Wie vorgehen, wenn Kleinanzeigen Account UND Email-Konto gehijacked wurde?

trackball schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Bei meinem Schwager gab's (über dessen gehackten AMZN-Account) leider die volle Breitseite.
Angefangen von den Bankdaten, über Identitätsdiebstahl, bis hin zu einem versuchten KFZ-Kauf über eine entsprechende Online-Plattform.
Mein Schwager hatte das nicht sofort bemerkt, erst rund zwei Wochen später.
War 'ne riesen Action, das klarzustellen und am Ende wieder hinzubiegen.
Der Täter konnte nicht ermittelt werden.

AMZ kümmert sich einen Shice drum und lässt einem im Regen stehen. Ich bin da auch weitestgehend weg von dem Verein und kaufe dort nur was, wenns nicht anders geht. Manchmal hat man keine andere Wahl, ansonsten ist ebay meine Anlaufstelle.

Ich bin es noch einmal.
Ich hatte eine Idee, und zwar würde ich gerne das von mir in starken Verdacht befindliche Programm gerne einmal in einer VMware W10 Installation laufen und installieren lassen.
Um dann mittels Tools zu verfolgen, was dort geschieht. Ich habe das Programm einst von einem der "Top Uploader" mal bei mygully geladen...und würde es gerne mal für mich checken. Mich wurmt das nämlich immer noch, ich bin immer vorsichtig gewesen...und dann sowas...
Glaubt ihr, das die Isolation VMWare zum Hostsystem gut genug ist, um safe zu sein? Erfahrungen?

Basti.h3 schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Sehr gute Idee

Basti.h3 schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Such nach Möglichkeiten, den gesammten ausgehenden Verkehr zu tracken. Du willst ja wissen, zu welchen IP´s das Proggie hintelefonieren möchte.

Basti.h3 schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Finde den Fehler

Basti.h3 schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Mehr als Verständlich. Wobei das tatsichlich auch komplett andere Gründe haben kann.
Dank Deinen negativen Erfahrungen bin ich nun dabei, alles auf eine 2-Stufen-Verifikation umzustellen.

Basti.h3 schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Es ist sehr unwahrscheinlich, das eine in VMWare ausgeführte Schadsoftware direkt einen Breach in Dein OS schafft. Unwahrscheinlich, aber nicht! unmöglich. Vor allem dann nicht, wenn dein echtes OS und das emulierte identisch oder ähnlich sind.
Ich denke nicht, das der 08/15-Wanker bei Gully sowas coden könnte, aber hey... Sicherheit geht vor.
Mein Tipp wäre, Du bastelst Dir einen Linux-Live-Stick zusammen, bootest dann das Linux Deiner Wahl und lässt im Linux dann die VMWare mit Deinem tatsächlichen OS laufen.
Das die Software dann nämlich aus dem emulierten Windows heraus einen erfolgreichen breach auf Linux erfolgreich durchführt ist dann nahezu ausgeschlossen.

Just my 2 Cents,
as always.
Mein Tipp wäre, das Du

Wireshark. Da kannste quasi alles anpassen. Ein wenig lesen ist aber nötig sonst zeichnest du nur Unsinn auf.
Interessant wird es wenn das Programm in einer vm automatisch schließt. Solche maßnahmen sollen das erkennen verhindern.

Wenn es auch etwas einfacher sein darf oder Linux jetzt nicht so dein Busenfreund ist,
könntest du auch mal Sandboxie ausprobieren. Das benutze ich meist bevor ich ne VM aufsetze.

Danke euch...dann werde ich mich mal weiter in die Materie einlesen.

Einfach TCPDUMP nutzen, Wireshark kommt danach für die Auswertung und Sichtung.

Also ich nutze die Windows eigene Sandbox, die seit Win10 als optionales Feature enthalten ist.
Eben auch um per netstat zu schauen, mit welchen Zieladressen gewisse Programme so per TCP telefonieren.

Oder ist die Windows Sandbox eher nicht zu empfehlen?

