Vorheriger Artikel
Was das Jahr 2019 bringt: Trends im IT-Sicherheitsbereich
Nächster Artikel
Es ist Zeit, SMB durch etwas Intelligenteres zu ersetzen
Datenmissbrauch
Update: Erste Analyse von FireEye zum Hackerangriff auf deutsche Politiker
FireEye iSIGHT Cyber Threat Intelligence
Mit einem Team aus weltweit 160 Datenspezialisten beobachtet, erfasst und analysiert die FireEye iSIGHT Cyber Threat Intelligence seit Jahren Cyber-Bedrohungen. Die resultierenden Reports enthalten detaillierte Informationen über die Motivationen, Absichten, bevorzugten Ziele und Methoden verschiedener Angreifer und Angreifer-Gruppen, die ihnen zugeschriebenen Aktivitäten sowie Bedrohungs- und technische Tags.
Die Veröffentlichung persönlicher Daten von Politikern und Prominenten hat Spuren hinterlassen.
Die wichtigsten Ergebnisse einer ersten Analyse
- FireEye Intelligence geht davon aus, dass die veröffentlichten Daten aus privaten Accounts über mehrere Wochen herausgefiltert und gesammelt wurden.
- Der unter dem Pseudonym "0rbit" bekannte, inzwischen vom BKA identifizierte mutmaßliche Täter, ist demnach mindestens seit 2015 aktiv und hat mehrere Social-Media-Konten genutzt, um Accounts zu infiltrieren und Daten verschiedener deutscher Politiker und Prominenter – vor allem von YouTubern – zu veröffentlichen.
- Die Daten wurden nach derzeitigem Stand der Analysen hochgeladen und über zahlreiche Links auf File- und Image-Sharing-Seiten verbreitet, wobei Backup-Spiegelseiten zum Hosten der Daten verwendet wurden. Die FireEye-Spezialisten haben beobachtet, dass Web-Seiten wie Megaupload, AnonFile, ForumFiles, Box, BayFiles und Imgur genutzt wurden. Im Rahmen einer ersten Überprüfung konnten mindestens 375 Links zu File-Sharing-Sites identifiziert werden, die Daten geleakte Daten enthalten.
- Seitens FireEye Intelligence geht man davon aus, dass 0rbit seit mindestens 2015 aktiv ist und verschiedene Social-Media-Accounts genutzt hat, um Account zu infiltrieren und das Doxing (das internetbasierte Zusammentragen und anschließende Veröffentlichen personenbezogener Daten) vorzubereiten.
- Obwohl der dringend Tatverdächtige sich als Einzeltäter in den Vernehmungen als Einzeltäter darstellt, ist es aufgrund der verschiedenen mit 0rbit verbundenen Konten und dem schieren Volumen der Links, die gepostet wurden möglich, dass es sich nicht um einen Einzeltäter handelt.
- 0rbit betrieb kürzlich Konten auf den Blogging- und Video-Sharing-Sites Busy.org, Steemit und DTube, die das Konto @dennis567 verwenden, um Leaks von infiltrierten Konten und andere Inhalte der Betroffenen zu posten. So hat @dennis567 am 4. September 2018 ein Datenleak veröffentlicht, das angeblich zu einem deutschen Komiker gehört.
- Die Spezialisten haben beobachtet, dass mindestens ein Instagram-Konto, das 2015 von 0rbit infiltriert wurde, die Meldung "Hacked by NFO" anzeigte. Darüber hinaus beobachteten sie auch einen wahrscheinlich von 0rbit genutzten Twitter-Account, @NFOr00t, der den Begriff "NFO" verwendet, einen möglichen Gruppennamen, der zuvor auch von 0rbit verwendet wurde.
- Ein früherer Twitter-Account, der wahrscheinlich von 0rbit genutzt wurde ist @0rbitofr00t, mit dem Vermerk im Profil "Controlling the Internet since 2015". Ein weiteres Twitter-Konto, @_p0wer__, sagte: " Controlling the Internet since – Seit 2013." Die Diskrepanz 2013/2015 kann ein Hinweis darauf sein, dass 0rbit aus mehr als einer Person besteht.
- Obwohl in den Analysen einige Kontoeröffnungsdaten vor 2013 festgestellt wurden (z.B. wurde ein Konto, @Troja, im Jahr 2011 erstellt), scheint es plausibel, dass 0rbit Infiltrierungen vorgenommen hat und diese Konten zu einem späteren Zeitpunkt in Betrieb genommen und reaktiviert wurden. So hat beispielsweise der deutsche YouTuber Tomasz Niemiec erklärt, dass der Twitter-Account @_0rbit ursprünglich zu einem YouTuber gehörte, aber später durch 0rbit infiltriert wurde. Eine Behauptung, die sich durch die FireEye vorliegenden Daten nicht bestätigt werden kann.
- Ein anonymer Post vom Juni 2015 auf der Website Pastebin behauptete die IP-Adresse von Orbit beziehungsweise Nullr0uter sei 178.162.198.45. Auch für diese Behauptung haben die Cyber-Security-Experten keinen Beweis ermitteln können. Ähnliche Aktionen sind zwischen rivalisierenden Akteuren unter Hackaktivisten üblich und kommen in Spieleforen wie Steam häufiger vor. Existierende Tweets, die von anderen Social Media-Nutzern auf 0rbit geleitet werden, scheinen daher auf Rivalitäten hinzuweisen, die sich um Videospiele und YouTube drehen.
- Viele der älteren verdächtigen 0rbit-Konten haben Links zu geleakten Daten veröffentlicht, die auf verschiedenen Web-Seiten, File-Sharing-Diensten und in zahlreichen Sicherungskopien auf alternativen Seiten gespeichert sind. Dies steht im Einklang mit Methoden, mit denen die undichten Daten der deutschen Politiker zusammengestellt und veröffentlicht werden. Viele der von älteren Konten beworbenen Web-Seiten verwendeten auch ASCII-Kunstheader, wie sie von 0rbit im Dezember 2018 verwendet wurden.
- Die von diesen älteren Konten zeigen auch Links zu Screenshots, die auf die Image-Sharing-Site Imgur hochgeladen wurden. Ebenso enthielten die jüngsten Leaks vom Dezember 2018 Bilder, die auf Imgur gespeichert waren.
- Die von den älteren Accounts veröffentlichten Daten erscheinen auf verschiedenen Plattformen, darunter Twitter, Instagram, Facebook, Snapchat, Skype, Amazon, Steam, EA (Electronic Arts) und Microsoft. Ähnlich wie die Daten vom Dezember 2018 veröffentlichten auch die älteren Konten Chat-Historien und andere private Daten, die scheinbar aus den kompromittierten Konten ihrer Ziele entfernt wurden.