Der spanische Mobilfunkbetreiber Orange hat am 3. Januar mit einem Internet-Ausfall zu kämpfen gehabt, nachdem ein Angreifer mit Hilfe gestohlener Administrator-Zugangsdaten den Border Gateway Protocol (BGP)-Verkehr gekapert hat. Orange betonte, dass keine persönlichen Daten gefährdet wurden und der Vorfall nur einige Browsing-Dienste beeinträchtigte. Der Angreifer hat behauptet, Zugriff auf das RIPE-Konto (Regional Internet Registry) von Orange Spanien erlangt zu haben. RIPE ist eine regionale Internet-Registrierungsstelle, die die Zuteilung und Registrierung von IP-Adressen und AS-Nummern in Europa, Zentralasien, Russland und Westasien überwacht. Hudson Rock, eine Cybersicherheitsfirma, hat festgestellt, dass der Angreifer die AS-Nummer von Orange Spaniens IP-Adresse geändert hat, was zu erheblichen Beeinträchtigungen und einem Verlust von 50% des Verkehrs geführt hat. Untersuchungen haben ergeben, dass die E-Mail-Adresse des Administrator-Kontos mit dem Computer eines Mitarbeiters von Orange Spanien verbunden ist, der am 4. September 2023 von der Raccoon Stealer-Malware infiltriert wurde. Es ist derzeit nicht bekannt, wie die Malware in das System des Mitarbeiters gelangt ist, aber solche Malware-Familien werden in der Regel über Malvertising oder Phishing-Angriffe verbreitet. Das Passwort für das RIPE-Administrator-Konto von Orange war „ripeadmin“, was sowohl schwach als auch leicht vorhersehbar ist. RIPE hat weder eine Zwei-Faktor-Authentifizierung (2FA) noch eine starke Passwortrichtlinie für seine Konten, was sie anfällig für Missbrauch macht. RIPE untersucht derzeit, ob andere Konten auf ähnliche Weise betroffen sind, und wird sich direkt an betroffene Kontoinhaber wenden. Benutzer von RIPE NCC Access-Accounts werden aufgefordert, ihre Passwörter zu aktualisieren und die Zwei-Faktor-Authentifizierung für ihre Konten zu aktivieren. Langfristig plant RIPE, die 2FA für alle RIPE NCC Access-Konten zur Pflicht zu machen und verschiedene Verifizierungsmethoden einzuführen. Der Vorfall zeigt die Folgen von Infostealer-Infektionen und verdeutlicht, dass Organisationen Maßnahmen ergreifen müssen, um ihre Netzwerke vor bekannten Angriffspunkten zu schützen.