Hacking ist oft keine große Kunst, weil einfachste Sicherheitsregeln verletzt werden. Nicht allzu selten kommt es vor, dass ein Zettel mit den Zugangsdaten am Monitor hängt.
Foto: Rudolpho Duba / pixeliio.de

Hackergrüße aus dem Jugendzimmer?

Von Klaus Henning Gltza

Ein 20-Jähriger aus der mittelhessischen Provinz soll hinter dem spektakulären Hack stecken, der wochenlang die Schlagzeilen beherrschte. Der Schüler aus Homberg/Ohm soll auf Twitter in der Vorweihnachtszeit sensible Daten von knapp 1.000 Promis wie E-Mail- und Chatinhalte, Dokumente, Kontodaten und Fotos mit deutlich privatem Charakter im Stil eines Adventskalenders unter Fake-Namen veröffentlicht haben. Nach offizieller Lesart habe der junge Mann den Riesenhack ganz alleine gestemmt. Doch es gibt Skeptiker, selbst in den eigenen Reihen.

Hackergrüße aus dem Jugendzimmer? Der Datenraub- das Werk eines einzigen Täters? Dabei waren, als der Hack bekannt wurde, ganz andere Kaliber in Verdacht geraten. Von finsteren Hacker-Netzwerken war die Rede, von politischen Extremisten und ausländischen Geheimdiensten, die nachgewiesenermaßen gerne mal in persönlichen Daten herumspionieren. Alles nur überschießende Phantasie? Denn der große Angriff soll nicht aus verdunkelten Räumen oder hermetisch abgeriegelten Zentralen gekommen sein, sondern aus einem gutbürgerlichen Einfamilienhaus in einer Kleinstadt, die es zum staatlich anerkannten Luftkurort gebracht hat. Fast zu kurios, um wahr zu sein.

Wer ist dieser Johannes S. aus Homberg/Ohm? Höflich, zurückhaltend, fast schon ein bisschen schüchtern, so charakterisieren ihn Mitschüler. Ein typischer „Nerd“, sprich ein Computerfreak, der, kaum zu Hause, sofort den PC anwirft und unendlich viele Stunden an ihm verbringt. Der Vater ist ein beliebter und vielbeschäftigter Facharzt in der kleinen Stadt mit weniger als 8.000 Einwohnern, in der fast jeder jeden kennt.

Schüchtern, zurückhaltend im realen Leben- doch in der virtuellen Welt des Internets ist Johannes S. weniger bescheiden, Er nennt sich „Orbit“ oder auch „GOd“. Der Schüler ist ein junger Mensch auch, der sehr intensiv nach Beachtung und Anerkennung sucht, die er offenbar im heimischen Umfeld nicht findet. Wegbegleiter sagen ihm Geltungsdrang nach.

Als die Polizei den angeblichen Einzeltäter im Januar 2019 im elterlichen Haus aufsucht, geschah dies nicht zu ersten Mal. Bereits im Oktober 2016 statteten ihm Polizeibeamte eine „Visite“ ab. „Die Bullen stehen vor der Tür“, simst er einem Hackerkollegen, mit dem er sich regelmäßig austauscht. Schon damals Hacks der Grund für den Hausbesuch. Dich das kümmerte seinerzeit kaum jemanden, da keine Politiker unter den Betroffenen waren.

Die These von der Alleintäterschaft stammte vor allem von Johannes S. selbst. Nachdem er sich zunächst zierte, redete ihm seine Mutter ins Gewissen, worauf der Schüler ein umfassendes Geständnis anlegte. Demnach agierte er allein- ohne fremde Mithilfe.

