Hacker stahlen mehr als 20 GByte Daten bei Schweizer Rüstungsbetrieb
Ein staatseigener Rüstungsbetrieb und das Schweizer Verteidigungsministerium sind zum Ziel von Hackern geworden. Zumindest ein Angriff war erfolgreich.
Bei einem Hackerangriff auf den staatseigenen Schweizer Rüstungskonzern RUAG sind mehr als 20 Gigabyte Daten entwendet worden. Das geht aus einem Bericht der Melde- und Analysestelle Informationssicherung (Melani) hervor, der am Montag in Bern vorgestellt wurde. In der vergangenen Woche war die Hackerattacke auf den Rüstungskonzern publik geworden.
Angriffsserie unentdeckt
Dem Bericht zufolge hat eine Serie von Hackerangriffen gegen die RUAG bereits im Dezember 2014 begonnen und war über ein Jahr lang unentdeckt geblieben. Auch das Schweizer Verteidigungsministerium war Anfang 2016 zum Ziel eines Hackerangriffs geworden. Dieser Angriff wurde jedoch rechtzeitig entdeckt.
Für den Angriff auf die RUAG benutzten die Angreifer dem Melani-Bericht zufolge eine seit mehreren Jahren im Umlauf befindliche Schadsoftware der Turla-Familie. Die im Netzwerk der RUAG beobachtete Variante habe keine Rootkit-Funktion und setze auf Tarnung, um unerkannt zu bleiben. Die Angreifer seien mit viel Geduld vorgegangen.
Ein Hauptziel des Angriffs sei demnach das Active Directory zur Kontrolle weiterer Geräte und der Berechtigungen und Gruppenzugehörigkeiten für den Datenzugriff gewesen. Den Angreifern sei es gelungen, mehr als 20 GByte Daten zu entwenden. Die Wahrscheinlichkeit sei hoch, dass darin Daten aus dem Admin Directory, welches das Outlook der Bundesverwaltung speist, enthalten sind, räumte das Verteidigungsministerium ein.
Russische Wirtschaftsspionage?
Alles deute auf Wirtschaftsspionage, sagte Melani-Chef Pascal Lamia, gegenüber den Medien. So sei konkret danach gesucht worden, welche Projekte bei der RUAG liefen. Laut Lamia gingen die Angreifer mit ihrer Malware “sehr leise” vor. Und diese habe auch keine Programmierfehler aufgewiesen, weshalb sie lange unerkannt geblieben sei.
Offiziell gibt es zur Herkunft der Cyberspionage-Attacken keine Angaben. Angesichts der andauernden Untersuchung werde sie sich nicht über die Urheberschaft des Angriffs äußern, ließ die Schweizer Regierung verlauten. Umlaufende Vermutungen deuten auf Urheber in Russland. Die Bundesanwaltschaft hatte am 25. Januar 2016 eine Strafuntersuchung gegen Unbekannt eingeleitet.
Update 24.05.2016: Korrektur im dritten Absatz: "keine" statt "eine Rootkit-Funktion" (vbr)
