Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

Mann als Marionette

Ein vermutlich von einer Hackergruppe aus Russland stammendes Computervirus hat das deutsche Regierungsnetzwerk infiltriert. Das ist bereits seit langem bekannt. Nun haben die zuständigen Ermittler auch das mutmaßliche Einfallstor des Schädlings entdeckt und öffentlich gemacht.

Offenbar haben die Mitglieder einer Gruppierung namens Uroburos, die auch unter dem Namen Snake bekannt ist, eine Abwandlung des Social Engineering eingesetzt, um ihren gleichnamigen Virus einzuschleusen. Der Fall zeigt einmal mehr, dass diese Vorgehensweise auch in vermeintlich bestens geschützten und überwachten Netzwerken eine echte Bedrohung darstellt.

Um den Weg der Schadsoftware ins Regierungsnetz nachzuverfolgen, haben die Ermittler das Virus monatelang genau beobachtet und seine Arbeitsweise analysiert. So stießen sie schließlich auf den Patient Zero, also den Rechner, auf dem es erstmals im Netzwerk auftauchte. Dieser gehörte zu einem Mitarbeiter des Auswärtigen Amtes, der vor einiger Zeit an einer Schulung der Hochschule des Bundes für öffentliche Verwaltung oder der Bundesakademie für öffentliche Verwaltung teilgenommen hatte. Beide Bildungseinrichtungen gelten als Schwachstellen des Regierungsnetzes, denn sie bieten ihren Studenten einen Fernzugang zum Intranet. Und nicht nur ihm wurde das Virus über eine Sicherheitslücke in diesem Fernzugang untergejubelt, sondern auch 17 weiteren Teilnehmern. Bei diesen jedoch wurde Uroburos nicht aktiviert.

An dieser Stelle stand nämlich eine Herausforderung für die Hacker: Das Regierungsnetz wird streng überwacht. Ein normales Virus, das nach der Infektion selbst aktiv wird und Kontakt zu seinen Programmierern aufnimmt, um sich Anweisungen zu holen, wäre deutlich schneller aufgefallen. Deswegen wartete es still und leise auf dem infizierten Rechner auf eine Kontaktaufnahme durch die Hacker. Dafür scannte es lediglich alle eingehenden E-Mails in Outlook auf den Absender. Hier kommt nämlich eine Besonderheit in diesem Fall ins Spiel: Die Hacker wussten offenbar ganz genau, wessen Rechner sie da infiziert hatten und spähten diesen Mitarbeiter ganz gezielt aus. So erfuhren sie auch den Namen seiner Lebensgefährtin – und gaben dem Virus einfach die Aufgabe, nach E-Mails mit diesem Namen im Absender Ausschau zu halten. Für die Aktivierung brauchten sie dann nur noch eine kurze Mail, um Kommandos von einer entsprechend eingerichteten E-Mail-Adresse zu schicken, und der Schädling wachte auf. Seine erste Amtshandlung war es dann, die Kommando-Mail zu löschen. So war sie nur kurz zu sehen und fiel dank des Namens der Lebensgefährtin als Absender auch niemandem in der Überwachung des Netzwerkes auf.

Diese raffinierte Methode birgt noch ein anderes Risiko für das Regierungsnetzwerk: Solange das Virus schlummert und nicht aktiv wird, lässt sich nicht ausschließen, dass noch weitere der rund 60.000 Computer im Netzwerk infiziert sind. In Punkto Sicherheit ist das natürlich eine tickende Zeitbombe, die sich nur entschärfen lässt, indem noch strengere Maßnahmen ergriffen werden, um eine Aktivierung zu verhindern. Private Mails der Lebensgefährtin auf dem Arbeitsrechner sollten dann auf jeden Fall der Vergangenheit angehören, ebenso wie jegliche andere private Korrespondenz.

www.8com.de
 

GRID LIST
Tb W190 H80 Crop Int C643b2c4d7af3e5bf9a53fb7d888e4a0

Phishing kann auch kleine Unternehmen treffen

Kürzlich wurde bekannt, dass sich diverse Restaurants sogenanntem „Dynamit-Phishing“…
Tb W190 H80 Crop Int 02a732366428f0b008fcb6021edc948f

Warum sich die Welt bereits im Cyberwar befindet

Obwohl einige Experten wie der Politikwissenschaftler Thomas Rid glauben, dass ein…
Trojaner

Der Trojaner Emotet ist weiterhin nicht zu stoppen

Der gefährliche Trojaner „Emotet“ hält Unternehmen, Behörden und Privatpersonen auf Trab.…
Tb W190 H80 Crop Int 97c30d94fa4781aa0faf0e0519d1928e

TajMahal: Spionageplattform mit 80 schädlichen Modulen

Die Experten von Kaspersky Lab haben ein technisch ausgereiftes Cyberspionage-Framework…
Scam Alert

Scam-Welle - Sex sells?

Cyberkriminelle versuchen derzeit im großen Stil, mit Fake-Mails Geld von ahnungslosen…
Hacker WhatsApp

Trojaner nutzt Android-Schwachstelle und liest bei WhatsApp mit

Die Virenanalysten von Doctor Web haben den gefährlichen Trojaner Android.InfectionAds.1…