Ausländische Hacker sind in das bislang als sicher geltende Datennetzwerk des Bundes und der Sicherheitsbehörden eingedrungen. Das Bundesinnenministerium hat Berichte über einen IT-Sicherheitsvorfall bestätigt. „Wir können bestätigen, dass derzeit durch das BSI und die Nachrichtendienste ein IT-Sicherheitsvorfall untersucht wird, der die Informationstechnik und Netze des Bundes betrifft“, teilte das Ministerium mit. „Innerhalb der Bundesverwaltung wurde der Angriff isoliert und unter Kontrolle gebracht“, sagte der Sprecher.
Myles Bray, VP EMEA von Forescout
Gestern kam es zu einem erneuten Cyberangriff gegen die deutsche Bundesregierung. Die Hintergründe sind nicht klar. Im Verdacht steht eine russische Hackergruppe, die gleich mehrere EU-Länder ins Visier genommen haben könnte. Es fehlt aber an belastbaren Informationen und es sollten keine vorschnellen Schlüsse über die Hintermänner gezogen werden.
Obwohl es bereits 2015 zu erfolgreichen Angriffen gegen den deutschen Bundestag kam, ist die Verwundbarkeit und die schlechte Informationslage der Regierung kein Einzelfall. Im Gegenteil, die meisten Unternehmen wissen nicht, was in ihren Netzen vor sich geht. Die bestehenden Möglichkeiten für Visibilität werde nicht genutzt. Im konkreten Fall geht man sogar davon aus, dass die Angreifer über ein Jahr unentdeckt agieren konnten.
Der Vorfall sollte ein Weckruf sein. IT-Entscheider müssen sich auf Angriffe, aber auch auf neue Anforderungen wie die der DSGVO vorbereiten.
Bob Botezatu, Leitender Bedrohungsanalyst bei Bitdefender
“APT28 können wir geografisch Russland zuordnen“
Welche Techniken haben die Hacker eingesetzt?
Bob Botezatu: Vermutung eines Außenstehenden: Es ist sehr wahrscheinlich, dass der Angriff mindestens drei Komponenten enthielt. Erstens genau ausgesuchte Ziele in den Regierungsbehörden, zweitens maßgeschneiderte Hintertüren und drittens „Spear Phishing“, also eine aufwändig und individuell für diesen Zweck erstellte E-Mail mit Schadcode. Bei solchen kombinierten Angriffsmechanismen sprechen IT-Sicherheitsspezialisten von Advanced Targeted Attacks, fortschrittlichen gezielten Attacken. Hacker nutzen sie, um Regierungen und militärische oder öffentliche Einrichtungen anzugreifen.
Wer war es?
Botezatu: Wir warten noch auf Informationen, aus welchem Grund der Vorfall mit der Hackergruppe APT28 in Verbindung gebracht wird. Während eine militärische Invasion über einen Satelliten nachverfolgt werden kann, ist es möglich, dass ein Cyber-Angriff genauso zerstörerisch ist, aber leise und ohne klar erkennbare Urheberschaft stattfindet. Sollte sich die Verbindung mit APT28 bestätigen, ist auch der Zusammenhang zu Russland klar, der wurde bereits in der Vergangenheit dokumentiert.
Kann man sicher sagen, dass APT28 von der russischen Regierung unterstützt wird?
Botezatu: Ganz so weit kann man nicht gehen. Aber die Hackergruppe APT28 können wir geografisch mit sehr hoher Wahrscheinlichkeit Russland zuordnen. Diese These wird von zahlreiche Security-Unternehmen unterstützt, darunter Bitdefender. Wir wissen, dass ihr Schadcode in der Moskauer Zeitzone entwickelt wurde. Dazu gehören Russland, Georgien, Aserbaidschan. Von diesen Ländern hat nur Russland die Ressourcen, um einen solch ausgeklügelten Angriff auf ein hochgeschütztes IT-Netzwerk durchzuführen.
Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security
Wie gestern bekannt wurde, sind Hacker in das IT-Netz der Bundesregierung eingedrungen. Das Bundesinnenministerium bezog nach Bestätigung des IT-Sicherheitsvorfalls Stellung und erklärte, dass der Angriff „isoliert und unter Kontrolle gebracht“ worden sei. Ein Problem im Falle solcher Angriffe ist die Frage, ob dieser tatsächlich abgeschlossen ist. Wenn eine Infektion mit Malware auftritt, insbesondere wenn es sich um einen Advanced Persistent Threat (APT) handelt, kann diese sich systemübergreifend replizieren und vor der Aktivierung einige Zeit lang verborgen bleiben. Während also die primäre Quelle entdeckt und entschärft und damit behoben wurde, kann es sekundäre Infektionen geben, die sich innerhalb des Netzwerks verstecken.
