Cyberangriff auf A1 erfolgreich abgewehrt

9. Juli 2020, 02:00

Es war kurz vor Weihnachten vergangenen Jahres, als das Hauseigene A1-CERT Schadsoftware in der Office-Umgebung des Unternehmens fand. Malware die, wie sich herausstellen sollte, als Backdoor diente, sodass unbekannte Angreifer darüber in die Office-Umgebung des Telekommunikationsanbieters eindringen konnten.

Im Gespräch mit oe1.orf.at erzählt Wolfgang Schwabl, Cyber Security Officer der A1-Telekom von den Monaten, die folgen sollten bis die über 100 Spezialistinnen und Spezialisten die Angreifer aus dem Netzwerk vertreiben konnten.

Wettlauf mit der Zeit

Für die IT-Expertinnen und Experten begann ein Wettlauf mit der Zeit. Einen Monat vor ihrer Entdeckung, im November 2019, hatten es Angreifer geschafft, sich in das Netzwerk einzuschleichen. Neben Meldungen an die Datenschutzbehörde, sowie einer NIS-Meldung galt es, möglichst rasch die Vorgehensweise, Motive, sowie die Ziele der Angreifer herauszufinden, um die über 15.000 PCs, mehr als 12.000 Server, sowie einige tausend Applikationen schützen zu können.

Da über die Netze der A1-Telekom unter anderem auch Finanztransaktionen von Banken, das Gesundheitsnetz mit E-Card, oder der Behördenfunk laufen, musste außerdem der störungsfreie Betrieb der kritischen Infrastruktur gesichert werden. Schwabl: „Sobald wir von dem Angriff erfahren haben, insbesondere, dass der Angreifer auch bemächtigt ist, Administrative Accounts zu haben, haben wir sofort begonnen, die kritische Infrastruktur abzuhängen, sodass sie auch mit einem Administrator-Account nicht erreicht werden konnte.“

Eine erste Analyse der Systeme ergab, dass die Angreifer das Office-Netzwerk kompromittiert hatten. Wie und wo der Erstangriff stattfand, um dorthin zu gelangen, gab unterdes noch Rätsel auf. Hinweise auf eine beliebte Angriffsmethode, Spearphishing, konnten, so Schwabl, im Unternehmen nicht gefunden werden.

Um zu verstehen, in welche Richtung sich der Angriff bewegen würde, sowie welche Mittel und Methoden die Eindringlinge verwenden würden, beschloss das Unternehmen auch externe IT-Expertinnen und Experten mit einzubeziehen. Diese mussten so rasch wie möglich mit der komplexen Infrastruktur vertraut werden, sodass man den Absichten der Angreifer, die noch nicht wussten, dass sie entdeckt worden waren, zuvorkommen konnte. Schwabl: „Unser Erstverdacht war, die Angreifer würden Malware in unsere Systeme implantieren, uns sozusagen Herz und Nieren vergiften, um uns dann zu erpressen. Wir hatten deshalb sofort kontrolliert, ob unsere Backup-Systeme funktionieren und sie nach einer Kontrolle aus der Domain genommen, um zumindest sicher zu sein, dass wir, falls wir erpresst werden sollten, darauf zurückgreifen können“.

Ein Verdacht, der sich nicht erhärten sollte. Statt Schadsoftware zu platzieren begannen die Eindringlinge ein reges Interesse für die Infrastruktur des Telekommunikationsbetreibers zu entwickeln. Über zuvor gekaperte Accounts begannen sie, gezielte SQL-Statements abzusetzen, um zu lernen, wie die Datenbanken strukturiert sind. Etwas, was viel Zeit in Anspruch nimmt, da die tausenden Datenbanken und ihre Zusammenhänge für Außenstehende keineswegs leicht zu durchschauen sind. Was die Angreifer nach wie vor nicht bemerkt hatten: Das „Blue Team“, die über 100 IT-Expertinnen und Experten, die mittlerweile an der Verteidigung der Infrastruktur arbeiteten, konnten inzwischen jeden ihrer digitalen Schritte beobachten und analysieren.

