Cyber-Spionage-Angriff auf Bundesverwaltung enthüllt

9. Mai 2008, 12:25
  • security
  • cyberangriff
image

Spionage-E-Mails führen Bundesbeamte auf den Leim. Ausserdem: Cyber-Angriffe auf Parlament.ch, Swisscom und andere: Bilanz eines Security-Halbjahres in der Schweiz.

Spionage-E-Mails führen Bundesbeamte auf den Leim. Ausserdem: Cyber-Angriffe auf Parlament.ch, Swisscom und andere: Bilanz eines Security-Halbjahres in der Schweiz.
Die Melde- und Analysestelle Informationssicherung (Melani) hat ihren aktuellen Halbjahresbericht zu Trends in der Internetkriminalität veröffentlicht. Die Bundesstelle schildert darin erstmals einen mittels gefälschten E-Mails durchgeführten Spionageangriff auf die Bundesverwaltung, der sich im letzten Dezember zugetragen hat.
Gemäss Pascal Lamia, Mitarbeiter beim Informatikstrategieorgan Bund ISB und Leiter von Melani, wollte man bisher nicht an die Öffentlichkeit gehen, um die Untersuchung des Vorfalls nicht zu gefährden. Inzwischen sei aber in der Sache eine Strafanzeige eingereicht worden. Aus Rücksicht auf das laufende Strafverfahren wollte er uns keine weitere Auskunft über die möglichen Täter geben.
Der Spionageversuch wurde, so Lamia, relativ schnell bemerkt und konnte danach sofort blockiert werden. Bis dahin waren zehn Bundesangestellte auf den Betrug hereingefallen, so dass ihre PCs infiziert wurden. Gemäss Lamia versuchten die Angreifer nicht, an spezifische Daten heranzukommen, sondern sammelten eher ungezielt Informationen. Seiner Meinung nach könnte es sich dabei um den Versuch gehandelt haben, einen weiteren, grösseren und gezielteren Angriff vorzubereiten. Seither sei aber nichts weiteres passiert.
Die Machart des Angriffs charakterisiert Lamia als sehr professionell - daher hätten die geleimten User auch keine weiteren Konsequenzen zu befürchten. Zwischen Ende November bis Anfang Dezember 2007 wurden insgesamt rund 500 E-Mails an Mitarbeitende der Bundesverwaltung verschickt. Als Absender war eine Bundesstelle angegeben, welche auf einen vermeintlichen Fotowettbewerb hinwies, und die Mails waren jeweils mit der korrekten Anrede des Empfängers versehen.
Die Empfänger wurden darin aufgefordert, einen in der E-Mail enthaltenen Link anzuklicken, um am Wettbewerb teilzunehmen dazu. Die Webseite, auf die sie gelangten, war gemäss Melani eine in einem afrikanischen Staat gehostete aber "täuschend ähnliche" Kopie der Website der Bundesstelle, die als Absender der Mails angegeben war. Wer dort auf ein Foto klickte, handelte sich einen Screensaver ein, welche Malware enthielt. Im Dezember wurde diese durch die gängigen Virenscanner noch nicht erkannt. Wie die Untersuchung ergab, handelte es sich um um eine Trojaner-Software, welche aus dem Internet Spionageprogramme nachladen und ausführen sollte. Die Malware versteckte sich in laufenden Prozessen, die mindestens teilweise immer aktiv sind. Zudem benutzte sie Ports für die Kommunikation mit Servern im Internet, die an Netzübergängen (z.Bsp. durch Firewalls) selten blockiert werden.
Aktuelle Bedrohungen: Modulare Malware und vor allem Botnetze
Diese Art von Angriffen, bei der schrittweise vorgegangen wird und die eingesetzte Schadsoftware modular aufgebaut, individuell aus "Baukästen" zusammengestellt und auch von laufend aktualisierten Virenscannern zuerst nicht erkannt wird, ist gemäss Melani einer der gegenwärtigen grossen Trends in der Internetkriminalität. Allerdings werden auch die technischen Sicherheitssysteme immer besser, und daher rückt der Mensch stärker in den Mittelpunkt der Bemühungen der Kriminellen. Um "Social Engineering" zu betreiben, beziehungsweise weniger gestelzt ausgedrückt, die User hereinzulegen, werden immer spezifischere Informationen über die Angriffsziele gesammelt und verwendet.
Als grösste aktuelle Bedrohung bezeichnet Melani allerdings die "Botnetze": Computer, auf welche die Angreifer bereits Malware einschleusen konnten und die dann ferngesteuert und heimlich in Netzwerke eingebunden werden. Diese Botnetze werden für den Versand von Spam, das Hosting illegaler Inhalte, die Installation von Werbeprogrammen oder die sogenannten Distributed-Denial-of-Service (DDoS)-Attacken verwendet.
Bei DDoS-Attacken versuchen die Angreifer, ein System durch Überlastung lahmzulegen. Neben einfacher Schadenfreude kann Erpressung oder die Schädigung vom Konkurrenten ein Motiv dafür sein.
Einen solchen Angrifff gab es zum Beispiel im letzten Dezember auf die Webseite der Schweizer Bundesversammlung, Parlament.ch. Diese wurde dadurch einige Tage lang (vom 14. bis 18. Dezember) beeinträchtigt. In kurzen Abständen wurden, so Melani, automatisierte Suchabfragen gestartet, die lange Resultatlisten erzwangen, was die Antwortzeit des Servers beeinträchtigte. Die Anfragen kamen von anonymisierten IP-Adressen. Was die Angreifer motivierte, ist unklar. Als Gegenmassnahme wurde die Suchabfragen eingeschränkt, was die Stabilität des Systems wieder hergestellte. Unter anderem wurden in der zweiten Hälfte 2007 auch auf Swisscom und die Webseite von 'sexy-tipp' DDoS-Angriffe durchgeführt, welche spürbare Auswirkungen hatten.
Phishing über Schweizer URLs
Daneben berichtet Melani, dass Schweizer Domains für Phishing missbraucht wurden. Im zweiten Halbjahr 2007 registrierte eine kriminelle Organisation Hunderte von .ch-Domänennamen und verwendete sie für Phishing-Attacken auf englische Finanzinstitute.
.ch-Domänennamen werden von der Stiftung Switch verwaltet. Das Registrierungsverfahren der Switch ermöglicht es, URLs zu kaufen, die dem Käufer sofort zur Verfügung stehen. Sobald die Zahlung erfolgt ist, wird der Domänenname aktiviert und ist zur Nutzung bereit.
Um gegen den Missbrach des Systems anzukämpfen, arbeiten nun Switch und die Koordinationsstelle zur Bekämpfung der Internetkriminalität Kobik zusammen. Wenn Kobik glaubt, dass eine Domäne zu kriminellen Zwecken genutzt wird, wird sie Switch gemeldet, welche sie blockiert. Dadurch wurde, so Melani, ein deutlicher Rückgang der Phishing-Fälle über Schweizer Domänen erreicht. (Hans Jörg Maron)

Loading

Mehr zum Thema

image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023