Erste Zweifel an der Alleintäterschaft kommen auf, als BKA-Experten den jungen Mann aus Mittelhessen vor einen PC setzen. Sie geben ihm vor, die so genannte Zwei-Faktor-Authentifizierung zu knacken. Diese Authentifizierungsmethode ist beispielsweise bei EC-Karten bekannt. Neben den auf der Karte hinterlegten Daten, die beim Einstecken der Karte in Geldautomaten automatisch übertragen werden, gibt der Nutzer als zweiten Identifikationsfaktor die PIN ein. Auch bei der Zutrittskontrolle gibt es diese mehrfache Absicherung. Zum Beispiel Firmenausweis plus PIN, Fingerprint oder Gesichtserkennung. Bei Mailaccounts könnte die Zwei-Faktor-Authentifikation aus Benutzernamen, Passwort und zusätzlich einer PIN bestehen.

Typische Darstellung eines Anonymous-Hackers mit Guy-Fawkes-Maske auf der CEBIT 2016
Foto: © Von Frank Schwichtenberg - Eigenes Werk, CC-BY 4.0, https://commons.wikimedia.org/w/index.php?curid=47612333
Wie auch immer, Johannes S. schaffte es jedenfalls nicht, diese Authentifizierungsmethode zu knacken. Für die Beamten war das zumindest ein Indiz, dass der junge Mann aus gutem Haus nicht alleine wirkte, sondern in Gemeinschaft mit anderen, möglicherweise in einer Struktur. Nach außen wird aber die Alleintäterthese aufrechterhalten. Eben, weil Indizien bekanntermaßen kein Beweis sind und sich Ermittler aus taktischen Gründen ungern in die Karten gucken lassen.

Allerdings fragt sich: Musste er unbedingt mit diesen höheren Weihen des Hackings vertraut sein? Experten sagen: Wohl kaum. Denn viele deutsche E-Mail-Provider lassen die Zwei-Faktor-Authentifizierung im Gegensatz zu anderen Anbietern wie der US-amerikanischen GoogleMail erst gar nicht zu. Selbst, wenn man es wollte, könnte man dieses Sicherheitsmerkmal erst gar nicht aktivieren. Johannes S., so ist von Insidern zu erfahren, bediente sich bei seinem Datenklau überwiegend bei Mailaccounts, die Zwei-Faktor-Authentifizierungen erst gar nicht zulassen.

Aber nicht nur das: Viele der angeblich hochgeheimen Daten wie Mailadressen stammen aus öffentlich zugänglich Quellen. In den meisten Fällen haben die Betroffenen selbst ihre Kontaktdaten irgendwo veröffentlicht. Zum Teil sind die von S. veröffentlichten Daten deutlich veraltet und stammen beispielsweise aus dem Jahr 2013. Ein Beleg dafür, dass sie nicht durch aktuelle Hacks erbeutet wurden.

Außerdem muss man nicht höchstpersönlich hacken. Im Darknet, der dunklen Seite des Internets, der nur über einen Browser namens Thors zugänglich ist, wimmelt es vor Kaufangeboten gehackter Daten. E-Mail-Adressen samt Zugangsdaten gelten in diesem Umfeld nur als Fingerübungen. Wer will, kann auch Kreditkartennummern und Bankverbindungen erhalten.

Für alle, die dort nicht fündig wird, bieten sich als Alternative spezielle Foren an, in denen Hackingleistungen quasi ausgeschrieben werden. Interessenten benennen dort einfach bestimmte Aufgaben- und dann melden sich Hacker mit ihren Preisvorschlägen.

Zudem: Wie ein Hackerfreund ausplaudert, begnügte sich Johanes S. nicht mit „Bürorecherchen“. Unter anderem den Wohnsitz des Journalisten Jan Böhmermann, ein Mann, der nicht nur türkische Staatsoberhäupter, sondern auch rechte Zeitgenossen im Visier hat, habe der 20-Jährige in Augenschein genommen, um an weitere Informationen zu kommen.

