zurück zum Artikel

Die Spione schlichen sich mit ihrer Schadsoftware über die Bundesakademie für öffentliche Verwaltung ins Außenministerium ein, wo sie 17 Clients unter ihre Kontrolle brachten. Offen ist, wie genau sie dort Admin-Rechte erlangen konnten.

Nach Sondersitzungen mehrerer Bundestagsausschüsse am Freitag herrscht etwas mehr Klarheit, wie die Angreifer beim "Bundeshack" ins Auswärtige Amt eingedrungen sind [1]. Wie Vertreter des Innenministeriums und des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor den Abgeordneten ausführten, hackten die Datenspione zunächst einen Webserver der Bundesakademie für öffentliche Verwaltung (BAköV [2]) in Brühl, die an das Regierungsnetz Informationsverbund Berlin-Bonn (IVBB) angeschlossen ist. Mithilfe eines dort hinterlegten Trojaners gelang es ihnen dann, 17 Rechner im Außenministerium zu kapern.

Den Server auf der Hochschule des Bundes ließen die Hacker nach der ursprünglichen Attacke mit einer Phishing-Mail weitgehend intakt, führten dort bis Januar 2017 keine weiteren Aktivitäten aus, nachdem sie dort die Schadsoftware beziehungsweise die Download-Quelle dafür hinterlegt hatten. Dabei handelte es sich möglicherweise um die Spionagesoftware Uroburos [3], die Sicherheitsexperten von G Data 2014 entdeckten und die angeblich auf Wurzeln bei russischen Geheimdiensten hindeutet. Das nach der "Urschlange" benannte Programm [4] verbreitet sich selbstständig in den infizierten Netzwerken. Das Rootkit besteht aus zwei Dateien für 32- und 64-Bit-Windows-Systeme mit einem Treiber und einem Modul zum Datenabfischen.

Teil einer weltweiten Attacke

Die Malware bekam den Darstellungen nach im Januar vorigen Jahres einen Steuerbefehl von außen und begann, das Netzwerk zu analysieren und dabei erlangte Informationen zurückzusenden. Im März gelang es den Spionen dann, Administrator-Rechte auf den betroffenen Clients im Auswärtigen Amt zu erlangen, das sich bis 2015 weitgehend von zuvor eingerichteten Linux-Arbeitsplätzen verabschiedet [5] und eine eventuell verhängnisvolle [6] Rückmigration zu Windows und Microsoft durchgeführt hatte. Einen der Rechner soll ein Mitarbeiter des Bundesverteidigungsministeriums verwendet haben, der aber damals Dienst im Außenministerium verrichtete. Das Verteidigungsressort war demnach nicht direkt betroffen. Der Angriff war nach Informationen von NDR, WDR und Süddeutscher Zeitung Teil einer weltweiten Hacker-Attacke, an der weitere Länder zu knabbern haben.

Unklar ist noch, wie genau die Spione die Systeme des Auswärtigen Amts kompromittieren konnten. Möglicherweise waren darauf aktuelle Sicherheitsupdates nicht eingespielt oder die Nutzer hatten zu viele Rechte. Denkbar ist auch die Ausnutzung einer bislang weitgehend unbekannten Sicherheitslücke in Form eines Zero Day Exploits. Letzteres wäre "extrem gefährlich", erklärte der FDP-Netzpolitiker Manuel Höferlin gegenüber heise online, da davon alle Windows-Rechner betroffen sein könnten. Die Ausschusssitzungen seien zeitlich leider sehr eng bemessen gewesen, sodass die Abgeordneten nicht ausreichend Gelegenheit für Nachfragen gehabt hätten. Die Untersuchungen müssten daher in der nächsten Sitzungswoche Mitte März fortgesetzt werden.

Hinweis von ausländischem Geheimdienst

Den Hinweis, dass das Regierungsnetz gehackt worden sei, erhielten die deutschen Geheimdienste nach Informationen des rbb erst am 19. Dezember von einem ausländischen Partner. Anfang Januar soll das BSI in der Fachhochschule fündig geworden sein und den weiteren Weg der Spione Mitte Januar herausgefunden haben. Infiziert worden sei zunächst die Liegenschaftsverwaltung des Außenministeriums, danach ein Referat mit Russlandbezug. Abgeflossen sein sollen nur sechs Dokumente, teils mit Bezügen zu Russland, der Ukraine und Weißrussland. Der Angriff auf den Hochschulserver erfolgte aber wohl schon Ende 2016. Die Hacker dürften so ausreichend Zeit gehabt haben, sich noch anderweitig umzusehen und Daten zu kopieren.

