Auswärtiges Amt: Bundeshacker kommunizierten per Outlook mit Malware

Die Malware auf den Rechnern des Auswärtigen Amtes soll per E-Mail mit den Command-und-Control-Servern der Angreifer kommuniziert haben. Die erste Infektion der Rechner erfolgte offenbar über eine manipulierte E-Learning-Plattform.

Artikel veröffentlicht am ,
Outlook war dieses Mal nicht Einfallstor für Malware - sondern offenbar Steuerinstrument.
Outlook war dieses Mal nicht Einfallstor für Malware - sondern offenbar Steuerinstrument. (Bild: Martin Wolf/Golem.de)

Die mutmaßlich russischen Angreifer auf Rechner der Bundesregierung sollen über Mails in Microsofts Outlook-Client mit der Schadsoftware kommuniziert haben. Das berichtet die Süddeutsche Zeitung unter Verweis auf nicht näher genannte "Sicherheitsforscher". Der Angriff auf die IT-Infrastruktur des Bundes wird der Turla-Gruppe zugeordnet, von einigen Sicherheitsfirmen auch Snake genannt.

Stellenmarkt
  1. Softwareentwickler (m/w/d)
    Kommunaler Versorgungsverband Baden-Württemberg, Karlsruhe
  2. Projektmanager*in Digital (m/w/d)
    Landeshauptstadt Stuttgart, Stuttgart
Detailsuche

Um unentdeckt zu bleiben, müssen Befehle des Command-and-Control-Servers an die Malware möglichst gut verschleiert werden. In der Vergangenheit hatte die Turla-Gruppe dazu nach Berichten von Sicherheitsforschern bereits kodierte Kommentare auf der Instragram-Seite von Britney Spears benutzt. Die Bundesregierung soll von einem ausländischen Geheimdienst vor dem Hack gewarnt worden sein.

Im aktuellen Fall sollen Mails an die Outlook-Mailkonten gesendet worden sein, die mit den betroffenen 17 Rechnern verknüpft waren. Die Malware wartete demnach auf bestimmte Signalwörter im Anhang der Mails und führte dann die entsprechenden Befehle aus. Die Vorgehensweise ist nach Darstellung der befragten Sicherheitsexperten bislang nicht bekannt gewesen. Ob dafür gezielt Sicherheitslücken ausgenutzt wurden, ist bislang unklar. Das Vorgehen sei "elegant, weil es unauffällig ist", wird einer der Experten in der SZ zitiert.

Angriff über E-Learning-Module

Bereits am Wochenende hatte zudem die Frankfurter Allgemeine Sonntagszeitung (FAS) berichtet, dass der Angriff auf das Auswärtige Amt ausgerichtet war. Es seien spezielle E-Learning-Kurse bei der Bundesakademie für öffentliche Verwaltung in Brühl manipuliert worden, die dann von Mitarbeitern des Auswärtigen Amtes geöffnet wurden und so die Rechner infizierten.

Golem Karrierewelt
  1. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    23./24.01.2023, Virtuell
  2. IT-Sicherheit: (Anti-)Hacking für Administratoren und Systembetreuer: virtueller Drei-Tage-Workshop
    28.-30.06.2023, Virtuell
Weitere IT-Trainings

Die SPD reaktivierte auf Basis der aktuellen Vorfälle die Diskussion um umstrittene Hackback-Maßnahmen. Der innenpolitische Sprecher der SPD-Fraktion, Burkhard Lischka, sagte: "Wenn Daten abfließen, dürfen wir sie dann auf dem angreifenden Server löschen? Darf im Notfall sogar der fremde Server zerstört werden? Dafür brauchen wir eine klare gesetzliche Grundlage. Die SPD ist gesprächsbereit, um das Grundgesetz zu ändern." Entsprechende Maßnahmen sind in Sicherheitskreisen umstritten, weil die Attribution von Angriffen auf IT-Infrastruktur sehr komplex ist und gezielt falsche Fährten gelegt werden können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Twitter
Was bisher bei Elon Musks Twitter 2.0 geschah

Nach der Twitter-Übernahme durch Elon Musk ist klar: Das Netzwerk hat wesentlich weniger Mitarbeiter. Es ist aber noch viel mehr passiert.
Ein Bericht von Oliver Nickel

Twitter: Was bisher bei Elon Musks Twitter 2.0 geschah
Artikel
  1. Katastrophenschutz: Endlich klingelt es am Warntag
    Katastrophenschutz  
    Endlich klingelt es am Warntag

    Zwei Jahre nach dem ersten bundesweiten Warntag klingelt es dank Cell Broadcast deutschlandweit. An anderen Stellen fehlen weiterhin Warnmittel.
    Ein Bericht von Sebastian Grüner und Friedhelm Greis

  2. Listan: Be-Quiet-Eigner kauft Tastaturhersteller Mountain
    Listan
    Be-Quiet-Eigner kauft Tastaturhersteller Mountain

    Listan wird künftig neben Netzteilen von Be Quiet und Lüftern von Xilence auch Tastaturen und Mäuse anbieten - Mountain wird übernommen.

  3. Deepmind: Ist KI nun schlauer als bekannte Mathematiker?
    Deepmind
    Ist KI nun schlauer als bekannte Mathematiker?

    Künstliche Intelligenz hat einen neuen Rechenweg für Matrizen gefunden. Wir erklären im Detail, was genau Deepmind geschafft hat und warum weitere Durchbrüche zu erwarten sind.
    Von Matthias Müller-Brockhausen

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bei Amazon • Samsung SSDs bis -28% • Rabatt-Code für ebay • Logitech Mäuse, Tastaturen & Headsets -53% • HyperX PC-Peripherie -56% • Google Pixel 6 & 7 -49% • PS5-Spiele günstiger • Tiefstpreise: Asus RTX 4080 1.640,90€, Roccat Kone Pro 39,99€, Asus RTX 6950 XT 939€ [Werbung]
    •  /