Bundestag: Linksfraktion veröffentlicht Malware-Analyse

Die Linksfraktion veröffentlicht im Zusammenhang mit dem Bundestags-Hack eine Analyse von Malware, die auf ihren Servern gefunden wurde. Darin wird eine Verbindung zur russischen Organisation APT28 nahegelegt. Doch wirklich überzeugend sind die Belege dafür nicht.

Artikel veröffentlicht am , Hanno Böck
Die Linksfraktion im Bundestag bemüht sich um Transparenz - die veröffentlichte Analyse überzeugt aber nicht vollständig.
Die Linksfraktion im Bundestag bemüht sich um Transparenz - die veröffentlichte Analyse überzeugt aber nicht vollständig. (Bild: linksfraktion.de)

Die Fraktion der Linkspartei im Bundestag hat auch in ihrem eigenen Netzwerk Malware gefunden, die auf einen gezielten Hackerangriff hindeutet. Ob es sich um denselben Angriff handelt wie den, der den Bundestag seit einigen Wochen in Atem hält, ist nicht völlig klar, es ist aber zu vermuten. Anders als die Bundestagsverwaltung versucht die Linkspartei, mit dem Vorfall transparent umzugehen. Eine ausführliche Analyse der gefundenen Malware durch den IT-Sicherheitsspezialisten Claudio Guarnieri wurde von der Fraktion selbst und von Netzpolitik.org veröffentlicht. Guarnieri sieht Verbindungen zu einer russischen Organisation, die unter den Namen Sofacy oder APT28 bekannt ist. Doch die Analyse lässt auch andere Interpretationen zu.

Freie Software WinExe

Stellenmarkt
  1. Assistenz Bereichsvorstand Vertrieb, Service und Technologie Exzellenz (m/w/d)
    DMG MORI Global Service GmbH, Pfronten
  2. Product-Owner IT-Security Detection & Response (m/w/d)
    Amprion GmbH, Dortmund
Detailsuche

Laut dem Bericht fanden sich auf den Servern zwei EXE-Dateien, die mit dem Angriff in Verbindung gebracht wurden. Bei der ersten Datei handelt es sich um einen Teil der Software WinExe. WinExe ist eine freie Software und kann dafür genutzt werden, von einem Linux-System aus über das Netzwerk Befehle auf einem Windows-System auszuführen.

Bei der anderen EXE-Datei handelt es sich offenbar um einen Tunnel, über den möglicherweise Befehle empfangen und Daten aus den Systemen herausgeleitet wurden. Um eine verschlüsselte Verbindung aufzubauen, enthält dieses Programm eine relativ alte Version von OpenSSL (1.0.1e). Damit ist diese Software anfällig für den Heartbleed-Bug und zahlreiche andere OpenSSL-Sicherheitslücken. Das Programm verbindet sich zu der einprogrammierten IP-Adresse 176.31.112.10. Laut Bericht war auch der Server bei der Analyse vom Heartbleed-Bug betroffen.

Diese IP-Adresse ist das zentrale Indiz für die Verbindung zur Organisation APT28. Aus Daten, die vom Projekt Sonar der Firma Rapid7 erfasst wurden und öffentlich verfügbar sind, geht hervor, dass diese IP-Adresse im Februar ein Zertifikat genutzt hat, das für den Mailserver des ukrainischen Außenministeriums ausgestellt war. Wir konnten das nachvollziehen und das aus den Sonar-Daten extrahieren (Zertifikat hier als CRT zum Download). Das Zertifikat wurde vorgeblich von der Firma Comodo ausgestellt, die Zertifikatssignatur ist allerdings ungültig.

Das Zertifikat führt zu APT28

Golem Karrierewelt
  1. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    16.-18.01.2023, virtuell
  2. Adobe Premiere Pro Aufbaukurs: virtueller Zwei-Tage-Workshop
    26./27.01.2023, Virtuell
Weitere IT-Trainings

Das gleiche Zertifikat wurde zu diesem Zeitpunkt von einer anderen IP-Adresse - 213.251.187.145 - genutzt. Diese IP wiederum wurde im Dezember 2014 für Phishing-Angriffe auf die albanische Regierung genutzt. Dieser Angriff wurde laut der Firma PwC von der Gruppe APT28 durchgeführt.

Einen weiteren Hinweis auf APT28 liefert ein Bericht der Firma root9B. Dieser erwähnt ebenfalls die IP-Adresse 176.31.112.10 und bringt sie mit einem Angriff auf amerikanische Banken in Verbindung. Allerdings verweist Guarnieri selbst darauf, dass dieser Bericht nicht sehr glaubwürdig ist und zahlreiche inhaltliche Fehler enthält. Zudem geht aus dem Bericht von root9B nicht hervor, wann diese IP genutzt wurde. Der Sicherheitsforscher Brian Krebs hat in einem ausführlichen Blogeintrag den Bericht von root9B analysiert. Krebs schreibt, dass es sich um keinen sehr ungewöhnlichen Angriff handelt, sondern um relativ simple Phishing-Angriffe. Die Verbindung zu russischen Hackern hält er für nicht plausibel.

Der Schluss, dass hinter dem Angriff auf die Server der Linksfraktion die Gruppe APT28 steckt, ist somit keineswegs zwingend. Vorstellbar wäre, dass im Februar hinter der fraglichen IP-Adresse zwar ein Server von APT28 stand, dass dieser aber anschließend gekündigt oder gesperrt wurde. Danach könnte der Provider die IP-Adresse neu vergeben haben - an einen völlig anderen Angreifer. Auch andere Erklärungen sind denkbar, möglicherweise handelt es sich schlicht um einen schlecht gesicherten Server, der von mehreren kriminellen Gruppierungen gehackt und missbraucht wurde.

