Unsere Untersuchung des CNSS-Datenlecks [Kurzbericht]
Inhaltsübersicht
Am 8. April 2025 tauchte ein Bedrohungsakteur, der unter dem Alias "Jabaroot" operiert, auf BreachForums mit einer gewagten Behauptung auf. In einem Thread mit dem Titel "Morocco National Social Security Fund (CNSS) - FULL DATABASE LEAKED 2025" (Nationaler Sozialversicherungsfonds Marokkos - VOLLER DATENVERLUST 2025) veröffentlichte der Akteur angeblich sensible Daten, die aus dem nationalen Sozialversicherungsfonds Marokkos exfiltriert wurden. Das Leck umfasst Berichten zufolge Finanzinformationen, die sowohl marokkanische Unternehmen als auch deren Mitarbeiter betreffen - und erschreckenderweise scheint ein Großteil der Daten im Klartext auf kompromittierten Servern offengelegt worden zu sein.
Was hat sich bei CNSS getan?
Eine massive Datenpanne bei der marokkanischen Sozialversicherungsanstalt (CNSS) hat einen Haufen sensibler Informationen veröffentlicht. Der durchgesickerte Datensatz umfasst über 53.000 PDF-Dateien und zwei CSV-Dateien mit detaillierten Aufzeichnungen über fast 500.000 Unternehmen und fast 2 Millionen Beschäftigte. Die Dokumente reichen von Angaben zur Unternehmenszugehörigkeit bis zu einzelnen Mitarbeitern Identifikationsnummern, Gehälter und Kontaktinformationen-vieles davon erst im November 2024 datiert.
Der Verstoß scheint administrative und finanzielle Daten zu betreffen, darunter Bankdaten und persönliche Identifikatorenmit PDFs, die aufzeigen vollständige Namen der Mitarbeiter und angegebene Gehälter. Obwohl die Daten öffentlich bekannt gegeben und der Angriff behauptet wurde, bleibt die Methode des Eindringens unklar. Erste Spekulationen reichen von einem Zero-Day-Exploit bis hin zu einer Kompromittierung über Software von Drittanbietern, möglicherweise unter Einbeziehung von Oracle-Plattformen.
Ein Profil des Bedrohungsakteurs: Wer ist Jabaroot?
Der Alias Jabaroot tauchte erstmals am 8. April 2025 im Cybercrime-Forum BreachForums und auf Telegram auf. Seitdem hat der Telegram-Kanal des Bedrohungsakteurs [hxxps://t[.]me/JabarootDZ/] schnell an Zugkraft gewonnen und zum Zeitpunkt des Verfassens dieses Artikels über 8.000 Abonnenten angehäuft. Bis jetzt, Jabaroot hat nur ein einziges Thema auf BreachForums veröffentlichtder die Verantwortung für das CNSS-Datenleck bei der marokkanischen Sozialversicherungsanstalt übernommen hat.
frische Probe.
Obwohl wenig über den Akteur hinter dem Alias bekannt ist, hat die Arbeit des Hack4Living-Teams im Bereich der Open-Source-Intelligenz (OSINT) etwas Licht auf seine mögliche Identität geworfen. Am 8. April 2025 wurde festgestellt, dass mehrere Dateien, die in Jabaroots Telegram-Kanal gepostet wurden, von einem Nutzer namens Jabaroot weitergeleitet wurden. "3N16M4"-ein möglicher operativer Sicherheitsfehler. Interessanterweise verschwand dieser Weiterleitungsindikator bereits am nächsten Tag aus denselben Dateien, was darauf hindeutet, dass der Angreifer die Inhalte versehentlich von einem persönlichen Konto aus geteilt hat, anstatt von dem anonymisierten Konto, das für das Lecken der Daten erstellt wurde.
Weitere Umleitungen dieses Benutzernamens führten die Ermittler zu Anmeldeinformationen, die mit "3N16M4" auf mehreren Code-Sharing-Plattformen (wie GitHub) und Capture The Flag (CTF)-Wettbewerbsseiten verbunden waren. Obwohl wir uns entschieden haben, die aufgedeckten persönlichen Details nicht zu veröffentlichen, deutet die OSINT-Analyse stark darauf hin, dass Die Person, die hinter Jabaroot steckt, ist möglicherweise ein Computeringenieur, der derzeit in Deutschland lebt. Obwohl ihre genaue Herkunft unbestätigt bleibt, hat sich der Schauspieler in einem Telegrammprofil als aus Tunesien stammend zu erkennen gegeben.
Es ist wichtig zu beachten, dass diese Informationen ausschließlich auf Open-Source-Recherchen beruhen und mit Vorsicht zu genießen sind, da die Zuordnung bei Cyber-Ermittlungen bekanntermaßen komplex und fehleranfällig sein kann - vor allem in der Anfangsphase.
Ein durch geopolitische Spannungen entstandener Bruch
Nach Angaben des Bedrohungsakteurs auf Telegram, die CNSS-Verletzung scheint politisch motiviert zu sein. Jabaroot behauptet, der Angriff sei als Vergeltung für eine frühere Kompromittierung des Twitter-Kontos des algerischen Pressedienstes (APS) erfolgt - ein Vorfall, der mit Marokko verbundenen Bedrohungsakteuren zugeschrieben wird. Bei diesem Vorfall wurde das APS-Konto umbenannt in "Sahara Marocain"und bezog sich damit auf den langjährigen geopolitischen Streit zwischen Marokko und Algerien über die Westsahara. Der Twitter-Account wurde später nach einem breiten Medienecho gesperrt.
Kurz nach der Bekanntgabe des CNSS-Bruchs auf Telegram, Jabaroot teilte weitere Inhalte, darunter einen Screenshot, der angeblich die Verunstaltung der Website des marokkanischen Arbeitsministeriums zeigt. Der Akteur erklärte, die Verunstaltung sei Teil einer breiteren Kampagne, mit der er auf die von Marokko gesteuerten Online-Operationen gegen algerische Einrichtungen reagieren wolle. Zum Zeitpunkt der Erstellung dieses Artikels scheint die offizielle Website des marokkanischen Arbeitsministeriums gesperrt zu sein.
Diese Aktivität unterstreicht, wie Cyberangriffe zunehmend als Mittel der politischen Kommunikation eingesetzt werden, wobei die Grenzen zwischen Hacktivismus und staatlicher Vergeltung in einem ohnehin unbeständigen regionalen Kontext verschwimmen.
Dies ist nur die Anfangsphase unserer Untersuchung, und wir werden die Situation genau beobachten und die laufenden Entwicklungen vertiefen.