Stecken rechtsextreme Gruppierungen hinter dem großen Angriff auf persönliche Daten? Zweifellos gehört Johannes S. nicht jenem Teil der Hackerszene an, die aus linksorientierten Motiven handelt. Der junge Mann aus Homberg/Ohm ist eher rechtsgewirkt und soll deutlich anti-islamistische Position vertreten. Dass er einer politisch motivierten Struktur angehört, für die er gewissermaßen als Frontmann wirkte, dafür hat die Polizei bisher keine Anhaltspunkte gefunden. Ein IT-Sicherheitsexperte ist sich aber sicher, dass es mindestens einen Mittäter gibt, der fachlich wesentlich besser aufgestellt ist als der Computerfreak aus Mittelhessen.

Egal, ob Johannes S. alleine wirkte oder organisiert ist: Politisch extreme Gruppen von ganz links bis ganz rechts haben längst die Aktionsform Hacking für sich entdeckt. Die Behörden nehmen an, dass nicht der Schüler aus Homberg/Ohm, sondern andere politisch Motivierte die gehackten Daten einer Politikerin der Linken genutzt haben, um in deren Namen Mails zu versenden. Inhalt: Ihre Partei sei der „letzte Scheiß“.

Hacking wird täglich praktiziert. Millionen von sensiblen Daten sind auf diese Weise gestohlen und offengelegt worden. Doch das Alltagshacking schafft es meist nicht auf Titelseiten der Medien. Es gibt weitaus schlimmere Fälle als die Causa Johanens S.

Und: Hacking ist keine Kunst. Wer seine Kenntnisse auf diesem Gebiet aufpolieren will, findet en masse Anleitungen im Internet. Nicht nur im finsteren Darknet, sondern auch im ganz normalen www. Johannes S. mag als Einzeltäter gelten, aber allein auf weiter Flur ist er ganz bestimmt nicht.

 

Über den Autor
Klaus Henning Glitza
Autor: Klaus Henning Glitza
Klaus Henning Glitza, Jahrgang 1951, ist Chefreporter dieser Online-Publikation. Der Fachjournalist Sicherheit erhielt 2007 den Förderpreis Kriminalprävention; seit vielen Jahren ist er Mitarbeiter im Verband für Sicherheit in der Wirtschaft Norddeutschland und Mitglied der Deutschen Gesellschaft für Kriminalistik. Vormals war er Redakteur der Hannoverschen Allgemeinen Zeitung und dort u. a. zuständig für Polizeiangelegenheiten.
Weitere Artikel

Ein Team von Computersicherheits-Hackern auf der DEF CON 17.
Foto: © Von Nate Grigg - Flickr, CC BY 2.0, Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!.

Wieso auch Ihr Unternehmen betroffen sein kann, wenn www.meingartenshop.de gehackt wurde

Von Jan Wolter, complexium

Die allermeisten Unternehmen haben verstanden, dass sie ihre Mitarbeiter nicht nur auf dem eigenen Werksgelände schützen müssen, sondern auch „im Feld“, also bei Dienstreisen insbesondere in Krisenregionen. Auch haben die allermeisten Unternehmen verstanden, dass sie ihre Daten schützen müssen – auf ihren Computern und Servern.

Wie gut sie dies dann letztendlich tun, soll hier nicht bewertet werden. Dass die Datenhoheit aber auch außerhalb der eigenen IT-Infrastruktur geschützt werden muss, scheinen bislang nur die Wenigsten begriffen zu haben. Denn so, wie die Mitarbeiter sich nicht nur auf dem Werksgelände aufhalten, befinden sich auch firmenrelevante Daten und Accounts auf anderen Servern.

Das zeigt auch der jüngste „Doxing-Skandal“, von dem zahlreiche Prominente und Politiker betroffen sind. Viele verstehen nicht, dass gar nicht ihr Account gehackt wurde, sondern der Server des Dienstes, bei dem sie sich angemeldet hatten. So hilft das stärkste Passwort nichts, wenn die Seite/Datenbank des Buchungsportals gehackt wurde, bei der man seinen Urlaub gebucht hat. Die Hacker erbeuten zu jeder E-Mail-Adresse, mit der sich Nutzer angemeldet haben, das Passwort für diesen Account auf der Seite. Die Informationen werden in einer Liste zusammengetragen. Wer in den Besitz dieser Liste kommt, kann sich also einfach einloggen – er benötigt keinerlei Hacking-Fähigkeiten.

