Hetzner gehackt, Kundendaten kopiert

Unbekannte haben Hetzner-Server kompromittiert und anschließend Kundendaten kopiert. Betroffen sind neben Passwort-Hashes auch Zahlungsinformationen. Laut Hetzner haben die Eindringlinge ein bislang unbekanntes Rootkit hinterlassen.

In Pocket speichern vorlesen Druckansicht 500 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Die Webhoster Hetzner wurde Opfer eines Hackerangriffs, bei dem Unbekannte auch Kundendaten kopiert haben. Die Eindringlinge hatten unter anderem Zugriff auf Passwort-Hashes und Zahlungsinformationen. Bei dem Angriff soll ein bislang unbekanntes Server-Rootkit zum Einsatz gekommen sein.

In einer Mail an seine Kunden erklärte das Unternehmen am Donnerstagnachmittag, dass Unbekannte mehrere Hetzner-Systeme kompromittiert haben. Der Vorfall sei bereits Ende vergangener Woche entdeckt worden. Dabei fiel dem Hoster zunächst eine Backdoor in einem seiner Nagios-Überwachungsserver auf. Bei der anschließend eingeleiteten Untersuchung wurde klar, dass auch die Robot genannte Verwaltungsoberfläche für dedizierte Server kompromittiert wurde. Die Eindringlinge haben auf die dort gespeicherten Kundendaten zugegriffen.

Wie viele Kunden davon betroffen sind, könne man "technisch noch nicht bewerten", wie Martin Hetzner gegenüber heise Security sagte. In der Robot-Datenbank sind auch Zahlungsinformationen gespeichert, wie etwa Bankdaten von Kunden, die per Lastschrift bezahlen. Diese seien zwar asymmetrisch verschlüsselt, allerdings kann der Hoster derzeit nicht ausschließen, dass auch die zur Entschlüsselung notwendigen privaten Krypto-Schlüssel kopiert wurden. Darüber hinaus hatten die Angreifer Zugriff auf Kreditkartendaten (die letzten drei Ziffern der Kreditkartennummer, das Ablaufdatum sowie der Kartentyp) und gesalzene SHA256-Passwort-Hashes.

Hetzners Angaben zufolge handelt es sich um einen Angriff auf ungewöhnlich hohem technischen Niveau: Es soll sich um ein bislang unbekanntes Rootkit handeln, das keine Dateien auf der Festplatte berührt. "Stattdessen werden bereits auf dem System laufende Prozesse gepatcht und der Schadcode direkt in das Ziel-Prozessimage injiziert", erklärte Martin Hetzner. Das Rootkit soll den OpenSSH-Daemon und Apache im Arbeitsspeicher manipuliert haben. Dies geschah anscheinend nahtlos ohne Neustart der Dienste. Prinzipiell sei das Rootkit vermutlich auch dazu in der der Lage, ProFTPD zu manipulieren. Berichte über Angriffe, bei denen Daemons wichtiger Programme manipuliert werden, häufen sich derzeit. Dass die Manipulation jedoch nur im Arbeitsspeicher vorgenommen wird, scheint neu zu sein.

Laut Martin Hetzner wurden die manipulierten Apache-Instanzen nach derzeitigem Kenntnisstand nicht zur Verbreitung von Malware missbraucht. Wer hinter dem Angriff steckt, ist derzeit noch unklar. Auch wie die Hacker in die Server eingestiegen sind, muss noch geklärt werden. Die Hosting-Firma gibt an, bereits das BKA eingeschaltet zu haben.

Siehe dazu auch:

(rei)