Hacking Kali Linux
Hacking Kali Linux
Hacking Kali Linux
Hacking Kali Linux
Hacking Kali Linux

2019-09-05 6 Minuten

Hintergrundwissen: Der ÖVP Hack

Die Hintergründe des ÖVP-Hacks laut dem ersten Prüfbericht.

Es ist oft nicht leicht, als Blogger immer wieder Themen zu finden, die die eigenen Leser interessieren könnten. Zum Glück habe ich mir eine Branche ausgesucht, in der es nicht langweilig wird.

Vor 10 Minuten war ich noch ohne Thema, jetzt steht das gesamte Konzept für meinen Artikel. Der Anlass ist, wie so oft in der IT-Security, kein erfreulicher:

Die ÖVP (die Österreichische Volkspartei) wurde gehackt.

Daraus lässt sich natürlich noch kein Blogartikel basteln, aber zum Glück findet man auch direkt einen Prüfbericht zweier bekannter IT-Security Unternehmen online:

Und weil dieser Bericht voller Buzzwords ist, und auch gewisses Vorwissen verlangt, hier die Hintergründe

Was wirklich passiert ist, ist zum aktuellen Zeitpunkt noch nicht klar – und wird es vielleicht auch nie. Dieser Artikel soll kein Urteil, kein “wer wars!?” sein. Er soll dir aufzeigen, wie solche Hacks von statten gehen – auf Basis der Informationen im Prüfbericht.

Fangen wir an.

Was ist passiert?

Diesem Foto von der Pressekonferenz nach zu urteilen, lief der Angriff wie folgt ab:

  • 27.7. wird ein Webserver gehackt. Dieser ist isoliert vom eigentlichen Netzwerk. Wie er sein sollte
  • 11.8. gelingt es den Angreifern, ins interne Netzwerk vorzudringen
  • 27.8. Zugriff auf den Fileserver – wo interne Dokumente gelagert sind
  • 28.8. Exfiltration über einen weiteren Server

Aber der Reihe nach.

Die Aufklärung

Vor jedem Hack muss man sich erst einmal klar werden, mit welchem Unternehmen man zu tun hat.

  • Welche Betriebssysteme werden verwendet?
  • Welche IP-Adressen?
  • Finde ich bereits Usernamen?

Das passiert durch relativ unauffällige Scans, wie zum Beispiel Portscans oder wpscan, wenn WordPress im Einsatz ist. In der Tat passieren solche Scans laufend im Internet – sehr wahrscheinlich ist dein Unternehmen ihnen auch ausgesetzt.

Da dieser Schritt sehr stealthy ist, ist er wohl nicht direkt im Prüfbericht zu finden. Bis dahin ist ja auch noch nix passiert.

Nur folgendes Zitat findet sich:

“Die Dauer der Vorbereitungszeit wird auf etwa ein bis zwei Monate geschätzt.”

Das glaube ich sofort. Bei einer großen Organisation kann es schon mal dauern, bis man so unauffällig wie möglich alle benötigten Infos hat. Denn: Wenn der Angriff beginnt, hat man nicht sehr lange Zeit. Obwohl: laut dem Ponemon Institute bleibt ein Angriff durchschnittlich 197 Tage unentdeckt.

In diesem Fall ging’s dann doch schneller.

“Der Angreifer erlangte über einen Webserver Zugriff auf das interne Computernetzwerk.”

Der Panama-Papers Leak (wer erinnert sich?) entstand nicht unerheblich durch ein nicht aktuell gehaltenes WordPress-Plugin. So konnten die Angreifer den Webserver übernehmen.

Weiterführend: Was ist ein Server?

Was hier bei der ÖVP passiert ist, lässt sich mit diesem kurzen Statement leider nicht sagen. Einzig: Webserver sind beliebte Angriffsziele – sie müssen ja laufend im Internet hängen. Deshalb sind sie oftmals nicht direkt im eigenen Netzwerk. Auch hier der Fall – einen dementsprechend versierten Angreifer hält das aber nicht auf (oder in diesem Fall: 15 Tage).

Dieser Blog wird zum Beispiel nicht aus meinem Firmennetzwerk ausgeliefert. Wird dieser Webserver gehackt, ist es noch lange nicht möglich, mein Unternehmen zu hacken. Es gibt aber natürlich Use-Cases, wo intern gehostede Tools interessant sein können. Optimal ist das nicht.

Aber selbst wenn man “drin ist” am Webserver, heisst das noch lange nicht, dass man das gesamte Unternehmen gehackt hat. Da fehlen noch ein paar Schritte.

“Mit einem hochpriviligierten Benutzeraccount wurde auf ungewöhnlich viele Dateien auf einem Fileshare zugegriffen.”

Wenn der Webserver oben richtig konfiguriert war, hat der Angreifer zwar Zugriff auf den Server – aber noch lange nicht auf das gesamte Netzwerk oder Unternehmen. Der Benutzer (kannst du dir wie dein eigenes Benutzerkonto am Laptop vorstellen), unter dem der Webserver-Dienst läuft, hat relativ wenige Privilegien (“low-priv”).

