Gewiefter Angriff auf Schweizer Bundescomputer

Gut vorbereitet zog ein trojanisches Pferd in eine Schweizer Bundesstelle: Insgesamt über 500 gezielt ausgesuchte Empfänger der Bundesverwaltung wurden angeschrieben, um über einen angeblichen Fotowettbewerb eines anderen Bundesamtes abzustimmen.

In Pocket speichern vorlesen Druckansicht 133 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Carsten Meyer

Wie der Schweizer Tagesanzeiger meldet, fand Ende 2007 ein groß angelegter und sorgfältig vorbereiteter Trojaner-Angriff auf die Schweizer Bundesverwaltung statt. In zwei Wellen wurden insgesamt über 500 E-Mails unter Nennung des richtigen Empfängernamens an Mitarbeitende der Bundesverwaltung geschickt. Der gefälschte Absender war eine Bundesstelle, die auf einen vermeintlichen Fotowettbewerb hinwies; hier sollte man Bilder beurteilen, die von den Fälschern auf deren Server hinterlegt waren. Durch Anklicken der Fotos, die nach Angaben der Schweizer Melde- und Analysestelle Informationssicherung Melani durchaus fachgerecht und im Kontext des Bundesamtes ausgewählt waren, holte man sich eine Screensaver-Datei auf den Computer, die Malware enthielt – obwohl es den Angestellten natürlich untersagt ist, Bildschirmschoner und dergleichen auf ihren Dienstrechnern zu installieren.

Das am "Informatikstrategieorgan Bund" ISB angesiedelte GovCERT.ch, das am 1. April die Rolle des "Computer Emergency Response Teams" CERT von Melani übernommen hat, fand im Screensaver ein trojanisches Pferd: Es lädt innerhalb eines definierten Zeitfensters von diversen Rechnern im Internet Spionageprogramme nach und führt diese aus. Die gefälschte Webseite, eine gut gemachte Kopie des Bundesstellen-Servers, war auf einem Server in einem afrikanischen Staat angelegt worden.

Wie der am 9. Mai 2008 vorgelegte Melani-Halbjahresbericht II/2007 weiter ausführt, lässt die Art und Weise, wie der Angriff vorbereitet, die Malware programmiert und ihre Analyse zu erschweren versucht wurde, "auf eine professionelle und mit einigen finanziellen und technischen Ressourcen ausgestatte Täterschaft" schliessen. Die eingesetzte Malware wurde damals durch keine gängige Antiviren-Software erkannt. Sie versteckte sich in laufenden Prozessen, die mindestens teilweise immer aktiv sind. Zudem benutzte sie Ports für die Kommunikation mit Servern im Internet, die kaum an Netzübergängen (z.B. durch Firewalls) blockiert werden.

Pascal Lamia, Chef der Melde- und Analysestelle Informationssicherung des Bundes, stellt klar, dass der Angriff äußerst präzise erfolgte: Angeschrieben wurden gezielt 500 Mitarbeitende bestimmter Bereiche – der ganze Beamtenapparat zählt 35.000 Angestellte. Um welche Bereiche es sich handelte und welche Ziele der Angriff hatte, will Lamia mit Rücksicht auf das laufende Verfahren nicht sagen. "Ob hinter dem Angriff ein anderer Staat, eine Firma oder eine kriminelle Organisation steckt, ist noch unklar", sagt Lamia. "Es ist auch möglich, dass es sich nur um einen Testlauf gehandelt hat." Immerhin sei es gelungen, schon eine Stunde nach Eintreffen des Schädlings die gefälschte Webseite zu sperren. (cm)