NSA: weltweit Server gehackt

Auszug der mutmaßlich von der NSA gehackten Server

31. Oktober 2016

Die Hacker-Gruppe "The Shadow Brokers" macht wieder von sich reden, indem sie eine Liste von mutmaßlich von der NSA gehackten Servern veröffentlicht. Die meisten der mehr als 300 betroffenen Rechner stehen in China, gefolgt von Japan, Südkorea, Spanien, Deutschland, Indien, Taiwan, Mexiko, Italien und Russland. Die Daten scheinen aus dem Hack der mit der NSA assoziierten Equation Group zu stammen.
Edward Snowden twittert:

Bemerkenswert hierbei: Die NSA hackt befreundete Länder und Universitätssysteme, um von diesen Opfern aus eigene Angriffe zu starten. Scheint ungesetzlich zu sein.

WinFuture.de konkretisiert:

Eine ganze Reihe von betroffenen Servern wird unter Domains Russlands und Chinas betrieben. Dies entbehrt nicht einer gewissen Ironie. Immerhin werden Politiker und Militärs der USA nicht müde, ständig zu erwähnen, dass aus diesen beiden Ländern die IT-Sicherheit kritischer IT-Systeme von US-Behörden und -Unternehmen bedroht sei und man sich daher für einen Schlagabtausch im Netz rüsten müsse…
Als Ausgangspunkt für NSA-Angriffe auf andere Systeme dienten so auch Geräte im Rechenzentrum der Bundeswehr-Universität in München. Hinzu kommen hierzulande aber auch Server der Unis in Rostock, Gießen und Erlangen. Insbe-sondere der Missbrauch der Systeme der Bundeswehr-Uni kann heikel sein – wenn das eigentliche Opfer dies nicht in der eigentlichen Form erkennt, sondern annimmt, vom deutschen Staat attackiert worden zu sein.

Und watson.ch berichtet aus der Schweiz:

watson hat sich die von den Hackern publizierte Liste angeschaut. Darauf ist mindestens drei Mal der Standort Genf zu finden. Die entsprechenden IP-Adressen führen zur Universität Genf, die somit mutmaßlich für Hacker-Attacken der NSA missbraucht worden ist. In der Schweiz betreibt die Stiftung Switch das Schweizer Hochschulnetzwerk. Sie vernetzt die Hochschulen seit 1989 und unterstützt die Schweizer Wirtschaft im Kampf gegen Internetkriminalität.
Auf Anfrage bestätigt Switch den Angriff: «Infektionen im Netz sind nichts Außergewöhnliches und passieren mehrmals täglich. Speziell an diesem Fall ist der Absender NSA. Konkret waren im Zeitraum von 2001 bis 2003 drei Server der Universität Genf betroffen.

WinFuture.de | Golem.de | Ars Technica | derStandard.at | watson.ch | SPIEGEL ONLINE

Die Shadow Brokers haben die NSA gehackt

NSA hacked

16. August 2016

Die Belege sind erdrückend: Einer Hackergruppe namens „The Shadow Brokers“ ist es gelungen, eine andere Hackergruppe, die dem US-Geheimdienst NSA zugeordnet wird, und die von Sicherheitsexperten als „Equation Group“ bezeichnet wird, zu hacken. Dabei haben sie streng geheime Angriffssoftware der NSA kopieren können, mit denen Firewalls und Router unter anderem von Cisco, Juniper und Fortinet überwunden werden können. Malware also, mit denen sich ganze Netzwerke infiltrieren lassen.
Einen Teil der erbeuteten Software haben die „Shadow Brokers“ einfach öffentlich ins Netz gestellt. Eine Datei hat den Codenamen „Extrabacon“ und mit ihr konnte der US-Geheimdienst unbemerkt bestimmte Firewalls des US-Herstellers Cisco hacken und so in fremde Netzwerke eindringen. Die hierbei genutzten sog. Zero-Day-Exploits – Ausnutzen einer entdeckten Sicherheitslücke im System bevor eine Sicherheitsmaßnahme ergriffen werden kann – sollten eigentlich nicht mehr möglich sein, da die NSA sich verpflichtet hatte, solche Sicherheitslücken bei US-Unternehmen i.d.R. sofort an die betreffenden Firmen weiterzuleiten, um diese schließen zu können. Das war hier offensichtlich seit drei Jahren nicht geschehen!

