Hack der deutschen Regierungsnetze

 

Keyfacts

  • entdeckt: 19.12.2017, öffentlich bekannt am 28.02.2018
  • sicher aktiv seit: Ende 2016
  • letzte Aktualisierung: März 2018
  • Verbreitung: keine automatische Verbreitung sondern gezielt „manuelles“ Hacking
  • Infektion und Replikation: Phishing-Mail für Erstinfektion, danach keine automatische Replikation
  • Hauptziel: Spionage
  • Vermutliche Herkunft: mutmaßlich russische Turla/Snake-Gruppe

Relevante Dokumente

Am 28.02.2018 wurde durch Presseberichte, die sich auf Meldungen der DPA stützten, bekannt, dass deutsche Regierungsnetze Opfer einer Hacker-Attacke geworden sind. Das BMI bestätigte den Hacking-Vorfall unmittelbar nach Bekanntwerden des Medienberichtes indirekt mit der folgenden Pressemitteilung:

„Wir können bestätigen, dass derzeit durch das BSI und die Nachrichtendienste ein IT-Sicherheitsvorfall untersucht wird, der die Informationstechnik und Netze des Bundes betrifft. Die Verantwortlichen in den betroffenen Behörden sind informiert und es wurden bereits geeignete Maßnahmen zur Aufklärung und zum Schutz getroffen. Das BSI stellt über die Netze des Bundes Schutz auch für die nichtbetroffenen Behörden bereit. In dem Zusammenhang sind derzeit keine betroffenen Stellen bekannt, die außerhalb der Bundesverwaltung liegen. Innerhalb der Bundesverwaltung wurde der Angriff isoliert und unter Kontrolle gebracht. An dem Vorfall wird mit hoher Priorität und erheblichen Ressourcen gearbeitet. Dabei verläuft die Zusammenarbeit zwischen allen beteiligten Sicherheitsbehörden und den betroffenen Behörden exzellent. Nähere Details können zu diesem Zeitpunkt wegen der noch laufenden Analysen und Sicherungsmaßnahmen nicht öffentlich bekannt gemacht werden.“ (Q: Tagesschau.de)

Der Hacking-Vorfall des deutschen Regierungsnetz soll am 19. Dezember 2017 nach Hinweisen ausländischer Dienste entdeckt und zu diesem Zeitpunkt bereits länger im Gange gewesen sein. Die Erstinfektion soll über die Fachhochschule des Bundes für öffentliche Verwaltung erfolgt sein soll. Die Schadsoftware soll seit mehr als einem Jahr auf den Rechnern der  Fachhochschule verdeckt vorhanden gewesen, und im Januar 2017 durch externe Steuerbefehle aktiviert worden sein. Das bedeutet, dass zum „Aktivierungszeitpunkt“ mindestens ein weiterer Zugriffskanal bestanden haben muss. Als „Kommunikationskanal“ soll eine modifizierte Version des Mailprogramm Microsoft Outlook benutzt worden sein um Steuerbefehle in das abgeschlossene Netz zu schleusen und Daten daraus zu entwenden. Im März 2017 konnten dann 17 Rechner im auswärtigen Amt infiziert und per Root-Zugriff übernommen werden. Entgegen ersten Meldungen waren nicht die System des BMVg direkt betroffen sondern MitarbeiterInnen des Ministeriums arbeiteten an den infizierten PCs im Auswärtigen Amt. Laut Medienberichten wurden über die betroffenen Netzwerke maximal Informationen der Sicherheitsstufe „Nur für den Dienstgebrauch“ (VS-NfD) ausgetauscht . Ob dies für die betroffenen Systeme im Außwärtigen Amt auch zutrifft ist bisland unklar,  dort sollen die Angreifer das „Referat für Russland und Osteuropa im Auswärtigen Amt“ im Blick gehabt haben und dort sei es gelungen, „eine einstellige Zahl von Dokumenten zu kapern (..) Es handele sich um geringe Datenmengen„. Neben Deutschland sollen auf ähnliche Weise auch Regierungseinrichtungen anderer Staaten betroffen worden sein, darunter die Schweiz, „Skandinavien, Südamerika, die Ukraine und ehemalige Sowjet-Staaten“.

Ursprung der Attacke

Erste Spekulationen über den Ursprung gingen in Richtung der Gruppe APT28, die bereits hinter dem Zugriff auf das IT-System des Bundestages Parlakom im Jahr 2015 vermutetet werden. Belastbare öffentlich verfügbare Informationen für diese Mutmaßungen gab es jedoch keine. Wenig später wurde bekannt, dass die Ermittler nun davon ausgehen, dass nicht APT28 sondern die Gruppe „Snake“ hinter den Angriffen steckt. Die Gruppe war bereits 2014 im Zusammenhang mit Cyberspionage in Erscheinung getreten, und firmierte damals auch unter den Namen „Uroburos“ bzw. „Turla“  (weitere Information hier in der Datenbank von Cybervorfällen). In einer Reaktion des Kreml wurde eine Beteiligung Russlands an dem Spionage-Hack verneint und mit Enttäuschung über die Anschuldigungen reagiert: “We note with regret that any hacking attacks in the world are associated with Russian hackers but that each time they (the allegations) are made without any tangible proof”  (Q: reuters.com / lokale Kopie). Nach einer Sitzung des Geheimdienst-Kontrollgremium des Bundestages am 01.03.2018 wurde verlautbart, dass die Cyberattacke nach der Entdeckung nicht unmittelbar gestoppt wurde, sondern sich die Ermittler entschlossen hatten diese laufen zu lassen und weiter zu beobachten um Ziel, Motivation und Ursprung des Angreifers näher zu ermitteln. Tatsächlich handelt es sich dabei um eine gängige Methodik der IT-Forensik, einen entdeckten Angreifer zu beobachten, ihn durch vorgetäuschte und lukrativ erscheinende Ziele anzulocken (sog. Honeypots) oder ihm manipulierte Daten anzubieten, die sich dann leichter entdecken, nachverfolgen und identifizieren – und damit einem Angreifer zuordnen lassen. Ein solches Strategie würde zu den bisherigen Informationen passen, dass der Angriff zwar seit längerem bekannt ist, aber isoliert und überwacht weitergelaufen lassen wurde um Informationen zu sammeln.