Cyber! Cyber!Server der Linksfraktion im Bundestag mit Schadsoftware infiziert, Spur könnte nach Russland führen

Wir veröffentlichen die erste techische Untersuchung der Schadsoftware im Bundestag. Ein IT-Sicherheitsforscher analysierte die IT-Infrastruktur der Linksfraktion – und wurde fündig. Zwei Server waren mit Schadsoftware infiziert, die offenbar von einer staatlich geförderten Gruppe aus Russland stammt.

Cyberwar (Symbolbild).

Seit einigen Wochen geistert der „Cyber-Angriff auf den Bundestag“ durch die Medienlandschaft, mit viel Panik – und vor allem Gerüchten. Da es keine gesicherten Erkenntnisse gibt, haben wir bisher weitestgehend darauf verzichtet, uns an Spekulationen zu beteiligen. Stattdessen haben wir interessierte Bundestags-Büros mit dem IT-Sicherheitsforscher Claudio Guarnieri zusammen gebracht, den die Linksfraktion dann auch beauftragte, ihr IT-System zu analysieren. Guarnieri wurde fündig und erstellte einen technischen Bericht, die wir an dieser Stelle in voller Länge veröffentlichen:

Das Ergebnis: Mindestens zwei Server der Linksfraktion im Bundestag waren mit Schadsoftware infiziert. Diese erlaubte den Angreifern, auf das Netzwerk zuzugreifen, Rechner fernzusteuern und Dateien auszuleiten. Der Angriff scheint Anfang Mai begonnen zu haben, was mit den bisher als „Cyber-Angriff“ bezeichneten Berichten übereinstimmt. Es bleibt aber derzeit unklar, ob sich weitere Schadprogramme auf den Rechnern befinden oder schon vor Mai befanden.

Während der Programmcode selbst keine verlässlichen Rückschlüsse auf die Angreifer zulässt, konnten durch die Analyse der für den Angriff genutzten Server-Infrastruktur wertvolle Hinweise gewonnen werden. Darin deutet vieles darauf hin, dass der Angreifer die so genannte „Sofacy-Gruppe“ ist, auch APT28 genannt. Frühere Analysen der Sicherheitsforscher von FireEye aus dem Oktober 2014 legen nahe, dass die Gruppe russischer Herkunft sein könnte. Es gibt jedoch keine Beweise, die es ermöglichen, die Angriffe definitiv bestimmten Regierungen oder Staaten zuzuordnen.

Da Bundestag, Bundesregierung, BSI und beteiligte Firmen bisher Öffentlichkeit und Abgeordnete fast nicht informieren, ist dieser Bericht die erste gesicherte Erkenntnis, die öffentlich wird.

Volker Schneider, Fraktionsgeschäftsführer der Linksfraktion, kommentiert gegenüber netzpolitik.org:

Bei der Aufklärung der sogenannten Cyberattacke halten wir Transparenz für das Gebot der Stunde. Aufgrund der schleppenden Veröffentlichung von Informationen zu den Angriffen auf die IT des Bundestages haben wir uns entschieden, die uns vorliegenden Erkenntnisse zum Angriff auf die IT unserer Fraktion nun öffentlich zu machen.

Wir können nicht mit Sicherheit sagen, ob es sich hier um den gleichen Angriff wie bei der Bundestags-IT handelt oder nicht. Zumindest aber fanden die Angriffe zum gleichen Zeitraum statt und es gibt erhebliche Ähnlichkeiten.

Wir hoffen, dass durch die Veröffentlichung dieser Analyse die Aufklärung auch zum Angriff auf die Bundestags-IT vorangetrieben wird.

35 Ergänzungen

  1. Das ist doch nur Ablenkung der elenden Kommunisten, diese Putinversteher, die mit Russland zusammen demokratische Kräft ausspioniert haben und das vertuschen wollen, indem sie sich als Opfer hinstellen!!!

    Mal gespannt, wie lange es dauert bis zu dieser Aussage.