Die „Shadow Brokers“ kündigen an, die andere Hälfte der erbeuteten Software für 1 Million Bitcoins im Netz zu versteigern… Diese Aktion könnte aber auch eine ganz andere Stoßrichtung haben, wie sie Edward Snowden in 13 Tweets darstellt, die etwa so enden:

Ich vermute, hier geht es mehr um Diplomatie als um Geheimdienstinformationen, im Zusammenhang mit der Eskalation um den DNC-Hack. Indizienbeweise und Lebenserfahrung deuten auf russische Verantwortlichkeit.
Dieser Leak ist wahrscheinlich eine Warnung, dass jemand die US-Verantwortung für alle Angriffe, die von diesem Malware-Server ausgegangen sind, beweisen kann. Das könnte erhebliche außenpolitische Konsequenzen haben. Besonders wenn eine dieser Operationen auf US-Verbündete gerichtet ist. Besonders wenn irgendeine dieser Operationen sich auf Wahlen bezog.

Dementsprechend könnte dies ein Versuch sein, Entscheidungsträger zu beeinflussen, die sich fragen, wie scharf man auf die DNC-Hacks reagieren sollte. Dieser Leak sieht so aus, als ob jemand eine Nachricht sendet, dass eine Eskalation im Spiel der Schuldzuweisungen schnell sehr unangenehm werden könnte.

Die Süddeutsche fasst zusammen:

Snowden schreibt, die Veröffentlichung des NSA-Materials solle die USA womöglich von allzu scharfen Reaktionen abhalten. "Zusammengefasst: Dieser Leak sieht so aus, als würde jemand eine Nachricht senden wollen, dass das 'Attribution Game' (also eindeutige Schuldzuweisungen für Cyber-Attacken) schnell schmutzig werden könnte."
Das deckt sich mit der Einschätzung von Bruce Schneier. Der Sicherheitsexperte schreibt, dass nur zwei Regierungen als Verantwortliche in Frage kämen: Russland und China. Er würde auf Russland setzen, und darauf, dass es eine Botschaft an die Obama-Regierung sei: "Bevor ihr auch nur darüber nachdenkt, uns für den DNC-Hack zu bestrafen, solltet ihr wissen, wo wir gewesen sind und was wir euch antun können."

ZEIT ONLINE | ZEIT ONLINE | ZEIT ONLINE | Süddeutsche.de | Süddeutsche.de | SPIEGEL ONLINE | SPIEGEL ONLINE | netzpolitik.org | Snowden/Twitter | The Hacker News | Schneier on Security

Hackerangriff auf ukrainisches Stromnetz

22. Januar 2016

Am 23. Dezember 2015 war im Südwesten der Ukraine vorübergehend der Strom ausgefallen. Etwa 700.000 Menschen saßen plötzlich im Dunkeln. Die Ursachen dieses Blackouts scheinen noch immer nicht vollständig aufgeklärt zu sein. Mehrere Sicherheitsexperten gehen aber inzwischen davon aus, dass hier ein Cyberangriff – ev. von einer russischen Hackergruppe – den Stromausfall ausgelöst hat.
Süddeutsche.de argumentiert:

Der ukrainische Inlandsgeheimdienst SBU beschuldigt ohnehin die russische Regierung. Der Angriff könnte eine Racheaktion gewesen sein: Wenige Wochen zuvor hatten ukrainische Nationalisten mehrere Strommasten gesprengt, über die Strom auf die von Russland annektierte Krim geliefert wurde.

heise Security berichtet:

Die slovakische Sicherheitsfirma ESET berichtet, dass Mitarbeiter ukrainischer Energielieferanten ihre Rechner zunächst über eine Phishing-Attacke mit [dem Makro-Trojaner] BlackEnergy infiziert haben sollen. Sie hätten Microsoft-Office-Dateien geöffnet, die Makros mit Schadroutinen enthielten und ausführten. Makro-Malware dieser Art ist momentan wieder stark im Kommen.

ZEIT ONLINE ergänzt:

Die Malware-Familie BlackEnergy ist bekannt. Schon 2014 hatten Hacker mit damit auf ähnliche Weise staatliche Organisationen und Unternehmen in Polen und der Ukraine attackiert. Dabei konnten sie auf Passwörter und Dateien zugreifen.
Mittlerweile haben die Täter BlackEnergy mit einem Feature namens KillDisk ausgestattet. Das kann nicht nur Festplatten beschädigen, indem es wichtige Systemdateien löscht. Laut ESET beinhaltet es auch Funktionen zum Sabotieren von Industriesystemen. In diesem Fall sollen sie dazu geführt haben, dass die Verbindung zwischen mehreren Umspannstationen abbrach.