Er ist sozusagen der Mitarbeiter, der bis 10.000 Euro alles entscheiden darf, aber für alles darüber den Chef holen muss.

Dieser Chef ist der hochpriviligierte Benutzer in diesem Fall. Der Administrator, der root. Oder auch nur ein User, der auf bestimmten anderen Rechnern Zugriff hat.

Mit dem fängt man als Angreifer schon mehr an:

“Mit den vom Angreifer übernommenen Benutzeraccounts könnte dieser: Daten kopieren, verfälschen oder platzieren”

Es beginnt die nächste Phase des Hacks.

“Die Dateien des Fileshares wurden letztendlich über einen weiteren internen Server via FTP an eine externe Domain exfiltriert”

In den meisten Fällen hat der Angreifer irgendein Ziel. So auch hier. Nun ist es Zeit, sich möglichst unentdeckt im “gegnerischen” Netzwerk diesem Ziel zu nähern.

Wahrscheinlich liegt das Gesuchte nicht am Webserver, der ja nur der initiale Eintrittspunkt war. Man muss sich im gegnerischen Netzwerk “bewegen” (lateral movement):

“Insgesamt konnten so bis zum aktuellen Zeitpunkt (04.09.2019 – 15:45) zumindest fünf kompromittierte Systeme ausfindig gemacht werden”

Ist das Ziel dann gefunden, ist der Spaß noch immer nicht zu Ende. Irgendwie müssen die Dateien auch aus dem Netzwerk unseres Opfers exfiltriert werden.

Das gestaltet sich aber nicht so leicht. Deshalb wurde hier “ein weiterer interner Server” verwendet, über den die Dateien letztendlich aus dem Netzwerk der ÖVP exfiltriert werden konnten.

“Die identifizierten Spuren deuten auf einen nicht-automatisierten Angriff. Ausgeführt von einem externen und versierten Angreifer.”

Dieser Fakt wird relativ schnell klar, wenn man sich den Aufwand vor Augen führt, der hier laut Prüfbericht gemacht wurde. In allen Phasen bis jetzt waren Menschen am Werk – die Komponenten sind einfach zu individuell (z.B. das interne Layout des Netzwerkes), um sie zu automatisieren.

Mir ist kein Tool bekannt, das dies könnte.

Auch dass hier angeblich auf interne Dokumente abgezielt wurde lässt den Schluss zu: das war nicht automatisiert.

“Der Angreifer konnte bis zum jetzigen Zeitpunkt nicht zurückverfolgt werden, da Anonymisierungsdienste, unter anderem Tor, für seine Kommunikationskanäle verwendet wurden.”

In meinen Analysen merke ich immer wieder, wie unglaublich komplex und aufwändig es ist, die Infrastruktur für Angriffe, oder einfach nur Kryptowährungs-Scams aufzubauen, sodass man als Hintermann nicht greifbar ist.

Das Tor-Netzwerk ist hier eine sehr beliebte Technologie. Aber auch Domain-Namen müssen nicht nachvollziehbar gekauft werden.

Ziemlich aufwändig insgesamt, die gesamte “Supply Chain” des Angriffs anonym zu halten.

Dementsprechend auch das Schluss-Statement des Berichtes:

“Die konkrete Frage unseres Auftraggebers ‘Können in- oder ausländische Nachrichtendienste als Angreifer ausgeschlossen werden?’ muss zum jetzigen Zeitpunkt mit ‘Nein’ beantwortet werden.

Die sogenannte “Attribution” ist immer eine schwierige Sache bei so etwas flüchtigem und lebendigem wie das Internet. Selbst wenn sich kyrillische Zeichen irgendwo finden ließen – ein Beweis ist das noch lange nicht.

Da kann man wirklich nur mutmaßen, bis es handfeste Beweise gibt.

❗️Dir ist ein bestimmter Part nicht klar? Kommentiere deine Fragen gerne unten, ich werde diesen Artikel dann ergänzen.

Von Hackern, Wordpress, SEO & Co

  • Wo kommt mein Spam her?
  • Wie leicht ist es, eine Wordpress Seite zu hacken?
  • Wie Umzugsfirmen ihre Gaunereien mit SEO umsetzen

...wöchentlich in deiner Inbox! 🚀

13 Kommentare

  1. An den Erläuterungen von Herrn Haunschmid habe ich nichts auszusetzen. Mir erscheint allerdings insgesamt mehr Skepsis gegenüber diesem „Hack“ angebracht.

    Der Prüfbericht von SEC Consult besagt eigentlich nur: Da war jemand mit ziemlich privilegierten Zugangsrechten auf einem internen Server und hat zahlreiche Daten nach draußen kopiert. Die Identität des Angreifers konnte nicht ermittelt werden. Das ist so wenig, dass man sich fragt, warum die ÖVP damit eigentlich an die Öffentlichkeit geht.

