Cybercrime in der Praxis

Die gehackte Saudi-Botschaft

29.08.2019
Von  und


J.M. Porup schreibt als Senior Security Reporter für unsere US-Schwesterpublikation CSO Online. Er beschäftigt sich seit dem Jahr 2002 mit dem Themenbereich IT Security.


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Kriminell motivierte Hackerangriffe treffen auch staatliche Institutionen. Was passiert wenn es dazu kommt, zeigt diese Cybercrime-Geschichte, die auf wahren Begebenheiten beruht.

Im August 2014 bringen Angreifer den offiziellen E-Mail Account der Botschaft Saudi-Arabiens in den Niederlanden unter ihre Kontrolle. Im Anschluss wird das Konto für den Versuch genutzt, rund ein Dutzend Ländervertretungen in Den Haag um 50 Millionen Dollar zu erpressen - unter Androhung eines terroristischen Anschlags.

Wie dieser Cyberangriff abgelaufen ist und welche Angriffsvektoren die Kriminellen dazu nutzten, offenbaren Dokumente, die den Kollegen unserer US-Schwesterpublikation CSO Online vorliegen. Das ermöglicht einerseits einen umfassenden und seltenen Einblick, wie Regierungen und regierungsnahe Institutionen mit mutmaßlichen Hackerangriffen umgehen. Andererseits lassen die Umstände das IT-Sicherheitsniveau offizieller diplomatischer Ländervertretungen in keinem besonders guten Licht erscheinen.

Die Sicherheitsvorkehrungen diplomatischer Vertretungen genügen besonders hohen Anforderungen. Oder?
Die Sicherheitsvorkehrungen diplomatischer Vertretungen genügen besonders hohen Anforderungen. Oder?
Foto: Jer123 - shutterstock.com

Passwort 123456

Mit dem bizarren Versuch, eine saudischen Schuldirektorin aus Großbritannien um eine Visagebühr in Höhe von 200 Dollar zu betrügen nimmt diese Geschichte ihren Lauf - und endet mit der versuchten digitalen Erpressung von 50 Millionen Dollar sowie einem Großeinsatz für die Spezialkräfte der niederländischen Polizei.

Doch der Reihe nach: Alles beginnt damit, dass Dr. Sumaya Alyusuf - Staatsangehörige Saudi-Arabiens - sich per E-Mail an die Botschaftsvertretung wendet und um Unterstützung bei der Beantragung eines Visums bittet. Zu diesem Zeitpunkt hat ein unbekannter Angreifer bereits die Kontrolle über besagtes E-Mail-Konto erlangt. In seiner Antwort bietet dieser Alyusuf an, sich gegen eine Zahlung von 200 Dollar um alle Visums-Angelegenheiten zu kümmern (die Zahlung sollte an den "tatsächlichen" Botschafter Saudi-Arabiens für Großbritannien gehen, die kommunizierte Adresse war ebenfalls korrekt). Alarmiert durch das ungewöhnliche Vorgehen, kontaktiert Alyusuf das Sekretariat der Saudi-Botschaft telefonisch. Dort realisiert man, dass etwas nicht mit rechten Dingen zugeht und fordert Alyusuf auf, die empfangenen E-Mails weiterzuleiten.

Der Botschafter Saudi-Arabiens stößt daraufhin eine Untersuchung durch das Incident Response Team der diplomatischen Vertretung an. Dabei stellt sich heraus, dass der Webmail Account der Botschaft gehackt worden war - die E-Mails, die an Dr. Alyusuf verschickt wurden, stammten tatsächlich vom offiziellen Account der Botschaft. Das "normale" Netz der Botschaft (es existiert ein gesondertes, eigens abgesichertes Netzwerk für die Übermittlung von Top-Secret-Inhalten) läuft über einen lokalen Internet Service Provider und ist mit einem E-Mail-Account für die offizielle Korrespondenz verbunden. Dieses Postfach ist mit einem der beliebtesten, aber leider auch unsichersten Passwörter überhaupt abgesichert ("123456") und kann vermutlich unter minimalem Aufwand mit Malware kompromittiert werden. Das IT Team bereinigt die Workstation, installiert das Betriebssystem neu und vergibt ein neues, sicheres Passwort.

Die Gier der Cyberkriminellen

Circa zwei Wochen später erhält die Angestellte des Sekretariats der Botschaft Saudi-Arabiens eine gefälschte E-Mail auf ihren Privat-Account. Diese stammt nun vom zuvor vermeintlich abgesicherten Account der Botschaft selbst und droht im Rahmen der Feierlichkeiten des Saudischen Nationalfeiertags in Den Haag mit einem Bombenanschlag. Der einzige Weg, die Katastrophe zu verhindern: die Zahlung von 35 Millionen Dollar.

Dieselbe E-Mail taucht circa zwei Wochen vor Ablauf des Ultimatums in den Postfächern dutzender weiterer diplomatischer Vertretungen in Den Haag auf - unter anderem sind auch Pakistan, das Sultanat Oman und zwei niederländischen Regierungsinstitutionen betroffen. Verschickt werden einige der Fake-Mails über einen Mail Service in Indien, andere über einen offenen Proxy in Nigeria - der von den kriminellen Hackern geforderte Geldbetrag erhöht sich dabei nochmals auf 50 Millionen Dollar. Was sich im Nachgang abspielt, berichtet Security-Expertin Chris Kubecka aus erster Hand:

Nachdem das Incident Response Team bei weiteren Untersuchungen Auffälligkeiten in der Konfiguration des kompromittierten Mail-Accounts der Saudi-Botschaft ausmachen kann, meldet es diese an die entsprechenden Verfolgungsbehörden.

Game of Attribution

Wer für diesen Angriffsversuch verantwortlich ist, ist auch knapp fünf Jahre später nicht bekannt. Dass es sich um einen nicht besonders raffinierten Angriff handelt, macht die Attribuierung noch schwieriger, wie Jim Christy, ehemaliger Cybercrime-Ermittler des US-Verteidigungsministeriums, weiß: "Es klingt nach einer eher schwunglosen Attacke, die von Jedermann ausgehen könnte - einem Script-Kiddie, einer Hackerbande oder staatlich beauftragten Cyberspionen, die sich als Mitglieder des Islamischen Staats ausgeben."

Terrorismus-Experte Max Abrahms sieht jedenfalls keinen geopolitischen Sinn darin, dass der IS eine Saudi-Botschaft attackiert: "Wieso sollten sie das tun? Wenn es ein Land mit einer Ideologie gibt, die dem des Islamischen Staates in weiten Teilen ähnelt, dann Saudi-Arabien." Allerdings sieht Abrahms eine mögliche Motivation bei anderen Akteuren: "Wenn man in der Türkei von Terror spricht, denkt man dabei nicht in erster Linie an den IS, sondern an die Kurden. Das wäre ein durchaus naheliegendes Motiv, erstgenannte zu unterstützen."

Abgesehen von den Mutmaßungen über die möglichen Urheber dieses Kompromittierungsversuchs bleiben zwei wesentliche Erkenntnisse: 123456 sollte kein Passwort lauten - schon gar nicht im Fall von Regierungsinstitutionen. Und: Die Botschaften Saudi-Arabiens sind offenbar seit jeher ein heißes Pflaster.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.