Polizei?
Zwecklos.
Russen aus Ukraine haben zigtausende Paypal Konten gestohlen, bei Paypal, nicht bei mir.
Merkt euch das.
Der Schwachsinn mit Passwörtern und den restlichen Mist dient nur dazu Idioten und Dummküpfe zu beruhigen.
Die Russen haben direkt bei Paypal alle Daten genommen, all die "sicheren" Ellenlangen und unsinnigen Passwörter im Klartext.
Meine Prepaid Master Card haben die bis zum letrzten Cent ausgeräumt, Autoradios bei Ebay gekauft die in die Ukraine geliefert wurden, Ersatzteile für Audi und einige Kleingkeiten auch.
Habe eine Prepaid Karte zum Aufladen, die war über Ebay mit meinem Paypal Konto verbunden.
Aufs Handy bekam ich seltsame Meldungen über 1 US$ Gutschrift, die sogleich wieder abgebucht wurden.
Bestimmt 15 Stück.
Habe keine Beachtung mehr geschenkt und dan haben die Russen schön bei Ebay eingekauft, mit Paypal bezahlt und sich allles in die Ukraine liefern lassen.
Die Lieferung der Ware konnte ich über mein Ebay Konto nachverfolgen.
Keiner der Verkäufer konnte die Lieferung stoppen noch mir das Geld ersetzen.
Oder wollte.
Reklamation bei Ebay brachte genau NICHTS.
Bei Paypal identisch, NICHTS.
Bei meiner Bank, wo ich diese Prepaid Karte habe, brachte eine Reklamation genau NICHTS.
Ich soll das Passwort ändern.
So ein Schwachsinn.
Das hat auch Paypal behauptet. Erst später wurde der Datenkalu bei Paypal publik aber die Drecksbande hat mir keinen Cent erstattet, obwohl bei denen der Datenklau auf ihren Servern geschehen ist.
Meine Belehrung: Prepaid nutzen, sonst räumen die Russen aus Ukraine dir das ganze Konto leer.
Koppelung Ebay - Paypal unbedingt auflösen und nirgends, NIRGENDS, NIRGENDS, eine Kreditkarte hinterlegen.
NIRGENDS.
Eventuelle Koppelung Kreditkartte - Bankkonto SOFORT lösen, SOFORT.
Viseca Card services wäscht die Hände in Unschuld, das Pingen meiner Kreditkarte mit 1 US$ Buchungen sei kein Betrug gewesen und NORMAL.
Fakt ist, seit dem Klau damals, habe ich noch nie wieder diese seltsamen Buchungen auf der Kreditkarte gehabt.
Das Verfahren gegen Unbekannt wurde bei der Polizei in der Schweiz eingestellt, keine Beweise.
Ebay, Paypal, Polizei, Viseca card services, Raiffeisenbank....alles Arschlöcher die sich da raushalten.
Passwörter, speichern, Passwortmanager und solchen Mist unterlassen, bringt nix.
Das einizige was hilft, macht es denen schwer und entkoppelt eure Kreditkarten und Kontodaten von Ebay, Paypal und sonstigen Onlinehändlern oder was auch immer.
Eine positive Meldung möchte ich loswerden, kaufe schon 20 Jahre bei Alibaba und Aliexpress ein, dort ist mir noch nie ein Bterug unterlaufen, Geldklau oder keine LIferung bezahlter Ware.
Ausser Abzocke durch die DHL Drecksbande mit horrenden Gebühren wenn die das Paket abfangen, ist mir nie etwas schlechtes widerfahren.
Der Schweizer Bundesrat hat DHL, nach übernahme der Paketsparte von der Schweizerischen Post, und Abzocke horrender Gebühren für 0, NULL, Zoll für den Staat, dieses per Gesetz verboten.
Die DHL Drecksbande versucht es immer wieder Gebühren für nix den Käufer abzuknöpfen, es steht an der Haustüre irgendeiner von denen und verlangt in Bar irgendeine Summe die mit Kugeschreiber auf dem Päckchen aufgeschrieben ist. Habe ihn fotografiert und der Poliezi gemeldet.
Die schweizer Polizei ist keinen Deut besser als in DE, glaubt es mir.
Die Anzeige gegen DHL hat nix gebracht. trotz Beweise.