In einem ersten Resümee schreibt die FAZ.NET:

Falls sich die Vermutung bestätigt, wäre das der erste durch Hacker verursachte Stromausfall – und die dritte Cyber–Attacke überhaupt, die bekanntermaßen zu physikalischen Schäden führte. Der erste Fall, war der des Computerwurms „Stuxnet“, der laut Medienberichten Tausende Zentrifugen des Iranischen Atomprogramms zerstörte. Der zweite war die Attacke auf ein Deutsches Stahlwerk, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2014 in einem Bericht beschrieb.

Bundestag muss Computersystem abschalten

Bild: Werner Kunz (Montage)

20. August 2015

Mitte Mai war bekannt geworden, dass Bundestagscomputer Ziel einer Cyberattacke geworden waren. Unbekannte hatten einen Trojaner ins Netzwerk eingeschleust und Daten abgezweigt. Wer hinter dem Angriff steckt, ist noch immer nicht bekannt.
Fast drei Monate hat es gedauert bis die zuständigen Experten vorläufige Analysen des Schadensausmaßes erstellt und Vorbereitungen zu einer Generalüberholung des Computersystems des Bundestages abgeschlossen hatten. Jetzt endlich soll das System abgeschaltet und neu aufgesetzt werden. Dazu sind wohl auch mehrere zentrale Server auszutauschen.
ZEIT ONLINE berichtet: Es soll mehrere Tage überarbeitet werden und am Montag wieder betriebsbereit sein. "Es mussten alle ihre Systeme runterfahren, und jetzt sind wir offline", sagte der Sprecher der Bundestags, Ernst Hebeker. Ziel sei ein "sauberes und sichereres System".
ZEIT ONLINE zitiert dann noch Constanze Kurz, die Sprecherin des Chaos Computer Clubs: "Man muss davon ausgehen, dass der Bundestag für Monate ein offenes Buch für die Angreifer war". Das sei peinlich für das Parlament. Die Bundestagsverwaltung müsse nun dafür sorgen, Sicherheitslücken zu schließen. Zudem müsse man die Parlamentarier gut informieren. "Der Nutzer ist immer ein Risiko."

Bundestag noch nicht befreit…

Bild: Werner Kunz (Montage)

19. Juni 2015

Vor mehr als 5 Wochen hatten IT-Spezialisten des Parlaments und auch Experten des Verfassungsschutzes im Cyberabwehrzentrum des Bundes Symptome eines Cyberangriffs auf den Bundestag erkannt.
Die Hacker, die vermutlich mithilfe eines in einer E-Mail versteckten Trojaners in das Bundestagsnetz "Parlakom" eingedrungen waren, haben dort Passwörter stehlen und sich so Administrator-Zugangsberechtigungen verschaffen können. Neben Dienstcomputern in den Gebäuden des Bundestags sind wohl auch Rechner in Wahlkreisbüros betroffen.
Nun steht fest, dass bei dem Angriff tatsächlich Daten abgeflossen sind, u.a. wurden große Mengen vertraulicher E-Mails kopiert und ausgeschleust. Nach bisherigen Erkenntnissen Daten in einer Größenordnung von rund 16 Gigabyte. Ein weiterer Datenabfluss auch von geheimen Dokumenten kann nicht ausgeschlossen werden, da einige Rechner noch immer durch eingeschleuste Trojaner infiziert sein könnten.
Die zuständigen Dienste versuchen weiter, den Schaden zu analysieren und einzugrenzen. Aufgrund der Komplexität der eingesetzten Schadprogramme und des hochprofessionellen Vorgehens der Täter wird vermutet, dass der Angriff von einem ausländischen Geheimdienst ausgeht. Indizien legen nahe, dass man es hier mit russischen Cyberspionen zu tun hat.
Der eingeschleuste Trojaner hat sich so tief in die IT-Infrastruktur eingefressen, dass das IT-System des Bundestags wohl zumindest in Teilen erneuert werden muss. Experten gehen davon aus, dass dies noch Monate in Anspruch nehmen wird.
Von Seiten der betroffenen Parlamentarier und in den Medien wird nun auch Kritik laut am Umgang der Verantwortlichen mit dem Cyberangriff. Offensichtlich hatte man die mit der Digitalisierung einhergehenden Probleme gewaltig unterschätzt und stand dem Desaster z.T. hilflos gegenüber.
So nahm es die Verwaltung mit der IT-Sicherheit manchmal nicht so genau. Viele Rechner liefen monatelang mit einem veralteten, nicht mehr unterstützten Betriebssystem (Windows XP) und bildeten so – natürlich – ein erhebliches Sicherheitsrisiko. Müsste eigentlich jeder wissen! Vielleicht doch nicht jeder? Es ist (auf den Tag genau) gerade mal zwei Jahre her, dass unsere Kanzlerin zugegeben hat: “Das Internet ist für uns alle Neuland…“.

