Bild: imago
Wenn im Bundestag das Licht ausgeht und der letzte Sitzungsraum durchgelüftet wurde, ist auf den Datenleitungen noch einiges los. So penetrant wie Gerhard Schröder mal nach einigen Bieren am Zaun des Kanzleramts gerüttelt und „Ich will hier rein!", gebrüllt hat, suchen Hacker aus aller Welt rund um die Uhr nach der einen kleinen Lücke, um das Netz der Parlamentarier zu infiltrieren.Ganze 3600 Angriffe, sagt das Bundesamt für Sicherheit in der Informationstechnik (BSI), habe man in diesem Jahr schon abgewehrt. Mindestens einer davon war allerdings erfolgreich. Im Januar 2017 mussten zehn Abgeordnete ihre Rechner plötzlich an BSI-Mitarbeiter abgeben: Sie seien gehackt worden, so die knappe Begründung.Dass unter ihnen auch die Grünen-Abgeordnete Marieluise Beck war, war für viele in der Fraktion kaum eine Überraschung: Schon beim letzten großen Hack des Bundestags, bei dem innerhalb von drei Wochen im Mai 2015 16 GB Daten abgeschöpft wurden, wurde die Putin-Kritikerin zur Zielscheibe. Mittlerweile heißt es von Seiten des BSI, dass für diesen ersten schweren Angriff und Datendiebstahl wahrscheinlich die halbstaatliche russische Elite-Hackertruppe ATP28 verantwortlich war.Folgt Motherboard auf Facebook, Instagram, Snapchat und TwitterHatten also russische Staatshacker wieder zugeschlagen? In Becks Bundestagsbüro fühlt man sich allein gelassen: Das BSI gibt zunächst kaum Informationen über den Ursprung und den Umfang des Hacks heraus, der Rechner ist beschlagnahmt, Ansprechpartner gibt es keine. Doch diesmal liegt die Sache anders und lässt sich tatsächlich fast zweifelsfrei aufklären.„Von einer gezielten Attacke kann keine Rede sein", sagt BSI-Pressesprecher Gärtner Motherboard am Telefon. Stattdessen sei es „Zufall" gewesen, dass jene zehn Abgeordnete infiziert wurden – sie wurden nicht Opfer einer gezielten Attacke auf den Bundestag, sondern vielmehr eines breiteren Angriffs auf reguläre User: „Die Webseite der Jerusalem Post wurde manipuliert und hat auf eine schädliche Drittseite verlinkt", heißt es in einer BSI-Pressemitteilung.Kätzchen schleichen sich in den Zeitungs-QuellcodeDie Sicherheitsforscher von der israelischen Firma ClearSky Security sind auskunftsfreudiger als die deutschen Behördenmitarbeiter. Sie bringen die Infektion der Abgeordneten mit einer Kampagne in direkte Verbindung, die im exakt gleichen Zeitraum – zwischen Oktober 2016 und Januar 2017 – diverse Infrastruktur-, Militär- und Ministerien-Websites aus Israel infizierte. Und sie haben nach ihrer Analyse sogar einen Täter identifiziert. Er hört auf den niedlichen Namen CopyKittens.CopyKittens sind eine iranische Hackergruppe, deren Aktivitäten ClearSky schon länger verfolgt. Ihre Angriffsmethode ist elegant: Die Hacker brauchten zunächst nur eine einzige Zeile Code, um auf die Rechner der Bundestagsabgeordneten zu gelangen. Im Quellcode der israelischen Zeitung Jerusalem Post fügten die Hacker diese Zeile hinzu. Beim Überfliegen sollte es so aussehen, als sei sie legitim und Teil einer Javascript-Library, die im Web sehr häufig verwendet wird; jQuery.Tatsächlich änderten die Angreifer aber das q in ein g. Von der eigens aufgesetzten Domain js.jguery.net versuchten die Hacker jetzt, die Schadsoftware BEeF auf die Rechner ihrer Opfer nachzuladen. BEeF wird als „Tool für den Penetrationstest" vermarktet, soll also Schwachstellen auf einem Rechner erkennen und an einen weit entfernten Server zurückmelden. Doch auch böswillige Hacker nutzen das Tool gerne als Scanner für Lücken und spionieren so Zielrechner nach Angriffspunkten aus.Dass die Iraner hinter der Attacke stecken, haben unabhängige Sicherheitsforscher der Firma Domaintools mittlerweile bestätigt oder halten es zumindest für sehr plausibel. „Wir sehen das vor allem an Gemeinsamkeiten an den Domains, die sie benutzt haben, sowie den Malware-Paketen, die wir gefunden haben", erklärt Eyal Sela Motherboard per E-Mail und schickt als Erläuterung ein Schaubild mit:
