Abo
  • Services:
Anzeige
Die Linksfraktion im Bundestag bemüht sich um Transparenz - die veröffentlichte Analyse überzeugt aber nicht vollständig.
Die Linksfraktion im Bundestag bemüht sich um Transparenz - die veröffentlichte Analyse überzeugt aber nicht vollständig. (Bild: linksfraktion.de)

Bundestag: Linksfraktion veröffentlicht Malware-Analyse

Die Linksfraktion im Bundestag bemüht sich um Transparenz - die veröffentlichte Analyse überzeugt aber nicht vollständig.
Die Linksfraktion im Bundestag bemüht sich um Transparenz - die veröffentlichte Analyse überzeugt aber nicht vollständig. (Bild: linksfraktion.de)

Die Linksfraktion veröffentlicht im Zusammenhang mit dem Bundestags-Hack eine Analyse von Malware, die auf ihren Servern gefunden wurde. Darin wird eine Verbindung zur russischen Organisation APT28 nahegelegt. Doch wirklich überzeugend sind die Belege dafür nicht.

Die Fraktion der Linkspartei im Bundestag hat auch in ihrem eigenen Netzwerk Malware gefunden, die auf einen gezielten Hackerangriff hindeutet. Ob es sich um denselben Angriff handelt wie den, der den Bundestag seit einigen Wochen in Atem hält, ist nicht völlig klar, es ist aber zu vermuten. Anders als die Bundestagsverwaltung versucht die Linkspartei, mit dem Vorfall transparent umzugehen. Eine ausführliche Analyse der gefundenen Malware durch den IT-Sicherheitsspezialisten Claudio Guarnieri wurde von der Fraktion selbst und von Netzpolitik.org veröffentlicht. Guarnieri sieht Verbindungen zu einer russischen Organisation, die unter den Namen Sofacy oder APT28 bekannt ist. Doch die Analyse lässt auch andere Interpretationen zu.

Anzeige

Freie Software WinExe

Laut dem Bericht fanden sich auf den Servern zwei EXE-Dateien, die mit dem Angriff in Verbindung gebracht wurden. Bei der ersten Datei handelt es sich um einen Teil der Software WinExe. WinExe ist eine freie Software und kann dafür genutzt werden, von einem Linux-System aus über das Netzwerk Befehle auf einem Windows-System auszuführen.

Bei der anderen EXE-Datei handelt es sich offenbar um einen Tunnel, über den möglicherweise Befehle empfangen und Daten aus den Systemen herausgeleitet wurden. Um eine verschlüsselte Verbindung aufzubauen, enthält dieses Programm eine relativ alte Version von OpenSSL (1.0.1e). Damit ist diese Software anfällig für den Heartbleed-Bug und zahlreiche andere OpenSSL-Sicherheitslücken. Das Programm verbindet sich zu der einprogrammierten IP-Adresse 176.31.112.10. Laut Bericht war auch der Server bei der Analyse vom Heartbleed-Bug betroffen.

Diese IP-Adresse ist das zentrale Indiz für die Verbindung zur Organisation APT28. Aus Daten, die vom Projekt Sonar der Firma Rapid7 erfasst wurden und öffentlich verfügbar sind, geht hervor, dass diese IP-Adresse im Februar ein Zertifikat genutzt hat, das für den Mailserver des ukrainischen Außenministeriums ausgestellt war. Wir konnten das nachvollziehen und das aus den Sonar-Daten extrahieren (Zertifikat hier als CRT zum Download). Das Zertifikat wurde vorgeblich von der Firma Comodo ausgestellt, die Zertifikatssignatur ist allerdings ungültig.

Das Zertifikat führt zu APT28

Das gleiche Zertifikat wurde zu diesem Zeitpunkt von einer anderen IP-Adresse - 213.251.187.145 - genutzt. Diese IP wiederum wurde im Dezember 2014 für Phishing-Angriffe auf die albanische Regierung genutzt. Dieser Angriff wurde laut der Firma PwC von der Gruppe APT28 durchgeführt.

