Wien (14/3). Das österreichische Außenministerium sagte, ein einwöchiger Cyber-Angriff eines “staatlichen Akteurs” gegen seine Systeme sei beendet – inmitten lokaler Berichte, die einer russischen Hacking-Crew und ihrer anfänglichen Nutzlast von vier Bytes die Schuld geben.
Der Angriff, der am 4. Januar den Bürgern des Staates angekündigt wurde, zielte laut lokalen Berichten auf die IT-Infrastruktur des Ministeriums.
Außenminister Alexander Schallenberg sagte, der Angriff sei beendet worden und fügte hinzu: “Wir haben es geschafft, unsere IT-Systeme aufzuräumen.” Er behauptet, dass “keine Schäden an der IT-Ausrüstung festgestellt werden konnten”. Experten bestreiten diese Aussage.
Das Ministerium sagte in einer Erklärung: “Nach heutigem Kenntnisstand war dies ein gezielter Angriff auf das Außenministerium mit der Absicht, Informationen zu sammeln. Aufgrund der Dimension und der hohen Komplexität kann jedoch noch nicht zweifelsfrei gesagt werden, wer dahinter steckt der Angriff.”
Es ist unklar, ob der Angriff selbst gestern beendet wurde oder ob gestern das Ende der Aufräum- und Reparatur Periode markiert wurde.
Die lokale Zeitung Der Standard sagte, dass der lokale russische Botschafter Dmitri Ljubinski trotz Nachrichten, in denen die üblichen Verdächtigen – Russland und China – beschuldigt wurden, einen Rückzug und eine Entschuldigung forderte. Die Zeitung sagte: “Zum Beispiel machte die Kronen Zeitung am Dienstag Schlagzeilen mit der Behauptung, dass eine Spur nach Moskau führt – ohne dies weiter zu untermauern.”
Ein lokaler Radiosender, der Österreichische Rundfunk (ORF), berichtete Mitte Januar, dass der Angriff die Markenzeichen der russischen Turla-Gruppe trug. Unter Berufung auf Informationen aus eigenen Quellen beschrieb der Sender den Angriff ausführlich:
Wie alle bisher bekannten Malware-Module, die Turla zugewiesen sind, ist Topinambour ein reines Spionagetool. Die einzelnen Elemente der Malware werden – wie üblich – nur im Zielnetzwerk zusammengestellt, aber die Raffinesse von Turla liegt im “Wie”. Die gesamte Suite besteht aus kurzen Befehlsketten für .NET oder PowerShell und verwendet – wo immer möglich – legitime Windows-Elemente wie cmd.exe, die ohnehin auf dem angegriffenen Computer vorhanden sind.
ORF berichtete, dass die Angreifer ein Befehlszeilen Modul verwendeten, um eine 4-Byte-TCP-Anforderung an einen externen Server zu senden. Dadurch wird der Malware-Dropper heruntergeladen, der wiederum den Trojaner von Turla platziert. Als so genannter fileless-Angriff eingesetzt, waren die Betreiber der Malware laut ORF in der Lage, frisch desinfizierte Server mit subtil veränderten Belastungen erneut zu besuchen und auf Gegenmaßnahmen im laufenden Betrieb zu reagieren. Eine von Google übersetzte Version des Artikels, die sich gut auf Englisch liest, finden Sie hier .
“Die Zeichenfolgen der Befehlszeilenschnittstelle PowerShell oder das Gegenstück zur .NET-Programmier Suite von Microsoft sind in diesem Netzwerk immer im Trend”, betonte der ORF, dass das österreichische Außenministerium weltweit rund 100 diplomatische Missionen unterhält.
Die Turla Group hat wie jeder andere Malware-Betreiber im Internet etwa zwei Dutzend Handelsnamen, je nachdem, welches Infosec-Unternehmen zu einem bestimmten Zeitpunkt darüber bloggt. Es ist verschiedentlich bekannt als Giftbär, Gruppe 88, Uruburos, Eisenjäger und so weiter. Es wurde zuletzt auf El Reg gesehen, als britische und amerikanische Spione die Hacking-Crew beschuldigten, sich als Iraner getarnt zu haben, um Angriffe auf Regierungen im Nahen Osten zu starten.
Im vergangenen Sommer wurde das Hauptquartier der Vereinten Nationen in der österreichischen Hauptstadt Wien gehackt . Unglaublich, Beamte vertuschten es in der Hoffnung, dass niemand es bemerken würde.
