Massive Cyber-Attacke auf A1 Telekom Austria
Rund ein halbes Jahr gingen Hacker bei Österreichs führendem Telco-Konzern A1 ein und aus. Das Unternehmen rätselt noch, wer hinter dem Angriff steckt.
Kurz vor Weihnachten vergangenen Jahres machte das Computer Emergency Response Team (CERT) des Österreichischen Telco-Riesen A1 Telekom eine unangenehme Entdeckung: Auf einigen Office-Systemen befand sich Malware, die sich bei näherer Betrachtung als Backdoor entpuppte. Weitere Nachforschungen ergaben, dass dies nur ein Symptom eines groß angelegten Angriffs auf den Telekommunikationskonzern war. Die folgenden forensischen Analysen ergaben, dass sich die Angreifer bereits im November 2019 Zugang zum Netz verschaffen konnten. Der ursprüngliche Infektionsvektor ließ sich nicht rekonstruieren; die Incident Response vermutet allgemein „gestohlene Zugangsdaten“.
Game Over
Ursprünglich erlangten die Angreifer damit lediglich normale Zugangsrechte auf einem Arbeitsplatz-PC. Sie konnten diese jedoch auf einem nicht ausreichend abgesicherten Server auf die eines lokalen Administrators ausbauen. Und dann war es nur noch eine Frage der Zeit. Irgendwann meldete sich ein Domänen-Administrator auf dem System an – und dann war „Game Over“. Das komplette Windows-Netz gehörte den Angreifern. Anders als bei typischen Cybercrime-Attacken rollten die Hacker jedoch keine Ransomware aus. Es wurden keine Daten verschlüsselt, versicherte A1-Security-Chef Schwabl gegenüber heise Security und c’t. Das spreche für eine Advanced Persistent Threat (APT), wie sie typischerweise von staatlich gelenkten, geheimdienstnahen Gruppen durchgeführt werden.
Allerdings könne man den Angriff keiner der bekannten APT-Gruppen zuordnen, unter anderem weil keine speziellen Vorgehensweisen oder Tools zum Einsatz kamen. So passten die Angreifer ihre Aktivitätsphasen den Arbeitszeiten der Österreicher an. Sie nutzten auch keine speziellen, maßgeschneiderten Tools, sondern bevorzugt allgemein zugängliche Werkzeuge. So erfolgte etwa der Diebstahl der Zugangsdaten des Domänenadministrators durch einen Ableger von Mimikatz, zu dem im Prinzip jeder Zugang hätte. Das Tool ist darauf spezialisiert, zwischengespeicherte Anmeldedaten aus dem Arbeitsspeicher von Windows-Systemen zu ziehen.
Wir hatten von diesem Hacker-Einbruch und den Aktivitäten des A1-CERT-Teams durch einen anonymen Hinweis erfahren, der über den sicheren Briefkasten von heise Investigativ (heise.de/investigativ) eingereicht wurde. Zu diesem Zeitpunkt waren die Hacker noch im A1-Netz aktiv. Wir kontaktierten das Telco-Unternehmen daraufhin, um vorsichtig nachzufragen, was da los sei. Dank des Inputs konnten wir unseren Kontakt bei A1 davon überzeugen, dass sich bereits substanzielle Informationen in unserem Besitz befanden und sie besser mit offenen Karten spielen. Im Gegenzug erklärten wir uns bereit, mit einer Veröffentlichung des Sachverhalts zu warten, bis A1 die akute Gefahr gebannt hatte. Schließlich wollten wir die Arbeit der Verteidiger in dieser heiklen Situation nicht weiter erschweren.
Corona-Quarantäne verhindert Cleaning
Um die Angreifer nachhaltig rauszuwerfen, war eine koordinierte Aktion vieler Experten nötig. Eigentlich war diese Aktion bereits für Ende März geplant. Doch da kamen Corona und die damit verbundenen Quarantäne-Auflagen dazwischen, die eine derartig komplexe Koordination zunächst unmöglich machten. Denn eine unvollständige oder auch nur nicht exakt gleichzeitig durchgeführte Aufräumaktion würde bedeuten, dass man die Hacker sofort wieder im Netz hätte.
Also hieß es zunächst, die Angreifer weiter zu beobachten und sie von allen wirklich kritischen Daten fernzuhalten, ohne dass die dabei Verdacht schöpfen und mit ihren umfangreichen Zugriffsrechten verbrannte Erde zurücklassen. Es war ein Drahtseilakt, den A1-Security-Chef Wolfgang Schwabl und sein Team da absolvierten. Am 22. Mai ging die Aufräumaktion beim größten österreichischen Telekommunikationskonzern schließlich los: Es wurden auf einen Schlag alle Passwörter gesperrt, Webshell-Backdoors entfernt, neue Golden Tickets für den zentralen Kerberos-Server des Active Directory erstellt und vieles mehr. Das war nur das sichtbare Ende eines schwerwiegenden und vor allem erfolgreichen Angriffs, der die IT des Konzerns systematisch unterwandert hatte. Die Angreifer hatten zentrale PCs und Server gekapert und gingen fast ein halbes Jahr lang quasi nach Belieben ein und aus.
Keine Kundendaten entwendet
Mit der konzertierten Aktion Ende Mai sei damit jedoch Schluss. Schwabl sei „sehr zuversichtlich“, dass man die Angreifer tatsächlich komplett aussperren konnte. Außerdem habe man in puncto Security deutlich nachgebessert. Um es künftigen Angreifern nicht unnötig leicht zu machen, will er dazu keine Details nennen. Einzig, dass nun alle Zugänge mit Zwei-Faktor-Authentifizierung gesichert seien, ließ er sich entlocken.
A1 beteuert nachdrücklich, dass von dem Vorfall keine sensiblen Daten von Kunden betroffen seien – angesichts der vielen kompromittierten Systeme und der Dauer des Zugangs kaum vorstellbar. Doch A1 bleibt dabei: „Durch umfangreiches Monitoring und Analyse der Tätigkeiten des Angreifers“ könne man ausschließen, dass Kunden betroffen seien, erklärte Michael Höfler von A1 auf Nachfrage von c’t.
Viele c’t-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.
Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.