Analyse des Angreifers

Aus Sicht der Verteidigung waren zwei Ziele immanent: Den Angreifer aus dem Netzwerk zu werfen, sowie, dafür zu sorgen, dass es keine Möglichkeit gab, dass er mit denselben Methoden noch einmal zuschlagen konnte. Hierfür galt es, den Gegner so gut wie möglich zu studieren.

Ein spannender und wertvoller Hinweis auf seine Absichten war, so Schwabl, dass er zu keinem Zeitpunkt versucht hatte, Daten zu stehlen. Das Interesse schien sich rein auf den Aufbau und die Struktur des komplexen Unternehmens-Netzwerkes zu beschränken.

Dass der Angreifer also „low and slow” versuchte, sich möglichst unbemerkt ins Netzwerk der A1-Telekom zu schleichen, lässt den Verdacht aufkommen, dass es sich um eine jener Gruppen handeln könnte, die sich auf Spionage von Telekommunikationsanbietern spezialisiert haben. Derer gibt es mittlerweile einige. APT5 etwa, deren Herkunft ungewiss ist und die es vor allem auf Informationen über Satellitenkommunikation abgesehen haben. Oder APT3, die auch als „UPS Team“ bekannt sind und denen eine Nähe zu China nachgesagt wird, sowie, Turla, „Dark Hotel“, oder auch das, der NSA zugerechnete Malware-Toolkit „Regin“ stellen nur einen kleinen Auszug aus einer langen Liste von hochspezialisierte Gruppen und Werkzeugen dar, die aus den unterschiedlichsten Motiven auch Telekommunikationsanbieter ins Visier nehmen.

Was ihnen gemeinsam ist: sie alle weisen spezielle Merkmale auf, die für die jeweilige Gruppe „typisch“ sind. Seien es speziell entwickelte Tools, eine bevorzugte Angriffstaktik, Ziele in bestimmten Regionen oder andere Merkmale, die zumindest einen Erstverdacht zulassen würden, um welchen Angreifer es sich handelt. Allerdings, so Schwabl, habe man keine besonderen Merkmale ausfindig machen können: „Beim Angriff kam sehr übliche Software zum Einsatz, deshalb fiel sie auch kaum auf. Einzig die Art und Weise, wie sie benutzt wurde, war unüblich. Die Behörden, die wir zu Rate gezogen haben konnten ebenfalls keine eindeutige Attribuierung feststellen. Es schien aber kein ‚gewöhnlicher Krimineller‘ zu sein.“

Auch eine Analyse der Aktivitäten ließ keine Rückschlüsse auf den Eindringling zu. Manchmal war er mehrere Tage hintereinander aktiv, mitunter gab es Pausen von fast einer Woche. Die „Arbeitszeiten“ waren dabei an jene des Unternehmens angepasst, so Schwabl: „Der Angreifer hat dann gearbeitet, wenn wir auch gearbeitet haben. Ich vermute mal, weil er auch den einen oder anderen PC als Sprungbrett verwendet hat und die sind halt auch nur eingeschaltet, wenn wir auch arbeiten.“

Forensische Analysen, tägliche Statusupdates, ein Nachrüsten der Verteidigungstools, sowie whitebox testing, ein Nachstellen der Ereignisse in geschützter Umgebung, um sicher zu stellen, dass man die Vorgangsweisen künftig sofort würde erkennen können, begleiteten die ständige Beobachtung des Eindringlings. Akribisch wurde auf den Tag X, den 21. März hingearbeitet und -geplant, um dem Schrecken ein Ende zu setzen.

Die Verteidigungsstrategie

Mit der Betreibung von kritischer Infrastruktur und Diensten, die rund um die Uhr zur Verfügung stehen müssen, ist es einem Unternehmen wie der A1-Telekom nicht möglich, die gesamte EDV etwa über ein Wochenende lang still zu legen. Weshalb es strategische Planung und einige hundert Expertinnen und Experten brauchte, um an einem bestimmten Tag, dem 21. März, sämtliche Passwörter bei allen Systemen zurückzusetzen, sodass der Angreifer schlussendlich aus dem Netz geworfen würde.

