Im August 2014 bringen Angreifer den offiziellen E-Mail Account der Botschaft Saudi-Arabiens in den Niederlanden unter ihre Kontrolle. Im Anschluss wird das Konto für den Versuch genutzt, rund ein Dutzend Ländervertretungen in Den Haag um 50 Millionen Dollar zu erpressen - unter Androhung eines terroristischen Anschlags.
Wie dieser Cyberangriff abgelaufen ist und welche Angriffsvektoren die Kriminellen dazu nutzten, offenbaren Dokumente, die den Kollegen unserer US-Schwesterpublikation CSO Online vorliegen. Das ermöglicht einerseits einen umfassenden und seltenen Einblick, wie Regierungen und regierungsnahe Institutionen mit mutmaßlichen Hackerangriffen umgehen. Andererseits lassen die Umstände das IT-Sicherheitsniveau offizieller diplomatischer Ländervertretungen in keinem besonders guten Licht erscheinen.
Foto: Jer123 - shutterstock.com
Passwort 123456
Mit dem bizarren Versuch, eine saudischen Schuldirektorin aus Großbritannien um eine Visagebühr in Höhe von 200 Dollar zu betrügen nimmt diese Geschichte ihren Lauf - und endet mit der versuchten digitalen Erpressung von 50 Millionen Dollar sowie einem Großeinsatz für die Spezialkräfte der niederländischen Polizei.
Doch der Reihe nach: Alles beginnt damit, dass Dr. Sumaya Alyusuf - Staatsangehörige Saudi-Arabiens - sich per E-Mail an die Botschaftsvertretung wendet und um Unterstützung bei der Beantragung eines Visums bittet. Zu diesem Zeitpunkt hat ein unbekannter Angreifer bereits die Kontrolle über besagtes E-Mail-Konto erlangt. In seiner Antwort bietet dieser Alyusuf an, sich gegen eine Zahlung von 200 Dollar um alle Visums-Angelegenheiten zu kümmern (die Zahlung sollte an den "tatsächlichen" Botschafter Saudi-Arabiens für Großbritannien gehen, die kommunizierte Adresse war ebenfalls korrekt). Alarmiert durch das ungewöhnliche Vorgehen, kontaktiert Alyusuf das Sekretariat der Saudi-Botschaft telefonisch. Dort realisiert man, dass etwas nicht mit rechten Dingen zugeht und fordert Alyusuf auf, die empfangenen E-Mails weiterzuleiten.
Der Botschafter Saudi-Arabiens stößt daraufhin eine Untersuchung durch das Incident Response Team der diplomatischen Vertretung an. Dabei stellt sich heraus, dass der Webmail Account der Botschaft gehackt worden war - die E-Mails, die an Dr. Alyusuf verschickt wurden, stammten tatsächlich vom offiziellen Account der Botschaft. Das "normale" Netz der Botschaft (es existiert ein gesondertes, eigens abgesichertes Netzwerk für die Übermittlung von Top-Secret-Inhalten) läuft über einen lokalen Internet Service Provider und ist mit einem E-Mail-Account für die offizielle Korrespondenz verbunden. Dieses Postfach ist mit einem der beliebtesten, aber leider auch unsichersten Passwörter überhaupt abgesichert ("123456") und kann vermutlich unter minimalem Aufwand mit Malware kompromittiert werden. Das IT Team bereinigt die Workstation, installiert das Betriebssystem neu und vergibt ein neues, sicheres Passwort.
- Tipp 1: Varianz ist wichtig
Inzwischen ist eigentlich mehr die Frage, wann, und nicht ob der Passwort-Leak kommt. Dabei können Sie den Schaden minimieren, wenn Sie für JEDEN Online-Account ein eigenes Passwort verwenden. Natürlich ist es schwer, sich all diese Passwörter zu merken - insbesondere wenn es keine vorhersehbaren sein sollen. Da kommen die Passwort-Manager ins Spiel. Wenn Sie das Problem mit vielen Passwörtern kennen, sollten Sie sich einen besorgen. Die Software gibt's inzwischen für die meisten Browser und Betriebssysteme - auch für Mobile Devices. - Tipp 2: Komplexität wahren
Die meisten Passwort-Manager können komplexe Passwörter generieren. Dieses Feature ist wichtig, weil die meisten Websites Passswörter in Form sogenannter 'Hashes' abspeichern. Je nach Algorithmus können diese Hashes geknackt werden. Für diesen Fall sorgt ein sehr komplexes Passwort dafür, dass ein Angreifer sich schwer tut, es auszulesen. Daher empfehlen sich Passwörter mit mindestens zwölf Zeichen - unter Verwendung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen. <br />Normalerweise müssen Sie sich mit einem Passwort-Manager nur noch ein Master-Passwort merken. Außerdem sollten Sie sicherheitshalber die Kennungen für wichtige Accounts (zum Beispiel E-Mail) im Fall der Fälle parat haben, falls der Passwort-Manager aus irgendeinem Grund nicht verfügbar ist. Kleiner Trick: Wort-Sequenzen mit Zahlen und Großbuchstaben sind ebenso schwer zu knacken wie generische. Zum Beispiel: "KatzenHundeHasenMeine3Lieblingstiere". - Tipp 3: On- oder offline?
Passwort-Managern liegen verschiedenen Sicherheits-Konzepten zu Grunde. Ein Offline-Manager synchronisiert die Daten nicht über verschiedene Devices hinweg. Sie müssen also die verschlüsselte Datenbank nach jeder Kennwort-Änderung anfassen. Oder Sie benutzen einen Cloud-Service wie Dropbox, um zu synchronisieren. Online-Passwort-Manager synchronisieren Ihre Passwörter über all Ihre Geräte - einige bieten sogar webbasierten Zugriff auf die Datenbank. <br /> Wenn Sie sich für eine der servicebasierten Implementationen entscheiden, achten Sie dabei auf die Architektur und darauf, dass die Datenbank lokal innerhalb der Applikation oder dem Browser entschlüsselt wird - so dass das Master-Passwort niemals in den Zugriffsbereich des Service-Providers gelangt. - Tipp 4: Nicht nur einen Master
Streng genommen dürfte es eigentlich keine gute Idee sein, all seine Kennungen mit nur einem Master-Passwort zu schützen - schließlich entsteht daraus eine große Angriffsfläche. Aus diesem Grund bieten einige Passwort-Manager eine Zwei-Faktor-Authentifizierung. In diesem Fall kann für den Zugriff auf die Datenbank ein zusätzlicher Eingabecode eingerichtet werden. Sie sollten auf dieses Feature achten und es bei Verfügbarkeit aktivieren. <br><\br> Auch wenn Sie einen Passwort-Manager nutzen: Wenn einer Ihrer Online-Accounts ebenfalls eine Zwei-Faktor-Authentifizierung bietet, nutzen Sie diese. Eine zusätzliche Schutzschicht kann nicht schaden. - Tipp 5: Möglichkeiten nutzen
Nutzen Sie weitere Security-Optionen, die Ihr Passwort-Manager bietet. Einige bieten beispielsweise die Option eines automatischen Log-Offs - was insbesondere bei Nutzung von öffentlichen Rechnern wichtig ist. Auch solche Features können dabei helfen, eine Infektion des Computers mit Malware oder Viren zu verhindern.
Die Gier der Cyberkriminellen
Circa zwei Wochen später erhält die Angestellte des Sekretariats der Botschaft Saudi-Arabiens eine gefälschte E-Mail auf ihren Privat-Account. Diese stammt nun vom zuvor vermeintlich abgesicherten Account der Botschaft selbst und droht im Rahmen der Feierlichkeiten des Saudischen Nationalfeiertags in Den Haag mit einem Bombenanschlag. Der einzige Weg, die Katastrophe zu verhindern: die Zahlung von 35 Millionen Dollar.
Dieselbe E-Mail taucht circa zwei Wochen vor Ablauf des Ultimatums in den Postfächern dutzender weiterer diplomatischer Vertretungen in Den Haag auf - unter anderem sind auch Pakistan, das Sultanat Oman und zwei niederländischen Regierungsinstitutionen betroffen. Verschickt werden einige der Fake-Mails über einen Mail Service in Indien, andere über einen offenen Proxy in Nigeria - der von den kriminellen Hackern geforderte Geldbetrag erhöht sich dabei nochmals auf 50 Millionen Dollar. Was sich im Nachgang abspielt, berichtet Security-Expertin Chris Kubecka aus erster Hand:
Nachdem das Incident Response Team bei weiteren Untersuchungen Auffälligkeiten in der Konfiguration des kompromittierten Mail-Accounts der Saudi-Botschaft ausmachen kann, meldet es diese an die entsprechenden Verfolgungsbehörden.
Game of Attribution
Wer für diesen Angriffsversuch verantwortlich ist, ist auch knapp fünf Jahre später nicht bekannt. Dass es sich um einen nicht besonders raffinierten Angriff handelt, macht die Attribuierung noch schwieriger, wie Jim Christy, ehemaliger Cybercrime-Ermittler des US-Verteidigungsministeriums, weiß: "Es klingt nach einer eher schwunglosen Attacke, die von Jedermann ausgehen könnte - einem Script-Kiddie, einer Hackerbande oder staatlich beauftragten Cyberspionen, die sich als Mitglieder des Islamischen Staats ausgeben."
Terrorismus-Experte Max Abrahms sieht jedenfalls keinen geopolitischen Sinn darin, dass der IS eine Saudi-Botschaft attackiert: "Wieso sollten sie das tun? Wenn es ein Land mit einer Ideologie gibt, die dem des Islamischen Staates in weiten Teilen ähnelt, dann Saudi-Arabien." Allerdings sieht Abrahms eine mögliche Motivation bei anderen Akteuren: "Wenn man in der Türkei von Terror spricht, denkt man dabei nicht in erster Linie an den IS, sondern an die Kurden. Das wäre ein durchaus naheliegendes Motiv, erstgenannte zu unterstützen."
Abgesehen von den Mutmaßungen über die möglichen Urheber dieses Kompromittierungsversuchs bleiben zwei wesentliche Erkenntnisse: 123456 sollte kein Passwort lauten - schon gar nicht im Fall von Regierungsinstitutionen. Und: Die Botschaften Saudi-Arabiens sind offenbar seit jeher ein heißes Pflaster.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.