Es gibt zwei Möglichkeiten, das Ausmaß und den möglichen Schaden dieser Art von Hacks entscheidend zu lindern. Zum einen sollte sichergestellt sein, dass alle Systeme und Anwendungen auf die neuesten Versionen gepatcht wurden. Durch diese Maßnahme wird sichergestellt, dass bekannte Schwachstellen geschlossen werden und externe Hacker daran gehindert werden, sich Zugang zu verschaffen. Dies alleine reicht allerdings nicht aus, um die Gefahr zu bannen. Denn neben dem bewussten Ausnutzen von bekannten Schwachstellen gibt es eine weitaus geläufigere Angriffsmethode, nämlich die Verwendung eines Dokuments, das als „Waffe“ zum Angriff genutzt wird. Hierbei handelt es sich um Malware, die in ein harmloses Dokument eingebettet ist und beim Öffnen aktiviert wird. Diese Dokumente werden dann im Rahmen einer Phishing-Attacke verschickt. Die häufigsten Arten der Dokumente, die für diese Art von Attacken genutzt werden, sind Lebensläufe, welche an Personalabteilungen adressiert sind, sowie Rechnungen an die Finanzabteilung. Aber natürlich kann auch jeder einzelne Mitarbeiter mit einem „potenziellen Stellenangebot“ angesprochen werden, welches daraufhin geöffnet wird und zur Aktivierung der Malware führt. Diese Art von Mails werden oftmals an persönliche E-Mail-Adressen geschickt mit dem Zweck, dass der Einzelne sie im Unternehmensnetzwerk öffnet – und somit eine Infektion auslöst.
Bei diesem speziellen Angriffstyp, bei dem Dokumente mit eingebetteter Malware als Mittel genutzt werden, kann eine Technik Abhilfe schaffen, die als Structural Sanitization bezeichnet wird. Diese hilft dabei, die Bedrohung entscheidend abzuschwächen, und ist Teil einer adaptiven Data Loss Prevention Strategie. Die Funktion entfernt gezielt alle aktiven Inhalte aus eingehenden E-Mails und Dokumenten, der Rest des Inhalts bleibt allerdings unberührt. Hierbei stellt einzig ein ganzheitlicher Ansatz sicher, dass keine Malware in das Unternehmen gelangen kann. Nur so ist der Schutz auch gewährleistet, wenn Mitarbeiter beispielsweise auf ihre privaten Emails zugreifen.
Zusammenfassend kann ein effektives Patch-Management einen Teil dazu beitragen, Malware Angriffe per Email zu verhindern. Doch effektiven Schutz bietet lediglich eine Lösung zur Emailsicherheit, die gezielt alle aktiven Inhalte entfernt und somit die eingebettete Malware unschädlich macht.
Benjamin Read, Senior Manager Cyber Espionage bei FireEye:
„APT28 führt Cyberspionage-Kampagnen durch, die nicht nur traditionellen Spionagezielen dienen, sondern um damit ihre Einflussnahme-Operationen zu untermauern. Bereits 2016 und 2017 haben wir festgestellt, dass APT28 auf verschiedene regierungsnahe Organisationen in den USA und Europa abzielte. Dazu zählen Regierungsvertretungen, sowie diplomatische und militärische Organisationen in Europa und im Umfeld der US-Präsidentschaftswahlen. Wir haben keine Einblicke in die Vorfälle in Deutschland, die Aktivitäten würden aber mit den bekannten Verhaltensmustern der Gruppe übereinstimmen.“
#Cyberangriff auf Außen- & #Verteidigungsministerium: Die #Hacker sind noch in den Netzen, der #Angriff soll mittlerweile aber unter Kontrolle sein! via @sz https://t.co/mHiCLRtTk8
— SentinelOne DE (@SentinelOneDE) 1. März 2018
Der #HackerAngriff auf das #Datennetzwerk des Bundes hat offenbar mindestens bis Mittwoch angedauert. Deutsche #Sicherheitsbehörden hätten die #Angreifer dabei jedoch beobachtet, um Informationen über Ziele und Herkunft der Attacke zu erfahren! https://t.co/RKys13yNDp
— Code Red Security PR (@codered_pr_de) 1. März 2018
#Netzpalaver #Bitedefender #Clearswift #Forescout #Fireeye #Sentinelone