Cyberangriff auf US-Regierung

13. Juni 2015

Hacker sind in US-Regierungscomputer mit persönlichen Daten von Regierungsangestellten eingedrungen. Der schon vor einer Woche bekannt gegebene Angriff auf das Office of Personnel Management (OPM) hat sich nun als viel schwerwiegender herausgestellt als zuerst vermutet wurde. Abgegriffen wurden offenbar auch sensible, persönliche Daten von Mitarbeitern bei Polizei, Geheimdiensten und Militärs berichteten US-Medien unter Berufung auf Regierungsmitarbeiter. Demnach erbeuteten die Hacker digitale Kopien eines Formulars, das Behördenmitarbeiter vor ihrer Sicherheitsfreigabe ausfüllen müssen, und in dem sie ihren persönlichen Hintergrund sowie ihr familiäres und privates Umfeld nahezu komplett offenlegen. Dazu gehören Angaben zum schulischen und beruflichen Werdegang, Drogenkonsum sowie zum Gesundheitszustand inklusive Medikamentengebrauch oder Krankenhausaufenthalte. Zudem sollen Namen und Anschriften von Familienangehörigen und Freunden genannt werden. Die Mitarbeiter müssen alle beruflichen und privaten Auslandskontakte sowie ihre Auslandsreisen auflisten. Sollten diese Daten in die Hände anderer Geheimdienste gefallen sein, wäre dies ein Desaster für die US-Sicherheitspolitik.
Betroffen sein sollen nun insgesamt 9 – 14 Millionen Personen.
Regierungsbeamte machten gegenüber mehreren US-Medien Hacker aus China für den Angriff verantwortlich. Die chinesische Botschaft in Washington wies diese Anschuldigungen zurück und nannte die Vorwürfe "unverantwortlich".
Bereits im vergangenen Jahr waren Hacker in die E-Mail-Systeme des Weißen Hauses und des Außenministeriums eingedrungen. Für diesen Angriff sollen Hacker aus Russland verantwortlich gewesen sein.

Newsfeed zum Schwerpunkt Datensicherheit (Security)

News zum Thema Computer-Sicherheit | heise Security

heise Security

News und Hintergrund-Informationen zur IT-Sicherheit

Apple will TLS 1.0 und 1.1 bald nicht mehr unterstützen. In iOS 15 & Co gelten die alten Versionen des Verschlüsselungsprotokolls bereits als abgekündigt.
Author: heise online
Posted: 23.9.2021 12:58
Microsoft beschreibt im Detail, wie auch absolute Neulinge ohne Vorkenntnisse spielend leicht ins Geschäft mit geklauten Zugangsdaten einsteigen können.
Author: heise online
Posted: 23.9.2021 10:53
Ein Problem mit Microsoft-Mail-Programmen erlaubt es Angreifern unter Umständen, Anmeldedaten für Windows-Domänen auszulesen. Nun sind die Details öffentlich.
Author: heise online
Posted: 23.9.2021 09:35
Angreifer suchen derzeit gezielt nach verwundbaren vCenter-Server-Systemen. Davon ist auch Deutschland betroffen. Sicherheitspatches sind verfügbar.
Author: heise online
Posted: 23.9.2021 08:48
Der Webbrowser Chrome ist in einer gegen mögliche Attacken abgesicherten Version erschienen.
Author: heise online
Posted: 23.9.2021 07:50
Angreifer könnten durch eine OpenOffice-Lücke Schadcode auf Systeme schieben. Bislang gibt es nur in der Beta-Version einen Patch.
Author: heise online
Posted: 22.9.2021 13:20
Die Biden-Regierung geht zum ersten Mal gegen einen Kryptogeld-Markplatz vor. Das soll den Abfluss von Ransomware-Zahlungen nach Russland eindämmen.
Author: heise online
Posted: 22.9.2021 09:47
Eine Reihe von Netgear-Router für den Einsatz Zuhause und in kleineren Firmen sind anfällig für Angriffe aus dem eigenen Netz. Jetzt patchen!
Author: heise online
Posted: 22.9.2021 09:40
Nachdem der IT-Dienstleiter Kaseya Opfer einer perfiden Attacke geworden war, wurde es für die Opfer teuer. Das FBI hielt derweil einen Generalschlüssel zurück.
Author: heise online
Posted: 22.9.2021 07:31
Angreifer könnten das Verwaltungsprogramm für virtuelle Maschinen vCenter Server von VMware über unter anderem eine kritische Lücke attackieren.
Author: heise online
Posted: 22.9.2021 07:19
Automatisierung ist seit Jahren ein wichtiges Thema. Auch Online-Kriminelle haben laut eine Analyse die Vorteile für sich entdeckt.
Author: heise online
Posted: 22.9.2021 07:14
Ein Sicherheitsforscher war offenbar in der Lage, iPhones per 3D-Gesichtsmodell zu entsperren. Apple schließt weitere schwere Lücken.
Author: heise online
Posted: 21.9.2021 17:10
In aktuellen Versionen von McAfee Endpoint Security haben die Entwickler unter anderem kritische Sicherheitslücken geschlossen.
Author: heise online
Posted: 21.9.2021 08:30
Mit der brandneuen und überarbeiteten Desinfec't-Version 2021/22 rücken Sie Windows-Trojanern auf die Pelle und retten verloren geglaubte Daten.
Author: heise online
Posted: 21.9.2021 05:55
Einige der beim Content Management System Drupal mitgelieferten Module sind von Sicherheitslücken betroffen. Updates stehen bereit.
Author: heise online
Posted: 20.9.2021 10:15

