zurück zur Übersicht

Erneuter Hackerangriff auf den Bundestag

Ein weiterer Sicherheitsvorfall beschäftigt aktuell den Deutschen Bundestag und die Medien. Demnach wurde angeblich unter dem Absendernamen „Angela Merkel“ eine Einladung zu einer Telefonkonferenz an mehrere Abgeordnete per E-Mail verschickt. Diese Phishing-E-Mail enthielt einen Link zu einem PDF-Dokument, welches das bereits bekannte Schadprogramm Geodo enthielt.

Geodo trat bereits im vergangenen Jahr vermehrt im deutschsprachigen Raum auf und wurde hauptsächlich als gefälschte Rechnung oder Buchungsbestätigung versendet. Wird ein Rechner infiziert, werden auf diesem Zugangsdaten für E-Mail-Konten ausgespäht und an den C&C-Server (Command and Control-Server) des Angreifers übermittelt, um über diese Accounts dann weitere E-Mails zu versenden.

Bei dem aktuellen Vorfall im Bundestag wird zudem ein Trojaner auf den infizierten Windows-Systemen abgelegt, der Word-Dokumente ebenfalls an den C&C-Server sendet, was dem Vorfall hohe Brisanz verleiht, da hierdurch die Vertraulichkeit geheimer Dokumente nicht mehr sichergestellt ist.

Entgegen erster Meldungen, die Fake-Mails seien im Rahmen des aktuell andauernden Cyberangriffs direkt von Merkels infiziertem Rechner versendet worden, steht der Angriff nach derzeitigem Kenntnisstand nicht in Verbindung mit dieser neuen Attacke. Vielmehr handelt es sich hierbei um eine klassische Phishing-Nachricht, bei der „gekaperte“ Zugangsdaten für E-Mail-Konten missbraucht wurden und als Absendername lediglich Angela Merkel genannt wird. Daher ist davon auszugehen, dass es sich bei diesem Vorfall um einen Trittbrettfahrer oder einen unabhängigen Angreifer handelt.

Die betroffenen Abgeordneten hätten laut Medienberichten die Fälschung eigentlich anhand des verwendeten Wortlauts und des angegebenen Links zum PDF-Dokument bemerken müssen. Zudem wurden als Absenderadressen die von Gärtnereien oder Sanitär-Firmen verwendet. Ausländische E-Mail-Adressen seien auch darunter gewesen.

Dies zeigt zum einen, dass der Faktor Mensch in der IT-Sicherheit eine große Rolle spielt. Zum anderen wird auch offensichtlich, dass an dieser Stelle die technischen Möglichkeiten noch nicht vollends ausgeschöpft sind. Laut Medienberichten wird vermutet, dass genau dies der Angreifer auch demonstrieren wollte.

Mit Hilfe eines SIEM Systems (Security Information and Event Management) in Kombination mit Threat Intelligence Feeds wäre dieser Angriff in kürzester Zeit aufgefallen und die Kommunikation mit dem C&C-Server hätte sofort unterbrochen werden können.

Sie möchten mehr erfahren? Wenden Sie sich an uns!

Links:

http://www.heise.de/newsticker/meldung/Trojaner-Angriff-auf-Bundestag-Merkel-Mail-leicht-erkennbarer-Fake-2690749.html
http://www.spiegel.de/netzwelt/netzpolitik/angebliche-mails-von-angela-merkel-entpuppen-sich-als-faelschungen-a-1038903.html

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf

Bild:
Fotolia_39007916_L_© sippakorn

Schreibe einen Kommentar