Nicht zu vergessen ein Nachrüsten an technischen Hilfsmitteln, um ein mögliches Wiedereindringen tunlichst zu verhindern, betont Schwabl: „Das heißt, wir haben sehr viel in die Cyberverteidigung investiert, sodass wir sehen, was sich in unseren Computersystemen tut. Nur so können wir sicher sein, dass der Angreifer nicht wieder versucht, sich irgendwo hineinzubohren. Das war die Voraussetzung zum Zurückschlagen. Wir konnten nicht einfach sagen im Jänner „jetzt drehen wir mal die Systeme ab und machen alles auf 0“, weil wir da noch nicht alles am Radar der Cyberverteidigung hatten, das heißt, dieses Radar aufzubauen war eine große Anstrengung. Da sind über 10.000 Systeme noch dazu gekommen, damit wir alles sehen.“

Dann brach das Corona-Virus aus

Die Pandemie-Auflagen vereitelten das Vorhaben, das Team zentral zu sammeln, um den Reset aller Systeme durchzuführen. Eine Woche vor der geplanten Umsetzung hieß es, auch für die Mitarbeiterinnen und Mitarbeiter von A1: Homeoffice. Und für den Chief Security Officer der A1-Telekom, Wolfgang Schwabl: Neuplanung.

Erst zwei Monate später, am Abend des 22. Mai, war es schlussendlich möglich, dem Spuk ein Ende zu setzen. Schwabl: „Im Prinzip brauchte es drei Schritte: Sie müssen sich von jedem Außenverhältnis abschotten, den Passwort-Store oder im Fachbereich die Domain komplett zurücksetzen, Sie müssen eigentlich das Kerberos-Ticket neu erzeugen (Anm: Authentifizierungsdienst) und anschließend müssen sich alle Benutzerinnen und Benutzer neue Kennworte geben. Sprich, es wurden, ohne Ausnahme, alle Kennworte auf „ungültig“ gesetzt, damit es keine Möglichkeit gibt sich zu verstecken. Das haben wir sowohl im Microsoft als auch im Unix-Umfeld gemacht.“

Hundertprozentige Sicherheit gibt es nie

Eine hundertprozentige Sicherheit, dass man den Angreifern alle Türen zum eigenen System für immer versperrt hat, gibt es freilich nie, betont Schwabl. Allerdings habe man genug Zeit gehabt, die Eindringlinge zu beobachten und zu analysieren, während man ihnen zeitgleich und unbemerkt sämtliche Möglichkeiten nahm, sich tatsächlich im Netzwerk auszubreiten. Insgesamt waren so letztendlich auch lediglich wenige Duzend Systeme, sowie PCs vom Angriff betroffen, so Schwabl. „Was wir zu 100 Prozent ausschließen können ist, dass Relikte von dem, was wir gefunden und analysiert haben, noch irgendwo existieren. Wir hatten genug Zeit, die dafür nötigen Analysen zu machen. Deshalb sind wir sehr zuversichtlich, dass der Angreifer tatsächlich jetzt draußen ist.“

Für Schwabl selbst geht es nun an die Aufarbeitung des Angriffs, der nach einem halben Jahr sein Ende gefunden hat. Neben organisatorischen, rechtlichen, oder finanziellen Aspekten, soll auch der Angriff selbst detailgetreu für Trainingszwecke aufbereitet werden. Schwabl: „Wir haben bei diesem Cyberangriff sehr viel auf die harte Tour gelernt, aber nun kennen wir die Methoden, die IOCs, (anm.: Indicators of compromise) oder, wie man die Alarmsysteme entsprechend scharf stellt. Dieses Wissen wollen wir gerne mit anderen großen Betreibern von kritischen Infrastrukturen, auch sektorenübergreifend, teilen.“

Text: Sarah Kriesche

Service

NIS - Anlaufstelle Netz- und Informationssystem­sicherheitsgesetz
Fireeye -Advanced Persistent Threat Groups
Kaspersky - Satellite Turla: APT Command and Control in the Sky
Kaspersky - Darkhotel’s attacks in 2015
Kaspersky - Regin: nation-state ownage of GSM networks

Gestaltung

• Sarah Kriesche