Abo
  • Services:
Anzeige
Die Linksfraktion im Bundestag bemüht sich um Transparenz - die veröffentlichte Analyse überzeugt aber nicht vollständig.
Die Linksfraktion im Bundestag bemüht sich um Transparenz - die veröffentlichte Analyse überzeugt aber nicht vollständig. (Bild: linksfraktion.de)

Bundestag: Linksfraktion veröffentlicht Malware-Analyse

Die Linksfraktion im Bundestag bemüht sich um Transparenz - die veröffentlichte Analyse überzeugt aber nicht vollständig.
Die Linksfraktion im Bundestag bemüht sich um Transparenz - die veröffentlichte Analyse überzeugt aber nicht vollständig. (Bild: linksfraktion.de)

Die Linksfraktion veröffentlicht im Zusammenhang mit dem Bundestags-Hack eine Analyse von Malware, die auf ihren Servern gefunden wurde. Darin wird eine Verbindung zur russischen Organisation APT28 nahegelegt. Doch wirklich überzeugend sind die Belege dafür nicht.

Anzeige

Die Fraktion der Linkspartei im Bundestag hat auch in ihrem eigenen Netzwerk Malware gefunden, die auf einen gezielten Hackerangriff hindeutet. Ob es sich um denselben Angriff handelt wie den, der den Bundestag seit einigen Wochen in Atem hält, ist nicht völlig klar, es ist aber zu vermuten. Anders als die Bundestagsverwaltung versucht die Linkspartei, mit dem Vorfall transparent umzugehen. Eine ausführliche Analyse der gefundenen Malware durch den IT-Sicherheitsspezialisten Claudio Guarnieri wurde von der Fraktion selbst und von Netzpolitik.org veröffentlicht. Guarnieri sieht Verbindungen zu einer russischen Organisation, die unter den Namen Sofacy oder APT28 bekannt ist. Doch die Analyse lässt auch andere Interpretationen zu.

Freie Software WinExe

Laut dem Bericht fanden sich auf den Servern zwei EXE-Dateien, die mit dem Angriff in Verbindung gebracht wurden. Bei der ersten Datei handelt es sich um einen Teil der Software WinExe. WinExe ist eine freie Software und kann dafür genutzt werden, von einem Linux-System aus über das Netzwerk Befehle auf einem Windows-System auszuführen.

Bei der anderen EXE-Datei handelt es sich offenbar um einen Tunnel, über den möglicherweise Befehle empfangen und Daten aus den Systemen herausgeleitet wurden. Um eine verschlüsselte Verbindung aufzubauen, enthält dieses Programm eine relativ alte Version von OpenSSL (1.0.1e). Damit ist diese Software anfällig für den Heartbleed-Bug und zahlreiche andere OpenSSL-Sicherheitslücken. Das Programm verbindet sich zu der einprogrammierten IP-Adresse 176.31.112.10. Laut Bericht war auch der Server bei der Analyse vom Heartbleed-Bug betroffen.

Diese IP-Adresse ist das zentrale Indiz für die Verbindung zur Organisation APT28. Aus Daten, die vom Projekt Sonar der Firma Rapid7 erfasst wurden und öffentlich verfügbar sind, geht hervor, dass diese IP-Adresse im Februar ein Zertifikat genutzt hat, das für den Mailserver des ukrainischen Außenministeriums ausgestellt war. Wir konnten das nachvollziehen und das aus den Sonar-Daten extrahieren (Zertifikat hier als CRT zum Download). Das Zertifikat wurde vorgeblich von der Firma Comodo ausgestellt, die Zertifikatssignatur ist allerdings ungültig.

Das Zertifikat führt zu APT28

Das gleiche Zertifikat wurde zu diesem Zeitpunkt von einer anderen IP-Adresse - 213.251.187.145 - genutzt. Diese IP wiederum wurde im Dezember 2014 für Phishing-Angriffe auf die albanische Regierung genutzt. Dieser Angriff wurde laut der Firma PwC von der Gruppe APT28 durchgeführt.

Einen weiteren Hinweis auf APT28 liefert ein Bericht der Firma root9B. Dieser erwähnt ebenfalls die IP-Adresse 176.31.112.10 und bringt sie mit einem Angriff auf amerikanische Banken in Verbindung. Allerdings verweist Guarnieri selbst darauf, dass dieser Bericht nicht sehr glaubwürdig ist und zahlreiche inhaltliche Fehler enthält. Zudem geht aus dem Bericht von root9B nicht hervor, wann diese IP genutzt wurde. Der Sicherheitsforscher Brian Krebs hat in einem ausführlichen Blogeintrag den Bericht von root9B analysiert. Krebs schreibt, dass es sich um keinen sehr ungewöhnlichen Angriff handelt, sondern um relativ simple Phishing-Angriffe. Die Verbindung zu russischen Hackern hält er für nicht plausibel.

Der Schluss, dass hinter dem Angriff auf die Server der Linksfraktion die Gruppe APT28 steckt, ist somit keineswegs zwingend. Vorstellbar wäre, dass im Februar hinter der fraglichen IP-Adresse zwar ein Server von APT28 stand, dass dieser aber anschließend gekündigt oder gesperrt wurde. Danach könnte der Provider die IP-Adresse neu vergeben haben - an einen völlig anderen Angreifer. Auch andere Erklärungen sind denkbar, möglicherweise handelt es sich schlicht um einen schlecht gesicherten Server, der von mehreren kriminellen Gruppierungen gehackt und missbraucht wurde.

Der Hinweis auf APT28 ist nicht neu, er tauchte schon vor circa einer Woche in Medienberichten im Zusammenhang mit dem Bundestags-Hack auf. Ein Sprecher der Firma BFK aus Karlsruhe, die vom Bundestag mit der Analyse der Vorfälle beauftragt wurde, warnte im Gespräch mit Golem.de davor, voreilige Schlüsse zu ziehen und sah den Bezug zu APT28 eher kritisch.

Provider OVH und CrookServers

Die fragliche IP-Adresse gehört zum französischen Provider OVH. Der Reverse-Lookup der Adresse verweist allerdings auf eine Firma aus Pakistan namens CrookServers. Zur Zeit läuft auf dem Server ein SSH-Dienst, ein Webserver auf dem Port 81, der ein Passwort abfragt. Der FTP-Port und mehrere exotischere Ports sind ebenfalls offen. Laut dem HTTP-Server handelt es sich um ein Debian-System mit Apache 2.2.22, vermutlich ein Debian-Wheezy-System.

Der gesamte Bericht bezieht sich ausschließlich auf Malware, die auf den Servern der Linksfraktion gefunden wurde. Diese Server sind Teil eines separaten Netzes der Fraktion, das vom normalen Netz des Bundestages getrennt ist. Während die PCs von Abgeordneten und deren direkten Mitarbeitern vom Bundestag selbst betrieben werden, nutzen die Mitarbeiter der Fraktionen die eigenen Netze.

In einem Pressegespräch betonten Vertreter der Linksfraktion, dass sie es nicht nachvollziehbar finden, dass die Bundestagsverwaltung bislang vieles geheim hält. Der Bericht soll, so die Bundestagsabgeordnete Petra Sitte, ein Beitrag zu mehr Transparenz und Offenheit sein.

Analyse soll zu mehr Transparenz beitragen

Auch wenn die Analyse der Linkspartei nicht vollständig überzeugt, ist sie doch eines der detailliertesten Dokumente, die zu den gesamten Vorfällen im Bundestag bisher veröffentlicht wurden. Von den offiziellen Stellen, sowohl von der Bundestagsverwaltung als auch von dem mit der Analyse betrauten Bundesamt für Sicherheit in der Informationstechnik (BSI), gibt es bisher praktisch keine handfesten Informationen. Vieles, was in den letzten Tagen berichtet wurde, basiert auf Gerüchten und ist teilweise kaum plausibel.

