FM4-Logo

jetzt live:

Aktueller Musiktitel:

Bundesministerium für europäische und internationale Angelegenheiten am Minoritenplatz in Wien

CC0 | Peter Gugerell

Erich Moechel

Vorläufige Bilanz des Cyberangriffs auf das Außenministerium

Weil der Angriff auf das Außenministerium aufgeflogen ist, noch bevor sich die Angreifer im Netz des Außenministeriums etablieren konnten, wurden nur einzelne Dokumente und Informationen abgezogen. Einen Massenabgriff von Daten gab es nicht.

Von Erich Moechel

Der Angriff auf das Netz des Außenministeriums wurde am Donnerstag zwar als abgeschlagen erklärt, offizielle Auskünfte über Ablauf, Ziele und die Urheber dieser Attacke gibt es vorerst weiterhin nicht. Auf informellen Wegen konnte jedoch eine ganze Reihe von Informationen gesammelt und abgeglichen werden, die als gesichert anzunehmen sind. Daraus ergibt sich folgende Bilanz.

Es wurden Dokumente abgezogen, aber einen Massenabgriff gab es nicht. Der Angriff selbst ging tatsächlich auf die berüchtigte Turla-Gruppe zurück, und die war hinter Dokumenten mit Bezug zu Russland und zur Ukraine her. Am Anfang aber stand eine interne Mail mit Weihnachtsgrüßen und einem attachierten Videoclip an mehrere Adressaten im Ministerium. Die hatten keine Ahnung, dass diese Weihnachtsgrüße aus Moskau waren.

Ouroboros: Illustration einer Schlange, die sich in den Schwanz beißt

Public Domain

Der Uroboros bzw. Ouroboros (οὐροβόρος im Griechischen, „Schwanzverschlinger“) war ursprünglich ein altägyptisches Fruchtbarkeitssymbol und kam über den Kult des Hermes Trismegistos in die frühe Neuzeit. Seit dem Spätmittelalter war der Drache, der sich selbst verschlingt, ein zentrales Symbol des Alchemismus. Die Illustration stammt aus einem griechischen Manuskript von 1478.

Weihnachtsgrüße aus Moskau

Die technischen Hintergründe zur Arbeitsweise der Turla-Gruppe und die Folgen für das Außenministerium

Eine Anfrage von ORF.at im Außenministerium zum technischen Ablauf des Angriffs wurde mit Bedauern abschlägig beschieden. Technische Details würden erst nach Bekanntgabe des forensischen Berichts vorliegen, hieß es. In groben Zügen sah der Angriff aber so aus, wie nun folgt. Turla alias „Uroboros“ bzw. „Snake“ aka „Venomous Bear“ kam kurz vor Weihnachten ins Netz des Außenministeriums, der primäre Angriffsvektor waren ein paar in einem Videoclip versteckte Zeilen Code. Dieser kam mit einer internen E-Mail an mehrere Adressaten, von denen einige das Video öffneten und sich den Trojaner einfingen.

Für einen solchen Angriff benötigt Turla eine gerade einmal vier Kilobyte starke Datei in Javascript, .NET oder Powershell. Diese Truppe ist gefürchtet, weil sie blitzschnell zuschlägt und bevorzugt „dateilos“ („fileless“) arbeitet. Die winzigen verschlüsselten Scripts können entscheidende Prozesse auslösen, obwohl sie so gut wie keine Hilfsprogramme mit sich führen. Diese Turla-Scripts greifen nämlich auf die „Bordmittel“ jeder Windows-Maschine zurück: von ausführbaren Dateien wie cmd.exe über das .NET Framework bis hin zu Java.

Screenshot Kaspersky

Kaspersky

Mit solch einer winzigen Befehlssequenz wird der gesamte Angriff der Turla-Gruppe gestartet. „Topinambour“ ist die jüngste bekannte Version der Turla-Schadsoftware, die seit mehr als zehn Jahren weiterentwickelt wurde. Der Screenshot stammt aus einer Analyse der Sicherheitsfirma Kaspersky.

Script, Dropper und Trojaner

Während der Angriff auf das Außenministerium schon lief, stand das gesamte ELAK-System der Republik durch ein kapitales Sicherheitsloch sperrangelweit offen, insgesamt drei Wochen lang.

In Fall des Außenministeriums hatte ein solches Script den „Dropper“ vom Command-Control-Server der Turla-Gruppe, geholt und der setzte dann den Trojaner ab. Dabei wurde anscheinend nicht einmal die neueste bekannte Version der Turla-Schadsoftware, die im ersten Artikel zum Thema beschrieben wurde, sondern die ältere Javascript-Version benutzt. Zwei Tage konnten die Angreifer auf den E-Mail-Servern des Außenministeriums ungestört spazieren gehen, Passwörter von Konten wurden gesammelt und einzelne Korrespondenzen exfiltriert. Doch dann fielen sie auf.

