Dieser Browser wird nicht mehr unterstützt

Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.

Schnellauswahl
Angriff als "Einfallschneise"

Der Cyberangriff auf das Außenministerium ist noch nicht vorüber

Archivbild: Das Außenministerium in Wien am Minoritenplatz,
Archivbild: Das Außenministerium in Wien am Minoritenplatz,(c) imago/CHROMORANGE (imago stock&people)
  • Drucken

Der komplexe Angriff auf das Außenministerium läuft trotz seiner Entdeckung vor über zwei Wochen noch immer. Das beweist die Komplexität und Professionalität des Angriffs. Die Indizien deuten auf eine bekannte russische Gruppe.

Am 4. Jänner meldete das Außenministerium einen "schwerwiegenden Cyberangriff". Mehr als zwei Wochen später sind die Informationen nach wie vor rar gesät. Klar ist, der Angriff wurde von Profis durchgeführt. Dem Außenministerium zufolge steht nicht fest, wer hinter den Angriffen steckt. Doch intern und hinter vorgehaltener Hand fiel der Verdacht schnell auf Russland. Auch wenn der Kreml seit Anfang Jänner dementiert. Nun sollen "Indizien, Präzedenzfälle und direkte Informationen", eindeutig nach Russland führen, wie Orf.at berichtet.  Die Vorgehensweise entspreche der Handschrift, der seit 2008 bekannten „Turla"-Gruppe, die den treffenden Beinamen "Venomous Bear" ("giftiger Bär") trägt.

Sollte „Venomous Bear“ verantwortlich sein, steht das Außenministerium samt der Cyber-Einsatzgruppe vor einer großen Herausforderung. Das zeigen Fälle aus der Vergangenheit. Deutschland brauchte knapp ein halbes Jahr, um „Turla“ von den Systemen zu entfernen. Denn die russische Schadsoftware zeichnet sich durch eine schlanke Bauweise aus, was sie schwer auffindbar macht. Die einzelnen Elemente werden separat eingeschleust. Erst im Zielnetz angekommen, werden sie verbunden. Hinzu kommt, dass die als „Topinambur“ bekannte Software Funktionalitäten beinhaltet, die sich vor einer Erkennung zu schützen weiß. So verfügt etwa die Command-and-Control-Infrastruktur über IPs, die gewöhnliche LAN-Adressen imitieren. Das haben Sicherheitsforscher des Antiviren-Spezialisten Kaspersky herausgefunden.

>>> Warum der Verdacht auf Moskauf fällt [premium]

Die nach dem Gemüse Topinambur benannte Schadsoftware sei eine neue, von „Turla“ verwendete ".NET-Datei", um das zur Cyber-Spionage konzipierte JavaScript „KopiLuwak“ mittels infizierter Installationspakete für legitime Softwareprogramme zu streuen. Die schrittweise Infizierung gipfelt in einem Trojaner, der die Fernverwaltung übernimmt. Dieser ist in der Konfigurationsdatenbank des Betriebssystems verankert.

Einmal im System ist die Software in der Lage, die Zielrechner eingehend zu analysieren, gespeicherte Informationen zu sammeln, Daten zu stehlen und das System mit weiterer Malware zu infizieren. Außerdem erlaubt es den Angreifern, sich vor einem Aussperren durch die Sicherheitstechniker zu schützen.

Kaum ist ein Netzsegment gesäubert, werden neue Windows-Strings mit „Turla“-Updates eingespielt, die jegliche „Aufräumarbeiten" zunichte machen.

Das Problem ist, dass das Netz nicht einfach offline genommen werden kann. Mehr als 100 Botschaften und Vertretungen weltweit sind hier miteinander vernetzt. „In einem solchen Netz gehen nun einmal Tausende TCP-Requests pro Minute nach allen Himmelsrichtungen ins Internet hinaus“, schreibt Orf.at. Das bedeutet, dass „Turla“, kaum ist es aus einem Teilbereich entfernt worden, sich schon wieder eingeschlichen haben könnte.

Welche Abwehrmaßnahmen setzt das Außenministerium?

Das oberste Ziel scheint, dass das Außenministerium handlungsfähig bleibt. Derzeit versuche man, die einzelnen Abteilungen durch Firewalls voneinander abzutrennen. Das hat zur Folge, dass der interne Datenverkehr untersucht werden kann, um verseuchte Daten schneller zu identifizieren. Aufgrund der Tarnfähigkeit von „Turla“ ist das jedoch die größte Herausforderung.

Unterstützt werden daher die Cyber-Experten des Innenministeriums durch das Verteidigungsressort.

Generalmajor Johann Frank, Leiter der Direktion für Sicherheitspolitik beim Bundesheer, vermutet, dass die Hacker Österreich als „Einfallschneise“ benutzen wollen. Über das vergleichsweise kleine EU-Mitglied Österreich könnten die Angreifer auch in europäische IT-Strukturen eindringen. Frank zufolge konnte bisher nicht festgestellt werden, ob Daten bereits kompromittiert wurden, ausschließen ließe es sich aber nicht.

"Fancy Bear" versus "Venomous Bear"

Offiziell gibt es keine Angaben zu den Tätern des Angriffs auf das Außenministerium. Zwei Namen werden in Medien immer wieder genannt. „Fancy Bear“, auch als „Sofacy-Gruppe“ bekannt, ist Einschätzungen westlicher Geheimdienste zufolge, eine mit dem russischen Militärgeheimdienst GRU verbundene Cyberspionagegruppe. Die Angriffe dieser Gruppe richten sich in erster Linie gegen Regierungsbehörden, Verteidigungs-, Energie- und Medienunternehmen. Sie sollen für Attacken auf den deutschen Bundestag, den französischen Sender TV5, die Nato (2015) und den internationalen Sportverband IAAF (2017) verantwortlich zeichnen.

„Venomous Bear“ hingegen soll sich vor allem auf ausländische Regierungen, Militärs und Botschaften fokussieren. Sie werden für Angriffe auf das US-Zentralkommando (2008), Deutschlands staatliches Computernetz (2018) und das Auswärtige Amt und die Bundesakademie für öffentliche Verwaltung in Deutschland verantwortlich gemacht.

Beide Gruppierungen kämen für den Angriff in Frage, unterscheiden sich aber durch die Angriffsziele sowie auch die eingesetzte Malware.

>>> Zum Bericht auf Fm4.orf.at