Spiel mit dem Feuer

Grafik: MAD Magazin

19. Januar 2015

Neue Dokumente zeigen, wie die NSA in die Netzwerke konkurrierender Geheimdienste eindringt, um dort quasi als Trittbrettfahrer Spionageerkenntnisse der gegnerischen Seite abzugreifen. Unter den angezapften Geheimdiensten befinden sich die von Frankreich, China und von Nordkorea.
Die NSA ist offenbar schon 2010 in nordkoreanische Computersysteme eingedrungen. Die New York Times berichtete am Sonntag unter Berufung auf ein geleaktes NSA-Dokument, dass amerikanische Sicherheitsexperten mit Hilfe von Südkorea und anderen Verbündeten Malware in nordkoreanische Netzwerke eingeschleust hätten.
So habe die NSA jahrelang Informationen aus Nordkorea abgreifen können und sei über die Aktivitäten der rund 6000 staatlichen Hacker im Bilde gewesen.
Besonders interessant in diesem Zusammenhang sind zwei Aspekte:

  • Dies könnte der Hintergrund sein, warum bei dem Sony-Hack (Ende Nov. 2014) Präsident Obama überraschend schnell Nordkorea als Verursacher benannte und mit Sanktionen belegte.
  • Wenn das alles stimmt, dann stellt sich aber die Frage, warum die NSA einen so umfassenden Angriff auf Sony nicht rechtzeitig erkannte und ggf. verhindern konnte.

Der Sony-Hack

Bild: Screencopy Sony Pictures

19. Dezember 2014

 Ende November gab es einen Hackerangriff auf die Server von Sony Pictures Entertainment, bei dem riesige Datenmengen entwendet wurden: interne Dokumente, persönliche Daten aber auch unveröffentlichte Filme. U.a. der Film „The Interview“, in dem es um den fiktiven Auftrag zweier US-Journalisten geht, Nordkoreas Machthaber Kim Jong Un bei einem Interview zu töten.
Noch immer ist ungeklärt, wer tatsächlich hinter dem Hackerangriff steht. Durch gezielte Indiskretionen der US-Administration an ausgewählte Presseorgane wird aber die FBI-Version lanciert, dass der Sony-Hack eindeutig Nordkorea zugeordnet werden muss.
Daraufhin beschuldigt die US-Regierung die nordkoreanische Regierung offiziell für die Attacken verantwortlich zu sein und kündigt Sanktionen an.


16.09.2013 – Aufregung in Brüssel: Unbekannte haben sich beim Provider Belgacom eingehackt, zu dessen Kunden die Kommission, der Rat der Mitgliedstaaten und das Europaparlament gehören. Jahrelang sollen Gespräche abgehört worden sein. Hinter der Attacke stehen wohl staatliche Auftraggeber, Insider tippen auf die NSA.


10.05.2013 – Ihre Beute war enorm: Ein Räuber-Netzwerk hat bei Banken weltweit 45 Millionen Dollar gestohlen. Die Täter setzten zunächst per Hack Guthaben und Limits von Konten hoch, dann schickten sie Fußsoldaten, die das Geld an Automaten abhoben. Eine Methode, die Ermittlern nicht neu sein dürfte.

CYBER ATTACK

A computer security breach at Northwest Florida State College (NWFSC)has the Department of Education and the Division of Florida Collegesracing to keep affected students informed about the state of theirpersonal information...
Bild: marsmet501