So wurde beispielsweise in mehreren Medien die Behauptung aufgestellt, dass die Hardware im Bundestag ausgetauscht werden müsste. Erklärbar wäre ein solcher Schritt nur durch BIOS-Malware oder andere Formen von Firmware-Infektionen. Ein für das IT-Netz der Linksfraktion verantwortlicher Mitarbeiter erklärte im Pressegespräch jedoch, dass es bislang keine Hinweise auf derartige in der Firmware versteckte Malware gebe.


eye home zur Startseite
Proctrap 21. Jun 2015

OVH ist mir schon mehrfach negativ aufgefallen. Aus dem Europäischen (nahen) Raum kommt...

baumhausbewohner 20. Jun 2015

Edit: Kommentare gelöscht auf den ich mich bezogen habe und es ist verdammt nochmal gut...

Dumpfbacke 20. Jun 2015

Der Virus, den Kaspersky in ihrem eigenem Netzwerk gefunden hat, entspricht dem Ding...



Anzeige

Stellenmarkt
  1. imbus AG, Norderstedt, Köln, Hofheim am Taunus, München, Möhrendorf
  2. Interhyp Gruppe, München
  3. über Robert Half Technology, Stuttgart
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Hardware-Angebote
  1. (täglich neue Deals)
  2. (u. a. Asus GTX 1070 Strix, MSI GTX 1070 Gaming X 8G, Inno3D GTX 1070 iChill)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Smartphones und Tablets

    Bundestrojaner soll mehr können können

  2. Internetsicherheit

    Die CDU will Cybersouverän werden

  3. 3D-Flash-Speicher

    Micron stellt erweiterte Fab 10X fertig

  4. Occipital

    VR Dev Kit ermöglicht Roomscale-Tracking per iPhone

  5. XPG SX8000

    Adatas erste PCIe-NVMe-SSD nutzt bewährte Komponenten

  6. UBBF2016

    Telefónica will 2G-Netz in vielen Ländern abschalten

  7. Mögliche Übernahme

    Qualcomm interessiert sich für NXP Semiconductors

  8. Huawei

    Vectoring erreicht bald 250 MBit/s in Deutschland

  9. Kaufberatung

    Das richtige Solid-State-Drive

  10. Android-Smartphone

    Huawei bringt Nova Plus doch nach Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Original und Fork im Vergleichstest: Nextcloud will das bessere Owncloud sein
Original und Fork im Vergleichstest
Nextcloud will das bessere Owncloud sein
  1. Koop mit Canonical und WDLabs Nextcloud Box soll eigenes Hosten ermöglichen
  2. Kollaborationsserver Nextcloud 10 verbessert Server-Administration
  3. Open Source Nextcloud setzt sich mit Enterprise-Support von Owncloud ab

Rocketlab: Neuseeland genehmigt Start für erste elektrische Rakete
Rocketlab
Neuseeland genehmigt Start für erste elektrische Rakete
  1. Osiris Rex Asteroid Bennu, wir kommen!
  2. Raumfahrt Erster Apollo-Bordcomputer aus dem Schrott gerettet
  3. Startups Wie Billig-Raketen die Raumfahrt revolutionieren

Interview mit Insider: Facebook hackt Staat und Gemeinschaft
Interview mit Insider
Facebook hackt Staat und Gemeinschaft
  1. Systemüberwachung Facebook veröffentlicht Osquery für Windows
  2. Facebook 100.000 Hassinhalte in einem Monat gelöscht
  3. Nach Whatsapp-Datentausch Facebook und Oculus werden enger zusammengeführt

  1. Da ist keine einzige Waschmaschine "detoniert".

    Flexy | 04:03

  2. Terroristen sind nicht doof..

    Flexy | 03:56

  3. Re: "Macht fast alles anders"

    rasenpfleger | 02:53

  4. Re: So eine Verschwendung von Steuergeldern

    Moe479 | 02:45

  5. Re: o2 Free Tarife betroffen!

    Moe479 | 02:42


  1. 19:24

  2. 19:05

  3. 18:25

  4. 17:29

  5. 14:07

  6. 13:45

  7. 13:18

  8. 12:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel