Hackerangriff auf Bundestag: Beifang statt gezielter Attacke
Mitglieder verschiedener Parteien des Deutschen Bundestags waren seit Januar 2017 Opfer einer Malware. Die Attacke passt zeitlich gut, in Deutschland und Europa stehen dieses Jahr wichtige Wahlen an. Parallel zu Warnungen, dass einzelne Nationen Einfluss auf diese Wahlen nehmen möchten, kocht die Gerüchteküche zu vermeintlichen Hacks in Bezug auf die Präsidentschaftswahlen der USA in 2016.
Der Malware-Angriff weckt Erinnerungen an eine ähnliche Attacke in 2015, damals konnten sich bislang unbekannte Kriminelle monatelang in den internen Systemen umsehen. Ein solcher Zugriff wurde diesmal unterbunden, die nach 2015 eingeführten Maßnahmen scheinen also gegriffen zu haben.
Nach der Auswertung scheint eine gezielte Attacke aber diesmal unwahrscheinlich. Die Infektion an sich lässt sich auf den Webserver der Zeitung “Jerusalem Post” zurückführen, neben hebräischen Texten gibt es dort auch Inhalte auf Englisch. Statt eines gezielten Angriffs liegt also möglicherweise eine “klassische” Infektion per Malvertising vor.
F-Secure Experte Sean Sullivan: “Es ist denkbar, dass die betroffenen Systeme im Rahmen einer breiten Kampagne infiziert wurden. Kriminelle könnten etwa ein iFrame in die Webseite eingeschleust und so Besucher mit Malware verseucht haben.” Bestätigt wird dies durch eine Untersuchung des Bundesamts für Sicherheit in der Informationstechnik. In der Pressemeldung heißt es: “Die Webseite der Jerusalem Post war manipuliert und hat auf eine schädliche Drittseite verlinkt. Im Rahmen der Analysen hat das BSI jedoch keine Schadsoftware [… im internen Netz des Bundestags …] entdeckt, auch Infektionen sind dem BSI nicht bekannt.” Tatsächlich ist der Deutsche Bundestag nicht die einzige Regierung, die von einer Ransomware-Attacke betroffen wurde. Heise meldet aktuell, dass auch das Niederländische Parlament Opfer einer Erpresser-Malware war. Dieser wurde scheinbar über eine infizierte Rechnung eingeschleppt.
Jarno Niemelä, Lead Researcher bei F-Secure in Helsinki, hat sich den Angriff genauer angesehen. „Lässt man eine mögliche Beeinflussung von externen Nationen außer Acht, folgt der Angriff einem klassischen Muster.“ Zunächst erhalten mehrere potentielle Opfer eine Phishing-E-Mail, in der Hoffnung, dass eins davon anbeißt. Die Nachricht enthält einen Link zu einer Webseite, diese ist mit einem Exploit-Kit verseucht. Folgt ein Nutzer diesem Link, greift das Kit automatisch den Rechner an und versucht den PC zu übernehmen. Die Angreifer suchen auf dem kompromittierten System nach administrativen Zugangsdaten. Mit diesen können sich die Hacker anschließend im Netzwerk herumspionieren und weitere Daten abgreifen.
“Nicht jeder Angriff ist eine gezielte Attacke”, so Sean Sullivan. “Gerade, wenn man bereits einmal im Fadenkreuz von Angreifern war, ist es schwer, zwischen gezielten Malware-Attacken und oder einer breit gestreuten Ransomware-Kampagne zu unterscheiden. Es kann gut sein, dass die E-Mails der betroffenen Politiker einfach auf irgendwelchen Listen gelandet waren.” Dennoch sei die Reaktion korrekt gewesen, so Sullivan. Es sei gut, diese Angriffe ernst zu nehmen, die getroffenen Sicherheitsmaßnahmen scheinen in diesem Fall gut gegriffen zu haben.
Bildmaterial: Deutscher Bundestag / Stephan Erfurt
Kategorien