    Als Antwort könnte man dann zwei Kürzel in den Raum werfen: NSA und BND.

    1. ich bin mir ziemlich sicher das die ip besser verschleiert gewesen währe wenn der angriff wirklich von russland kamen ich denke eher das das ein angriff der nsa/cia/usa war die die ip adresse hinterlassen haben um auf die ach so bösen russen zu zeigen

  2. Das deutet viel eher auf NSA hin, wenn man in Erfahrung bringen möchte, wieviel die deutsche Opposition weiß bzw was sie vorhat im Bezug auf die ganzen Skandale. Für Russland hätte die Regierungskoalition doch viel mehr Relevanz. Aber erfahren werden wir es eh niemals.

  3. Danke Netzpolitik für die Schnittstellenfunktion und für die Veröffentlichung.

    Danke Linksfraktion für den Auftrag an den Sicherheitsexperten und für das Veröffentlichen der Studie, obwohl das Ergebnis ja entgegen der Ideologie einiger eurer Mitglieder steht nach der Russland das Opfer des Westens ist.

    Alles in allem ist es eine Schande für unseren Staat. Wir sind ein digital fail state. In so vielen Punkten.

    1. Naja, die US-Amerikaner sind unsere engsten Verbündeten und spionieren uns aus. Die Russen sind bestenfalls nicht unsere Feinde. Da würde man denken, dass die Erwartungen eh niedrig sind. :D

      1. Die Russen sind ganz normale Menschen, ggf. mit Hang zum Vodka anstatt gutem Bier. Da ich keinen Alkohol trinke find ich beides nicht gut… Es ist ein riesiges, teilweise wohl wunderschönes Land. Die Menschen dort sind nicht alle böse und haben vermutlich wie wir eigentlich 0 Bock auf den ganzen Stress. Die Menschen halten ihre Lebensweise genau so für richtig wie wir die unsere.
        Die, die ein ganzes Land in Verruf bringen, sind die Politiker. Oftmlals sogar über ihren Tod hinaus. Leider funktioniert das in die Gegenrichtung nur selten, dass sie über ihren Tod hinaus ein Land positiv aufwerten.
        Und was hier im Artikel steht, ist, dass die Serverinfrastruktur auf „die Russen“ hindeutet. Ein Beweis ist es nicht. Und im Zweifel für den Angeklagten, oder werfen wir unsere Rechtsgrundsätze jetzt auch über Bord?
        Zusammengefasst: Die Server der Linken wurden geknackt und infiziert. Alles andere ist Spekulation.

      2. Gerade das sind sie nun eben nicht. Weder Politik („Unsere ameriganischn Freunde“-Friedrich) noch Medienlandschaft scheinen so recht zu begreifen, was US-Vertreter, die man ins dt. Fernsehen lässt (zb John Kornblum oder Eric T. Hansen), unablässig runterbeten:
        Wir sind keine Freunde, wir sind Partner.
        Den Status der Freunde haben Staaten wie Israel oder Saudi-Arabien inne, Deutschland ist (mitunter historisch bedingt) ein enger Verbündeter und Partner im Rahmen der Nato.
        Das schließt sicher einige Privilegien mit ein, den Status der „Freunde“ aber eher nicht.

      3. Äh, ja? Ich haben „enge Verbündete“ geschrieben, nicht Freunde.

        Wenn es nach mir ginge, wären die US-Amerikaner ebenfalls nicht unsere Feinde.

  4. Danke für die Veröffentlichung der vollen Berichte. Allerdings ist mir jetzt nicht ganz klar: Wurden nur die Server der Linksfraktion untersucht (und die Schadsoftware kann auch auf vielen anderen Servern aktiv sein, wurde aber dort nicht gefunden / dort wurde nicht gesucht) oder wurde diese nur auf den Servern der Linksfraktion gefunden? In den vollen Berichten wurde das aus meiner Sicht nicht ganz klar, da klang es eher so, als wären alle Server untersucht worden (oder zumindest mal eine Übersicht erstellt worden) und dabei nur bei der Linksfraktion wurde etwas gefunden.