Einen weiteren Hinweis auf APT28 liefert ein Bericht der Firma root9B. Dieser erwähnt ebenfalls die IP-Adresse 176.31.112.10 und bringt sie mit einem Angriff auf amerikanische Banken in Verbindung. Allerdings verweist Guarnieri selbst darauf, dass dieser Bericht nicht sehr glaubwürdig ist und zahlreiche inhaltliche Fehler enthält. Zudem geht aus dem Bericht von root9B nicht hervor, wann diese IP genutzt wurde. Der Sicherheitsforscher Brian Krebs hat in einem ausführlichen Blogeintrag den Bericht von root9B analysiert. Krebs schreibt, dass es sich um keinen sehr ungewöhnlichen Angriff handelt, sondern um relativ simple Phishing-Angriffe. Die Verbindung zu russischen Hackern hält er für nicht plausibel.

Der Schluss, dass hinter dem Angriff auf die Server der Linksfraktion die Gruppe APT28 steckt, ist somit keineswegs zwingend. Vorstellbar wäre, dass im Februar hinter der fraglichen IP-Adresse zwar ein Server von APT28 stand, dass dieser aber anschließend gekündigt oder gesperrt wurde. Danach könnte der Provider die IP-Adresse neu vergeben haben - an einen völlig anderen Angreifer. Auch andere Erklärungen sind denkbar, möglicherweise handelt es sich schlicht um einen schlecht gesicherten Server, der von mehreren kriminellen Gruppierungen gehackt und missbraucht wurde.

Der Hinweis auf APT28 ist nicht neu, er tauchte schon vor circa einer Woche in Medienberichten im Zusammenhang mit dem Bundestags-Hack auf. Ein Sprecher der Firma BFK aus Karlsruhe, die vom Bundestag mit der Analyse der Vorfälle beauftragt wurde, warnte im Gespräch mit Golem.de davor, voreilige Schlüsse zu ziehen und sah den Bezug zu APT28 eher kritisch.

Provider OVH und CrookServers

Die fragliche IP-Adresse gehört zum französischen Provider OVH. Der Reverse-Lookup der Adresse verweist allerdings auf eine Firma aus Pakistan namens CrookServers. Zur Zeit läuft auf dem Server ein SSH-Dienst, ein Webserver auf dem Port 81, der ein Passwort abfragt. Der FTP-Port und mehrere exotischere Ports sind ebenfalls offen. Laut dem HTTP-Server handelt es sich um ein Debian-System mit Apache 2.2.22, vermutlich ein Debian-Wheezy-System.

Der gesamte Bericht bezieht sich ausschließlich auf Malware, die auf den Servern der Linksfraktion gefunden wurde. Diese Server sind Teil eines separaten Netzes der Fraktion, das vom normalen Netz des Bundestages getrennt ist. Während die PCs von Abgeordneten und deren direkten Mitarbeitern vom Bundestag selbst betrieben werden, nutzen die Mitarbeiter der Fraktionen die eigenen Netze.

In einem Pressegespräch betonten Vertreter der Linksfraktion, dass sie es nicht nachvollziehbar finden, dass die Bundestagsverwaltung bislang vieles geheim hält. Der Bericht soll, so die Bundestagsabgeordnete Petra Sitte, ein Beitrag zu mehr Transparenz und Offenheit sein.

Analyse soll zu mehr Transparenz beitragen

Auch wenn die Analyse der Linkspartei nicht vollständig überzeugt, ist sie doch eines der detailliertesten Dokumente, die zu den gesamten Vorfällen im Bundestag bisher veröffentlicht wurden. Von den offiziellen Stellen, sowohl von der Bundestagsverwaltung als auch von dem mit der Analyse betrauten Bundesamt für Sicherheit in der Informationstechnik (BSI), gibt es bisher praktisch keine handfesten Informationen. Vieles, was in den letzten Tagen berichtet wurde, basiert auf Gerüchten und ist teilweise kaum plausibel.

