Bundeshack: Daten sollen über Outlook ausgeleitet worden sein
Das Angriffsmuster im Fall der Attacke auf das Auswärtige Amt war laut einem Medienbericht so eindeutig, dass es sich fast sicher um russische Hacker gehandelt hat. Der Bericht wirft allerdings mehr Fragen auf als er beantwortet.
Haben die russischen Hacker von einem Unix-System aus angegriffen? Waren es überhaupt Russen? Wir wissen es nicht.
(Bild: Pixabay)
- Fabian A. Scherschel
Im Fall des sogenannten Bundeshacks, des Angriffs auf Rechner im Auswärtigen Amt, der in der vergangenen Woche bekannt geworden war, hat die Süddeutsche Zeitung (SZ) nun Details veröffentlicht. Demnach sollen die Angreifer mit den infizierten Rechnern unbemerkt über den Microsoft-Mail-Client Outlook kommuniziert haben – offenbar monatelang. Laut Sicherheitsforschern, deren Namen die SZ nicht nennt, ist ein Angriff "in dieser Form" bisher "von niemandem sonst verwendet" worden. Das sei "vergleichbar mit einem Fingerabdruck, der am Tatort gefunden wurde" und deute auf Angreifer im Auftrag der russischen Regierung hin, schreibt die SZ.
Die Beschreibung, wie der Angriff selbst vonstattengegangen sein soll, ist äußerst dünn. Dazu, wie der Schadcode auf die Rechner des bisher als hochsicher geltenden IT-Netzwerkes der Bundesregierung (IVBB) gekommen sein soll, sagen die zitierten Insider gar nichts. Die Angreifer haben laut Bericht später mit den infizierten Rechnern über Mails kommuniziert. Anscheinend hat der Schadcode entweder den Mail-Client direkt manipuliert oder griff auf die von ihm heruntergeladenen Mail-Anhänge zu. In diesen Anhängen sollen sich versteckte Befehle für den Schadcode befunden haben. Um welche Art Dokumente es sich handelt, ist unbekannt. Auf ähnlichem Wege wurden dann wohl auch vertrauliche Daten aus dem Netz des Auswärtigen Amtes ausgeleitet. Insgesamt waren 17 Rechner infiziert.
Russische Hacker
Diese Schadcode-Methode, über Outlook Daten zu empfangen und zu versenden, ist laut SZ so außergewöhnlich, dass sie definitiv mit der russischen Hackergruppe Turla (auch bekannt als Sofacy, Snake oder Uruburos) in Verbindung gebracht werden könne. Bis vor kurzem hieß es, die Angreifer hätten der ebenfalls russischen Hackergruppe Fancy Bear (ebenfalls als APT28 bekannt) angehört.
Die SZ beruft sich bei ihren Informationen auf ungenannte Quellen und die Tatsache, dass Sicherheitsforscher (ähnlich wie Strafverfolger) bestimmte Details eines Hacks nicht veröffentlichen, um diese später mit weiteren Angriffen in Verbindung zu bringen. Auf diese Weise stellten sie sicher, dass die Technik nicht allgemein bekannt wird und Trittbrettfahrer die Fährten der ursprünglichen Hacker verwischen. Da die genaue Technik – und dazugehörige Malware-Samples – aber nach wie vor unter Verschluss sind, führt dieses Vorgehen im aktuellen Fall auch dazu, dass sich die Angaben der anonymen Forscher nicht überprüfen lassen.
Das Ausleiten der Daten über E-Mails sei nötig gewesen, da verschlüsselte Verbindungen aus dem Netz des Auswärtigen Amtes unterbunden werden. "Der einzige Weg nach draußen führt demnach über Mails", heißt es in der SZ. Ob damit das Unterbinden aller verschlüsselter Verbindungen gemeint ist und ob die Angreifer die Daten im Klartext ausgeleitet haben (denkbar, aber unwahrscheinlich), steht nicht in dem Bericht.
Alles geheim
Deutsche Behörden und die in ihrem Auftrag handelnden Sicherheitsfirmen sind, das zeigt die Erfahrung, bei solcher Art Angriffe auf das IT-Allerheiligste des Staates nicht besonders auskunftsfreudig. Im Falle der Hackerangriffe auf die Netzwerke des Bundestages Mitte 2015 (der sogenannte Bundestags-Hack) sind viele Fragen nach den Details des Angriffes bisher immer noch nicht beantwortet. Die Bundesregierung, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die beteiligten Firmen hüllen sich nach wie vor größtenteils in Schweigen.
Die verlässlichsten Informationen zu diesem Angriff stammen nach wie vor aus von Journalisten veröffentlichten internen Papieren des Parlaments. Auch im damaligen Fall wurde schon am Tag des Bekanntwerdens des Angriffes verbreitet, die Hacker hätten in direktem Auftrag der russischen Regierung gehandelt – wie beim aktuellen Angriff ohne handfeste Beweise aus verlässlichen, nachprüfbaren Quellen. Das soll nicht heißen, dass nicht doch Hacker im Auftrag der russischen Regierung beteiligt waren, aber es bedeutet, dass man bisher den ungenannten Quellen glauben muss.
Laut SZ "hält sich die Regierung bedeckt, wenn es darum geht, öffentlich einen Schuldigen zu benennen" und auch Bundesinnenminister Thomas de Maizière sagte bisher nur, dass staatliche Akteure beteiligt waren, aber nicht, aus welchem Land sie kommen. Demnach muss der weithin publizierte Hinweis, es handele sich um russische Hacker, von Experten im Umfeld der Untersuchung des Falles stammen. Aber auch das lässt sich kaum überprüfen. Um Klarheit zum Ablauf der Ereignisse bekommen, hat heise online eine Anfrage zu den von der SZ veröffentlichten Details des Angriffes an das Auswärtige Amt gestellt. Wir werden weiter über Entwicklungen in dem Fall berichten. (fab)