    Der letzte Satz im „Zwischenbericht“ könnte aber einen Hinweis bieten: „Können in- oder ausländische Nachrichtendienste als Angreifer ausgeschlossen werden?“ Natürlich lautet die Antwort „Nein“. Weil überhaupt nichts ausgeschlossen werden kann. Kann Ali Baba als Angreifer ausgeschlossen werden? Nein. Kann Satan als Angreifer ausgeschlossen werden? Nein. Kann die ÖVP selbst als Angreifer ausgeschlossen werden? Nein.

    Kann ausgeschlossen werden, dass die ÖVP die Öffentlichkeit nur auf den Gedanken bringen möchte, sie sei zusammen mit der FPÖ Angriffen ausländischer Geheimdienste ausgesetzt? Um vielleicht besser verwischen zu können, dass ihre eklige Koalition mit den Schmuddelkindern der österreichischen Politik geplatzt ist, weil ihr brauner Koalitionspartner mit beiden Armen tief im Klo erwischt wurde?

    Nein, auch das kann natürlich nicht ausgeschlossen werden. Wird aber leider auch nicht gefragt.

  2. Interessant: „Mit einem hochpriviligierten Benutzeraccount wurde auf ungewöhnlich viele Dateien auf einem Fileshare zugegriffen.“ Das heißt also: Es müsste, könnte, dürfte ein „hochrangiges Mitglied oder Ex-Mitglied der ÖVP“ diese Zugriffsmöglichkeit gehabt haben. Ein „Maulwurf“, der die türkise Politik ablehnt? Ein „Insider“, der nicht mehr im ÖVP-Pool der Macht mitspielen darf?

    1. Bitte nicht verwechseln: Das heißt es nicht unbedingt. Hochpriviligiert heisst hier im technischen Sinn, dass ein User Administrator ist bzw. erweiterte Rechte hat. Das ist nicht gleichzusetzen mit einem hohen Rang in der jeweiligen Organisation.

  3. Sorry

    Hier wird Halbwissen als technische Tatsache verkauft.
    Und wenn Werkzeuge für z.b. Penetrationstests als Hackertools bezeichnet werden, hat der Autor sämtliche Credits verspielt.

    Man kann technisch richtig und Laienfreundlich schreiben, muss mann halt können.

    Tatsache ist das der Securtitystandard in Österreich eher sehr niedrig ist.

    Gute Firmen leisten sich unabhängige Security Audits, aber die meisten meinen halt dies seinen einsparbare Kosten.
    Und ja gute unabhängige Security Audits kosten halt (geld und Personalressourcen), aber da wird dann (ein)gespart.
    Dürft halt bei der ÖVP nicht anders sein.

    LG
    Michael

    1. Hallo Michael,

      mich erstaunt deine Sichtweise auf diesen Artikel. Ist jetzt etwas falsch? oder schmeckt dir einfach der Schreibstil des Authors nicht?
      Für mich ist es absolut egal was für ein Tool da genau verwendet worden ist, wenn es ein Hacker verwendet, ist das für mich ein Hacker-Tool. Ich bin selbst nicht wirklich bewandert auf diesem Gebiet, konnte dem Artikel aber sehr gut folgen. Wenn das bei dir nicht funktioniert hat, dann lies doch einfach wo anders. Dein gesamter Kommentar ist meiner Meinung nach nur Negativität ohne Inhalt oder Kritik.

      Danke für die objektive Erläuterung zu diesem prekären Thema @Martin Haunschmid!

      LG
      Benjamin

    2. Hallo,

      Danke fürs Feedback. Wäre sehr hilfreich, wenn Sie mir konkrete Beispiele nennen könnten, wo ich technisch nicht richtig liege. Dann bessere ich diese natürlich sofort aus.

      Bzgl. Tools: natürlich werden die für Pentester/von Pentestern geschrieben. Aber eben genau auch von Hackern verwendet. Die werden sich ihren nmap nicht selbst schreiben (oder nur in seltenen Fällen).

      LG
      Martin

  4. Der Beweis, dass Daten manipuliert wurden, wäre doch m.E. leicht anzutreten. Selbst auf meinem NAS hab ich ein inkrementelles Backup meiner wichtigen Daten mitlaufen. Bei einer so großen Organisation sollte das doch ebenfalls passieren. Ergo sollte doch eine Gegenüberstellung manipulierter Dateien zu den letzten existierenden Originalen ein Leichtes sein.

  5. Dass der Ablauf theoretisch korrekt dargestellt wurde ist klar; aber kann man feststellen, wie realistisch oder wahrscheinlich das ist? Ist es typisch, dass Hacker in ein Netzwerk eindringen, um Daten zu manipulieren und dann von dort aus (!) zu leaken?

  6. Dieses Flipchart ist einfach Unsinn. Eine DMZ ist ein Netzsegment und nicht eine Sammlung von Nodes über die man sich ins interne Netz weiterhangelt. Da müsste schon die Firewall gehackt werden um diese Pfade zu beschreiten

  7. Vielen Dank!
    Bin über Twitter hier gelandet und was den Bericht der SEC Consult bzgl. #övpfiles betrifft jetzt tatsächlich um einiges schlauer.
    Vielen Dank für Ihre rasche Mühe.

    lg max wagner

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.