Parlakom Hack (Netzwerk des dt. Bundestages)

Keyfacts

  • entdeckt: 05.20215
  • sicher aktiv seit: unbekannt
  • letzte Aktualisierung: 20.06.2015
  • Verbreitung: internes Netzwerk des dt. Bundestags, das davon unabhängige Regierungsnetz soll nicht betroffen sein
  • Infektion und Replikation: Trojaner, Spear Phishing, Active Directory Dienste
  • Hauptziel: vermutlich Datenspionage
  • Vermutliche Herkunft: unbekannt, Russische Gruppe APT28 in Verdacht

Relevante Dokumente

Anfang Mai 2015 wurde bekannt, dass sich Hacker Zutritt zum internen Computersystem des deutschen Bundestages Parlakom, über das auch sämtliche Mitarbeiter und Regionalbüros der Abgeordneten angeschlossen sind, Zutritt verschafft haben. Vermutlich gelang es Ihnen mit Hilfe von Spear-Phishing-E-Mails Rechner einzelner Parlamentsangehörige zu infizieren, über die sie sich mit Hilfe von Trojanern sukzessive weitere Netzbestandteile erschlossen haben. Laut Medienberichten sind bis zu 20.000 verschiedene Accounts über das Netzwerk angeschlossen und potentiell betroffen.

Der NSA-Untersuchungsausschuss, die Geheimschutzstelle, in der als geheim eingestufte Dokumente des Bundestages verwahrt werden, und die Personalverwaltung sind von dem Angriff nicht betroffen, da sie besonders gesicherte Netzwerke nutzen. (Q: tagesschau.de)

Bislang gibt es keine bestätigten Angaben zum Umfang und auch keine offizielle Stellungnahme des BSI, die mit der Analyse des Vorfalls betraut und laut ihren Statuten für die Sicherung von Regierungssystemen zuständig sind. Bestätigt wurde bisher, dass bis in den Juni 2015 hinein „vereinzelte Datenabflüsse“ stattgefunden haben und dass die Art des Angriffs sowie die vorgefundenen Samples der Schadsoftware auf eine gezielte Attacke schließen lassen. Dem gegenüber vermeldet der Spiegel (siehe Dokumente) die gezielte Infektion von 15 Abgeordneten-Büros und den Datenabfluss von mind. 16GB E-Mails, Terminkalender-Daten und weitere Kommunikationsinformationen. Der Angriff wurde scheinbar Ende Juni/Anfang Juli endgültig abgewehrt. Für die vollständige Wiederherstellung der Systeme und dem nachhaltigen Entfernen der Schadsoftware aus dem Netzwerk soll dieses in der Sommerpause des Parlamentes für einige Tage vollständig abgeschalten werden. Aussagen unterschiedlicher Parlamentarier lassen offen ob der Angriff primär über den Active-Directory-Dienst durchgeführt wurde und sich darüber immer wieder neu weiter verbreitet (eine Software zum Abbilden von Verwaltungsstrukturen und Hierarchien in Netzwerk, siehe Wikipedia). Andere Aussagen lassen darauf schließen, dass auch Hardware-Komponenten infiziert wurden und die Schadsoftware darüber immer wieder neu trotz Neu-Installation des Rechners aktiv werden kann. Derartige Manipulationsmöglichkeiten werden beispielsweise der  NSA zugeschrieben, die in der Lage ist/sein soll, Schadsoftware in der Steuerungslogik von Festplatten zu verankern, die jegliches Löschen derselben übersteht (siehe Artikel von spiegel.de bei „Relevante Dokumente“). Ähnliche Angriffe wurden bereits theoretisch für die Steuerungssoftware demonstriert, die den integrierten Chips auf Netzwerk-Karten oder anderen zusätzlicher Computer-Hardware verbaut ist.  Bisherigen Pressemeldungen zufolge ist aufgrund der Persistenz der Schadsoftware noch nicht endgültig geklärt, ob das Netzwerk Parlakom nicht zu Teilen komplett neu aufgesetzt werden muss. Sollte dies auch die Hardware betreffen – wovon aktuell nicht ausgegangen wird (siehe Artikel von golem.de) – würde die Frage nach manipulierter Hardware durch fremde Geheimdienste und sicheren Zulieferketten wieder verstärkt in den Vordergrund rücken.

Bezüglich der Herkunft des Angriffs sprechen einige Meldungen von Ähnlichkeiten zu einer Cyberattacke gegen den deutschen Bundestag von 2014, bei der damals russische Hacker vermutet wurden. Durch die Bundestagsfraktion der Partei DIE LINKE wurde ein Untersuchungsbericht vorgelegt, bei dem Sicheheitsforscher Malware-Vorkommen auf den Rechner der Fraktion selbst untersucht haben. Die Fraktion selbst betont, dass die dabei gefundenen Hinweise auf eine mutmaßlich russische Hackergruppe APT28  mit dem Hack gegen das ParlaKom-System verbunden sein könnten:

Wir können nicht mit Sicherheit sagen, ob es sich hier um den gleichen Angriff wie bei der Bundestags-IT handelt oder nicht. Zumindest aber fanden die Angriffe zum gleichen Zeitraum statt und es gibt erhebliche Ähnlichkeiten. (Q: Linksfraktion.de)

Die Beweiskraft der Indizien in der Angriffsanalyse wie die zeitlichen Nähe und die Hinweise auf Basis von IP-Adressen sowie Server-Zertifikaten der Angreifer sind allerdings durchaus umstritten. Zum einen ist der Bundestag ganz sicher für viele Gruppierungen ein relevantes Hacking-Ziel, zum anderen könnten die Angriffs-Server selbst gehackt worden sein (bspw. über den zu diesem Zeitpunkt akuten Heartbleed-Bug). Zum anderen haben die Angreifer scheinbar nur relativ unprofessionell versucht die Angriffsspuren zu verwischen. Die Verweise auf russische Hacker könnten durchaus angesichts der politische Situation in der Ukraine politisch sein (siehe dazu den Umgang der US-Regierung mit dem Hack gegen Sony-Entertainment-Networks Ende 2014). Der Verdacht gründet unter anderem auf einem früheren Bericht des kalifornischen IT-Sicherheitsunternehmens FireEye zum Einsatz einer Schadsoftware  namens „Sofacy“, die bei Attacken der Gruppe APT28 verwendet worden sein soll (Quelle: FireEye.com, Kopie). In einer offiziellen Antwort der Verwaltung des Bundestags werden Hinweise auf russische staatliche Hacker nicht bestätigt, siehe Update/3.

Update: Lt. einem Zitat eines „hochrangigen Sicherheitsbeamten“ bei Spiegel Online vom 30.1.2016 wird die Cyberattacke „klar einem russischen militärischen Nachrichtendienst“ zugeschrieben (Quelle: Spiegel online, Kopie).

Da man aktuell davon ausgehen kann, dass der deutsche Bundestag durch die Attacke in seiner Arbeit behindert worden ist und durch Reparaturarbeiten länger eingeschränkt wurde, überrascht, wie wenig die deutsche Regierung den Vorfall kommentiert und außenpolitisch darauf reagiert hat.

Update/2: Über den Leak von Dokumenten aus der IuK-Kommission (Kommission für den Einsatz neuer Informations- und Kommunikationstechniken und -medien) des Bundestags wurden Details zum Angriff bekannt. Neben dem zeitlichen Hergang des Angriffs und den Abwehrversuchen wird dabei vor allem deutlich, dass die Angreifer übliche Angriffswerkzeuge verwendet haben. Unter anderem wurde der Rechner eines Parlamentariers mit Malware infiziert und von diesem ausgehend die Zugänge von Administratoren des Parlakom-Systems gehackt. Die Unterlagen des mit der Untersuchung beauftragten BSI (siehe „relevante Dokumente“) geben jedoch keine offizielle Bestätigung der Mutmaßungen über die russische Gruppe APT-28/Sofacity als Urheber der Angriffe. Nichts desto trotz wurde Anfang 2016  durch die Bundesanwaltschaft am 15. Januar 2016 ein Ermittlungsverfahren gegen Unbekannt aufgrund des Verdachts auf „einen geheimdienstlich gesteuerten Angriff“ eingeleitet. (Q: netzpolitik.org). Damit könnten zum ersten Mal offiziell außenpolitische Konsequenzen aus dem Hack des Parlakom-Systems folgen.

Update/3: Aus der Antwort der Bundesregierung auf eine Anfrage nach dem Informationsfreiheits-Gesetz geht hervor, dass selbiger keine Unterlagen vorliegen, die im Zusammenhang mit dem Hack des Parlakom-System auf russische staatliche Hacker hinweisen würden:

(..) da der Verwaltung des deutschen Bundestages keine Unterlagen vorliegen , aus denen hervorgeht, daß der Angriff auf die IT-Infrastruktur des deutschen Bundestages im Mai 2015 einem russischen militärischen Nachrichtendienst zugeordnet werden kann (Q: fragdenstaat.de)

Update/4: Sicherheitsforscher der Firma TrendMicro berichten, dass im Mai 2016 Phishing-Attacken gegen Mitglieder der CDU durchgeführt wurden, die mutmaßlich auf das Konto der Gruppe APT28 zurückgeführt werden konnten. Details dazu finden sich hier (Q: blog.trendmicro.com).

Share Button