CDU-Angriff: Lücke in Check Point Gateway soll Einfallstor gewesen sein
Eine kürzlich geschlossene Schwachstelle in Netzwerksicherheits-Produkten des Anbieters Check Point soll laut Insidern den Angriff auf CDU ermöglicht haben.
CDU-Parteizentrale in Berlin
(Bild: Shutterstock/Electric Egg)
Der am Freitag bekanntgewordene Cyber-Angriff auf die CDU-Parteizentrale erfolgte laut gut unterrichteten Kreisen unter Ausnutzung einer Schwachstelle in Check Point Network Security Gateways. Die CDU äußerte sich auf Anfrage von heise online am Montag nicht zum Stand der Untersuchung.
Check Point hatte Ende Mai einen Fix für die als CVE-2024-24919 benannte, als kritisch eingestufte Sicherheitslücke veröffentlicht. Laut Check Point wurden dabei Remote-Zugänge genutzt, die ausschließlich passwortgeschützt waren, um Zugriff auf die Security Gateways zu erlangen und von dort aus weiter ins Netz der Attackierten vorzudringen. Die Schwachstelle wurde bereits aktiv ausgenutzt.
Phishing-Angriff
Unter den davon betroffenen Nutzern von Check-Point-Software ist laut mit der Materie vertrauten Personen die Parteizentrale der CDU. In Kombination mit einem Phishing-Angriff habe die Ausnutzung der Lücken zu den am Samstag berichteten Vorfällen bei der CDU geführt.
Auch das Bundesamt für Verfassungsschutz, das einbezogen wurde, äußert sich vorerst nicht weiter zum Geschehen. Die Parteien, der Bundestag sowie die Fraktionsspitzen wurden von der für Spionageabwehr zuständigen Behörde über mögliche zusätzliche Sicherheitsvorkehrungen in Kenntnis gesetzt.
Wie das Bundesinnenministerium am Mittag in Berlin erklärte, handele es sich um einen "schwerwiegenden Angriff". Die Art und Weise des Vorgehens deute auf einen professionellen Akteur hin. Angriffsversuche nach dem Muster der Attacke auf die CDU soll es auch bei Bundestagsfraktionen und anderen Parteien gegeben haben – allerdings wohl ohne Erfolg.
"Hack and Leak" kurz vor der Wahl?
Der Vorfall hatte auch deshalb für große Unruhe gesorgt, weil der Hack nur eine Woche vor den Europawahlen bekannt wurde. Vor kurzfristigen "Hack and Leak"-Aktionen hatten Sicherheitsfachleute im Vorfeld der Europawahlen immer wieder gewarnt: Dadurch erlangte Informationen könnten neu kontextualisiert und für Propaganda gezielt gestreut werden. Sie seien dann bis zum Wahltermin kaum mehr wirksam zu entkräften.
Ob das ein Ziel der Angreifer auf die Systeme der CDU war, ist derzeit unbekannt – genau wie die Urheberschaft. Eine sprachlich misslungene Spear-Phishing-Attacke auf die CDU im Februar war der Gruppe APT29 zugerechnet worden, die zum Umfeld des russischen Militärgeheimdiensts GRU zählt. Dazu gehört auch die Gruppe APT28, der die Attacke auf die SPD über den Jahreswechsel 2022/23 offiziell durch die Bundesregierung zugeschrieben wurde.
(vbr)
