Massiver Angriff auf A1 Telekom Austria
Etwa ein halbes Jahr kontrollierten unbekannte Angreifer zentrale Systeme des österreichischen Telco-Riesen.
Vorletzte Woche mussten alle Mitarbeiter des größten österreichischen Telekommunikations-Konzerns A1 Telekom ihr Passwort ändern. Das war nur das sichtbare Ende eines schwerwiegenden und vor allem erfolgreichen Angriffs, der die IT des Konzerns systematisch unterwandert hatte.
Die Angreifer hatten zentrale PCs und Server gekapert und gingen fast ein halbes Jahr lang quasi nach Belieben ein und aus. Um sie nachhaltig raus zu werfen, war eine koordinierte Aktion vieler Experten nötig. Da wurden auf einen Schlag alle Passwörter gesperrt, Webshell-Backdoors entfernt, neue Golden Tickets für den zentralen Kerberos-Server des Active Directories erstellt und vieles mehr.
Corona-Quarantäne verhindert Cleaning
Eigentlich war diese Aktion bereits für Ende März geplant. Doch da kamen Corona und die damit verbundenen Quarantäne-Auflagen dazwischen, die eine derartig komplexe Koordination zunächst unmöglich machten. Denn eine unvollständige oder auch nur nicht exakt gleichzeitig durchgeführte Aufräumaktion würde bedeuten, dass man die Hacker sofort wieder im Netz hätte.
Also hieß es zunächst, die Angreifer weiter zu beobachten und sie von allen wirklich kritischen Daten fernzuhalten, ohne dass die dabei Verdacht schöpfen und mit ihren hochkarätigen Zugriffsrechten verbrannte Erde zurücklassen. Es war ein Drahtseilakt, den A1-Security-Chef Wolfgang Schwabl und sein Team da absolvierten.
Einbruch im November
Doch der Reihe nach. Kurz vor Weihnachten machten das Computer Emergency Response Team (CERT) des österreichischen Telco-Riesen eine unangenehme Entdeckung: Auf einigen Office-Systemen befand sich Malware, die sich bei näherer Betrachtung als Backdoor entpuppte.
Weitere Nachforschungen ergaben, dass dies nur ein Symptom eines groß angelegten Angriffs auf den Telekommunikationskonzern war. Die folgenden forensischen Analysen ergaben, dass sich die Angreifer bereits im November 2019 Zugang zum Netz verschaffen konnten. Der ursprüngliche Infektionsvektor ließ sich nicht rekonstruieren; die Incident Response vermutet allgemein "gestohlene Zugangsdaten".
Die Cyber-Kill-Chain
Ursprünglich erlangten die Angreifer damit lediglich normale Zugangsrechte auf einem Arbeitsplatz-PC. Sie konnten diese jedoch auf einem nicht ausreichend abgesicherten Server auf die eines lokalen Administrators ausbauen. Und dann war es nur noch eine Frage der Zeit. Irgendwann meldete sich ein Domänen Administrator auf dem System an – und dann war es "Game Over". Das komplette Windows-Netz gehörte den Angreifern.
Anders als bei typischen Cybercrime-Attacken rollten die Hacker jedoch keine Ransomware aus. Es wurden keinerlei Daten verschlüsselt, versicherte Schwabl gegenüber heise Security. Das spreche für eine Advanced Persistent Threat (APT), wie sie typischerweise von staatlich gelenkten, Geheimdienst-nahen Gruppen durchgeführt werden.
Allerdings könne man den Angriff keiner der bekannten APT-Gruppen zuordnen, unter anderem weil keine speziellen Vorgehensweisen oder Tools zum Einsatz kamen. So passten die Angreifer ihre Aktivitätsphasen den Arbeitszeiten der Österreicher an. Sie nutzten auch keine speziellen, maßgeschneiderten Tools, sondern bevorzugt allgemein zugängliche Werkzeuge. So erfolgte etwa der Diebstahl der Domain-Admin-Credentials durch einen Ableger von Mimikatz, zu dem im Prinzip jeder Zugang hätte.
heise Security hatte von diesem Hacker-Einbruch und die Aktivitäten des A1-CERT-Teams erfahren, während die Hacker noch in deren Netz aktiv waren. Wir kontaktierten A1, um vorsichtig nachzufragen, was da los sei. Dank des Inputs konnten wir unseren Kontakt davon überzeugen, dass sich bereits substantielle Informationen in unserem Besitz befanden und sie besser mit offenen Karten spielen.
Im Gegenzug erklärten wir uns bereit, mit einer Veröffentlichung des Sachverhalts zu warten, bis A1 die akute Gefahr gebannt hatte. Schließlich wollten wir die Arbeit der Verteidiger in dieser heiklen Situation nicht noch weiter erschweren.
Falls auch Sie über Informationen verfügen, von denen Sie glauben, dass die Öffentlichkeit davon erfahren sollte, können Sie uns diese über unseren Tippgeber-Briefkasten zukommen lassen – gerne auch anonym. Wir werden damit verantwortungsbewusst umgehen. Versprochen.
Keine Kundendaten entwendet
Mit der konzertierten Aktion vom 22. Mai sei damit jedoch Schluss. Er sei "sehr zuversichtlich", dass man die Angreifer tatsächlich komplett aussperren konnte, gibt sich Schwabl optimistisch. Außerdem habe man im Bereich Security jetzt deutlich nachgebessert. Um es zukünftigen Angreifern nicht unnötig leicht zu machen, will Schwabl dazu keine Details nennen. Einzig dass jetzt wirklich alle Zugänge mit Zweifaktor-Authentifizierung gesichert werden, ließ er sich entlocken.
A1 beteuert nachdrücklich, dass von dem Vorfall keine sensiblen Daten von Kunden betroffen seien. Angesichts der vielen kompromittierten Systeme und der Dauer des Zugangs erschien uns das schwer vorstellbar. Doch A1 bleibt dabei: "Durch umfangreiches Monitoring und Analyse der Tätigkeiten des Angreifers" könne man ausschließen, dass Kunden betroffen seien, erklärte Michael Höfler von A1 auf Nachfrage von heise Security.
(ju)
