VERANSTALTUNGEN

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

Mann als Marionette

Ein vermutlich von einer Hackergruppe aus Russland stammendes Computervirus hat das deutsche Regierungsnetzwerk infiltriert. Das ist bereits seit langem bekannt. Nun haben die zuständigen Ermittler auch das mutmaßliche Einfallstor des Schädlings entdeckt und öffentlich gemacht.

Offenbar haben die Mitglieder einer Gruppierung namens Uroburos, die auch unter dem Namen Snake bekannt ist, eine Abwandlung des Social Engineering eingesetzt, um ihren gleichnamigen Virus einzuschleusen. Der Fall zeigt einmal mehr, dass diese Vorgehensweise auch in vermeintlich bestens geschützten und überwachten Netzwerken eine echte Bedrohung darstellt.

Um den Weg der Schadsoftware ins Regierungsnetz nachzuverfolgen, haben die Ermittler das Virus monatelang genau beobachtet und seine Arbeitsweise analysiert. So stießen sie schließlich auf den Patient Zero, also den Rechner, auf dem es erstmals im Netzwerk auftauchte. Dieser gehörte zu einem Mitarbeiter des Auswärtigen Amtes, der vor einiger Zeit an einer Schulung der Hochschule des Bundes für öffentliche Verwaltung oder der Bundesakademie für öffentliche Verwaltung teilgenommen hatte. Beide Bildungseinrichtungen gelten als Schwachstellen des Regierungsnetzes, denn sie bieten ihren Studenten einen Fernzugang zum Intranet. Und nicht nur ihm wurde das Virus über eine Sicherheitslücke in diesem Fernzugang untergejubelt, sondern auch 17 weiteren Teilnehmern. Bei diesen jedoch wurde Uroburos nicht aktiviert.

An dieser Stelle stand nämlich eine Herausforderung für die Hacker: Das Regierungsnetz wird streng überwacht. Ein normales Virus, das nach der Infektion selbst aktiv wird und Kontakt zu seinen Programmierern aufnimmt, um sich Anweisungen zu holen, wäre deutlich schneller aufgefallen. Deswegen wartete es still und leise auf dem infizierten Rechner auf eine Kontaktaufnahme durch die Hacker. Dafür scannte es lediglich alle eingehenden E-Mails in Outlook auf den Absender. Hier kommt nämlich eine Besonderheit in diesem Fall ins Spiel: Die Hacker wussten offenbar ganz genau, wessen Rechner sie da infiziert hatten und spähten diesen Mitarbeiter ganz gezielt aus. So erfuhren sie auch den Namen seiner Lebensgefährtin – und gaben dem Virus einfach die Aufgabe, nach E-Mails mit diesem Namen im Absender Ausschau zu halten. Für die Aktivierung brauchten sie dann nur noch eine kurze Mail, um Kommandos von einer entsprechend eingerichteten E-Mail-Adresse zu schicken, und der Schädling wachte auf. Seine erste Amtshandlung war es dann, die Kommando-Mail zu löschen. So war sie nur kurz zu sehen und fiel dank des Namens der Lebensgefährtin als Absender auch niemandem in der Überwachung des Netzwerkes auf.

Diese raffinierte Methode birgt noch ein anderes Risiko für das Regierungsnetzwerk: Solange das Virus schlummert und nicht aktiv wird, lässt sich nicht ausschließen, dass noch weitere der rund 60.000 Computer im Netzwerk infiziert sind. In Punkto Sicherheit ist das natürlich eine tickende Zeitbombe, die sich nur entschärfen lässt, indem noch strengere Maßnahmen ergriffen werden, um eine Aktivierung zu verhindern. Private Mails der Lebensgefährtin auf dem Arbeitsrechner sollten dann auf jeden Fall der Vergangenheit angehören, ebenso wie jegliche andere private Korrespondenz.

www.8com.de
 

GRID LIST
Faxgerät

Faxploit-Sicherheitslücke: Wie sicher ist die Fax-Technologie?

Richtigstellung: Nicht die Fax-Technologie ist per se unsicher. Die zu diesem Thema…
Geschenkarten

Cyberkriminelle verschenken „50-Euro-Geschenkkarte für lau!“

Ob Geschenkgutschein für Amazon oder Google Play, Freikarten für den Freizeitpark oder…
Firewall

Schutz vor Angriffen auf private und geschäftliche E-Mail-, Social Media- und Cloud-Anwendungen

Proofpoint, Inc., kündigte drei Neuerungen bei der anwenderbezogenen IT-Sicherheit an:…
DDoS Attack

9.325 DDoS-Attacken im 2. Quartal 2018

Laut Link11 hat es von April bis Juni über 9.000 DDoS-Attacken in Deutschland, Österreich…
Leopard jagt Springbock

IT trifft OT – eine folgenreiche Begegnung

Sitzt man in einer Vorlesung für Elektroingenieure gehört dieser Satz vielleicht zu den…
Mann mit Lupe

Auf den Spuren der Hacker - wie werden gestohlene Passwörter genutzt?

Phishing-Angriffe, die darauf abzielen, mittels Social Engineering von Mitarbeitern…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security