Sela erklärt zu der Grafik: „Dort wo ich die 1 hingemalt habe, siehst du zwei Malware-Samples. Eins ist vom jüngsten CopyKitten-Angriff und eins von einem älteren aus dem Jahr 2015. Diese Samples ähneln sich in Inhalt und Struktur, daher haben wir beide CopyKitten zugeschrieben."In der zweiten Reihe sieht man, wie die Samples mit der alten und der neuen Infrastruktur in Verbindung stehen. Innerhalb der neuen Infrastruktur sieht man jguery[.]net, das als Teil des Angriffs in den Code von Jerusalem Post und anderen Websites eingeschleust wurde.„Ganz ehrlich: ich würde nicht sagen, dass da eine sehr starke Verbindung ist, da sich unsere Analyse nur auf die Ähnlichkeit zweier Samples bezieht. Allerdings gibt es andere Faktoren, die uns glauben lassen, dass es sich um dieselbe Gruppe handelt; insbesondere die Ähnlichkeiten in den Domain-Charakteristika, die benutzt wurden", so Sela.Katz- und Mausspiel mit der BlacklistDie iranischen Hacker haben bis zu 100 Domains aufgesetzt, die fast überzeugend so klingen wie die, die sekündlich im Internet verwendet werden und als URL für Sekundenbruchteile unten in deinem Browser aufflackern. Darunter sind vor allem Versionen unauffälliger kleiner Dienste, die die Contentauslieferung beschleunigen und Websites schneller laden lassen, wie zum Beispiel Akamai. Diese leicht abgewandelten Domains hat CopyKitten über längere Zeit hinweg recyclet und sich so verraten.Fiese neue Malware greift Nutzer an, die zu schnell tippenIm Fall des Bundestags ging das Ganze glimpflich aus, wie das BSI schreibt. „Es wurde keine Schadsoftware auf den Festplatten gefunden", so Gärtner. Vermutlich war der Server, von dem BeEf geladen werden sollte, bereits auf einer Blacklist und wurde daher blockiert.Trotzdem wird es zunehmend schwierig, mit den Angreifern Schritt zu halten. Selbst kundige Nutzer, die nicht auf jede E-Mail von nigerianischen Prinzen reinfallen, können so infiziert werden – und zwar, indem sie einfach nur auf einer seriösen Website surfen. Die Weiterleitung zu den Domains der Hacker über das Nachladen von Javascript-Inhalten kann nur verhindert werden, wenn das Bundestagsnetz diese Adressen auf eine Blacklist gesetzt hat und somit die Verbindungsaufbau stoppt. Das Problem: Dann setzen die Hacker eben neue Adressen auf, um sie als Malware-Schleudern zu benutzen.Die Jerusalem Post wurde schon im vergangenen Jahr zur Malware-SchleuderUnd auch andere Angriffe über ganz normale Websites sind möglich und werden immer häufiger. Ausgerechnet die Jerusalem Post hatte es bereits im vergangenen Jahr schon einmal erwischt: Damals hatten Hacker die Werbenetzwerke der israelischen Zeitung ins Visier genommen und über Fake-Banner auf der ansonsten unangetasteten Seite schädliche Malware verteilt. Auch TMZ und Rotten Tomatoes waren von diesem sogenannten Malvertising betroffen, so dass für jeden was dabei war.Zuvor berichtete Reuters unter Berufung auf das BSI, dass die Angreifer ihre Schadsoftware vermutlich über Werbebanner auszuspielen versuchten. Die Analyse von Clearsky und Domaintools erklärt den Angriff aber anders. Beim Vorfall im Januar wurde auf der Jerusalem Post und anderen israelischen Seiten demnach ein Codeschnipsel in den Quellcode der Website eingeschmuggelt – was bedeutet, dass die Abgeordneten nicht gezielt angegriffen wurden.Wenn Malvertising – also ein kompromittiertes Werbebanner – im Spiel ist, ist das nicht der Fall: Hier wird die Website nicht verändert, sondern nur parasitär als Lieferant das Werbenetzwerke benutzt, in dem sich die Hacker bei den Werbevermarktern mit einer falschen Identität anmelden und ihnen bösartige Banner unterjubeln. Bei einem Tausenderkontaktpreis von wenigen Cent ist die Auslieferung über Werbe-Malware auf gut besuchten Seiten – eine sogenannte Watering Hole-Attacke – eine extrem effektive Methode zum Schnäppchenpreis, um möglichst viele User zu infizieren.Klar ist daher erstmal nur eins: „Der Russe" war es diesmal wirklich nicht. Doch in Zeiten von klandestinen Hackerattacken, auf die geheime Untersuchungen und unter Verschluss gehaltene Abschlussberichte folgen, ist selbst diese gesicherte Information schon viel wert.
Anzeige
Anzeige
Anzeige
Anzeige