[UPDATE: u:space wieder verfügbar] Coin-Mining-Vorfall auf den Servern des u:space-Portals (uspace.univie.ac.at)

25.04.2020

 

UPDATE: Die Arbeiten am Portal sind abgeschlossen. u:space steht wieder zur Verfügung.


Am Samstag, den 25.04.2020 um 14:27 Uhr wurde auf den u:space-Servern von Unbefugten ein Programm zum Coin-Mining installiert.

Der ZID hat auf diesen Angriff unmittelbar reagiert, das Service außer Betrieb genommen und eine umgehende Analyse der Systeme durchgeführt. Die detaillierte Untersuchung ergab keine Hinweise auf einen Data Breach. Es hat kein Versuch stattgefunden, Daten zu verändern oder zu löschen. Die Daten der Universität Wien und ihrer Studierenden und Mitarbeiter*innen sind somit in keinerlei Weise gefährdet gewesen.

Auch lässt sich aufgrund der Netzwerk-Forensik erkennen, dass es sich um keinen zielgerichteten Angriff handelt, sondern dass die Angreifer zufällig auf u:space gestoßen sind. Die beobachtete Vorgangsweise ist konsistent mit der, die bei anderen Coin-Mining-Vorfällen bekannt ist; auch dort ist kein Data Breach dokumentiert. Hacker lockt hier nicht die Software der gehackten Systeme, sondern deren Rechenleistung. Die Hacker nutzen die Rechenleistung der von ihnen gekaperten Server um ihre Coin-Transaktionen zu verwalten.

Der Einbruchsvektor konnte vom ZID bereits identifiziert werden. Die Software wird nun gesäubert und neu aufgesetzt – dies wird voraussichtlich bis Dienstag, den 28.04.2020 dauern. In Absprache mit der DLE SLW wird danach das u:space-Service wieder hochgefahren.

Allgemein lässt sich seit Ausbreitung des Coronavirus weltweit ein massiver Anstieg von Cyberattacken beobachten. IT-Security-Expert*innen warnen bereits seit Beginn der Coronakrise, dass Kriminelle die gegenwärtige Ausnahmesituation für ihre Zwecke ausnutzen.