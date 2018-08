Wie die Ruag-Hacker ins deutsche Aussenministerium eindrangen

Eset detailliert, wie Turla mit einer "einzigartigen Backdoor" nicht nur deutsche, sondern auch andere Ministerien hackte.

Weitere Länder, weitere Opfer

Eset meldet, man könne nun im Detail erklären, wie das deutsche Aussenministerium vor einigen Monaten erfolgreich gehackt wurde. Damals griffen die Hacker eine Lernplattform für die öffentliche Verwaltung an und benutzten sie als Sprungbrett. Das war bekannt. Die Namen Outlook und PDF fielen damals auch bereits.Nun wurde die Backdoor an sich von den Securityforschern seziert. Erste Aussage des Security-Anbieters aus Bratislava: Sowohl Outlook wie PDF waren beim Hack zwar involviert, aber es gab bei beiden Programmen keine Schwachstellen, die ausgenutzt werden konnten.Grundsätzlich geht es um eine "Turla Outlook Backdoor", benannt nach der Hackergruppe Turla, auch als "Snake" oder "Uroboros" bekannt. (Turla wird auch der Hack von Ruag zugeschrieben).Die Backdoor sei, so Eset in fast bewunderndem Unterton "einzigartig" und "hochentwickelt". Die Securityforscherbegründen ihr Urteil damit, dass die Backdoor komplett über Mails gesteuert werde. Während die Turla Backdoor nicht die erste Hintertür sei, die das echte Postfach des Opfers verwende, um Befehle zu empfangen und Daten zu exfiltrieren, "ist es die erste öffentlich bekannte Backdoor, die eine Standard-API (MAPI) für die Interaktion mit Microsoft Outlook verwendet."Der Angriff, konkretisiert Eset, basiere auf einer Backdoor, "die als DLL-Modul sogar über ein legitimes Windows-Tool installiert werden kann".Zwei Funktionalitäten der Turla Outlook Backdoor seien konkret bemerkenswert:Erstens stiehlt es E-Mails, indem es alle ausgehenden E-Mails an die Angreifer weiterleitet. Dabei stehe Outlook sowie ein in Osteuropa beliebter Mail-Client namens "The Bat!" im Zentrum des Interesses der Hacker.Zweitens würden E-Mail-Nachrichten als Transportschicht für ein Command & Control-Protokoll verwendet. Mit speziell umfunktionierten PDF-Dateien würden Befehle der Hacker ausgeführt und Befehle entgegengenommen. Das heisst, via PDF wird die "Datentresortüre" geöffnet, die Datenschätze gestohlen, verpackt und schliesslich via PDF vom infizierten Rechner auch noch verschickt.Dies bestätigt frühere Medienberichte Das Vorgehen führe dazu, dass die Backdoor schwer zu entdecken sei. Und offenbar lange nicht entdeckt wurde. Eset schreibt in einem Report , die Turla Outlook Backdoor werde sicher seit 2013 ausgenutzt, möglicherweise seit 2009 in einer weniger elaborierten Version.Beim deutschen Aussenministerium blieb denn der Hack auch einige Zeit unbemerkt: Der Angriff begann offenbar im Jahr 2016 und wurde Ende 2017 von den deutschen Sicherheitsdiensten entdeckt.Bei ihren Untersuchungen entdeckten die Eset-Forscher nebenbei, dass die Hacker nicht nur in Deutschland Erfolg hatten. Zwei weitere europäische Aussenministerien sowie ein grosser Rüstungskonzern fielen Turla zum Opfer. Weitere wurden kompromittiert, darunter Frankreich (die Top-Level-Domains und Subdomains .gov, .gouv, .ocse, .mil deuten darauf hin).Für Security-Fachleute sei erwähnt: Abgesehen von der Backdoor-Funktionalität, die als E-Mail-Client-Plugin implementiert wurde, verfügt diese Malware laut Eset "über einige Funktionen, die es zu beschreiben lohnt". Mangels Spezialkenntnissen in diesem Bereich verweisen wir auf den Report für Details.Für alle sei erwähnt: Möglicherweise haben bereits andere Hacker die Backdoor reverse-engineered, für gut befunden, weiterentwickelt und eingesetzt. (Marcel Gamma)