Anzeige
Die Linksfraktion im Bundestag bemüht sich um Transparenz - die veröffentlichte Analyse überzeugt aber nicht vollständig.
Die Linksfraktion im Bundestag bemüht sich um Transparenz - die veröffentlichte Analyse überzeugt aber nicht vollständig. (Bild: linksfraktion.de)

Bundestag: Linksfraktion veröffentlicht Malware-Analyse

Die Linksfraktion im Bundestag bemüht sich um Transparenz - die veröffentlichte Analyse überzeugt aber nicht vollständig.
Die Linksfraktion im Bundestag bemüht sich um Transparenz - die veröffentlichte Analyse überzeugt aber nicht vollständig. (Bild: linksfraktion.de)

Die Linksfraktion veröffentlicht im Zusammenhang mit dem Bundestags-Hack eine Analyse von Malware, die auf ihren Servern gefunden wurde. Darin wird eine Verbindung zur russischen Organisation APT28 nahegelegt. Doch wirklich überzeugend sind die Belege dafür nicht.

Anzeige

Die Fraktion der Linkspartei im Bundestag hat auch in ihrem eigenen Netzwerk Malware gefunden, die auf einen gezielten Hackerangriff hindeutet. Ob es sich um denselben Angriff handelt wie den, der den Bundestag seit einigen Wochen in Atem hält, ist nicht völlig klar, es ist aber zu vermuten. Anders als die Bundestagsverwaltung versucht die Linkspartei, mit dem Vorfall transparent umzugehen. Eine ausführliche Analyse der gefundenen Malware durch den IT-Sicherheitsspezialisten Claudio Guarnieri wurde von der Fraktion selbst und von Netzpolitik.org veröffentlicht. Guarnieri sieht Verbindungen zu einer russischen Organisation, die unter den Namen Sofacy oder APT28 bekannt ist. Doch die Analyse lässt auch andere Interpretationen zu.

Freie Software WinExe

Laut dem Bericht fanden sich auf den Servern zwei EXE-Dateien, die mit dem Angriff in Verbindung gebracht wurden. Bei der ersten Datei handelt es sich um einen Teil der Software WinExe. WinExe ist eine freie Software und kann dafür genutzt werden, von einem Linux-System aus über das Netzwerk Befehle auf einem Windows-System auszuführen.

Bei der anderen EXE-Datei handelt es sich offenbar um einen Tunnel, über den möglicherweise Befehle empfangen und Daten aus den Systemen herausgeleitet wurden. Um eine verschlüsselte Verbindung aufzubauen, enthält dieses Programm eine relativ alte Version von OpenSSL (1.0.1e). Damit ist diese Software anfällig für den Heartbleed-Bug und zahlreiche andere OpenSSL-Sicherheitslücken. Das Programm verbindet sich zu der einprogrammierten IP-Adresse 176.31.112.10. Laut Bericht war auch der Server bei der Analyse vom Heartbleed-Bug betroffen.

Diese IP-Adresse ist das zentrale Indiz für die Verbindung zur Organisation APT28. Aus Daten, die vom Projekt Sonar der Firma Rapid7 erfasst wurden und öffentlich verfügbar sind, geht hervor, dass diese IP-Adresse im Februar ein Zertifikat genutzt hat, das für den Mailserver des ukrainischen Außenministeriums ausgestellt war. Wir konnten das nachvollziehen und das aus den Sonar-Daten extrahieren (Zertifikat hier als CRT zum Download). Das Zertifikat wurde vorgeblich von der Firma Comodo ausgestellt, die Zertifikatssignatur ist allerdings ungültig.

Das Zertifikat führt zu APT28

Das gleiche Zertifikat wurde zu diesem Zeitpunkt von einer anderen IP-Adresse - 213.251.187.145 - genutzt. Diese IP wiederum wurde im Dezember 2014 für Phishing-Angriffe auf die albanische Regierung genutzt. Dieser Angriff wurde laut der Firma PwC von der Gruppe APT28 durchgeführt.

