Manfred Kloiber: Gestern Abend wurden neun Gigabyte Daten von Servern des Wahlkampfteams Emmanuel Macrons auf den Plattformen Pastebin und 4Chan veröffentlicht. Darin enthalten: finanzielle Informationen und Mailverkehr. Inzwischen sind Zweifel an der Echtheit des Materials geäußert worden. Was weiß man aktuell darüber, Peter Welchering?
Peter Welchering: Teile des geleakten Materials sind echt, Teile gefälscht. Einige Fälschungen sind ausgesprochen plump ausgeführt worden. Da konnten die entsprechenden PDFs sehr schnell als Fälschung enttarnt werden, zum Beispiel, indem nachgewiesen wurde, dass Datenblöcke verschoben worden sind. Insgesamt arbeiten mehrere Forensiker im Auftrag der französischen Wahlkommission und des Innenministeriums daran, um einen Überblick über die gefälschten und die echten Dokumente zu bekommen. Bei den echten Dokumenten handelt es sich unter anderem um Mailverkehr und um finanzielle Informationen, unter anderem auch zur Finanzierung des Wahlkampfs.
Kloiber: Wann haben die Cyberangriffe stattgefunden, bei denen diese Dokumente erbeutet wurden?
Welchering: Die gehen teilweise zurück bis zum Februar dieses Jahres. Die Server des Wahlkampfteams von Emmanuel Macron sind mehrfach angegriffen worden. Vor allen Dingen mit zwei Methoden: Über Phishing-Mails haben die Angreifer Benutzerkonten und Passwörter von hochrangigen Mitarbeitern des Wahlkampfteams erbeutet. Und über das Umleiten von Nutzern von legitimen Webseiten auf gefälschte Webseiten ist Schadsoftware in das Computernetzwerk des Wahlkampfteams von Macron gelangt.
Peter Welchering: Teile des geleakten Materials sind echt, Teile gefälscht. Einige Fälschungen sind ausgesprochen plump ausgeführt worden. Da konnten die entsprechenden PDFs sehr schnell als Fälschung enttarnt werden, zum Beispiel, indem nachgewiesen wurde, dass Datenblöcke verschoben worden sind. Insgesamt arbeiten mehrere Forensiker im Auftrag der französischen Wahlkommission und des Innenministeriums daran, um einen Überblick über die gefälschten und die echten Dokumente zu bekommen. Bei den echten Dokumenten handelt es sich unter anderem um Mailverkehr und um finanzielle Informationen, unter anderem auch zur Finanzierung des Wahlkampfs.
Kloiber: Wann haben die Cyberangriffe stattgefunden, bei denen diese Dokumente erbeutet wurden?
Welchering: Die gehen teilweise zurück bis zum Februar dieses Jahres. Die Server des Wahlkampfteams von Emmanuel Macron sind mehrfach angegriffen worden. Vor allen Dingen mit zwei Methoden: Über Phishing-Mails haben die Angreifer Benutzerkonten und Passwörter von hochrangigen Mitarbeitern des Wahlkampfteams erbeutet. Und über das Umleiten von Nutzern von legitimen Webseiten auf gefälschte Webseiten ist Schadsoftware in das Computernetzwerk des Wahlkampfteams von Macron gelangt.
Diese Angriffe sind von verschiedenen Sicherheitsforschern untersucht worden. Unter anderem hat das japanische Sicherheitsunternehmen Trend Micro zu Angriffen auf die Server Macrons, aber auch auf die Server der Partei der Demokraten im amerikanischen Wahlkampf und zu Angriffen auf Server der Friedrich-Ebert-Stiftung und der Konrad-Adenauer-Stiftung vor gut einer Woche einen Analysebericht herausgegeben.
Hinweise auf Verdächtige
Kloiber: Kann man etwas über die Angreifer sagen, die die Server des Macron-Teams gehackt haben?
Welchering: Sowohl der Sicherheitsforscher Vitali Kremez von Flashpoint als auch eine Analysegruppe von Trend Micro sind unabhängig voneinander zu der Überzeugung gelangt, dass die Gruppe Pawn Storm dahinter steckt. Die Gruppe Pawn Storm wurde im Jahr 2004 gegründet. Sie ist auch unter den Tarnnamen "Fancy Bear", "APT28" und "Sofacy" aufgetreten. Sie hat während der vergangenen 13 Jahre für verschiedene Auftraggeber gearbeitet, darunter auch Regierungen und Gruppierungen der organisierten Kriminalität.
Kloiber: Welche Indizien sprechen für Pawn Storm als Urheber der Angriffe?
Welchering: Die Struktur der Kampagne, zum Beispiel die Command- and Control-Server der zweiten Stufe. Diese Angriffsstruktur sorgt dafür, dass nicht alle Phishing-Ziele mit Schadsoftware infiziert werden. Zuerst werden Informationen über Browser-Plug-ins, Softwarebesonderheiten unter anderem. gesammelt. Wenn sich auf dieser ersten Stufe ergibt, dass der Rechner ein lohnendes Ziel ist, dann wird auf der zweiten Stufe Schadsoftware wie X-Agent oder aus der Rednit-5-Gruppe aufgespielt.
Welchering: Sowohl der Sicherheitsforscher Vitali Kremez von Flashpoint als auch eine Analysegruppe von Trend Micro sind unabhängig voneinander zu der Überzeugung gelangt, dass die Gruppe Pawn Storm dahinter steckt. Die Gruppe Pawn Storm wurde im Jahr 2004 gegründet. Sie ist auch unter den Tarnnamen "Fancy Bear", "APT28" und "Sofacy" aufgetreten. Sie hat während der vergangenen 13 Jahre für verschiedene Auftraggeber gearbeitet, darunter auch Regierungen und Gruppierungen der organisierten Kriminalität.
Kloiber: Welche Indizien sprechen für Pawn Storm als Urheber der Angriffe?
Welchering: Die Struktur der Kampagne, zum Beispiel die Command- and Control-Server der zweiten Stufe. Diese Angriffsstruktur sorgt dafür, dass nicht alle Phishing-Ziele mit Schadsoftware infiziert werden. Zuerst werden Informationen über Browser-Plug-ins, Softwarebesonderheiten unter anderem. gesammelt. Wenn sich auf dieser ersten Stufe ergibt, dass der Rechner ein lohnendes Ziel ist, dann wird auf der zweiten Stufe Schadsoftware wie X-Agent oder aus der Rednit-5-Gruppe aufgespielt.
Und das sind sehr hochwertige Spionagesysteme. Und Übereinstimmung in der Mustererkennung gab es dann auch im Ablauf der Phishing-Aktionen und des sogenannten Tabnapping, also des Umleitens von einer legitimen URL auf eine gefakte. Dabei haben die Analysten von Trend Micro die verwendeten Java-Scripts auswerten können und da wie bei anderer Schadsoftware auch, Ähnlichkeiten im Programmierstil festgestellt, die auf Pawn Storm oder APT28 deuten
Kloiber: Peter Welchering über den Cyberangriff auf Server des französischen Präsidentschaftskandidaten Emmanuel Macron, vielen Dank.
Kloiber: Peter Welchering über den Cyberangriff auf Server des französischen Präsidentschaftskandidaten Emmanuel Macron, vielen Dank.