    1. Es wurde nur die IT der Linksfraktion untersucht, weil nur die Linksfraktion Claudio beauftragt und Zugriff gegeben hat.

      1. Danke für die Antwort. Vielleicht könnt ihr das ja in den beiden grossen Berichten noch etwas deutlicher hervorheben, dass eben nur die IT der Linksfraktion untersucht wurde.

        1. Hier steht: „[…] den die Linksfraktion dann auch beauftragte, ihr IT-System zu analysieren“

          Drüben steht: „Dieser Bericht von IT-Sicherheitsforscher Claudio Guarnieri wurde ursprünglich für die Linksfraktion im Bundestag erstellt.“

          Ich finde das ausreichend. Und in Claudios Bericht selbst möchte ich nicht herumwerkeln.

    2. Ich nehme an, weil die Fraktion der Linken eine eigene Untersuchung wollte und nicht die staatlichen Experten, pardon „Experten“, rangelassen hat.

      1. Im Pressegespräch sagte die Fraktion, dass sie die Ergebnisse der Bundestagsverwaltung zur Verfügung stellen werden. Ebenso soll der betroffene Server der BT_IT zur Analyse zugänglich sein.

        Es kann also als Unterstützung angesehen werden.

  5. Lese ich das in dem Gutachten richtig, das eine korrekt funktionierende Firewall den Spuk verhindert hätte? „Wenn … Von einer Firewall blockiert … wird das Artefakt funktionsunfähig“. Schlampigkeit als Grund warum die reingekommen sind… Na toll…

    1. So einfach lässt sich das nicht sagen. Meist wird solche Software per Phishing oder ähnlichem verteilt und baut dann eine Verbindung von innen aus dem Netzwerk heraus nach aussen ins Internet auf, wo es den C&C Server (Command & Control) kontaktiert. Das lässt sich mit einer Firewall sehr schwer blocken, da sehr viele Programme eine solche Verbindung von innen nach aussen aufbauen. Und selbst, wenn man nur die gängigen Ports (HTTP / 80, HTTPS / 993) öffnet, kann die Schadsoftware ja immer noch eine Verbindung über diese offenen Ports aufbauen.
      Ich gehe schon davon aus, dass ein so grosses System wie der Bundestag eine Firewall besitzt.

      1. Aber es war ja nicht der Bundestag, sondern eine Fraktion. Die haben eigene Netze und eine eigene Infrastruktur, eigenes Personal… Im Gutachten klingt es nicht schwierig zu blocken.

    2. Einfach ist nichts, aber dafür wurden Firewalls erfunden. Nicht jedes Programm soll telefonieren können, wie es will.

    3. Ja, das steht da drin. Da steht aber auch drin, dass die verwendete Software eigentlich nicht bösartiger Natur ist, sondern ein einfaches Tool für Administratoren, weshalb es bei vielen AV-Lösungen auf einer Unbedenklichkeitsliste steht. Wenn es also versucht einen Tunnel aufzubauen sagt die AV-Software „Oh…aber das Programm steht bei mir als gutartig drin, also mache ich nichts!“.

  6. Jemand hat die Datei namens Artefakt 1 offenbar schon vor 3 Wochen mal nach virustotal.com hoch kopiert. Ich hab dort nach den beiden SHA256-Hashes gesucht, nur der erste ist bekannt.

    https://www.virustotal.com/de/file/5130f600cd9a9cdc82d4bad938b20cbd2f699aadb76e7f3f1a93602330d9997d/analysis/

    Bemerkenswert: Kein Virenscanner erkennt die Schadsoftware. Das ist nicht schwer zu erreichen, man muss nur zum Beispiel den Code umsortieren und neu compilieren. Aber es zeigt, dass die Schadsoftware wahrscheinlich nicht breit auf die Masse eingesetzt wurde, sondern gezielt.

    (x-post, hab ich versehentlich auch unter die engl. Analyse gepostet)

  7. Könnte es nicht auch eine Agentenzelle sein, die einfach auf dem Territorium der russischen Föderation agiert? Für einen anderen Auftraggeber? Oder was soll wohl so eine Attacke denn antreiben? Sollen wir alle Angst haben weil unsere IT sich nicht schützen lässt? Oder doch nur der Auftakt eines neuen kalten Kriegs mit einer neuen Waffenkategorie C wie Cyber *duckundweg

  8. Die Transatlantiker haben die NSA reingelassen, die Linken die Russen. Der Mossad durfte bei allen rein, da die NPD nicht im Bundestag sitzt.

  9. Die Amerikaner tun es, die Chinesen tun es mehr als reichlich, also warum meint der Ottonormalverbrauch das es die Russen nicht tun?
    Denke auf den Rechner liegen nicht nur russische Abgreifprogramme sondern jeder größere Staat testet weltweit seine Möglichkeiten aus.
    Leider ist der Aufschrei der jeweiligen Bevölkerung bei Webangriffe sehr leise, warum eigentlich?

  10. „Zwei Server waren mit Schadsoftware infiziert, die offenbar von einer staatlich geförderten Gruppe aus Russland stammt.“

    einige Zeilen weiter…

    „Es gibt jedoch keine Beweise, die es ermöglichen, die Angriffe definitiv bestimmten Regierungen oder Staaten zuzuordnen.“

    Wie nun? es gibt keine Beweise? Früher stand offenbar für „das ist so“, seit 1990 …
    <> ( https://de.wiktionary.org/wiki/offenbar )

    Und ich hab mir die Tage überlegt was zu Spenden …. So nicht, das ist Propaganda vom feinsten.

    1. Wieso gibt es da ein Verständnisproblem?
      – „offenbar“ ist im ersten Abschnitt eben zu lesen als „scheinbar“.
      – Frei nach der 2-ten Bedeutung der verlinkten Seite: Es gibt Anzeichen dafür, aber eben noch keine stichfesten Beweise.
      – Und damit steht der Abschnitt „Es gibt jedoch keine Beweise, …“ nicht im Widerspruch.

      Wenn seit 1990 schon 25 Jahre vergangen sind, dann sollte die alternative Bedeutung doch gar nicht mehr so ungewöhnlich sein, oder?

      1. Hey, Markus, wenn man schreibt: „Die Russen kommen!“ wiegt das hierzulande tausendfach schwerer, als wenn man die US-Amerikaner, unsere Freunde, anzinkt. That’s why.

        Ich erlaube mir, aus einem einschlägig bekannten Blog zu zitieren:

        […]Wer bei Malware Attribuierung macht, schießt sich damit selbst aus dem Rennen. Dem kann ich auch sonst nichts mehr glauben. Zumal die Attribuierung hier auf eher tönernen Füßen steht, sie basiert im Wesentlichen auf diesem Report von Fireeye. Fireeye ist ein „IT-Security-Dienstleister“, dessen Geschäftsmodell es ist, in großen Organisationen Email-Attachments in einer Sandbox auszuführen, und zu gucken, ob die nach Hause zu telefonieren versuchen. Ich persönlich halte den Ansatz für Schlangenöl. Deren Produkt habe ich noch nicht in der Praxis von Nahem im Einsatz gesehen.

        Jedenfalls hat Fireeye ein kommerzielles Interesse daran, auf die bösen Chinesen oder Russen zu zeigen, damit mehr Leute Angst kriegen und Kunde werden. Wenn man sich deren Report durchliest, findet man heraus, dass ihre Attribuierung daher kommt, dass internationale Elite-Hacker, die SO GUT sind, dass sie ÜBERALL REINKOMMEN, beim Erstellen ihrer Software mit einer Microsoft-Entwicklungsumgebung vergessen haben, die Metadaten zu bereinigen. Leute, die gut genug sind, um ihren Code mit sinnlosen Instruktionen aufzublähen, damit die Analyse schwerer wird. Solche Leute vergessen dann die Metadaten. Ja nee, klar. Oh und die Metadaten zeigen, dass da teilweise die russische Version eingesetzt wurde, und dass die Erstellungszeiten im Dateiheader auf reguläre Montag-Freitag 9-5 Arbeitszeiten in der Zeitzone von Moskau hinweisen.

        Nein, wirklich! Hey, *hexeditier*, ich hab hier eine fiese Malware, wo jemand als Kommentar „ist von Fireeye“ zu entfernen vergessen hat!1!!
        […]

        MfG – mia

  11. Liebe Redaktion,

    während zu den Spähmaßnahmen des BND, der NSA, dem GCHQ usw. das Internet mit diesbezüglichen Dokumenten geflutet wurde, wodurch kein Raum für eine Unschuldsvermutung übrig blieb, so ist das hier ein ganz anderer Fall. Denn es gibt nicht einen klaren Beweis, dass es die Russen aus staatlicher Sicht gewesen sind.

    Es kann maskiert sein, es kann etwas Internationales sein, es kann auch der Amerikaner gewesen sein, doch wissen tun wir das nicht, ganz im Gegensatz zu anderen Dingen. Von daher finde ich den Artikel von der Wortwahl her nicht korrekt und tendenziös.

    Bisher sind mir Demokratieschweinereien made in Germany, made in the USA, made in GB aus Russland nie in diesem Umfang irgendwo entgegengetreten. Wo sind die Beweise? Selbst eindeutige indizien gibt es nicht. Könnte auch false Flagg Operation gewesen sein.

    1. Immerhin ist von „könnte“ und „keine Beweise“ die Rede. Andere Medien hätten mit Sicherheit „offenbar“ geschrieben …

  12. Da sich die Analyse überhaupt nicht mit der Analyse von Linus deckt, ich aber jetzt nicht glaube das er Müll erzählen wuerde, gehe ich eher mal davon aus das man erst jetzt festgestellt hat das dass ganze System verseucht ist auf verschiedenen Wegen die man noch sortieren muss…wir werden irgendwann erfahren wie es gelaufen ist aber nicht wer oder wieviele es letztendlich waren

  13. Gesucht wird eine staatlich geförderte Organisation.

    Da nominiere ich mal den „rechercheverbund von ndr wdr und süddeutscher zeitung“! ^^
    Die Hoffnung das es Journalisten waren und wir eine heiße Sommerpause im Parlament haben werden stirbt ja nie aus.
    Aber erstaunlich, dass da so ein Aufriss betrieben wird, anstatt einfach ne Anfrage nach InformationsfreiheitsGesetz gestartet wird. Mich würde ja interessieren, wieviel davon wirklich schützenswert ist. Wessen Geistes-Kind die sind, welche Positionen sie einnehmen ist doch nun wirklich aus allen Medien zu entnehmen.

  14. Bemerkenswert, wie diese Veröffentlichung von der CDU/CSU gesehen wird:
    „So teilte der Parlamentarische Geschäftsführer der Unionsfraktion, Bernhard Kaster, bereits mit, was er von Guarnieris Analyse hält: überhaupt nichts. Die Linke nehme durch die Veröffentlichung technischer Details zur Schadsoftware in ihrem Fraktionsnetz in Kauf, dass daraus Rückschlüsse auf den Angriff auf das Netz des Bundestages gezogen werden können. Er schließt mit dem Satz: ‚Die Linksfraktion ist durch die Veröffentlichung ein Sicherheitsrisiko für den Deutschen Bundestag geworden.‘ (http://www.zeit.de/digital/datenschutz/2015-06/bundestag-hacker-linke-analyse/seite-2)
    Ich sage es mal so, der „Sachverstand“ von Herrn Kaster lässt den Schluss zu, dass bei ihm das intellektuelle Restrisiko eher gering ist. ;-)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.