Sakura Samurai (Gruppe)

aus Wikipedia, der freien Enzyklopädie
Sakura Samurai
Zweck: White-Hat hacking und Sicherheitsforschung
Vorsitz: John Jackson (Hacker)
Gründungsdatum: 2020
Website: https://sakurasamurai.pro/

Sakura Samurai ist eine White-Hat-Hacking- und Sicherheitsforschungsgruppe, die im Jahr 2020 gegründet wurde. Die Gruppe ist für die Aufdeckung mehrerer Sicherheitslücken verantwortlich, an denen Regierungsstellen und verschiedene Unternehmen beteiligt sind.[1]

Geschichte

Sakura Samurai wurde im Jahr 2020 von John Jackson gegründet[2]. Zu den aktiven Mitgliedern der Gruppe gehören Jackson, Robert "rej_ex" Willis, Jackson "Kanshi" Henry, Kelly Kaoudis und Higinio "w0rmer" Ochoa[2][3]. Ali "ShÄde" Diamond, Aubrey "Kirtaner" Cottle, Sick.Codes und Arctic sind alle ehemalige Mitglieder der Gruppe.[4]

Erwähnenswerte Arbeiten

Staatliche Gruppierungen

Vereinte Nationen

Sakura Samurai entdeckte ungeschützte Git-Verzeichnisse und Git-Anmeldedateien auf Domänen, die dem Umweltprogramm der Vereinten Nationen (UNEP) und der Internationalen Arbeitsorganisation der Vereinten Nationen (UNILO) gehören. Diese ermöglichten den Zugriff auf die Zugangsdaten der WordPress-Administratorendatenbank und den UNEP-Quellcode und gaben den Forschern Zugang zu mehr als 100.000 privaten Mitarbeiterdaten. Zu den Mitarbeiterdaten gehörten Details über Reisen von UN-Mitarbeitern, Personaldaten einschließlich persönlich identifizierbarer Informationen, Datensätze zu Projektfinanzierungsressourcen, allgemeine Mitarbeiterdatensätze und Beschäftigungsbewertungsberichte.[5][6] Sakura Samurai meldete die Sicherheitslücke im Januar 2021 öffentlich, nachdem sie zunächst über das Programm der Vereinten Nationen zur Offenlegung von Sicherheitslücken bekannt gemacht worden war.[6]

Indien

Im März 2021 machte Sakura Samurai Schwachstellen öffentlich, die 27 Gruppen innerhalb der indischen Regierung betrafen. Nachdem sie ungeschützte Git- und Konfigurationsverzeichnisse gefunden hatten, konnte Sakura Samurai auf Anmeldeinformationen für kritische Anwendungen, mehr als 13.000 Personalakten, Polizeiberichte und andere Daten zugreifen. Die Gruppe entdeckte auch Schwachstellen im Zusammenhang mit Session Hijacking und der Ausführung von beliebigem Code in finanzbezogenen Regierungssystemen[7]. Nachdem die an das indische National Critical Information Infrastructure Protection Centre gemeldeten Probleme mehrere Wochen lang nicht behoben wurden, schaltete Sakura Samurai das U.S. Department of Defense Vulnerability Disclosure Program ein, und die Probleme wurden behoben.[8][7]

Unternehmen

Apache Velocity

Sakura Samurai entdeckte und meldete im Oktober 2020 eine Cross-Site-Scripting (XSS)-Schwachstelle in Apache Velocity Tools. Ausgefeilte Varianten der Schwachstelle könnten es Angreifern in Kombination mit Social Engineering ermöglichen, die Sitzungscookies des angemeldeten Benutzers zu sammeln und so möglicherweise dessen Sitzungen zu übernehmen. Die verwundbare Apache Velocity Tools-Klasse war in mehr als 2.600 einzelnen Binärdateien verschiedener bekannter Softwareanwendungen enthalten. Apache hat den Bericht bestätigt und die Schwachstelle im November 2020 gepatcht, obwohl Apache die Schwachstelle nicht offiziell bekannt gegeben hat.[9]

Keybase

Die Gruppe entdeckte, dass Keybase, eine auf Sicherheit ausgerichtete Chat-Anwendung von Zoom, Bilder unsicher speicherte, selbst nachdem die Nutzer sie angeblich gelöscht hatten. Sie meldeten die Schwachstelle im Januar 2021 und gaben sie im Februar öffentlich bekannt, nachdem der Fehler behoben und die Updates weit verbreitet worden waren.[10]

Pega Infinity und damit verbundene Verstöße

Sakura Samurai fand eine Schwachstelle in Pegasystems' Unternehmenssoftware Pega Infinity, die für Customer Engagement und digitale Prozessautomatisierung eingesetzt wird. Die Schwachstelle, die Pegasystems erstmals im Februar 2021 gemeldet wurde, betraf eine mögliche Fehlkonfiguration, die die Offenlegung von Daten ermöglichen würde.[11]

Die Schwachstelle führte dazu, dass Sakura Samurai in die Systeme der Ford Motor Company und von John Deere eindrang. Diese Vorfälle wurden im August 2021 öffentlich bekannt gegeben.[12][13] Diese Sicherheitsverletzungen waren Gegenstand einer DEF CON-Präsentation von Sick.Codes im Jahr 2021 mit dem Titel "The Agricultural Data Arms Race: Exploiting a Tractor Load of Vulnerabilities in the Global Food Supply Chain (in good faith)".[14]

Fermilab

Im Mai 2021 meldete Sakura Samurai Schwachstellen, die sie bei Fermilab, einem Labor für Teilchenphysik und Beschleuniger, entdeckt und offengelegt hatten. Die Gruppe konnte sich Zugang zu einem Projekt-Ticket-System, Server-Anmeldedaten und Mitarbeiterinformationen verschaffen.[15]

Weblinks

Einzelnachweise

  1. John Xavier: India's cyber defenses breached and reported; govt. yet to fix it (en-IN). In: The Hindu, 20. Februar 2021. Abgerufen am 12. August 2021. 
  2. a b John Jackson: Episode 200: Sakura Samurai Wants To Make Hacking Groups Cool Again. And: Automating Our Way Out of PKI Chaos (Amerikanisches Englisch) In: The Security Ledger with Paul F. Roberts . 22. Januar 2021. Abgerufen am 26. September 2021.
  3. Sakura Samurai. In: Sakura Samurai . Abgerufen am 26. September 2021.
  4. Retired Members of Sakura Samurai. In: Sakura Samurai . Abgerufen am 26. September 2021.
  5. Duncan Riley: United Nations data breach exposes details of more than 100,000 employees. In: SiliconANGLE . 11. Januar 2021. Abgerufen am 12. August 2021.
  6. a b Anthony Spadafora: United Nations suffers major data breach (Englisch) In: TechRadar . 11. Januar 2021. Abgerufen am 26. September 2021.
  7. a b Ax Sharma: Researchers hacked Indian govt sites via exposed git and env files (en-us). In: BleepingComputer, 12. März 2021. Abgerufen am 26. September 2021. 
  8. Shayak Majumder: Government-Run Web Services Found to Have Major Vulnerabilities: Reports (en). In: NDTV-Gadgets 360, 22. Februar 2021. Abgerufen am 16. August 2021. 
  9. Ax Sharma: Undisclosed Apache Velocity XSS vulnerability impacts GOV sites (en-us). In: BleepingComputer, 15. Januar 2021. Abgerufen am 16. August 2021. 
  10. Charlie Osborne: Keybase patches bug that kept pictures in cleartext storage on Mac, Windows clients (en). In: ZDNet, 23. Februar 2021. Abgerufen am 16. August 2021. 
  11. NVD – CVE-2021-27653. In: nvd.nist.gov . Abgerufen am 12. August 2021.
  12. Ax Sharma: Ford bug exposed customer and employee records from internal systems (Amerikanisches Englisch) In: BleepingComputer . 15. August 2021. Abgerufen am 26. September 2021.
  13. Becky Bracken: Connected Farms Easy Pickings for Global Food Supply-Chain Hack (Englisch) In: ThreatPost . 10. August 2021. Abgerufen am 26. September 2021.
  14. Jeremy Kirk: Flaws in John Deere Systems Show Agriculture’s Cyber Risk (Amerikanisches Englisch) In: National Cyber Security News Today . 9. August 2021. Abgerufen am 26. September 2021.
  15. Ax Sharma: US physics lab Fermilab exposes proprietary data for all to see (en-us). In: Ars Technica, 6. Mai 2021. Abgerufen am 26. September 2021.