Bundestag-Hack: Ein “Ü” wurde zum Problem für die Hacker – Top News

0

In dieser Woche hat der Generalbundesanwalt einen Haftbefehl gegen den 29-jährigen Dmitriy Badin erwirkt.

Badin soll für den russischen Militärgeheimdienst GRU arbeiten.

Genauer: Für die GRU-Einheit 26165, auch bekannt als APT28 oder “Fancy Bear”.

Badin soll am Hackerangriff auf den Bundestag vor rimd fünf Jahren beteiligt gewesen sein.

Die Ermittler glauben, dem Russen nachweisen zu können, was genau er im Netz des Parlaments gemacht hat.

Tun Sie mir einen Gefallen: Bitte TEILEN Sie diesen Beitrag.

Im Frühjahr 2015 griffen Hacker das IT-System des Bundestages an.

Bei den Ermittlungen wurde klar: Die Angreifer machten Fehler.

Und sie scheiterten wohl an einem Buchstaben.

Manchmal ist ein “Ü” ein Problem.

Zum Beispiel beim Programmieren von Schadsoftware.

Wenn der Umlaut nicht erkannt wird, dann wird das Werkzeug unbrauchbar.

So war es wohl im Frühjahr 2015, als Hacker in das IT-System des Bundestages eindrangen, um die E-Mails von Abgeordneten zu stehlen.

Ein Versuch, den Computer im Abgeordneten-Büro der Bundeskanzlerin auszuspionieren, scheiterte zunächst.

Und das lag nach Informationen von BR und WDR an einem “Ü”.

!

Eine forensische Analyse des Werkzeugs hat nach Informationen von BR und WDR ergeben, dass die Hacker zunächst daran scheiterten, das E-Mail-Postfach im Abgeordnetenbüro der Bundeskanzlerin auszuspähen.

Beobachter, die die Schadsoftware kennen, gehen davon aus, dass sie unter Druck geschrieben wurde.

Die Datei mit dem Namen “VSC.

exe” enthielt den kompletten Dateipfad, also jene Stelle auf der Festplatte, an der das Postfach samt Inhalten zu finden war.

Haftbefehl gegen Russen erwirkt

Angriff scheiterte zunächst

Weitere Fehler lassen Rückschlüsse auf Täter zu

Auch Verteidigungsministerium im Fokus von APT28

Nach Erkenntnissen des Bundeskriminalamtes (BKA), das bei den Ermittlungen durch die IT-Spezialisten der Bundespolizei, durch das Bundesamt für die Sicherheit in der Informationstechnik (BSI) und den Verfassungsschutz unterstützt wurde, soll Badin eine bestimmte Schadsoftware programmiert und eingesetzt haben – ein Programm mit dem Dateinamen “VSC.

exe”.

Es wurde auch auf Computern im Büro von Kanzlerin Angela Merkel gefunden.

Üblicherweise wird die Datei VSC.

exe von den APT28-Hackern dazu eingesetzt, Passwörter auszulesen, um sich anschließend auf weitere Rechner ausbreiten zu können.

Im Fall der Schadsoftware im Abgeordneten-Büro der Kanzlerin wurden hingegen diese Funktionen ersetzt durch jene, die direkt das E-Mail-Konto ins Visier nahmen.

Im Frühjahr 2015 griffen Hacker das IT-System des Bundestages an.

Bei den Ermittlungen wurde klar: Die Angreifer machten Fehler.

Und sie scheiterten wohl an einem Buchstaben.

Offenbar hatte der Hacker den Dateipfad zum Postfach kopiert und in den Code seiner Schadsoftware eingefügt.

Da er aber wohl kein Tastaturlayout mit deutschen Umlauten verwendet hat, wurde aus dem “Ü” schließlich ein “?” So konnte die Schadsoftware den angegebenen E-Mail-Ordner nicht finden und die Inhalte des Postfachs entsprechend nicht auslesen.

Der Pfad enthält die Buchstabenfolge “UsersMerkel”.

Weiter enthielt der Pfad Informationen, die darauf schließen lassen, dass das Konto einem Mitarbeiter im Merkel-Büro gehörte.

Die Ermittler wissen also, wer im Fokus des Hackers stand.

Weiter hinten im Dateipfad befindet sich dann das Problem für den Hacker: Statt “Büro” steht im Programm “B?ro”.

In einer vertraulichen 17-seitigen Analyse hat sich das Nationale Cyber-Abwehrzentrum (NCAZ) des Bundes im Juni 2019 mit der Hackergruppe APT28 auseinandergesetzt.

Darin gibt der Bundesnachrichtendienst (BND) eine Einschätzung ab.

Wörtlich heißt es: Die Hacker agierten “nahezu sicher im Auftrag des russischen, militärischen Geheimdienstes GRU”.

Die eingesetzten Werkzeuge der Gruppe lassen “auf eine hohe bis punktuell sehr hohe Fachexpertise schließen”, sie verfüge außerdem über “große Finanzmittel und personelle Ressourcen”.

Ein weiterer Fehler, der sich in der Spionage-Software finden lässt: der Nutzername des Rechners, auf dem sie entwickelt wurde.

Auch das ist ein Dateipfad, der wertvolle Hinweise liefert, nämlich den Nutzernamen “Scaramouche” – eine Figur aus dem italienischen Theater, die übersetzt “Scharmützel” bedeutet.

Der Name, hinter dem sich der Hacker Dmitriy Badin verbergen soll, war bereits in Zusammenhang mit der russischen Spionagegruppe APT28 alias “Fancy Bear” aufgefallen.

Bundestag-Hack: Ein “Ü” wurde zum Problem für die Hacker

Der Militärische Abschirmdienst (MAD) berichtet in der Analyse über Angriffe, die sich “in den letzten Jahren” gegen Mitarbeiter des Verteidigungsministeriums richteten.

Durch gezielte Anschreiben an öffentlich nicht bekannte E-Mail-Adressen habe man versucht, Schadsoftware auf Rechnern zu installieren.

In den E-Mails nahmen die Hacker der Analyse nach gezielt Bezug auf das jeweilige Arbeits- und Interessengebiet der Empfänger oder erwähnten kürzlich besuchte nationale oder internationale Veranstaltungen.

Wie viele Daten beim Angriff auf das Bundestags-Netz im Frühjahr 2015 tatsächlich erbeutet wurden, ist weiterhin nicht klar.

Ersten Schätzungen zufolge könnten bis zu 16 Gigabyte kopiert und abgegriffen worden sein.

Anscheinend waren diese Angriffe teilweise erfolgreich.

“Neben Programmen, die Tastatureingaben aufzeichnen”, seien Programme entdeckt worden, die zuständig waren für die “Erstellung von Bildschirmfotos, Anzeige von Ordnerinhalten bis hin zur Löschung von Spuren”.

Doch ein Abfluss aus den IT-Systemen konnte laut MAD verhindert werden.

Share.

Leave A Reply