lösegelds in Höhe von 1 Million Dollar zu. Diese Zahlung sowie die Kosten für die Wiederherstellung wurden größtenteils durch unsere Versicherungspolice gedeckt.
Von Beginn des Vorfalls an traf sich der ARRL-Vorstand wöchentlich zu einer Sondersitzung, um über den Stand der Arbeiten zu berichten und Unterstützung anzubieten. In den ersten Sitzungen gab es viele Details zu besprechen, und der Vorstand war sehr aufmerksam, stellte wichtige Fragen und unterstützte das Team im Hauptquartier, um die Wiederherstellungsarbeiten voranzutreiben. Aktualisierungen für die Mitglieder wurden auf einer einzigen Seite der Website veröffentlicht und im Internet in vielen Foren und Gruppen gepostet. ARRL arbeitete bei jedem Beitrag eng mit Fachleuten zusammen, die sich mit Ransomware-Angelegenheiten bestens auskennen. Es ist wichtig zu verstehen, dass die TAs ARRL unter die Lupe genommen haben, während wir verhandelt haben. Basierend auf den Ratschlägen der Experten konnten wir in dieser Zeit nichts Informatives, Nützliches oder potenziell Feindliches an die TAs weitergeben.
Heute sind die meisten Systeme wiederhergestellt oder warten darauf, dass die Schnittstellen wieder online gehen, um sie miteinander zu verbinden. Während wir uns im Wiederherstellungsmodus befanden, haben wir auch daran gearbeitet, die Infrastruktur so weit wie möglich zu vereinfachen. Wir gehen davon aus, dass es noch ein oder zwei Monate dauern kann, bis die Wiederherstellung unter den neuen Infrastrukturrichtlinien und neuen Standards abgeschlossen ist.
Die meisten Vorteile für ARRL-Mitglieder waren während des Angriffs weiterhin verfügbar. Eine davon war Logbook of The World (LoTW), eine der beliebtesten Leistungen für unsere Mitglieder. Die LoTW-Daten waren von dem Angriff nicht betroffen, und sobald die Umgebung wieder den öffentlichen Zugang zu den ARRL-Netzwerkservern zuließ, haben wir LoTW wieder in Betrieb genommen. Die Tatsache, dass LoTW weniger als 4 Tage brauchte, um einen Rückstand von zeitweise über 60.000 Protokollen zu bewältigen, war hervorragend.
Auf der zweiten ARRL-Vorstandssitzung im Juli stimmte der Vorstand für die Einrichtung eines neuen Ausschusses, des Information Technology Advisory Committee. Dieser wird sich aus ARRL-Mitarbeitern, Vorstandsmitgliedern mit nachgewiesener Erfahrung im IT-Bereich und zusätzlichen Mitgliedern aus der IT-Branche zusammensetzen, die derzeit als Fachexperten in einigen Bereichen tätig sind. Sie werden dabei helfen, künftige Schritte für die ARRL-IT im Rahmen der der Organisation zur Verfügung stehenden finanziellen Mittel zu analysieren und zu beraten.
Wir danken Ihnen für Ihre Geduld, während wir uns durch diese Situation navigiert haben. Die E-Mails mit moralischer Unterstützung und das Angebot, uns mit IT-Fachwissen zu unterstützen, wurden vom Team gut aufgenommen. Obwohl wir noch nicht ganz über den Berg sind und immer noch an der Wiederherstellung kleinerer Server arbeiten, die dem internen Bedarf dienen (z. B. verschiedene E-Mail-Dienste wie Bulk Mail und einige interne Reflektoren), sind wir mit den erzielten Fortschritten und dem unglaublichen Engagement der Mitarbeiter und Berater zufrieden, die weiterhin zusammenarbeiten, um diesen Vorfall zu einem erfolgreichen Abschluss zu bringen.
Copyright © 2024 American Radio Relay League, Incorporated. Die Verwendung und Verbreitung dieser Publikation oder eines Teils davon ist für nicht-kommerzielle oder pädagogische Zwecke unter Angabe der Quelle gestattet.
de AA6YQ