GuyFawkes667 schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Was soll das für einen Mehrwert bringen?
Sein "Gegner" ist schließlich nicht irgendeine creepy 3-Letter-Behörde, die an der Datenwiederherstellung einer formatierten Platte (mittels des vorhandenen Restmagnetismus) aufgrund Spionagevorwurfs interessiert ist, sondern wahrscheinlich eine wie auch immer geartete Malware.
Die sitzt üblicherweise auf Kernel-/Treiber-/Betriebssystem-/Anwendungsebene, dann reicht ein sauberes Neuaufsetzen des Systems völlig aus.
Es gibt auch einzelne UEFI-Rootkits (z.B. CosmicStrand u. BlackLotus), aber da hätte wirklich schon sehr viel schief laufen müssen und das Wipen wäre ebenfalls sinnlos, weil das System an anderer Stelle kompromitiert ist.
Hier lädt die Malware bereits sehr früh unmittelbar nach Start des Systems aus dem UEFI-NAND, bevor das eigentliche Betriebssystem überhaupt gebootet hat.
Womit dann in der Folge Schutzmechanismen des Betriebssystems wie z.B. HVCI und auch Antivirensoftware wirkungslos sind.
Wenn es da etwas gibt, was ich noch nicht weiss/kenne, kläre mich bitte auf.
Ich bin schließlich nicht die "Allwissende Müllhalde" aus der TV-Serie "Die Fraggles".

@Knorkator303
Da scheinst Du Dich schonmal um einiges besser auszukennen, als ich.
Einen "Complete Wipe" empfehle ich wegen der Gefahr, das sich halt etwas in der MBR eingeschleußt haben könnte und eine simple Formatierung deren nicht ausreicht.
Also lieber einen Schritt weiter bzg Sicherheit gehen und die ganze Platte random/nullen. Schaden (vom Belastungsstreß abgesehen) wird es jedenfalls nicht.
Sollte da jemand bereits etwas in der HW eingeschleußt habe, was ich unwahrscheinlich, aber nich ausgeschlossen halte, ist der Zug ja eh abgefahren.
Immerhin wäre der Breach dann nicht auf das OS und Nettraffic begrenzt, sondern im System bereits fest implementiert.
Wobei es ja genügend offene Lücken sowohl im Windows-Kernel, als auch über verschiedene MB-Chipsätze gibt.

Aber um Dich zu zitieren...

Knorkator303 schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Genau diese creepy 3-Letter-Behörden nutzen alltäglich diese Lücken in der HW aus. "The Agency" von Mallory Archer mal ausgeschlossen .
Aber bei E-Bay Fucking Kleinanzeigen??? Bei einem No Name? No Way.

"Du bist nur solange paranoid bis SIE Dich wirklich verfolgen."

Voll offtopic, aber es wollte raus.

Und mich fragen seit 20 Jahren alle, warum ich meinen Mail-Server samt Domäne selber hoste...
Naja, weil es sich bewährt hat

Übrigens: Android-Apps, der Verdacht kam hier ja schon einmal auf, sind tatsächlich vielfach daran beteiligt Daten abzuziehen.
Da hat sich meine Frau über "angebliche" Mail-Apps auch schon Daten abziehen lassen. Was der Vogel halt nicht wusste, dass ich die IP-Ranges monitore und sofort erkenne, wenn da Zugriffe aus "fremden" Gefilden passieren (im möglichen Rahmen).

Und sei es auf dem Schmattföhn oder dem PC: Virenscanner sind ein dummes Stück Software-Scheiße. Die können das finden, wofür der Anbieter Signaturen rausgegeben hat.
Methoden und ganze Toolchains um es Skript-Kiddis zu erlauben der Signaturerkennung eines auszuwischen, sind hinlänglich verfügbar. Die Teile sind also zu einem guten Stück wertlos.

Und mal zu dem Thema "Proggy mal in der VM untersuchen":
Ja, kann man machen. Dann baut da die Software SSL Verbindungen zu irgendwelchen Destinationen auf. Und nun? Meist sind das irgendwelche Proxies, wo man eh nicht weiß wo das hingeht (beispielsweise über Botnetze realisiert, wo sich zeigt, dass die IP, die der Überwachungskamera deines Nachbarn ist...). Zum andern kann man den Traffic gar nicht untersuchen, weil es eben SSL verschlüsselt ist - was ja heute out-of-the-box der Standard ist.
Sowas zu untersuchen ist tatsächlich echt schwer. Weil jedem mit Verstand ja klar ist, dass wenn er Destinationen direkt ansteuert, er auch gleich seine Anschrift als Blink-Reklame in den Code schreiben kann.