So wurde beispielsweise in mehreren Medien die Behauptung aufgestellt, dass die Hardware im Bundestag ausgetauscht werden müsste. Erklärbar wäre ein solcher Schritt nur durch BIOS-Malware oder andere Formen von Firmware-Infektionen. Ein für das IT-Netz der Linksfraktion verantwortlicher Mitarbeiter erklärte im Pressegespräch jedoch, dass es bislang keine Hinweise auf derartige in der Firmware versteckte Malware gebe.


eye home zur Startseite
Proctrap 21. Jun 2015

OVH ist mir schon mehrfach negativ aufgefallen. Aus dem Europäischen (nahen) Raum kommt...

baumhausbewohner 20. Jun 2015

Edit: Kommentare gelöscht auf den ich mich bezogen habe und es ist verdammt nochmal gut...

Dumpfbacke 20. Jun 2015

Der Virus, den Kaspersky in ihrem eigenem Netzwerk gefunden hat, entspricht dem Ding...



Anzeige

Stellenmarkt
  1. über Hanseatisches Personalkontor Hannover, Gallin bei Hamburg
  2. Bosch Healthcare Solutions GmbH, Waiblingen
  3. Bosch Sicherheitssysteme GmbH, Grasbrunn bei München
  4. Bosch Rexroth AG, Schwieberdingen


Anzeige
Spiele-Angebote
  1. 3,99€
  2. (-80%) 4,99€
  3. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€

Folgen Sie uns
       


  1. Abwehr

    Qualcomm erhöht Gebot für NXP um 5 Milliarden US-Dollar

  2. Rockpro64

    Bastelplatine kommt mit USB-C, PCIe und Sechskernprozessor

  3. Jameda

    Ärztin setzt Löschung aus Bewertungsportal durch

  4. Autonomes Fahren

    Forscher täuschen Straßenschilderkennung mit KFC-Schild

  5. Fernsehstreaming

    Magine TV zeigt RTL-Sender in HD-Auflösung

  6. TV

    SD-Abschaltung bei Satellitenfernsehen steht jetzt fest

  7. PM1643

    Samsung liefert SSD mit 31 TByte aus

  8. Spielebranche

    Innogames wächst weiter stark mit Free-to-Play

  9. HP Omen X VR im Test

    VR auf dem Rücken kann nur teils entzücken

  10. Google

    Deep-Learning-System analysiert Augenscans nach Krankheiten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Star Trek Discovery: Die verflixte 13. Folge
Star Trek Discovery
Die verflixte 13. Folge
  1. Star Trek Bridge Crew Sternenflotte verlässt Holodeck

Fe im Test: Fuchs im Farbenrausch
Fe im Test
Fuchs im Farbenrausch
  1. Mobile-Games-Auslese GladOS aus Portal und sowas wie Dark Souls für unterwegs
  2. Monster Hunter World im Test Das Viecher-Fleisch ist jetzt gut durch
  3. Indiegames-Rundschau Krawall mit Knetmännchen und ein Mann im Fass

Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

  1. Re: 100$ + Netzteil + SD-Karte

    chris1284 | 16:43

  2. Re: Bis zum nächsten Gerichtstermin

    Umdenker | 16:42

  3. Bis dahin sind eh alle Sender in HD empfangbar

    DebugErr | 16:40

  4. Re: Wir schreiben 2018, nicht mehr 2017. Kein...

    otraupe | 16:40

  5. Re: Lebensmittel auf dem Land liefern..

    Garius | 16:40


  1. 16:32

  2. 15:52

  3. 15:14

  4. 14:13

  5. 13:55

  6. 13:12

  7. 12:56

  8. 12:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel