Bundeshack: Angreifer kompromittierten 17 Rechner im Auswärtigen Amt

Nach Sondersitzungen mehrerer Bundestagsausschüsse am Freitag herrscht etwas mehr Klarheit, wie die Angreifer beim „Bundeshack“ ins Auswärtige Amt eingedrungen sind. Wie Vertreter des Innenministeriums und des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor den Abgeordneten ausführten, hackten die Datenspione zunächst einen Webserver der Bundesakademie für öffentliche Verwaltung (BAköV) in Brühl, die an das Regierungsnetz Informationsverbund Berlin-Bonn (IVBB) angeschlossen ist. Mithilfe eines dort hinterlegten Trojaners gelang es ihnen dann, 17 Rechner im Außenministerium zu kapern.

Den Server auf der Hochschule des Bundes ließen die Hacker nach der ursprünglichen Attacke mit einer Phishing-Mail weitgehend intakt, führten dort bis Januar 2017 keine weiteren Aktivitäten aus, nachdem sie dort die Schadsoftware beziehungsweise die Download-Quelle dafür hinterlegt hatten. Dabei handelte es sich möglicherweise um die Spionagesoftware Uroburos, die Sicherheitsexperten von G Data 2014 entdeckten und die angeblich auf Wurzeln bei russischen Geheimdiensten hindeutet. Das nach der „Urschlange“ benannte Programm verbreitet sich selbstständig in den infizierten Netzwerken. Das Rootkit besteht aus zwei Dateien für 32- und 64-Bit-Windows-Systeme mit einem Treiber und einem Modul zum Datenabfischen.

Quelle: Bundeshack: Angreifer kompromittierten 17 Rechner im Auswärtigen Amt | heise online