Leider telefoniert ja heute nahezu jede Software irgendwo nach hause. Vollkommen Wurscht auf welcher Plattform.
Wenn ich allein sehe, was am Server für ein Verbindungsaufbau-Zauber vonstattengeht, wenn meine Frau nur ihr Handy aus dem Standby holt. Da sind auf einen Schlag an die 100 Verbindungen offen.
Google, Amazon AWS, Microsoft AZURE, diverse IT Dienstleister usw...
Da etwas konkretes zu suchen, ist wie die Nadel im Heuhaufen zu suchen. Einfach weil nur kurze Datenaustausche da einfach im Grundrauschen untergehen.
"Früher" (tm) war das noch einfacher.
Heute kannst Du starten was du willst "Update Verfügbar", "unsere neusten Angebote", "Witz des Tages", "Das Wetter in Ihrer Region ist [scheiße]", "8 Leute die auch diesen Button gedrückt haben, drückten auch...", "Rotzebräu! Gespanscht seit 1896, im Plastikeimer gereift aus frischem Kloschüsselwasser! Rotzebräu! [Werbung endet in 3 Stunden, 21 Minuten und 19 Sekunden]", ect, ect, ect...

Diesem Wirrwar analysetechnisch auf den Zahn zu fühlen ist heute eine echte Herausforderung, mit spezieller Analysesoftware die da Profiling betreibt und permanent nach "ungewöhntlichem" (was dann eben "normal nicht vorkommendem" heißt) sucht. Beispielsweise so ein Gedönse wie die Sophos Intrusion Prevention, die Unternehmen nutzen, um dem ansatzweise Herr zu werden.

Die beste Prävention ist heute, einfach keine Daten zu verteilen - so weit es maximal möglich ist.
Habe es just heute erst wieder gehabt: Wollte eine App installieren, um einen Produkt-Barcode zu scannen um raus zu finden in welchen Läden es das gibt. Kommt nach dem Start: Bitte melde dich mit deiner E-Mail Adresse an! ... Beendet, Deinstalliert - fertig war ich damit. Nein, mache ich nicht! Für die gewünscht Funktion ist die Kenntnis meiner Mail-Adresse unnötig. Also können sie sich die App ganz tief wo reinschieben.
So habe ich es immer gehandhabt und da kann ich einfach nur sagen: Ich habe seit fast 30 Jahren die selbe Mobilfunknummer - Werbeanrufe oder sonstiges = 0. Spam in meinem Mail-Postfach: Homöopathisch. Wobei ich da Serverseitig auch eine extrem restriktive Spam-Filterung nutze. Daten die man einmal irgendwo verteilt hat, kann man nie mehr zurückholen.
Sind mal irgendwo Mail-Adressen nötig, die einfach nur dem Zweck der Anmeldung dienen, dann erstelle ich da grundsätzlich temporäre einmalige Fake Adressen. Welche bei denen ich mir im Übrigen auch notiere, wo ich sie genutzt habe. Da habe ich in zwei Fällen dann auch schon mal die Angabepflichtige Datenschutz-Kontaktadresse des jeweiligen Betreibers kontaktiert. Sehr amüsante Gespräche... Es geht i.d.R. los mit "nein, kann nicht sein! Punkt!" und hört dann meist auf mit "ich bitte Sie inständig uns die Zeit zur eingehenden Prüfung zu geben und würden Sie höflichst bitten von weitere Schritte abzusehen.... immerhin könne man sich doch irgendwie einigen!?!?!". Bei dem Thema DSGVO geht einigen dann doch schon mal die Düse.