Einen weiteren Hinweis auf APT28 liefert ein Bericht der Firma root9B. Dieser erwähnt ebenfalls die IP-Adresse 176.31.112.10 und bringt sie mit einem Angriff auf amerikanische Banken in Verbindung. Allerdings verweist Guarnieri selbst darauf, dass dieser Bericht nicht sehr glaubwürdig ist und zahlreiche inhaltliche Fehler enthält. Zudem geht aus dem Bericht von root9B nicht hervor, wann diese IP genutzt wurde. Der Sicherheitsforscher Brian Krebs hat in einem ausführlichen Blogeintrag den Bericht von root9B analysiert. Krebs schreibt, dass es sich um keinen sehr ungewöhnlichen Angriff handelt, sondern um relativ simple Phishing-Angriffe. Die Verbindung zu russischen Hackern hält er für nicht plausibel.

Der Schluss, dass hinter dem Angriff auf die Server der Linksfraktion die Gruppe APT28 steckt, ist somit keineswegs zwingend. Vorstellbar wäre, dass im Februar hinter der fraglichen IP-Adresse zwar ein Server von APT28 stand, dass dieser aber anschließend gekündigt oder gesperrt wurde. Danach könnte der Provider die IP-Adresse neu vergeben haben - an einen völlig anderen Angreifer. Auch andere Erklärungen sind denkbar, möglicherweise handelt es sich schlicht um einen schlecht gesicherten Server, der von mehreren kriminellen Gruppierungen gehackt und missbraucht wurde.

Der Hinweis auf APT28 ist nicht neu, er tauchte schon vor circa einer Woche in Medienberichten im Zusammenhang mit dem Bundestags-Hack auf. Ein Sprecher der Firma BFK aus Karlsruhe, die vom Bundestag mit der Analyse der Vorfälle beauftragt wurde, warnte im Gespräch mit Golem.de davor, voreilige Schlüsse zu ziehen und sah den Bezug zu APT28 eher kritisch.

Provider OVH und CrookServers

Die fragliche IP-Adresse gehört zum französischen Provider OVH. Der Reverse-Lookup der Adresse verweist allerdings auf eine Firma aus Pakistan namens CrookServers. Zur Zeit läuft auf dem Server ein SSH-Dienst, ein Webserver auf dem Port 81, der ein Passwort abfragt. Der FTP-Port und mehrere exotischere Ports sind ebenfalls offen. Laut dem HTTP-Server handelt es sich um ein Debian-System mit Apache 2.2.22, vermutlich ein Debian-Wheezy-System.

Der gesamte Bericht bezieht sich ausschließlich auf Malware, die auf den Servern der Linksfraktion gefunden wurde. Diese Server sind Teil eines separaten Netzes der Fraktion, das vom normalen Netz des Bundestages getrennt ist. Während die PCs von Abgeordneten und deren direkten Mitarbeitern vom Bundestag selbst betrieben werden, nutzen die Mitarbeiter der Fraktionen die eigenen Netze.

In einem Pressegespräch betonten Vertreter der Linksfraktion, dass sie es nicht nachvollziehbar finden, dass die Bundestagsverwaltung bislang vieles geheim hält. Der Bericht soll, so die Bundestagsabgeordnete Petra Sitte, ein Beitrag zu mehr Transparenz und Offenheit sein.

Analyse soll zu mehr Transparenz beitragen

Auch wenn die Analyse der Linkspartei nicht vollständig überzeugt, ist sie doch eines der detailliertesten Dokumente, die zu den gesamten Vorfällen im Bundestag bisher veröffentlicht wurden. Von den offiziellen Stellen, sowohl von der Bundestagsverwaltung als auch von dem mit der Analyse betrauten Bundesamt für Sicherheit in der Informationstechnik (BSI), gibt es bisher praktisch keine handfesten Informationen. Vieles, was in den letzten Tagen berichtet wurde, basiert auf Gerüchten und ist teilweise kaum plausibel.

So wurde beispielsweise in mehreren Medien die Behauptung aufgestellt, dass die Hardware im Bundestag ausgetauscht werden müsste. Erklärbar wäre ein solcher Schritt nur durch BIOS-Malware oder andere Formen von Firmware-Infektionen. Ein für das IT-Netz der Linksfraktion verantwortlicher Mitarbeiter erklärte im Pressegespräch jedoch, dass es bislang keine Hinweise auf derartige in der Firmware versteckte Malware gebe.


eye home zur Startseite
Proctrap 21. Jun 2015

OVH ist mir schon mehrfach negativ aufgefallen. Aus dem Europäischen (nahen) Raum kommt...

baumhausbewohner 20. Jun 2015

Edit: Kommentare gelöscht auf den ich mich bezogen habe und es ist verdammt nochmal gut...

Dumpfbacke 20. Jun 2015

Der Virus, den Kaspersky in ihrem eigenem Netzwerk gefunden hat, entspricht dem Ding...

Kommentieren



Anzeige

Stellenmarkt
  1. ckc group, Region Braunschweig/Wolfsburg
  2. Bosch Sensortec GmbH, Reutlingen
  3. Bosch Thermotechnik GmbH, Lollar
  4. Deutsche Telekom Technischer Service GmbH, verschiedene Standorte


Anzeige
Spiele-Angebote
  1. 169,99€
  2. 209,99€/219,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Google

    Nächste Android-Version heißt Nougat

  2. Pleurobot

    Bewegungen verstehen mit einem Robo-Salamander

  3. Überwachung

    Google sammelt Telefonprotokolle von Android-Geräten

  4. Fritzbox

    AVM veröffentlicht FAQ zur Routerfreiheit

  5. Wertschöpfungslücke

    Musiker beschweren sich bei EU-Kommission über Youtube

  6. Vodafone und Ericsson

    Prototyp eines 5G-Netzes in Deutschland

  7. Slim

    Hinweise auf schlanke Playstation 4

  8. Wasserwaagen-App

    Android-Trojaner im Play Store installiert ungewollt Apps

  9. Datenrate

    Telekom und M-Net gewinnen Connect-Festnetztest

  10. Star Wars Lego im Test

    Das Erwachen der Lustigkeit



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bargeld nervt: Startups und Kryptowährungen mischen die Finanzbranche auf
Bargeld nervt
Startups und Kryptowährungen mischen die Finanzbranche auf
  1. Gehalt.de Was Frauen in IT-Jobs verdienen
  2. Darknet-Handel Nutzerdaten von Telekom-Kunden werden verkauft
  3. Homeland Security Frage nach Facebook-Konto bei Einreise in die USA geplant

Geforce GTX 1080/1070 im Test: Zotac kann Geforce besser als Nvidia
Geforce GTX 1080/1070 im Test
Zotac kann Geforce besser als Nvidia
  1. Die Woche im Video Superschnelle Rechner, smarte Zähler und sicherer Spam
  2. Geforce GTX 1080/1070 Asus und MSI schummeln mit Golden Samples
  3. Geforce GTX 1070 Nvidia nennt Spezifikationen der kleinen Pascal-Karte

IT und Energiewende: Fragen und Antworten zu intelligenten Stromzählern
IT und Energiewende
Fragen und Antworten zu intelligenten Stromzählern
  1. Smart Meter Bundestag verordnet allen Haushalten moderne Stromzähler
  2. Intelligente Stromzähler Besitzern von Solaranlagen droht ebenfalls Zwangsanschluss
  3. Smart-Meter-Gateway-Anhörung Stromsparen geht auch anders

  1. Re: Verdammt!

    Ebola | 21:10

  2. Re: Schade

    Köln | 21:09

  3. Re: "Warpantrieb"

    Niaxa | 21:06

  4. Re: Wieso nicht LZMA2?

    burzum | 21:04

  5. Re: Android vs BlackberryOS

    Kabbone | 21:04


  1. 19:06

  2. 18:38

  3. 17:19

  4. 16:19

  5. 16:04

  6. 15:58

  7. 15:21

  8. 14:18


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel