Wie russische Hacker westliche Diplomaten hacken
Vor zehn Jahren war das in den Social Media mal üblich, in solchen Fällen „*facepalm*“ zu schreiben.
DER SPIEGEL: Westliche Diplomaten sind in Moskau Ziel von Hackerattacken
Die Computer von Botschaftsmitarbeitern sollen in Moskau offenbar gezielt ausspioniert werden, warnt Microsoft. Besonders brisant: Die Schadsoftware wird in den Datenstrom russischer Provider eingeschleust.
Microsoft hat eine besonders ausgefeilte Angriffskampagne gegen westliche Botschaftsmitarbeiter in Moskau ausgemacht, bei der die Angreifer wohl direkt auf die Technik bei russischen Internetprovidern zugreifen konnten. Wie das Unternehmen mitteilt, soll hinter der Kampagne die Gruppe Turla stecken, die laut Experten im Auftrag Russlands und vermutlich für den dortigen Geheimdienst FSB agiert.
Microsoft verrät nicht allzu viele Details über die Hackerkampagne.
[…]
Die ausführliche Beschreibung des Angriffsmusters legt aber nahe, dass nicht die IT-Netze der Botschaften selbst infiltriert werden. Stattdessen sollen die Laptops von Diplomaten und Botschaftsmitarbeitern mit Spionagesoftware infiziert werden, wenn sie über Internetanschlüsse außerhalb der diplomatischen Vertretungen online gehen.
Dabei haben die Angreifer wohl volle Kontrolle darüber, welche Daten über den Internetanschluss laufen. Laut dem Bericht bekam das betroffene Botschaftspersonal auf seinen Geräten nach dem Einloggen eine Art Vorschaltseite eingespielt, wie sie von öffentlichen WLANs in Flughäfen oder auch bei der Deutschen Bahn bekannt sind: Erst wer die allgemeinen Geschäftsbedingungen akzeptiert, kommt ins Internet.
[…]
In diesem Fall missbrauchten die Angreifer diesen Vorgang, um die Betroffenen auf eine von ihnen kontrollierte Website umzuleiten, die einen Zertifikatsfehler anzeigte und zum Download einer Softwareaktualisierung aufrief. Wer dem folgte, lud dem Bericht zufolge ein ausgefeiltes Schadprogramm herunter.
Die Angreifer nutzten zumindest für die erste Infiltration keine Sicherheitslücke. Sie waren darauf angewiesen, dass ihre Opfer die Windows-Sicherheitshinweise vor der Installation eines Programms aus unbekannter Quelle ignorierten. »Die Warnmeldungen sollten für diejenigen, die sie sehen, ein Warnsignal sein«, sagt Sherrod DeGrippo, die die Abteilung Cyber Threat Intelligence bei Microsoft leitet, im Gespräch mit dem SPIEGEL. Doch es gebe einen Drang, seine Arbeit einfach hinter sich zu bringen, eine Verbindung herzustellen, auf »OK« zu klicken und weiterzumachen. »Das sind die Dinge, auf die die Menschen wirklich achten müssen, insbesondere wenn sie in diesen sensiblen Positionen tätig sind und in diesen sensiblen Organisationen arbeiten«, warnt DeGrippo.
Erster Gedanke: Wie doof kann man eigentlich sein?
Es wird zwar nicht gesagt, welche Länder es da überhaupt erwischt hat, aber die Frage ist schon, wie man Botschaftsmitarbeiter in ein Land wie Russland lassen kann, ohne sie vorher intensiv in Sachen Spionage zu schulen. Und wie man überhaupt Windows-Rechner gestatten kann, die sowohl in den Botschaftsnetzen, als auch außerhalb angeschlossen werden dürfen.
Mir gehen dann aber doch noch andere Gedanken durch den Kopf.
Einer ist natürlich, wieso man in Botschaftsangelegenheiten Rechner einsetzt, auf denen der Benutzer überhaupt irgendetwas durch „Anklicken“ ausführen kann. Der Scheiß müsste sich doch nun wirklich mal irgendwann erledigt haben.
Warum wird da überhaupt noch Windows eingesetzt? Man muss doch mal die ganze Systemadministration aus dem graphischen Benutzer-Klicki-Bunti entfernen. Laienadministration funktioniert nicht, schon gar nicht im Botschaftskram.
Und warum sind die Systeme überhaupt so gebaut, dass sie für so etwas anfällig sind?
Normalerweise sollten Systeme, die derartig gefährdet sind, gar keine Verbindung zu ihrer direkten Umwelt aufnehmen, sondern alles durch VPN-Tunnel leiten. Und wenn man dafür erst irgendeine Portalbestätigung abgeben muss, dann verwendet man den Zugang eben nicht oder hat einen speziell abgesicherten Browser.
