Bundestags-Hack: Schadcode auf Servern der Linkspartei entdeckt

Ein Sicherheitsforscher hat auf Servern der Linkspartei Schadcode gefunden, der es Angreifern erlaubte, Rechner zu kontrollieren und Daten abzusaugen. Die Spur soll nach Russland führen, Beweise gibt es dafür allerdings keine.

Ein Sicherheitsforscher hat auf Servern der Linkspartei im Bundestag Schadcode entdeckt. Dieser soll es Angreifern erlaubt haben, Rechner im Netzwerk der Fraktion fernzusteuern und Daten mitgehen zu lassen. Dem Timing nach soll der Angriff sehr nah an den Trojaner-Angriffen im Mai stattgefunden haben, über die bereits seit Wochen berichtet wird. Der Sicherheitsforscher will Indizien dafür entdeckt haben, dass der Angriff auf die Linkspartei durch eine staatlich unterstützte Hackergruppe russischen Ursprungs erfolgt ist.

Wenn es um den Hacker-Angriff auf den Bundestag geht, gibt es momentan wenig gesicherte technische Informationen von der mit der Aufklärung betrauten Organisationen – dafür grassieren um so mehr Gerüchte. Da die Bundestagsverwaltung, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und an der Untersuchung beteiligte Firmen sich nicht öffentlich äußern, hatte Netzpolitik.org den Sicherheitsforscher Claudio „Nex“ Guarnieri gebeten, die Netze von interessierten Bundestags-Büros zu untersuchen. So kam es zu dem Auftrag durch die Linkspartei.

Fernwartungstool gone bad

In der Analyse Guarnieris ist von zwei unterschiedlichen Schadcode-Funden die Rede. Es handelt sich um zwei Windows-Executables, eine davon wurde auf einem Dateiserver gefunden, die andere auf einem Server, der Administrationsaufgaben erfüllt. Bei der auf dem Dateiserver gefundene Datei handelt es sich um ein quelloffenes Fernwartungs-Tool namens Winexe, mit dem von Linux aus Befehle auf Windows-Servern ausgeführt werden können. Das es auch oft für legitime Zwecke verwendet wird, wird es von vielen Virenscannern als unbedenklich eingestuft.

Der Schadcode, der auf dem Admin-Server gefunden wurde, scheint maßgeschneiderte Malware zu sein, die den Angreifern als Hintertür ins Netz gedient hat. Es wurde von seinen Entwicklern „Xtunnel“ getauft und dient dazu, eine Verbindung nach außen aufzubauen und unauffällig zu halten. Auf Grund von Indizien rechnet Guarnieri den Code einer Hackergruppe zu, die APT28 oder Sofacy genannt wird und die aus Russland stammen soll. Die Gruppe soll in der Vergangenheit bereits die NATO und das Weiße Haus angegriffen haben.

Read more

Cyber Crime, Cyber Security