Schafften Hacker ihre Beute via Outlook weg?

Daten der deutschen Regierung sollen auf einem neuen Weg verschwunden sein. Ist er neu? Inside-it.ch hat Melani und andere Schweizer Experten gefragt.
 
"So schleusten die Hacker Daten aus dem Auswärtigen Amt", titelte die renommierte 'Süddeutsche Zeitung' und beschrieb im Artikel, es sei Outlook ausgenutzt worden und dies in einer Form, wie sie noch nicht öffentlich beschrieben worden sei.
 
Beschreiben wir diesen Weg: Erst wurden Server infiziert (wie auch immer dies geschah). Dies mit Malware, die das Outlook-Postfach scannte und auf Anweisungen wartete. Per Mail hätten dann die Hacker Kontakt mit dem infizierten Server aufgenommen. In einem Mail-Anhang (Word? Excel? PDF?) seien die Anweisungen der Hacker gekommen. "Solche Anhänge werden von Outlook heruntergeladen, ohne dass der Nutzer mit ihnen interagieren muss", so die 'Süddeutsche Zeitung' etwas vage.
 
Nun wurden – wie auch immer – sensible Daten beschafft beim Auswärtigen Amt. Diese galt es abzutransportieren. Dafür gab es nur einen Weg, so die 'Süddeutsche Zeitung': E-Mail. Alle anderen Wege, die Beute aus dem dedizierten Netz IVBB des deutschen Staats wegzuschaffen, seien verschlossen gewesen.
 
Oder, umgekehrt geschlossen, weil, wie oben geschildert, Mail der einzige Fluchtweg gewesen sei, dürfte "auch die Kontrolle der Schadsoftware über Mails gelaufen sein", so die 'Süddeutsche Zeitung' mit Berufung auf ungenannte Security-Experten.
 
Insgesamt sollen 17 Server infiziert gewesen sein und dies von Turla-Hackern und/oder deren Malware.
 
Disclaimer: Es muss offen bleiben, ob die Malware-Familie "Turla" eingesetzt wurde und ob die Attacke durch die gleichnamige Hackergruppe (alias "Snake", alias "Sofacy", alias "Uruburos") durchgeführt wurde. Die deutsche Regierung schweigt dahingehend.
 
"Malware Turla hat ein Outlook-Plugin"
Jedenfalls sei der Weg via E-Mail unauffällig und "elegant", wird ein Experte zitiert. Was ist an diesem "nie beschriebenen Weg" dran? Ist er plausibel? Wir haben Schweizer Security-Experten gefragt.
 
Umberto Annino, Präsident des Fachverbands Information Security Society Switzerland (ISSS) sagt: "Den unauffälligsten Weg zu wählen, um die Kontrolle und Exfiltration vorzunehmen, ist nicht neu. Dass man Outlook dafür benutzte, ist offenbar nicht so öffentlich bekannt und ich schliesse mich der Beschreibung 'elegant' an. Einerseits sind die Verbindungen zwischen Outlook und Exchange (proprietär) verschlüsselt, andererseits geniessen Mails eben ein ziemliches 'Vertrauen' und Steuerbefehle können einigermassen gut getarnt werden in einem normalen Mail."
 
Melani hat den Schweizer Ruag-Hack untersucht, der mit Turla-Malware ausgeführt wurde. Melani-Chef Pascal Lamia sagt: "Turla hat verschiedene Funktionen, unter anderem auch die des Outlook Plugin, welches anscheinend gemäss der 'Süddeutschen' beim Vorfall in Deutschland benutzt wurde."
 
Microsoft wollte gegenüber der 'Süddeutschen Zeitung' keine Stellung beziehen. Unklar ist auch nach wie vor, wie die Malware ins IVBB-Netz gelangen konnte und warum sie überhaupt auf dem System ausgeführt werden konnte. Als Lücke wird eine E-Learning-Plattform genannt.
 
Als Täter, darauf deute auch die Outlook-Methode hin, käme primär eine Gruppe von Hackern in Frage, die im Auftrag der russischen Regierung agieren soll.
 
Alles schon gehabt beim Ruag-Hack?
Abschliessend die Frage an den Melani-Chef bezogen auf den Ruag-Hack, bei dem ein Mitglied der Turla-Familie sicher zum Einsatz kam: Könnte es Gemeinsamkeiten zum deutschen Regierungshack geben, bezüglich Angriffsvektor oder anderem? "Beim Ruag-Vorfall waren keine Plugins in der Malware aktiviert", so Lamia. (Marcel Gamma)