Hier trübt sich der Informationsfluss etwas ein, denn da gibt es zwei Versionen, die einander allerdings nicht unbedingt widersprechen müssen. Die eine ist, dass „Anomalien“ im Netzwerk beobachtet worden waren - so hieß es auch offiziell in der Aussendung des Außenministeriums. Die alternative Version ist zwar sehr plausibel, aber derzeit nicht aus zweiter Quelle bestätigt. Angeblich hatte es einen Hinweis von einer „ausländischen Stelle“ gegeben, dass ein Command-Control-Server, der Turla zugerechnet wird, mit IP-Adressen des Außenministeriums interagiert. Genau durch einen solchen Hinweis einer „ausländischen Stelle“ war der Angriff der Turla-Truppe auf das deutsche Außenamt kurz vor Weihnachten 2017 aufgeflogen.

Die Parallelen zu Deutschland

Um den „Bundeshack“ des deutschen Regierungsnetzes hatte sich ganz Ähnliches abgespielt. Erst drei Monate nach ihrem Auffliegen konnten die Angreifer aus dem Netz verdrängt werden.

Der Angriff auf das deutsche Außenamt Ende 2017 war ebenfalls durch einen Hinweis eines „befreundeten Dienstes“ aufgeflogen. Die Interessen dieser Angreifer waren nachgerade deckungsgleich. „Die Angreifer hatten gezielt nach Informationen zu Osteuropa und Russland gesucht“, sagte Sven Herpig, Sachverständiger für Cybersicherheitspolitik, zu ORF.at. Die Angreifer haben sich erst Zugang zu den Systemen der öffentlichen Verwaltung verschafft und „sich von dort direkt weiter in das Netzwerk des Auswärtigen Amts bewegt“, so Herpig weiter. „Das Regierungsnetz als solches wurde nicht kompromittiert, aber mehrere Behörden in diesem Netz, wobei die Sicherheitsmaßnahmen in diesem Fall anscheinend nicht für ausreichend Schutz gesorgt hatten.“

Sven Herpig

Sebastian Heise

Dr. Sven Herpig ist Projektleiter für Internationale Cyber-Sicherheitspolitik der Stiftung Neue Verantwortung und in dieser Funktіon in internationalen Expertengremien wie den Transatlantic Cyber Forums bzw. dem von der Europäischen Kommission geförderten EU Cyber Direct (EUCD) tätig.

Der Turla-Gruppe werden eine ganze Reihe solcher Angriffe vor allem auf Außenministerien und Botschaften von Kasachstan über Belgien bis Finnland, Moldawien und solche in Nahost-Staaten zugeschrieben. Schon in Deutschland hatten die Angreifer gezielt gesucht und verhältnismäßig wenige Daten abgezogen, obwohl sie wesentlich länger unbeobachtet tätig waren als in Österreich. Hierzulande wurde der Angriff nämlich bereits nach zwei Tagen entdeckt, und ab da standen die Einbrecher unter technischer Beobachtung.

Angreifer in der Defensive

Die Einleitung der ersten Gegenmaßnahmen hatte zur Folge, dass die Angreifer natürlich wussten, dass es mit der unbeschwerten Stöberei auf den Mailservern des Außenministeriums schon wieder vorbei war. Alle bisher vorliegenden Informationen deuten in dieselbe Richtung. Der Einbruch wurde offenbar tatsächlich in einer Frühphase entdeckt, in der sich Turla noch nicht so richtig im Netz des Außenministeriums etabliert hatte. Bereits am 27. Dezember, noch unter dem interimistischen Innenminister Wolfgang Peschorn, wurde ein erster Lagebericht verfasst.

Wohl hatten die Angreifer noch versucht, ein zweites „Rootkit“ - ein weiteres Tarnprogrämmchen, das weitere Schadsoftware nachladen kann - zu installieren, gerieten aber dann zunehmend in die Defensive. Wie es allerdings zu dieser blitzartigen Reaktion kam, hat ziemlich wenig mit der Strategie der Republik zur Cyberabwehr zu tun. Vielmehr war es einer Kombination aus günstigen Umständen, der Umsicht und Improvisationsfähigkeit der beteiligten Techniker sowie einem technischen Husarenstreich gegen die Kommunikation der Schadsoftware im Netz des Außenministeriums mit den externen Command-Control-Servern zu danken.

Wie es weitergeht

Der zweite Teil, der in unmittelbarer Folge hier erscheinen wird, schildert den weiteren Ablauf bis zur Bekanntgabe von „Brand aus“ durch Außenminister Alexander Schallenberg am Donnerstag.

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: