Datenforensiker

Der Zwischenbericht im Wortlaut

Experten der Cyber-Security-Firmen SEC Consult und CyberTrap haben in den vergangenen Tagen die IT der ÖVP analysiert und dabei mehrere „Anomalien“ entdeckt, die auf einen großangelegten Hackerangriff auf die Volkspartei hinweisen sollen. Nachfolgend der Zwischenbericht der Cyber-Security-Experten im Wortlaut:

Zwischenbericht

Dieses Dokument spiegelt den Wissensstand der forensischen Analysen und Incident-Response-Arbeiten bei unserem Auftraggeber zum Zeitpunkt 04.09.2019 15:45 wider. Zu diesem Zeitpunkt sind noch nicht alle Fragen geklärt. Es handelt sich also explizit um einen Zwischenbericht ohne Anspruch auf Vollständigkeit. Im Zuge weiterführender Analysen können Ergebnisse gewonnen werden, die auch im Widerspruch zum aktuellen Kenntnisstand stehen.

Am 03.09.2019 um 13:30 wurde das SEC Consult SEC Defence Team über unser Partnerunternehmen Cybertrap bezüglich eines Data Breaches beim eigentlichen Auftraggeber verständigt. Um 14:00 wurde mit der forensischen Untersuchung des vermuteten Data Breaches begonnen.

Kurzzusammenfassung Stand 04.09.2019 15:45

Auf zentralen Loggingsystemen wurden von der IT-Abteilung des Auftraggebers mehrere Anomalien in den IT-Systemen entdeckt. Weiters konnte herausgefunden werden, dass Dateien aus einem internen Fileshare unautorisiert auf externe Server exfiltriert wurden. Der Angreifer hat sich über mehrere Systeme hinweg Zugang zum Fileserver und hochprivilegierten Benutzeraccounts verschafft und so die Dateien an einen externen Server kopiert.

Ergebnisse Stand 04.09.2019 15:45

Der Angreifer erlangte über einen Webserver Zugriff auf das interne Computernetzwerk.

Mit einem hochprivilegierten Benutzeraccount wurde auf ungewöhnlich viele Dateien auf einen Fileshare zugegriffen.

Die Dateien des Fileshares wurden letztendlich über einen weiteren internen Server via FTP an eine externe Domain exfiltriert.

Mit den vom Angreifer übernommenen Benutzeraccounts könnte dieser: Daten kopieren, verfälschen oder platzieren.

Insgesamt konnten so bis zum aktuellen Zeitpunkt (04.09.2019 – 15:45) zumindest fünf kompromittierte Systeme ausfindig gemacht werden.

Die identifizierten Spuren deuten auf einen nicht automatisierten Angriff. Ausgeführt von einem externen und versierten Angreifer.

Der Angreifer konnte bis zum jetzigen Zeitpunkt nicht zurückverfolgt werden, da Anonymisierungsdienste, unter anderem Tor, für seine Kommunikationskanäle verwendet wurden.

Laut aktuellem Kenntnisstand lässt sich der Angriff bis zum 27.07.2019 12:13 CET rekonstruieren. Die Dauer der Vorbereitungszeit wird auf etwa ein bis zwei Monate geschätzt.

Die konkrete Frage unseres Auftraggebers „Können in- oder ausländische Nachrichtendienste als Angreifer ausgeschlossen werden?“ muss zum jetzigen Zeitpunkt mit Nein beantwortet werden.