Wenn man das nicht macht, öffnet sich mit jedem Programm oder jeder App eine Vielzahl von möglichen Türen um Daten abzusaugen.
Leider drängen Unternehmen Kunden vielfach zur Offenlegung persönlicher Daten. So wird z.B. auch vielfach gelockt mit "verknüpfe deinen Account mit Amazon prime und beomme diesen tollen Fickfrosch Klingelton als Dankeschön direkt auf dein Handy!" ... ja danke, nein. Mach das, und du hast wieder Daten verteilt.
Es muss sich jeder bewusst machen, dass die einem nix schenken weil die euch so geil finden. Ist etwas kostenlos, bist du die Ware! Da muss es am Ende nämlich nicht das eigene System sein, wo Daten abgefischt wurden. Dass kann dann irgend ein Server, in irgend einer dieser tollen "Clouds" sein, wo entweder unter den Teppich gekehrt wurde, dass da was flöten gegangen ist oder man es tatsächlich überhaupt nicht bemerkt hat. Mit unter werden Daten auch verkauft - das ist das Konzept hinter Payback. Wie wollt ihr das mitbekommen? Irgendwie mitbekommen, kann man es zumindest mit der Fake-Adressen Methode. Aber selbst wenn ich dem Anbieter eine reinwürge, ggf. sogar Schadenersatz rausklage (was in DE einfach nur ein müder Witz ist, versuchen zu wollen das durch zu bekommen), bekomme ich die Daten am Ende eben doch nicht wieder "zurück". Man kann es nie mehr zurückholen! Punkt. Einmal von Mutti beim Rödeln an der Genusswurzel im Kinderzimmer erwischt - dann hat sich das. So muss man das sehen.
Ein riesiger Teil der Probleme, über die man sich beschwert, beruhen tatsächlich auf freiwillig heraus gegebenen Daten. Das tatsächlich direkte und unmittelbare abziehen von Daten der eigenen Systeme, kommt da vergleichsweise selten vor. Passiert, aber dann doch eher selten. Mehrheitlich bittet man seine Probleme selber zur Tür herein.

Nun aber genug... Ich denke die Intention ist klar geworden. Es geht um das Konzept von Verzicht. Nicht wie ein Hund jedes Leckerlie aufschlecken, was einem vor die Pfoten geworfen wird. Nicht denken "ist ja umsonst", sondern immer denken "benötige ich das zwingend?". Auch wenn die Antwort dann ein vielleicht ist: Nicht machen!

GuyFawkes667 schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Das wäre in der Theorie zwar wahrscheinlich möglich, ist heute eigentlich aber nicht mehr üblich. Ich kenne das aus meinen Amiga-Zeiten. Heute gibt es EFI und signierte Bootloader, die auf Integrität gecheckt werden. Da würde ich mir weniger einen Kopf machen.
Zumal die meisten Leute ihre Platte heute zusätzlich vollverschlüsseln, in meinem Fall etwa bringt Veracrypt seinen eigenen Bootloader mit, welcher bei einer Neuinstallation ohnehin von Windoof überschrieben wird.

Die Frage ist immer: Wer bist Du und was könnte man von Dir wollen.

Richtig creepy ist z.B. der Mist:



Der Angriff erfolgte auf IOS-Geräte zweier Gruppen von Mitarbeitern von Kaspersky: Topmanager und Sicherheitsforscher.
Aufgefallen ist die ganze Sache initial aufgrund des "verdächtigen" Netzwerktraffics, den ein eigentlich nicht mehr von IOS verwendeter Prozess auf sämtlichen Geräten zu 3 bestimmten IPs erzeugte.
Die IPs hatten unterschiedliche Verwendungen, weswegen sich z.B. die übertragenen Datenmengen unterschieden.
Die Jungs haben den Angriff dann schrittweise nachvollzogen und analysiert. Im Verlauf wurden, neben Programmierfehlern, u.a. auch AppleIDs der möglichen Entwickler entdeckt, welche an Apple gemeldet wurden.
So wurde eine Exploitkette mit 4(!) komplett unbekannten Zero-Day-Exploits verwendet.
Davon waren zwei Kernelexploits, ein Browserexploit und der erste genutzte Exploit in Form einer nicht dokumentiertender Funktion der TrueType-VM in IOS, welche dann RCE ermöglichte.
Das ist eine Firma die Antivirussoftware herstellt, welche hier ihrerseits Opfer eines SEHR ausgefeilten Angriffs wurde!
Alleine die verwendeten Exploits hätten "in the Wild" einen Marktwert in Höhe eines zweistelligen Millionenbetrags.
Die Malware analysierte z.B. mittels Machinelearning die auf den Geräten/Cloud gespeicherten Bildinhalte samt OCR bezüglich einer möglichen Relevanz.
"Standardfeatures" wie Mikrofonzugriffe, Screenshots, Zugriff auf E-Mail/Messenger waren natürlich auch implementiert.

Solchen "Next-Level-Shit", fast vergleichbar mit Stuxnet, verschwendet man nicht für die "Raubmordkopierer" Knorkator oder GuyFawkes!

Andererseits: Wenn auf Seite der Angreifer Ressourcen in Form von Personal, Geld, KnowHow und Technik quasi unbegrenzt vorhanden sind und man "von denen" tatsächlich als "wichtig genug" betrachtet wird, ist es schlicht unmöglich sich gegen Angriffe auf diesem Level zu schützen.
Deshalb gilt immer: "Nur weil Du nicht paranoid bist, heißt das noch lange nicht, daß sie nicht hinter Dir her sind!"

BTW: Du wärst übrigens nicht infiziert worden, da die Malware vor Ausführung des eigentlichen Payloads die AppleIDs gleich mehrfach prüfte, so daß dieser nur auf den Geräten der vorgesehenen Angriffsziele tatsächlich ausgeführt wurde.

Knorkator303 schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Auf den Vortrag beim CCC bin ich vorgestern auch gestoßen. Da ist mir buchstäblich die Kinnlade runtergeklappt.

Und um den lieben Fefe zu zitieren: "Da werden gerade einige Geheimdienste sehr unglücklich sein."

dnatm schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Wobei die gemachten Fehler mir fast ein wenig zu offensichtlich waren. Das wirkte wie ein CTF für sehr Fortgeschrittene. Auch die fehlende MITM-Detektion ist komisch. In solchen Institutionen wie Kaspersky wird das Netzwerk ständig mit CM/IPS/IDS monitored.
Die verwenden dort sicherlich keinen einfachen Paketfilter, sondern DPI. Da wäre jeder untypische Traffic sofort aufgefallen. Hier wurde ja immerhin nicht das Netzwerk von Oma Liese mit SOHO-Router als Endgerät infiltriert.
Und die Angreifer hätten die "Opfer", betreffend Skill-Level und "Nerd Mindset" für den Fall einer möglichen Entdeckung, eher über- als unterschätzt und die "Flüchtigkeitsfehler" vermieden.

Ich glaube ich denke in die richtige Richtung: Scheinbar nutzt auch der FSB (Inlandsnachrichtendienst) Softwarelösungen von Kaspersky zur Netzwerküberwachung. Deren Antivirussoftware ist wohl auch 2017 schon als Angriffsvektor zum Klau vertraulicher Daten bei einem NSA-Contractor genutzt worden.

Im Jahr 2019 erfolgte die Solarwinds-Attacke, welche 15 Monate unentdeckt blieb und von den Angreifern zur Kompromittierung der IT-Systeme von Firmen und auch Behörden genutzt wurde.
Unter den vom trojanisierten Update betroffenen ca. 18000 Kunden sind Microsoft(!), das Pentagon, das State Department, das DHS, die NNSA und........die NSA.
Die Firma bietet u.a. Dienstleitungen wie Überwachung, Netzwerk-Management, IT-Security, Anwendungsverwaltung an.
Ja, man hat hier den Bock zum Gärtner gemacht, zumal die Kunden, um die Funktion von Teilen der Produkte sicherzustellen, die Software auch noch im Virenscanner auf die Whitelist setzen mussten.
15 Monate sind eine sehr lange Zeit, ich glaube niemand kann genau wissen, was da exakt an Daten von wem ausgeleitet bzw. manipuliert wurde.
Nix mehr mit "Verfügbarkeit, Vertraulichkeit und Integrität" auf den betroffenen Systemen.
Die Angreifer von APT29 u.a. (es haben sich zeitweise mehrere Gruppen zeitgleich(!) Zugang zu den Systemen verschafft) werden dem russischen Auslandsgeheimdienst SVR zugeordnet und haben ihre Spuren scheinbar deutlich gründlicher beseitigt.