Der Hinweis auf APT28 ist nicht neu, er tauchte schon vor circa einer Woche in Medienberichten im Zusammenhang mit dem Bundestags-Hack auf. Ein Sprecher der Firma BFK aus Karlsruhe, die vom Bundestag mit der Analyse der Vorfälle beauftragt wurde, warnte im Gespräch mit Golem.de davor, voreilige Schlüsse zu ziehen und sah den Bezug zu APT28 eher kritisch.

Provider OVH und CrookServers

Die fragliche IP-Adresse gehört zum französischen Provider OVH. Der Reverse-Lookup der Adresse verweist allerdings auf eine Firma aus Pakistan namens CrookServers. Zur Zeit läuft auf dem Server ein SSH-Dienst, ein Webserver auf dem Port 81, der ein Passwort abfragt. Der FTP-Port und mehrere exotischere Ports sind ebenfalls offen. Laut dem HTTP-Server handelt es sich um ein Debian-System mit Apache 2.2.22, vermutlich ein Debian-Wheezy-System.

Der gesamte Bericht bezieht sich ausschließlich auf Malware, die auf den Servern der Linksfraktion gefunden wurde. Diese Server sind Teil eines separaten Netzes der Fraktion, das vom normalen Netz des Bundestages getrennt ist. Während die PCs von Abgeordneten und deren direkten Mitarbeitern vom Bundestag selbst betrieben werden, nutzen die Mitarbeiter der Fraktionen die eigenen Netze.

In einem Pressegespräch betonten Vertreter der Linksfraktion, dass sie es nicht nachvollziehbar finden, dass die Bundestagsverwaltung bislang vieles geheim hält. Der Bericht soll, so die Bundestagsabgeordnete Petra Sitte, ein Beitrag zu mehr Transparenz und Offenheit sein.

Analyse soll zu mehr Transparenz beitragen

Auch wenn die Analyse der Linkspartei nicht vollständig überzeugt, ist sie doch eines der detailliertesten Dokumente, die zu den gesamten Vorfällen im Bundestag bisher veröffentlicht wurden. Von den offiziellen Stellen, sowohl von der Bundestagsverwaltung als auch von dem mit der Analyse betrauten Bundesamt für Sicherheit in der Informationstechnik (BSI), gibt es bisher praktisch keine handfesten Informationen. Vieles, was in den letzten Tagen berichtet wurde, basiert auf Gerüchten und ist teilweise kaum plausibel.

So wurde beispielsweise in mehreren Medien die Behauptung aufgestellt, dass die Hardware im Bundestag ausgetauscht werden müsste. Erklärbar wäre ein solcher Schritt nur durch BIOS-Malware oder andere Formen von Firmware-Infektionen. Ein für das IT-Netz der Linksfraktion verantwortlicher Mitarbeiter erklärte im Pressegespräch jedoch, dass es bislang keine Hinweise auf derartige in der Firmware versteckte Malware gebe.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Proctrap 21. Jun 2015

OVH ist mir schon mehrfach negativ aufgefallen. Aus dem Europäischen (nahen) Raum kommt...

baumhausbewohner 20. Jun 2015

Edit: Kommentare gelöscht auf den ich mich bezogen habe und es ist verdammt nochmal gut...

Dumpfbacke 20. Jun 2015

Der Virus, den Kaspersky in ihrem eigenem Netzwerk gefunden hat, entspricht dem Ding...



Aktuell auf der Startseite von Golem.de
Elektromobilität
Im Winter hat der ID.3 fast 30 Prozent weniger Reichweite

Der Verbrauch bei einem Elektroauto von VW schwankt über das Jahr ordentlich. Anders beim Verbrenner. Doch dessen Verbrauch ist ungleich höher.

Elektromobilität: Im Winter hat der ID.3 fast 30 Prozent weniger Reichweite
Artikel
  1. Digitale Dienste und Märkte: Wie DSA und DMA umgesetzt werden
    Digitale Dienste und Märkte
    Wie DSA und DMA umgesetzt werden

    Die Verordnungen über digitale Dienste und Märkte sind inzwischen in Kraft getreten. An ihrer Umsetzung können Interessenvertreter sich noch beteiligen.
    Ein Bericht von Friedhelm Greis

  2. Fit werden für die Cloud - zum halben Preis!
     
    Fit werden für die Cloud - zum halben Preis!

    Ohne Clouddienste geht heute in vielen Unternehmen nicht mehr viel. Die Golem Karrierewelt liefert unverzichtbares Cloud-Know-how mit 50 Prozent Black-Week-Rabatt.
    Sponsored Post von Golem Karrierewelt

  3. Cosmoteer im Test: Factorio im Weltraum
    Cosmoteer im Test
    Factorio im Weltraum

    Eine einzige Person hat über viele Jahre die Sandbox Cosmoteer entwickelt. Dort bauen wir Raumschiffe und kämpfen im All. Achtung, Suchtpotenzial!
    Ein Test von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday bei Mindfactory, MediaMarkt & Saturn • Prime-Filme leihen für je 0,99€ • WD_BLACK SN850 1TB 129€ • GIGABYTE Z690 AORUS ELITE 179€ • SanDisk SSD Plus 1TB 59€ • Crucial P3 Plus 1TB 81,99 • Mindfactory: XFX Speedster ZERO RX 6900 XT RGB EKWB Waterblock LE 809€ [Werbung]
    •  /