Abo
  • Services:

Bundestag: Linksfraktion veröffentlicht Malware-Analyse

Die Linksfraktion veröffentlicht im Zusammenhang mit dem Bundestags-Hack eine Analyse von Malware, die auf ihren Servern gefunden wurde. Darin wird eine Verbindung zur russischen Organisation APT28 nahegelegt. Doch wirklich überzeugend sind die Belege dafür nicht.

Artikel veröffentlicht am , Hanno Böck
Die Linksfraktion im Bundestag bemüht sich um Transparenz - die veröffentlichte Analyse überzeugt aber nicht vollständig.
Die Linksfraktion im Bundestag bemüht sich um Transparenz - die veröffentlichte Analyse überzeugt aber nicht vollständig. (Bild: linksfraktion.de)

Die Fraktion der Linkspartei im Bundestag hat auch in ihrem eigenen Netzwerk Malware gefunden, die auf einen gezielten Hackerangriff hindeutet. Ob es sich um denselben Angriff handelt wie den, der den Bundestag seit einigen Wochen in Atem hält, ist nicht völlig klar, es ist aber zu vermuten. Anders als die Bundestagsverwaltung versucht die Linkspartei, mit dem Vorfall transparent umzugehen. Eine ausführliche Analyse der gefundenen Malware durch den IT-Sicherheitsspezialisten Claudio Guarnieri wurde von der Fraktion selbst und von Netzpolitik.org veröffentlicht. Guarnieri sieht Verbindungen zu einer russischen Organisation, die unter den Namen Sofacy oder APT28 bekannt ist. Doch die Analyse lässt auch andere Interpretationen zu.

Freie Software WinExe

Stellenmarkt
  1. Bosch Gruppe, Stuttgart-Feuerbach
  2. Universität Passau, Passau

Laut dem Bericht fanden sich auf den Servern zwei EXE-Dateien, die mit dem Angriff in Verbindung gebracht wurden. Bei der ersten Datei handelt es sich um einen Teil der Software WinExe. WinExe ist eine freie Software und kann dafür genutzt werden, von einem Linux-System aus über das Netzwerk Befehle auf einem Windows-System auszuführen.

Bei der anderen EXE-Datei handelt es sich offenbar um einen Tunnel, über den möglicherweise Befehle empfangen und Daten aus den Systemen herausgeleitet wurden. Um eine verschlüsselte Verbindung aufzubauen, enthält dieses Programm eine relativ alte Version von OpenSSL (1.0.1e). Damit ist diese Software anfällig für den Heartbleed-Bug und zahlreiche andere OpenSSL-Sicherheitslücken. Das Programm verbindet sich zu der einprogrammierten IP-Adresse 176.31.112.10. Laut Bericht war auch der Server bei der Analyse vom Heartbleed-Bug betroffen.

Diese IP-Adresse ist das zentrale Indiz für die Verbindung zur Organisation APT28. Aus Daten, die vom Projekt Sonar der Firma Rapid7 erfasst wurden und öffentlich verfügbar sind, geht hervor, dass diese IP-Adresse im Februar ein Zertifikat genutzt hat, das für den Mailserver des ukrainischen Außenministeriums ausgestellt war. Wir konnten das nachvollziehen und das aus den Sonar-Daten extrahieren (Zertifikat hier als CRT zum Download). Das Zertifikat wurde vorgeblich von der Firma Comodo ausgestellt, die Zertifikatssignatur ist allerdings ungültig.

Das Zertifikat führt zu APT28

Das gleiche Zertifikat wurde zu diesem Zeitpunkt von einer anderen IP-Adresse - 213.251.187.145 - genutzt. Diese IP wiederum wurde im Dezember 2014 für Phishing-Angriffe auf die albanische Regierung genutzt. Dieser Angriff wurde laut der Firma PwC von der Gruppe APT28 durchgeführt.

Einen weiteren Hinweis auf APT28 liefert ein Bericht der Firma root9B. Dieser erwähnt ebenfalls die IP-Adresse 176.31.112.10 und bringt sie mit einem Angriff auf amerikanische Banken in Verbindung. Allerdings verweist Guarnieri selbst darauf, dass dieser Bericht nicht sehr glaubwürdig ist und zahlreiche inhaltliche Fehler enthält. Zudem geht aus dem Bericht von root9B nicht hervor, wann diese IP genutzt wurde. Der Sicherheitsforscher Brian Krebs hat in einem ausführlichen Blogeintrag den Bericht von root9B analysiert. Krebs schreibt, dass es sich um keinen sehr ungewöhnlichen Angriff handelt, sondern um relativ simple Phishing-Angriffe. Die Verbindung zu russischen Hackern hält er für nicht plausibel.

Der Schluss, dass hinter dem Angriff auf die Server der Linksfraktion die Gruppe APT28 steckt, ist somit keineswegs zwingend. Vorstellbar wäre, dass im Februar hinter der fraglichen IP-Adresse zwar ein Server von APT28 stand, dass dieser aber anschließend gekündigt oder gesperrt wurde. Danach könnte der Provider die IP-Adresse neu vergeben haben - an einen völlig anderen Angreifer. Auch andere Erklärungen sind denkbar, möglicherweise handelt es sich schlicht um einen schlecht gesicherten Server, der von mehreren kriminellen Gruppierungen gehackt und missbraucht wurde.

Der Hinweis auf APT28 ist nicht neu, er tauchte schon vor circa einer Woche in Medienberichten im Zusammenhang mit dem Bundestags-Hack auf. Ein Sprecher der Firma BFK aus Karlsruhe, die vom Bundestag mit der Analyse der Vorfälle beauftragt wurde, warnte im Gespräch mit Golem.de davor, voreilige Schlüsse zu ziehen und sah den Bezug zu APT28 eher kritisch.

Provider OVH und CrookServers

Die fragliche IP-Adresse gehört zum französischen Provider OVH. Der Reverse-Lookup der Adresse verweist allerdings auf eine Firma aus Pakistan namens CrookServers. Zur Zeit läuft auf dem Server ein SSH-Dienst, ein Webserver auf dem Port 81, der ein Passwort abfragt. Der FTP-Port und mehrere exotischere Ports sind ebenfalls offen. Laut dem HTTP-Server handelt es sich um ein Debian-System mit Apache 2.2.22, vermutlich ein Debian-Wheezy-System.

Der gesamte Bericht bezieht sich ausschließlich auf Malware, die auf den Servern der Linksfraktion gefunden wurde. Diese Server sind Teil eines separaten Netzes der Fraktion, das vom normalen Netz des Bundestages getrennt ist. Während die PCs von Abgeordneten und deren direkten Mitarbeitern vom Bundestag selbst betrieben werden, nutzen die Mitarbeiter der Fraktionen die eigenen Netze.

In einem Pressegespräch betonten Vertreter der Linksfraktion, dass sie es nicht nachvollziehbar finden, dass die Bundestagsverwaltung bislang vieles geheim hält. Der Bericht soll, so die Bundestagsabgeordnete Petra Sitte, ein Beitrag zu mehr Transparenz und Offenheit sein.

Analyse soll zu mehr Transparenz beitragen

Auch wenn die Analyse der Linkspartei nicht vollständig überzeugt, ist sie doch eines der detailliertesten Dokumente, die zu den gesamten Vorfällen im Bundestag bisher veröffentlicht wurden. Von den offiziellen Stellen, sowohl von der Bundestagsverwaltung als auch von dem mit der Analyse betrauten Bundesamt für Sicherheit in der Informationstechnik (BSI), gibt es bisher praktisch keine handfesten Informationen. Vieles, was in den letzten Tagen berichtet wurde, basiert auf Gerüchten und ist teilweise kaum plausibel.

So wurde beispielsweise in mehreren Medien die Behauptung aufgestellt, dass die Hardware im Bundestag ausgetauscht werden müsste. Erklärbar wäre ein solcher Schritt nur durch BIOS-Malware oder andere Formen von Firmware-Infektionen. Ein für das IT-Netz der Linksfraktion verantwortlicher Mitarbeiter erklärte im Pressegespräch jedoch, dass es bislang keine Hinweise auf derartige in der Firmware versteckte Malware gebe.



Anzeige
Blu-ray-Angebote
  1. 34,99€

Proctrap 21. Jun 2015

OVH ist mir schon mehrfach negativ aufgefallen. Aus dem Europäischen (nahen) Raum kommt...

baumhausbewohner 20. Jun 2015

Edit: Kommentare gelöscht auf den ich mich bezogen habe und es ist verdammt nochmal gut...

Dumpfbacke 20. Jun 2015

Der Virus, den Kaspersky in ihrem eigenem Netzwerk gefunden hat, entspricht dem Ding...


Folgen Sie uns
       


Rebble Pebble - Test

Pünktlich zur Abschaltung der Pebble-Server hat das Rebble-Projekt seine Alternative gestartet. Der Rebble-Server bringt Funktionen wie den Appstore und die Wetteranzeige in der Timeline zurück. Ganz perfekt ist der Ersatz aber noch nicht.

Rebble Pebble - Test Video aufrufen
iOS 12 im Test: Auch Apple will es Nutzern leichter machen
iOS 12 im Test
Auch Apple will es Nutzern leichter machen

Apple setzt mit iOS 12 weniger auf aufsehenerregende Funktionen als auf viele kleine Verbesserungen für den Alltag. Das erinnert an Google und Android 9, was nicht zwingend schlecht ist.
Ein Test von Tobias Költzsch

  1. Apple Siri-Kurzbefehle-App für iOS 12 verfügbar

Grafikkarten: Das kann Nvidias Turing-Architektur
Grafikkarten
Das kann Nvidias Turing-Architektur

Zwei Jahre nach Pascal folgt Turing: Die GPU-Architektur führt Tensor-Cores und RT-Kerne für Spieler ein. Die Geforce RTX haben mächtige Shader-Einheiten, große Caches sowie GDDR6-Videospeicher für Raytracing, für Deep-Learning-Kantenglättung und für mehr Leistung.
Ein Bericht von Marc Sauter

  1. Tesla T4 Nvidia bringt Googles Cloud auf Turing
  2. Battlefield 5 mit Raytracing Wenn sich der Gegner in unserem Rücken spiegelt
  3. Nvidia Turing Geforce RTX 2080 rechnet 50 Prozent schneller

SpaceX: Milliardär will Künstler mit zum Mond nehmen
SpaceX
Milliardär will Künstler mit zum Mond nehmen

Ein japanischer Milliardär ist der mysteriöse erste Kunde von SpaceX, der um den Mond fliegen will. Er will eine Gruppe von Künstlern zu dem Flug einladen. Die Pläne für das Raumschiff stehen kurz vor der Fertigstellung.
Von Frank Wunderlich-Pfeiffer

  1. Mondwettbewerb Niemand gewinnt den Google Lunar X-Prize

    •  /