Sakura Samurai (Gruppe)

White-Hat-Hacking- und Sicherheitsforschungsgruppe

Sakura Samurai ist eine White-Hat-Hacking- und Sicherheitsforschungsgruppe, die im Jahr 2020 gegründet wurde. Die Gruppe ist für die Aufdeckung mehrerer Sicherheitslücken verantwortlich, an denen Regierungsstellen und verschiedene Unternehmen beteiligt sind.[1]

Sakura Samurai
Gründung 2020
Gründer John Jackson
Zweck White-Hat hacking und Sicherheitsforschung
Vorsitz John Jackson (Hacker)
Mitglieder 5 (2021)
Website sakurasamurai.pro

Geschichte

Bearbeiten

Sakura Samurai wurde im Jahr 2020 von John Jackson gegründet[2]. Zu den aktiven Mitgliedern der Gruppe gehören Jackson, Robert „rej_ex“ Willis, Jackson „Kanshi“ Henry, Kelly Kaoudis und Higinio „w0rmer“ Ochoa[2][3]. Ali „ShÄde“ Diamond, Aubrey „Kirtaner“ Cottle, Sick.Codes und Arctic sind alle ehemalige Mitglieder der Gruppe.[4]

Erwähnenswerte Arbeiten

Bearbeiten

Staatliche Gruppierungen

Bearbeiten

Vereinte Nationen

Bearbeiten

Sakura Samurai entdeckte ungeschützte Git-Verzeichnisse und Git-Anmeldedateien auf Domänen, die dem Umweltprogramm der Vereinten Nationen (UNEP) und der Internationalen Arbeitsorganisation der Vereinten Nationen (UNILO) gehören. Diese ermöglichten den Zugriff auf die Zugangsdaten der WordPress-Administratorendatenbank und den UNEP-Quellcode und gaben den Forschern Zugang zu mehr als 100.000 privaten Mitarbeiterdaten. Zu den Mitarbeiterdaten gehörten Details über Reisen von UN-Mitarbeitern, Personaldaten einschließlich persönlich identifizierbarer Informationen, Datensätze zu Projektfinanzierungsressourcen, allgemeine Mitarbeiterdatensätze und Beschäftigungsbewertungsberichte.[5][6] Sakura Samurai meldete die Sicherheitslücke im Januar 2021 öffentlich, nachdem sie zunächst über das Programm der Vereinten Nationen zur Offenlegung von Sicherheitslücken bekannt gemacht worden war.[6]

Im März 2021 machte Sakura Samurai Schwachstellen öffentlich, die 27 Gruppen innerhalb der indischen Regierung betrafen. Nachdem sie ungeschützte Git- und Konfigurationsverzeichnisse gefunden hatten, konnte Sakura Samurai auf Anmeldeinformationen für kritische Anwendungen, mehr als 13.000 Personalakten, Polizeiberichte und andere Daten zugreifen. Die Gruppe entdeckte auch Schwachstellen im Zusammenhang mit Session Hijacking und der Ausführung von beliebigem Code in finanzbezogenen Regierungssystemen[7]. Nachdem die an das indische National Critical Information Infrastructure Protection Centre gemeldeten Probleme mehrere Wochen lang nicht behoben wurden, schaltete Sakura Samurai das U.S. Department of Defense Vulnerability Disclosure Program ein, und die Probleme wurden behoben.[8][7]

Unternehmen

Bearbeiten

Apache Velocity

Bearbeiten

Sakura Samurai entdeckte und meldete im Oktober 2020 eine Cross-Site-Scripting (XSS)-Schwachstelle in Apache Velocity Tools. Ausgefeilte Varianten der Schwachstelle könnten es Angreifern in Kombination mit Social Engineering ermöglichen, die Sitzungscookies des angemeldeten Benutzers zu sammeln und so möglicherweise dessen Sitzungen zu übernehmen. Die verwundbare Apache Velocity Tools-Klasse war in mehr als 2.600 einzelnen Binärdateien verschiedener bekannter Softwareanwendungen enthalten. Apache hat den Bericht bestätigt und die Schwachstelle im November 2020 gepatcht, obwohl Apache die Schwachstelle nicht offiziell bekannt gegeben hat.[9]

Die Gruppe entdeckte, dass Keybase, eine auf Sicherheit ausgerichtete Chat-Anwendung von Zoom, Bilder unsicher speicherte, selbst nachdem die Nutzer sie angeblich gelöscht hatten. Sie meldeten die Schwachstelle im Januar 2021 und gaben sie im Februar öffentlich bekannt, nachdem der Fehler behoben und die Updates weit verbreitet worden waren.[10]

Pega Infinity und damit verbundene Verstöße

Bearbeiten

Sakura Samurai fand eine Schwachstelle in Pegasystems' Unternehmenssoftware Pega Infinity, die für Customer Engagement und digitale Prozessautomatisierung eingesetzt wird. Die Schwachstelle, die Pegasystems erstmals im Februar 2021 gemeldet wurde, betraf eine mögliche Fehlkonfiguration, die die Offenlegung von Daten ermöglichen würde.[11]

Die Schwachstelle führte dazu, dass Sakura Samurai in die Systeme der Ford Motor Company und von John Deere eindrang. Diese Vorfälle wurden im August 2021 öffentlich bekannt gegeben.[12][13] Diese Sicherheitsverletzungen waren Gegenstand einer DEF CON-Präsentation von Sick.Codes im Jahr 2021 mit dem Titel „The Agricultural Data Arms Race: Exploiting a Tractor Load of Vulnerabilities in the Global Food Supply Chain (in good faith)“.[14]

Fermilab

Bearbeiten

Im Mai 2021 meldete Sakura Samurai Schwachstellen, die sie bei Fermilab, einem Labor für Teilchenphysik und Beschleuniger, entdeckt und offengelegt hatten. Die Gruppe konnte sich Zugang zu einem Projekt-Ticket-System, Server-Anmeldedaten und Mitarbeiterinformationen verschaffen.[15]

Bearbeiten

Einzelnachweise

Bearbeiten
  1. John Xavier: India's cyber defenses breached and reported; govt. yet to fix it In: The Hindu, 20. Februar 2021. Abgerufen am 12. August 2021 (indisches Englisch). 
  2. a b John Jackson: Episode 200: Sakura Samurai Wants To Make Hacking Groups Cool Again. And: Automating Our Way Out of PKI Chaos. In: The Security Ledger with Paul F. Roberts. 22. Januar 2021, abgerufen am 26. September 2021 (amerikanisches Englisch).
  3. Sakura Samurai. In: Sakura Samurai. Abgerufen am 26. September 2021.
  4. Retired Members of Sakura Samurai. In: Sakura Samurai. Abgerufen am 26. September 2021.
  5. Duncan Riley: United Nations data breach exposes details of more than 100,000 employees. In: SiliconANGLE. 11. Januar 2021, abgerufen am 12. August 2021.
  6. a b Anthony Spadafora: United Nations suffers major data breach. In: TechRadar. 11. Januar 2021, abgerufen am 26. September 2021 (englisch).
  7. a b Ax Sharma: Researchers hacked Indian govt sites via exposed git and env files In: BleepingComputer, 12. März 2021. Abgerufen am 26. September 2021 (amerikanisches Englisch). 
  8. Shayak Majumder: Government-Run Web Services Found to Have Major Vulnerabilities: Reports In: NDTV-Gadgets 360, 22. Februar 2021. Abgerufen am 16. August 2021 (englisch). 
  9. Ax Sharma: Undisclosed Apache Velocity XSS vulnerability impacts GOV sites In: BleepingComputer, 15. Januar 2021. Abgerufen am 16. August 2021 (amerikanisches Englisch). 
  10. Charlie Osborne: Keybase patches bug that kept pictures in cleartext storage on Mac, Windows clients In: ZDNet, 23. Februar 2021. Abgerufen am 16. August 2021 (englisch). 
  11. NVD – CVE-2021-27653. In: nvd.nist.gov. Abgerufen am 12. August 2021.
  12. Ax Sharma: Ford bug exposed customer and employee records from internal systems. In: BleepingComputer. 15. August 2021, abgerufen am 26. September 2021 (amerikanisches Englisch).
  13. Becky Bracken: Connected Farms Easy Pickings for Global Food Supply-Chain Hack. In: ThreatPost. 10. August 2021, abgerufen am 26. September 2021 (englisch).
  14. Jeremy Kirk: Flaws in John Deere Systems Show Agriculture’s Cyber Risk. In: National Cyber Security News Today. 9. August 2021, abgerufen am 26. September 2021 (amerikanisches Englisch).
  15. Ax Sharma: US physics lab Fermilab exposes proprietary data for all to see In: Ars Technica, 6. Mai 2021. Abgerufen am 26. September 2021 (amerikanisches Englisch).