News Angriff auf Regierungsnetz: Hacker nutzten offenbar Lücke in MS Outlook

Andy

Tagträumer
Teammitglied
Dabei seit
Mai 2003
Beiträge
7.033
#1

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
11.656
#3
Zitat von https://www.golem.de/news/auswaertiges-amt-bundeshacker-kommunizierten-per-outlook-mit-malware-1803-133177.html:
Ob dafür gezielt Sicherheitslücken ausgenutzt wurden, ist bislang unklar.
Zitat von https://www.heise.de/security/meldung/Bundeshack-Daten-sollen-ueber-Outlook-ausgeleitet-worden-sein-3987759.html:
Anscheinend hat der Schadcode entweder den Mail-Client direkt manipuliert oder griff auf die von ihm heruntergeladenen Mail-Anhänge zu.
Bei CB hat Outlook ne Lücke. Selbst bei der Quelle (SZ) steht nichts von einer Lücke.
 

cuco

Lieutenant
Dabei seit
Nov. 2004
Beiträge
555
#4
Dabei seit
Dez. 2007
Beiträge
540
#5
Ich frage mich, warum die ein von außen hin zugängliche Open-Source LMS benutzen und dann auch noch ILIAS... Kein Wunder das die Rechner infiziert werden konnten und infolgedessen Outlook als Mittelsmann missbraucht werden konnte um die Kommunikation zu ermöglichen.
 

greeny112

Lt. Commander
Dabei seit
Apr. 2008
Beiträge
1.413
#6
Ich schließe mich der Frage an: Quelle dafür?
 
Dabei seit
Mai 2011
Beiträge
4.109
#7
Hach ja, Outlook....

"There has no one been fired for buying a Microsoft system" ist auch schon lange vorbei.

Und ein E-Learning System kann keinen Rechner infizieren. Dazu müsste schon der Browser ein Loch haben. Vermutlich MS Edge?
 
Zuletzt bearbeitet:

fdsonne

Cadet 4th Year
Dabei seit
Feb. 2007
Beiträge
102
#9
Das ist halt mal wieder heißer gekocht als gegessen und vor allem viel interpretiert!
Nach der Aussage der Süddeutschen Zeitung nimmt man an, dass die Kommunikation über Outlook lief!
"Der einzige Weg nach draußen führt demnach über Mails. Also dürfte auch die Kontrolle der Schadsoftware über Mails gelaufen sein."

Punkt 2 ist, WENN man das mal annimmt - dann ergibt auch das folgende Sinn:
"Die Mail, die die Angreifer an den schon infizierten Rechner schicken, enthält einen Anhang. Solche Anhänge werden von Outlook heruntergeladen, ohne dass der Nutzer mit ihnen interagieren muss. In diesen Dokumenten - es ist unklar, um welchen Typ es sich handelt, etwa PDF oder Doc - sind versteckte Informationen enthalten. Das sind Befehle wie: "Hacke den nächsten Rechner, verschicke ein Dokument!""
Bis auf den letzten Satz mit den Befehlen - das ist IT für Dummys und der Part mit dem Anhangstyp - weil das ist Käse hoch 3, auf dem Exchange der die Mails zum Outlook liefert wäre sowas klar zu sehen.



Im Endeffekt scheint es einfach so, es wurde wie auch immer ausfindig gemacht, welche PCs da infiziert waren/sind und an die Mailboxen der Nutzer dieser PCs wurden demnach gezielt Mails mit Inhalt gesendet - welche die Schadcodesoftware einfach mitsniffert und entsprechend agiert. Das kann irgendwo unsichtbar in Officedokumenten eingebedetter Stuff sein, das können Signaturen irgendwo sein, das können Freitextfelder irgendwo sein, das kann auch binär Zeugs irgendwo sein, das der User nicht weis usw.

Nach dem Text der Zeitung hat Outlook also nichts anderes gemacht als das was es soll - nämlich Mails zu senden/empfangen.

Die eigentlich brennende Frage ist aber eher, WIE wurden die PCs infiziert??
Weil: "So schicken die Turla-Hacker eine E-Mail an einen Rechner, den sie bereits mit Schadsoftware infiziert haben" besagt klar - die PCs waren infiziert. Nur WIE ist im Moment scheinbar völlig offen?




Leider (muss man sagen) schaffen es die Medien bei Security Themen nicht ohne an Clickbait kommende reißerische Aussagen ihren Part der Informationsübertragung sicher zu stellen... Da steht natürlich in der News schon von einer Lücke - kann klar sein. Steht aber so gar nicht in der Quelle! Die Quelle besagt klar, dass der PC infiziert war und nur noch Mails angenommen hat. Wer die Mailaddis hat - schickt den Stuff da einfach hin. Textmails werden auch nicht gefiltert oder komisch behandelt. Und keiner weis bis heute scheinbar wie die Schadsoftware agiert. Mit den wildesten Algorithmen lassen sich in allen Texten mit genügend Wörtern oder Buchstaben Botschaften übertragen/verschleiern. So dass selbst in der Bibel "codiert" steht, dass olle Adolf da Mitte der 1940er agierte usw. Wenn Software solche Werke nach solchen (für mich) Zufällen durchsuchen kann, warum sollte Software also nicht auch nach so einem Prinzip steuerbar sein?
 
Zuletzt bearbeitet:
Dabei seit
Apr. 2007
Beiträge
3.783
#10
Bei CB hat Outlook ne Lücke. Selbst bei der Quelle (SZ) steht nichts von einer Lücke.
Offenbar kann auch möglicherweise bedeuten.

->
Die Grünen forderten rasche Aufklärung. Es müsse unter anderem geklärt werden, "welche Daten konkret abgeflossen sind und ob im Zuge des Angriffs eine Sicherheitslücke verwendet wurde, die deutschen Behörden bekannt war"
Die Angreifer nutzten nach Informationen der Süddeutschen Zeitung das Mailprogramm Microsoft Outlook und verstecken codierte Befehle in einem Mail-Anhang.
Ob das eine (Sicherheits)-Lücke ist?

Und dann das typisch Gelaber:
Angesichts der jüngsten Angriffe erklärte nun der SPD-Innenpolitiker Burkhard Lischka in der FAS: „Wenn Daten abfließen, dürfen wir sie dann auf dem angreifenden Server löschen? Darf im Notfall sogar der fremde Server zerstört werden? Dafür brauchen wir eine klare gesetzliche Grundlage.“
Als ob deutsche Gesetze irgendjemanden im Ausland kümmert.
Angriff entdecken und dann gleich den Hammer schwingen, so einfach kann es sein, wenn es so einfach wäre.
Und schuld ist sicher auch diese Geheimnistuerei, ätsch, ich weiß mehr als du.
So sind auch die Türme gefallen. Unkontrolliertes gewolltes Durcheinander.
 
Zuletzt bearbeitet:

pgene

Lieutenant
Dabei seit
Sep. 2008
Beiträge
538
#11
Zum Thema "Hack Back": die genutzten Server sind nicht selten ebenso von Opfern.
 

Suffwurst

Cadet 3rd Year
Dabei seit
Sep. 2007
Beiträge
42
#12
Noch am Wochenende mir angeschaut. Sehr informativ. Und spiegelt wirklich das gefangen sein wieder. Nutze aber aktuell auch Microsoft Produkte denke aber darüber nach mal in Richtung alternativen zu schauen. Bzw. eine MS Umgebung lediglich für wenige Anwendungen offline zu nutzen.
 
Dabei seit
Aug. 2013
Beiträge
612
#13
Und ein E-Learning System kann keinen Rechner infizieren. Dazu müsste schon der Browser ein Loch haben. Vermutlich MS Edge?
Wer weiß, vielleicht hatte die Lernplattform auch ne Sicherheitslücke, über die wieder Dateien oder Anfragen manipuliert werden konnten. Wird keiner von uns sagen - aber Microsoft haten können alle...

Vermutlich wird da wieder irgendjemand unsichere Anhänge geöffnet haben und die Administratoren die Rechner nicht ausreichend dicht konfiguriert haben.
 
Dabei seit
Juni 2009
Beiträge
6.924
#14
Bei CB hat Outlook ne Lücke. Selbst bei der Quelle (SZ) steht nichts von einer Lücke.
Danke, die beiden Links wollte ich auch posten.

@Andy: Das „Lücke in“ der Überschrift ist in meinen Augen damit nicht haltbar. Sie sollte zu „Angriff auf Regierungsnetz: Hacker nutzten offenbar MS Outlook“ geändert werden.

Nach den Kommentaren in Instagram-Posts von Britney Spears ist das der nächste kreative Weg, C&C-Server unauffällig zu kontaktieren. Man muß ihnen ja lassen: einfallsreich waren sie. Wie um Himmels willen will man so etwas erkennen und vor allem verhindern, wenn man nicht gerade mit einer Kontakt-Whitelist arbeitet?
 
Dabei seit
Nov. 2014
Beiträge
3.431
#15
Der Artikel strotzt ja förmlich von Vermutungen, Annahmen und Halbwissen, natürlich muss die angeblich russisch Beteiligung hochgehalten werden.

Die Ermittlungen haben erst begonnen und die Faktenlage noch sehr dünn, um mit Sicherheit sagen wer gehackt hat und wie gehackt wurde.

Kann man bitte abwarten was die Ermittlungen ergeben und dann berichten aufgrund von Fakten und es den Mainstream-Medien mit ihren Clickbait-Artikel nicht gleich zu tun. Danke.
 

Sinimini

Cadet 4th Year
Dabei seit
Juni 2015
Beiträge
116
#16
Lücke würde ich das dann auch nicht bezeichnen.
Zum einen gab es ja das Problem das die Rechner auf einem internen weg infiziert wurden und dann von extern emails mit anhang empfangen habe.
Das wäre dann wahrscheinlich auch mit jedem anderen E-Mail Client so machbar.
Interssanter ist dan wie die an die E-Learning Platform gekommen sind. Viele interne seiten werden dann eh als vertaunswürdig im browser gekenzeichnet damit die web anwendungen überhaupt laufen können. Da kann man sicher mehr auf diesem weg auf einen Client bekommen.
 
Dabei seit
Mai 2011
Beiträge
4.109
#17
Eine E-Learning Plattform würde doch nicht viel bringen, wenn alles andere dicht wäre. Das ist auch nur 'ne Webseite. Die Lücke muss schon woanders sein, und da liegt Windows / Outlook / Edge schon ziemlich auf der Hand.
 
Zuletzt bearbeitet:

scryed

Commander
Dabei seit
Juli 2004
Beiträge
2.501
#19
@ corros1on , weißt doch wie das ist wehn interrsieren schon Ermittlungen ..... wenn die Medien es 1000 mal wiederholen „es war (vermultich) der Russe“ verschwindet das „vermutlich“ sehr schnell aus den Köpfen der Konsumenten und eine große Masse glaubt das , is wie ein Geschworenen Gericht nur das diese vorher schon weichgespült wurden

ob es der Russe nun war oder nicht , nacher wars nen deutscher der erst über USA -> China -> Russland -> und wieder Deutschland hat laufen lassen hat , von jeder Sprache ein paar wortfetzen dagelassen und schon haben wie das Dreieck der Hacker bösen :)

mal im Ernst wenn ein staatlicher Hacker aus dem Ausland im Auftrag seiner Regierung in fremde Länder eindringt wird er nicht so dumm sein und was aus reiner Eitelkeit was zurücklassen , wenn er alleine Handel vieleicht aber nicht wenn es der kgb befohlen hat .... oder cia oder die Stasi
 
Zuletzt bearbeitet:
Top