Allerdings, schon oft hier im Blog erzählt:
Ich habe vor 20 Jahren, damals noch in meiner Zeit in Dresden, Sicherheitsschulungen für Firmen und Behörden, auch mal die Polizei gehalten, mehrmals dieselbe mit verschiedenem Publikum. Damals habe ich auch vorgeführt, wie man Verbindungen abfängt und sich reinschaltet, und warum man HTTPS statt HTTP verwenden sollte, weil man bei HTTP eine Fälschung nicht erkennt, bei HTTPS aber ein Warnfenster aufgeht, dass das Zertifikat nicht echt ist, weil der Rechner da die Fälschung erkennen kann (und auch erkennt).
Dazu hatte ich immer drei Rechner aufgebaut, davon zwei als Notebook mit Bildschirm und je einem Beamer, nämlich Client und Angreifer, und als Webserver noch einen dritten Rechner ohne Bildschirm. Ich habe das immer so gemacht, dass ich die zwei Bildschirme mit zwei Beamern nebeneinander an die Wand geworfen habe, ich dann mit Erklärungen und Folien auf einem Rechner den Angreifer spielte, und erklärte, was ich da gerade treibe, und auf dem zweiten Rechner einen Freiwilligen aus dem Publikum den arglosen Internet-Benutzer geben ließ.
Zunächst habe ich dann vorgeführt, dass ich einfache HTTP-Verbindungen abfangen und den Inhalt auslesen kann, beispielsweise eingegebene Passworte, ohne dass der Benutzer das bemerken kann.
Dann habe ich gezeigt, dass ich eine HTTPS-Verbindung zwar unbemerkt umleiten und abhören kann, mir das aber nichts nutzt, weil sie verschlüsselt ist, das also nichts macht.
Und dann habe ich gezeigt, dass ich mich zwar als Man-in-the-middle-Angreifer reinschalten kann, indem ich das Zertifikat fälsche. Ich kann zwar die Daten alle identisch übernehmen, muss aber einen anderen Schlüssel verwenden, selbst einen generieren, weil ich den privaten Schlüssel nicht kenne. Und dazu hatte ich dann vorher immer erklärt und gewarnt (nämlich weil der Browser es nur einmal anzeigt, dann nicht mehr, und man es deshalb hinterher nicht mehr erklären kann, sondern da schon aufpassen muss), dass der Browser das erkennt, dass das Zertifikat nicht stimmt, und deshalb – einmal – eine Warnung anzeigt, dass etwas faul ist, und fragt, ob man das wirklich will. Und wenn man dann „Ja, ich will“ klickt, man künftig auf die faule Webseite läuft.
Und mir ist es mehrmals passiert, dass die Leute die Warnung weggeklickt haben, ohne sie wahrzunehmen.
Obwohl ich vorher gesagt hatte, dass die Leute die Warnung bitte erst einmal stehen lassen sollen, damit ich sie erklären kann, ist es mehrmals passiert, dass die Leute sofort und wie automatisch die Warnung weggeklickt haben. Und dann vehement bestritten, das getan zu haben und dass da überhaupt ein Warnfenster war, wenn ich fragte, warum sie das getan haben. Sie hätten nichts getan. Während sich das Publikum wunderte und amüsierte, denn die Zuschauer haben das ja gesehen, dass da kurz ein Warnfenster war, das derjenige weggeklickt hatte – und dann behauptete, da sein keines gewesen. Ich bin mir da immer vorgekommen, als würde ich eine Hypnose-Show vorführen.
Was mich eben auch zu der Erkenntnis brachte, dass solche Warnmeldungen nicht ausreichen. Und obwohl ich es weiß, passiert es sogar mir selbst gelegentlich, dass ich irgendwo eine Meldung wegklicke und dann denkte, „Verdammt, die wollte ich doch lesen, was stand da?“.
Das sind diese typischen Routinefehler, die ich neulich auch schon zum Thema Pilotenfehler beschrieben hatte.
Auch wenn diese Angriffe erst einmal nach „Uäh, sind die Benutzer doof“ aussehen, ist die eigentliche Essenz daraus, dass man derartige, für solche Angriffe und Bedienfehler anfällige Rechner in einem solchen Umfeld überhaupt nicht einsetzen dürfte, aber natürlich auch, dass die Benutzer nicht adäquat geschult waren.
Und dass man sich den Rechner durch bloßes Anklicken mit der Maus schrotten kann, das darf eigentlich gar nicht möglich sein.