AstraZeneca Data Breach
Ein aktueller Darknet-Post der LAPSUS$-Gruppe deutet auf einen massiven Leak hin. Von internen Code-Repositories über Cloud-Infrastrukturdaten bis hin zu Mitarbeiter-Logins. Die offengelegten Informationen lassen auf einen tiefgreifenden Sicherheitsvorfall schließen.
Hacker-Gruppe LAPSUS$ behauptet Daten von AstraZeneca gestohlen zu haben
Die Hacker-Gruppe LAPSUS$ behauptet, erfolgreich in die internen IT-Systeme des Pharmariesen AstraZeneca eingedrungen zu sein. Den Angaben zufolge wurden hochsensible interne Unternehmensdaten entwendet. Anstatt jedoch die Daten öffentlich zugänglich zu machen, versucht die Gruppe ungewöhnlicherweise, die gestohlenen Informationen im Darknet an den Meistbietenden zu verkaufen. AstraZeneca hat die Behauptungen bislang weder bestätigt noch dementiert. Die Behauptungen im Darknet erwähnen Materialien mit Bezug zu AWS, Azure und Terraform. Selbst wenn Infrastrukturdateien keine aktiven Secrets enthalten, können sie Angreifern wertvolle Einblicke in die Architektur, Namenskonventionen, Deployment-Logik und Service-Abhängigkeiten geben.
Welche Daten sind betroffen?
Der Darknet-Post behauptet, das Paket enthalte Quellcode in Java, Angular und Python sowie Cloud-Infrastruktur-Referenzen in Verbindung mit AWS, Azure und Terraform. Darüber hinaus soll das Archiv sogenannte Secrets und Zugriffsdaten beinhalten; darunter Verweise auf private Schlüssel (Private Keys) und Vault-Zugangsdaten. Das geleakte Paket wird dabei als komprimiertes Archiv mit einer Gesamtgröße von rund 3 GB angegeben.
Unter anderem werden folgende Kategorien genannt:
- Source Code & Application Components
- Cloud & Infrastructure references
- User & Access Management Data
- Internal Databases & Operational records
Risikobewertung für den Gesundheitssektor
Auch wenn bislang keine direkten Patientenakten betroffen scheinen, birgt dieser Vorfall enormes Gefahrenpotenzial. Pharma- und Healthcare-Unternehmen verfügen über wertvolles geistiges Eigentum (Intellectual Property) und komplexe Lieferketten. Die Offenlegung von Quellcode und Cloud-Architektur bietet Angreifern die perfekte Blaupause, um Schwachstellen zu identifizieren und schwerwiegende Folgeangriffe (Follow-on Intrusions) zu planen. Geleakte Identitätsdaten ermöglichen zudem hochspezifische Phishing- und Social-Engineering-Kampagnen, um MFA-Sicherungen zu umgehen.
- Security Teams in Healthcare Sektor sollten besonders auf folgendes achten:
- Verdächtige Login-Aktivitäten bei Entwickler-, SSO- oder GitHub-Enterprise-Konten
- Offengelegte Secrets, den Missbrauch von Servicekonten oder ungewöhnliches Verhalten auf der Cloud-Control-Plane
- Phishing-Kampagnen, die geleakten organisatorischen Kontext (also erbeutetes internes Wissen) für ihre Angriffe nutzen
- Third-Party-Risiken, die Partner, Lieferanten oder gemeinsame Kollaborationsumgebungen betreffen
- Erwähnungen von internen Projekten, Domains oder Repositories in Darknet-Kanälen