Im Bundestagsausschuss für Verkehr und digitale Infrastruktur erklärte ein Abgesandter des Innenministeriums, dass sich Mitte Januar die Erkenntnisse verdichtet hätten, ehe es Mitte Februar erste Pläne habe machen können, um den Angreifer einzugrenzen. Zeitgleich seien die Behörden daran gegangen, technische Lösungen zu entwickeln, durch die die Hacker gestoppt und ausgesperrt sowie die Systeme bereinigt werden könnten. Dabei wollten sie erkennen, wie der Gegner arbeitet, um sicherzugehen, dass er nicht noch irgendwo verborgen sitzt. Daher sei entschieden worden, weiter zu beobachten und das Parlament nicht früher zu informieren.

Presseberichte stoppten "Aufklärungsarbeit"

Durch die vom Ministerium nicht initiierten Presseveröffentlichungen [7] dürften die Angreifer nun aufgeschreckt worden sein, monierte der Vertreter des Innenressorts. Was vom BSI und den Geheimdiensten bis dahin erkannt worden war, habe man eingrenzen und säubern können. Nicht auszuschließen sei aber, dass der Gegner noch unerkannte Ausleitungswege geschaffen habe, die er nun unbemerkt löschen könne. Durch die Berichte habe die weitere Aufklärungsarbeit gestoppt werden müssen.

Nach dem Bekanntwerden des Hackerangriffs auf das Regierungsnetz sucht das Bundesinnenministerium nun auch nach der möglichen undichten Stelle in den eigenen Reihen. Intern werde derzeit geprüft, was getan werden kann, um herauszufinden, wo möglicherweise die Stelle in der Bundesregierung oder bei den Behörden liege, über die diese Information nach außen gedrungen sei, hieß vom Innenministerium gegenüber der dpa. "Und ganz konkret prüfen wird derzeit auch, ob es insoweit sinnvoll ist, eine Strafanzeige zu erstatten."

Längere Speicherfristen im IVBB?

Ein Sprecher des Innenministeriums forderte derweil, die derzeit dreimonatigen Speicherfristen für Verbindungsdaten innerhalb des IVBB auszuweiten. Nach dem bisher rekonstruierten Ablauf stünden für rund neun Monate der Hacker-Kampagne keine detaillierten Logfiles für eine forensische Analyse zur Verfügung. Laut dem Dienstleister Deutsche Telekom war der IVBB aber gar nicht von der Attacke betroffen [8].

Der grüne Fraktionsvize Konstantin von Notz hält die Rufe nach eingeschränktem Datenschutz für ein Ablenkungsmanöver. "Die Bundesregierung trägt selbst massiv dazu bei, die IT-Sicherheit zu verschlechtern", erklärte er gegenüber heise online. Der Abgeordnete verwies dabei vor allem "auf den staatlichen Handel mit Sicherheitslücken", die so auch Kriminellen offenständen, und eine unklare Position beim Thema Verschlüsselung. Dass die Regierung und Sicherheitsbehörden als Teil des Problems die Vorfälle nun nutzten, "um geradezu irrwitzige Diskussionen über verfassungsrechtlich hochumstrittene digitale Gegenschläge und Hackbacks zu befeuern", spotte jeder Beschreibung. (axk [9])

URL dieses Artikels:
https://www.heise.de/-3985590

Links in diesem Artikel:
[1] https://www.heise.de/news/Bundeshack-Bundestagsabgeordnete-verlangen-umfassende-Aufklaerung-3984083.html
[2] http://www.bakoev.bund.de/
[3] https://www.heise.de/news/Komplexe-Spionagesoftware-namens-Uroburos-entdeckt-2127813.html
[4] https://www.heise.de/news/Bundeshack-Russische-Hackergruppe-Snake-soll-hinter-Angriff-stecken-3984930.html
[5] https://www.heise.de/news/Auswaertiges-Amt-hat-sich-weitgehend-von-Linux-verabschiedet-2595478.html
[6] https://www.heise.de/news/Kommentar-zum-Bundeshack-Schluss-mit-Schlangenoel-und-Monokultur-3985144.html
[7] https://www.heise.de/news/Sicherheitskreise-Hacker-drangen-in-deutsches-Regierungsnetz-ein-3983510.html
[8] https://www.heise.de/news/Bundeshack-Veritabler-Cyberangriff-laeuft-weiter-Details-bleiben-vorerst-geheim-3984740.html
[9] mailto:axk@heise.de

Copyright © 2018 Heise Medien