Man spricht in diesem Zusammenhang auch von crime as a service. Jemand programmiert Schadsoftware und verkauft sie. Ein anderer kauft diese auf, um damit Datenbanken zu hacken. Ein Dritter kauft die von gehackten Datenbanken erbeuteten Informationen auf und fügt sie zusammen. Ein Vierter erstellt daraus womöglich spezielle Listen zusammen – beispielsweise gehackte Shoppingportale.

Was bedeutet dies? Ohne Hacking-Fähigkeiten kommt man an Anmeldeinformationen (Anmeldename/E-Mail und Passwort) heran. Loggt man sich in den fremden Account ein, finden sich womöglich Name, Adresse und Geburtsdatum, was für eine Identitätsübernahme – beispielsweise zum Bestellen von Waren auf fremde Rechnung – ausreicht. Finden sich darüber hinaus noch Kreditkarteninformationen, kann der Schaden entsprechend höher ausfallen. Es reicht aber auch bereits die Information, dass die Person bei dieser Seite ein Benutzerkonto hat.

Nehmen wir die fiktive Person Markus Müller. Er hat sich auf der fiktiven Seite www.ferienhaus-in-brandenburg.de für die Zeit vom 15. – 19. März 2019 ein Ferienhaus gebucht und dazu ein Benutzerkonto angelegt. Dies tat er mit seiner dienstlichen E-Mail-Adresse Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!. Nun wird die Seite gehackt. Die Hacker erbeuten dabei sämtliche Zugänge und stellen sie in einer Liste zusammen. Hier findet sich dann auch die Information wieder, dass es auf der Seite www.ferienhaus-in-brandenburg.de einen Account mit der E-Mail-Adresse Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! und dem Passwort „HBmwbiadfi1635!“ gibt.

Nun möchte jemand der „Firma-Hastenichgesehen“ schaden – womöglich ein Krimineller, ein verärgerter Ex-Mitarbeiter oder ein Konkurrent. Er scannt die Data-Breach-Datenbanken nach @Firma-hastenichgesehen.de und findet dort (unter anderem) Markus Müller. Mit dem dort aufgeführten Passwort loggt er sich ein und sieht die Buchung. Er sendet Markus Müller eine E-Mail im Stil des „Ferienhaus-in-Brandenburg“, in der er darum bittet, seine Buchung für den 15. – 19. März nochmals zu bestätigen. Dafür genüge ein Klick auf einen Link. Daten, Anschrift, alles in der E-Mail ist korrekt – Markus Müller klickt, ohne weiter nachzudenken. Der Link öffnet eine Seite, auf der man sich für die Bestätigung bedankt – und Schadsoftware auf den Rechner lädt. Einfach, schnell und gezielt kann das Unternehmen nun angegriffen werden.

Andere Mitarbeiter der „Firma-Hastenichgesehen“ haben offene Accounts bei Karriereportalen, über welche Informationen abgefischt werden können, wiederum andere bei Seitensprungportalen, woraus sich gute Möglichkeiten zur Erpressung ergeben. Auch ein Account bei meingartenshop.de hilft dem Angreifer – selbst dann, wenn hier keine weiteren Informationen hinterlegt sind. Eine freundliche E-Mail, doch mal wieder auf der Seite vorbeizuschauen, man habe gerade tolle Angebote, enthält einen vielversprechenden Link: Der führt auf eine Seite, die allem Anschein nach gerade überarbeitet wird bzw. nicht erreichbar ist – und eine Schadsoftware ausführt. Um einen möglichen Verdacht zu zerstreuen, folgt kurze Zeit später eine neue E-Mail, in der man sich für den falschen Link entschuldigt und dann korrekt auf www.meingartenshop.de verlinkt.

