ÖVP ortet Hackerangriff auf Parteizentrale
Nach den jüngsten Veröffentlichungen interner Dokumente über die Parteispenden und Finanzen der ÖVP haben Experten der Cyber-Security-Firmen SEC Consult und CyberTrap in den vergangenen Tagen die IT der Volkspartei überprüft.
ÖVP-Chef Sebastian Kurz, ÖVP-Generalsekretär Karl Nehammer und der Cyber-Security-Experte Avi Kravitz informierten Donnerstagfrüh in einem kurzfristig angesetzten Hintergrundgespräch über das Ergebnis der Untersuchungen. Fazit: Es gab einen groß angelegten Hackerangriff und Datenfälschung bei der ÖVP, es war ein externer Angriff, kein Insider oder Maulwurf.
Verfassungsschutz informiert
„Es gab einen sehr gezielten Hackerangriff auf die Server der Volkspartei mit dem Ziel, Daten zu entwenden, zu platzieren, zu manipulieren und zu verfälschen. Das ist nicht nur ein Angriff auf die Volkspartei, sondern auch ein Angriff auf das demokratische System“, erklärte Kurz. Die ÖVP hat inzwischen den Verfassungsschutz informiert.
Zwischenbericht der Cyber-Security-Experten im Wortlaut
Experten der Cyber-Security-Firmen SEC Consult und Cybertrap haben in den vergangenen Tagen die IT der ÖVP analysiert und dabei mehrere „Anomalien“ entdeckt. Nachfolgend der Zwischenbericht der Cyber-Security-Experten:
Dieses Dokument spiegelt den Wissensstand der forensischen Analysen und Incident Response Arbeiten bei unserem Auftraggeber zum Zeitpunkt 04.09.2019 15:45 wider. Zu diesem Zeitpunkt sind noch nicht alle Fragen geklärt. Es handelt sich also explizit um einen Zwischenbericht ohne Anspruch auf Vollständigkeit. Im Zuge weiterführender Analysen können Ergebnisse gewonnen werden, die auch im Widerspruch zum aktuellen Kenntnisstand stehen.
Am 03.09.2019 um 13:30 wurde das SEC Consult SEC Defence Team über unser Partnerunternehmen Cybertrap bezüglich eines Data Breaches beim eigentlichen Auftraggeber verständigt. Um 14:00 wurde mit der forensischen Untersuchung des vermuteten Data Breaches begonnen.
Kurzzusammenfassung Stand 04.09.2019 15:45
Auf zentralen Loggingsystemen wurden von der IT-Abteilung des Auftraggebers mehrere Anomalien in den IT-Systemen entdeckt. Weiters konnte herausgefunden werden, dass Dateien aus einem internen Fileshare unautorisiert auf externe Server exfiltriert wurden. Der Angreifer hat sich über mehrere Systeme hinweg Zugang zum Fileserver und hochprivilegierten Benutzeraccounts verschafft und so die Dateien an einen externen Server kopiert.
Ergebnisse Stand 04.09.2019 15:45
Der Angreifer erlangte über einen Webserver Zugriff auf das interne Computernetzwerk.
Mit einem hochprivilegierten Benutzeraccount wurde auf ungewöhnlich viele Dateien auf einen Fileshare zugegriffen.
Die Dateien des Fileshares wurden letztendlich über einen weiteren internen Server via FTP an eine externe Domain exfiltriert.
Mit den vom Angreifer übernommenen Benutzeraccounts könnte dieser: Daten kopieren, verfälschen oder platzieren.
Insgesamt konnten so bis zum aktuellen Zeitpunkt (04.09.2019 - 15:45) zumindest fünf kompromittierte Systeme ausfindig gemacht werden.
Die identifizierten Spuren deuten auf einen nicht-automatisierten Angriff. Ausgeführt von einem externen und versierten Angreifer.
Der Angreifer konnte bis zum jetzigen Zeitpunkt nicht zurückverfolgt werden, da Anonymisierungsdienste, unter anderem Tor, für seine Kommunikationskanäle verwendet wurden.
Laut aktuellem Kenntnisstand lässt sich der Angriff bis zum 27.07.2019 12:13 CET rekonstruieren. Die Dauer der Vorbereitungszeit wird auf etwa ein bis zwei Monate geschätzt.
Die konkrete Frage unseres Auftraggebers „Können in- oder ausländische Nachrichtendienste als Angreifer ausgeschlossen werden?“ Muss zum jetzigen Zeitpunkt mit „Nein.“ beantwortet werden.