Bundeshack: Angreifer kompromittierten 17 Rechner im Auswärtigen Amt
Die Spione schlichen sich mit ihrer Schadsoftware über die Bundesakademie für öffentliche Verwaltung ins Außenministerium ein, wo sie 17 Clients unter ihre Kontrolle brachten. Offen ist, wie genau sie dort Admin-Rechte erlangen konnten.
Nach Sondersitzungen mehrerer Bundestagsausschüsse am Freitag herrscht etwas mehr Klarheit, wie die Angreifer beim "Bundeshack" ins Auswärtige Amt eingedrungen sind. Wie Vertreter des Innenministeriums und des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor den Abgeordneten ausführten, hackten die Datenspione zunächst einen Webserver der Bundesakademie für öffentliche Verwaltung (BAköV) in Brühl, die an das Regierungsnetz Informationsverbund Berlin-Bonn (IVBB) angeschlossen ist. Mithilfe eines dort hinterlegten Trojaners gelang es ihnen dann, 17 Rechner im Außenministerium zu kapern.
Den Server auf der Hochschule des Bundes ließen die Hacker nach der ursprünglichen Attacke mit einer Phishing-Mail weitgehend intakt, führten dort bis Januar 2017 keine weiteren Aktivitäten aus, nachdem sie dort die Schadsoftware beziehungsweise die Download-Quelle dafür hinterlegt hatten. Dabei handelte es sich möglicherweise um die Spionagesoftware Uroburos, die Sicherheitsexperten von G Data 2014 entdeckten und die angeblich auf Wurzeln bei russischen Geheimdiensten hindeutet. Das nach der "Urschlange" benannte Programm verbreitet sich selbstständig in den infizierten Netzwerken. Das Rootkit besteht aus zwei Dateien für 32- und 64-Bit-Windows-Systeme mit einem Treiber und einem Modul zum Datenabfischen.
Teil einer weltweiten Attacke
Die Malware bekam den Darstellungen nach im Januar vorigen Jahres einen Steuerbefehl von außen und begann, das Netzwerk zu analysieren und dabei erlangte Informationen zurückzusenden. Im März gelang es den Spionen dann, Administrator-Rechte auf den betroffenen Clients im Auswärtigen Amt zu erlangen, das sich bis 2015 weitgehend von zuvor eingerichteten Linux-Arbeitsplätzen verabschiedet und eine eventuell verhängnisvolle Rückmigration zu Windows und Microsoft durchgeführt hatte. Einen der Rechner soll ein Mitarbeiter des Bundesverteidigungsministeriums verwendet haben, der aber damals Dienst im Außenministerium verrichtete. Das Verteidigungsressort war demnach nicht direkt betroffen. Der Angriff war nach Informationen von NDR, WDR und Süddeutscher Zeitung Teil einer weltweiten Hacker-Attacke, an der weitere Länder zu knabbern haben.
Unklar ist noch, wie genau die Spione die Systeme des Auswärtigen Amts kompromittieren konnten. Möglicherweise waren darauf aktuelle Sicherheitsupdates nicht eingespielt oder die Nutzer hatten zu viele Rechte. Denkbar ist auch die Ausnutzung einer bislang weitgehend unbekannten Sicherheitslücke in Form eines Zero Day Exploits. Letzteres wäre "extrem gefährlich", erklärte der FDP-Netzpolitiker Manuel Höferlin gegenüber heise online, da davon alle Windows-Rechner betroffen sein könnten. Die Ausschusssitzungen seien zeitlich leider sehr eng bemessen gewesen, sodass die Abgeordneten nicht ausreichend Gelegenheit für Nachfragen gehabt hätten. Die Untersuchungen müssten daher in der nächsten Sitzungswoche Mitte März fortgesetzt werden.
Hinweis von ausländischem Geheimdienst
Den Hinweis, dass das Regierungsnetz gehackt worden sei, erhielten die deutschen Geheimdienste nach Informationen des rbb erst am 19. Dezember von einem ausländischen Partner. Anfang Januar soll das BSI in der Fachhochschule fündig geworden sein und den weiteren Weg der Spione Mitte Januar herausgefunden haben. Infiziert worden sei zunächst die Liegenschaftsverwaltung des Außenministeriums, danach ein Referat mit Russlandbezug. Abgeflossen sein sollen nur sechs Dokumente, teils mit Bezügen zu Russland, der Ukraine und Weißrussland. Der Angriff auf den Hochschulserver erfolgte aber wohl schon Ende 2016. Die Hacker dürften so ausreichend Zeit gehabt haben, sich noch anderweitig umzusehen und Daten zu kopieren.
Im Bundestagsausschuss für Verkehr und digitale Infrastruktur erklärte ein Abgesandter des Innenministeriums, dass sich Mitte Januar die Erkenntnisse verdichtet hätten, ehe es Mitte Februar erste Pläne habe machen können, um den Angreifer einzugrenzen. Zeitgleich seien die Behörden daran gegangen, technische Lösungen zu entwickeln, durch die die Hacker gestoppt und ausgesperrt sowie die Systeme bereinigt werden könnten. Dabei wollten sie erkennen, wie der Gegner arbeitet, um sicherzugehen, dass er nicht noch irgendwo verborgen sitzt. Daher sei entschieden worden, weiter zu beobachten und das Parlament nicht früher zu informieren.