Die Angriffsmöglichkeiten, die sich aus Data-Breaches ergeben, sind nahezu unerschöpflich. Unsere Recherchen zeigen zudem, dass nahezu jede Unternehmensdomain in diesen Data-Breaches auftaucht. Bei größeren Unternehmen sprechen wir von mehreren Tausend offenen Accounts!

Aus unterschiedlichsten Gründen melden sich Mitarbeiter mit ihren Firmen-E-Mail-Adressen bei verschiedensten Portalen an. In einigen Fällen mag dies durchaus legitim sein. Somit entsteht eine enorme Angriffsfläche, die sich zunächst einmal nicht kontrollieren oder unmittelbar absichern lässt. Früherkennung ist daher umso wichtiger. Unternehmen müssen wissen, wenn Firmen-E-Mail-Adressen in Data-Breaches auftauchen. Mitarbeiter müssen dann entsprechend zielgerichtet geschult und sensibilisiert werden.

Wichtig ist hierbei, sensibel vorzugehen. Compliance und Datenschutz sind von elementarer Bedeutung! Die Information, dass ein Mitarbeiter bei www.meingartenshop.de einen Account hat, mag unkritisch erscheinen. Dennoch ist dies eine persönliche Information, die der Vorgesetzte nicht unbedingt haben muss. Besonders kritisch wird es, wenn Seitensprungportale auftauchen.

Und auf einen weiteren Aspekt sei hier hingewiesen: Der Angreifer benötigt keinerlei Hacking-Fähigkeiten. Datenbanken mit offenen Accounts kann er im Netz schlicht erwerben, Schadsoftware ebenso. Die heutige kriminelle Welt ist geprägt von Globalisierung, Spezialisierung und Arbeitsteilung. Ein klein wenig Phantasie, etwas Arbeit und schon begrenzte Kenntnisse reichen daher völlig aus, um einen erfolgreichen Angriff zu starten.

Es ist also auch hier wieder ein ungleicher Kampf, der gefochten wird: Die Angreifer scheinen mehr Möglichkeiten und weniger Beschränkungen zu haben – und es reicht ihnen ein Treffer. Weglaufen oder Wegschauen ist gleichwohl keine Option. Im Gegenteil! Unternehmen müssen die Bedrohung ernst nehmen und angehen. Dabei können auch sie auf Werkzeuge und Dienstleistungen zurückgreifen, die es ihnen einfacher machen. Schließlich können wir wenigstens eines von den Angreifern lernen: arbeitsteilig vorgehen. Sie müssen also nicht schutzlos sein!

 

Über den Autor
Jan Wolter
Autor: Jan Wolter
Jan Wolter ist Leiter Geschäftsentwicklung bei complexium GmbH und war zuvor 5 Jahre lang Geschäftsführer beim ASW Bundesverband.

© Kaspersky Labs GmbH

Cyberspionage-Gruppe „Chafer“ hat Botschaften im Visier

Die Experten von Kaspersky Lab haben mehrere Kompromittierungsversuche gegen ausländische diplomatische Einrichtungen im Iran mittels einer selbstentwickelten Spyware identifiziert [1]. Bei den Angriffen kamen wohl eine aktualisierte Version des Remexi-Backdoor-Programms sowie verschiedene legitime Tools zum Einsatz.

Hinter der Remexi-Backdoor wird eine verdächtige Farsi sprechende Cyberspionagegruppe Namens „Chafer“ vermutet, die zuvor mit digitalen Observationen von Einzelpersonen im Nahen Osten in Verbindung gebracht wurde. Der Fokus auf Botschaften könnte eine Neuorientierung der Gruppe sein.

Die Operation zeigt, wie Bedrohungsakteure in Entwicklungsregionen Cyberangriffskampagnen mittels relativ einfacher Malware in Kombination mit öffentlich verfügbaren Tools umsetzen. In diesem Fall verwendeten die Angreifer eine aktualisierte Version der Remexi-Backdoor, die eine Remote-Verwaltung des kompromittierten Opfer-Computers ermöglicht.

Die Malware Remexi wurde erstmals im Jahr 2015 entdeckt und von der Cyberspionagegruppe Chafer für eine digitale Überwachungsoperation eingesetzt, die es auf Einzelpersonen und Organisationen im Nahen Osten abgesehen hatte. Die in der aktuellen Kampagne verwendete Backdoor weist Ähnlichkeiten im Code mit bekannten Samples der Remexi-Malware auf. Dass zudem dieselben Ziele anvisiert werden, lässt die Kaspersky-Experten vermuten, dass die Cyberspionage-Gruppe Chafer hinter der Kampagne steckt.

Die nun entdeckte Remexi-Version kann Befehle aus der Ferne auszuführen und Screenshots, Browserdaten, einschließlich Nutzeranmeldedaten, Logins und Verlauf sowie eingegebenen Text erfassen. Die gestohlenen Daten werden mithilfe der legitimen BITS-Anwendung (Background Intelligent Transfer Service) von Microsoft, einer Windows-Komponente, die Windows-Hintergrund-Updates ermöglichen soll, herausgefiltert. Der Trend, Malware mit angemessenem oder legitimem Code zu kombinieren, hilft Angreifern dabei, Zeit und Ressourcen bei der Erstellung von Malware zu sparen und die Attribution komplizierter zu machen.

„Wenn wir über potentielle staatlich unterstützte Cyberspionage-Kampagnen sprechen, denken viele oft an fortgeschrittene Operationen mit komplexen Tools, die von Experten entwickelt wurden“, so Denis Legezo, Sicherheitsforscher bei Kaspersky Lab. „Die Personen hinter dieser Spyware-Kampagne scheinen jedoch eher Systemadministratoren als ausgeklügelte Bedrohungsakteure zu sein: Sie wissen, wie man codiert, aber ihre Kampagne beruht mehr auf der kreativen Verwendung bereits vorhandener Tools als auf neuen, erweiterten Funktionen oder einer ausgefeilten Code-Architektur. Allerdings können selbst relativ einfache Tools erheblichen Schaden anrichten. Daher empfehlen wir Organisationen, ihre wertvollen Informationen und Systeme vor Bedrohungen jeglicher Art zu schützen und Threat Intelligence zu nutzen, um zu verstehen, wie sich die Landschaft entwickelt.“

Kaspersky-Empfehlungen zum Schutz vor zielgerichteter Spyware

  • Einsatz geeigneter Sicherheitslösungen mit Technologien zum Schutz vor zielgerichteten Angriffen und von Threat Intelligence Services wie Kaspersky Threat Management and Defense [2] zur Analyse von Netzwerkanomalien und für mehr Einblick der Sicherheitsteams in das Netzwerk sowie automatisierte Reaktionen;
  • Cyber-Awareness-Schulungen wie Kaspersky Security Awareness [3] schulen Mitarbeiter, verdächtige  Nachrichten zu erkennen; E-Mails sind nach wie vor ein häufiges Einfallstor für zielgerichtete Attacken;
  • aktuelle Threat-Intelligece-Daten helfen dabei, die aktuellen Taktiken und Tools der Cyberkriminellen zu kennen und die bisher genutzten Security Controls zu erweitern.

Mehr Informationen zu Chafer und der verwendeten Remexi-Malware unter https://securelist.com/chafer-used-remexi-malware/89538/

Nützliche Links:

-PM Kaspersky Lab-

 

Quellen:

[1] https://securelist.com/chafer-used-remexi-malware/89538/
[2] https://www.kaspersky.de/enterprise-security/threat-management-defense-solution
[3] https://www.kaspersky.de/enterprise-security/security-awareness