Hatte Donald Trump die Präsidentschaftswahl gewonnen wegen eines Cyberangriffs?

phishing hillary-clinton u2f awareness GRU hotp totp otp mfa leaks
phishing
English

Am Sonntag wählt Deutschland den 20. Deutschen Bundestag mit über 60 Millionen Wahlberechtigten und fast 3 Millionen Erstwählern. Wählen wir alle aus einem freien Willen heraus? Wie sehr sind wir beeinflusst, nicht nur durch gezielte Desinformation, sondern auch durch gezielte und selektierte Leaks von Informationen, vielleicht vermengt mit dosierten Lügen?

Der folgende Text handelt nicht von den deutschen Bundestagswahlen, sondern wie Unachtsamkeit und Müdigkeit während eines Cyberangriffs verheerende Folgen haben können. Vielleicht auch während eines Wahlkampfes in Deutschland?

GRU

Die GU (wesentlich bekannter unter der Abkürzung GRU, russische Abkürzung für “Hauptverwaltung für Aufklärung”) ist ein wichtiges Organ innerhalb des Militärnachrichtendienstes des russischen Militärs. Im März 2016 begann diese mit einer Operation gegen das Democratic National Committee (DNC), das Führungsgremium der Demokratischen Partei der USA.

Ein Jahr vorher hatte sich eine andere Gruppe russischer “Staats-Hacker” erfolgreich Zugang verschafft. Es war ein peinlicher Vorgang, denn FBI und DNC brauchten lange, um diesen Angriff zu beenden, obwohl sie davon wussten. Die GRU lernte dabei viel über die genutzte Technik des DNC, des DCCC (deren Wahlkampfkomitee) und der Hillary-Clinton-Wahlkampfkampagne.

Hillary Clinton in Des Moines, Iowa. Photo: Gage Skidmore, 24. Januar 2016
Hillary Clinton in Des Moines, Iowa. Photo: Gage Skidmore, 24. Januar 2016

Die Angel ist ausgeworfen

Besonders erfolgreich jedoch waren sie bei ihrer Phishing-Kampagne: 9000 Phishing-E-Mails wurden an 4000 Konten versendet. Dabei erhielten Sie Zugriff auf E-Mailkonten von Clintons Kampagnenchef John Podesta. Das war gleich zu Anfang ein großer Erfolg für die GRU, denn Podesta war eng verwoben mit vielen hochrangigen Mitgliedern und Entscheidungsträgern innerhalb der Demokratischen Partei.

Podesta fiel allerdings nicht gleich auf die bösartige Phishing-E-Mail rein. Er leitete sie stattdessen weiter an seine IT-Experten. Einer dieser Helfer gab später an, er hätte sich nur verschrieben und wollte ihm mitteilen, dass die E-Mail NICHT echt sei. Er antwortete jedoch, die E-Mail sei echt und somit vertrauenswürdig. Podesta gab daraufhin seine Zugangsdaten auf einer von den Angreifern dafür ausgedachten Webseite preis, die versuchte so auszusehen, als wäre sie eine Google-Seite. Die Spione erhielten in Folge Zugriff auf zehntausende E-Mails von und an Podesta.

Einen Tag später erwischte es einen anderen hochrangigen Kampagnenmitarbeiter. Dieser gab in späteren Untersuchen an, er habe die Phishing-E-Mail im Halbschlaf in frühen Morgenstunden geöffnet und hatte sich nicht im vollen Bewusstsein durchgeklickt.

Veröffentlichung

Interessant und erwähnenswert war bei dieser Angriffskampagne die Tatsache, dass die GRU von vornherein wusste bzw. sich sehr früh darauf vorbereitete, Daten aus dem Datenklau zu veröffentlichen. Das zumindest deuten die Registrierungen von Domains in Rumänien zu diesem Zwecke an, die im April 2016 stattfanden und der GRU zugeschrieben wurden. Bezahlt wurde mit Kryptowährung.

Letztendlich landete ein Teil der E-Mails auf einem Webserver hinter dieser Domain (www.DCLeaks.com) und nachdem WikiLeaks darauf aufmerksam wurde, auf WikiLeaks. All das befeuerte heiße Debatten und löste eine offizielle Untersuchung aus, zumal klar wurde, dass Clinton brisante Informationen und vielleicht auch geheime Daten mithilfe ihres privaten Servers teilte während ihrer Zeit als Außenministerin im Kabinett Obama 2009 bis 2013.

Folgen

Hillary Clinton wurde nicht zur Präsidentin gewählt.

Im Dezember 2016 warf sie Putin vor, er habe sich mit der Wahlmanipulation dafür rächen wollen, dass sie die Rechtmäßigkeit der russischen Wahlen fünf Jahre zuvor angezweifelt hatte. Anfang 2017 veröffentlichten die Geheimdienste CIA, FBI und NSA die einstimmige jedoch unabhängig erlangte Einschätzung, dass mit “großer Sicherheit” der russische Präsident Wladimir Putin persönlich die den Cyberangriff auf die Demokratische Partei angeordnet hatte. Die Veröffentlichung hätte er veranlasst, um Trump gewinnen zu lassen. Selbst Trump musste nach einem Geheimdienst-Briefing eingestehen, dass auch er diese Einschätzung teile.

Photo: Stephen Phillips hostreviews
Photo: Stephen Phillips hostreviews

Hätte das verhindert werden können?

MFA

In Anbetracht der Energie und Ressourcen, die die Angreiferinnen hatten, halte ich es für wahrscheinlich, dass eine SMS mit einem weiteren Code zusätzlich zum Passwort nicht ausgereicht hätte. Die Russen hätten den einfach auch mit abgefragt und als “man in the middle” weitergeleitet. Ein Hardware-Security-Token mit U2F hätte hier vielleicht geholfen. So ein FIDO-U2F-Sicherheitsschlüssel, welcher in den USB-Port gesteckt wird, ist stark gegen “man in the middle"-Angriffe (MITM). Allerdings wäre es denkbar, dass so ein Dongle von den Angreifern abgefangen und manipuliert oder ersetzt worden wäre. U2F war zu dem Zeitpunkt zudem nicht weit verbreitet und andere Verfahren wie die OTP-Verfahren wären ebenfalls anfällig für MITM.

Anomalieerkennung

Eine Anomalieerkennung der genutzten Server hätte vermutlich eine Warnung ausgegeben. Über viele Sessions erzeugt eine Nutzerin eines Onlinedienstes ein gewisses Muster, z. B. wird sie mit einer Wahrscheinlichkeit von 80% um 7:30 Uhr für 20 Minuten aus Washington, DC, ihre E-Mails checken und mit 1% Wahrscheinlichkeit um 4:00 Uhr. Weicht das ab und gibt es dazu noch eine Passwortänderungsanforderung von einem anderen Kontinent, könnte das einen Alarm auslösen lassen. Auch die vielen durch den Download erzeugten und sonst nicht auftretenden Zugriffe wären ein Indikator für eine Ausschleusung von Daten.

Abweichungen zu erkennen setzt voraus, vorher viele Daten zu erheben. Das wiederum birgt weitere Gefahren. Auch wird ein Angreifer einen Massendownload vermutlich tarnen oder halt so gestalten, dass dieser möglichst nicht detektiert wird. Auch ist ein Angriff durch vorher übernommene Infrastruktur in der Umgebung des Opfers möglich, so dass es aussieht für den Server, als kämen die Anfragen von den üblichen Orten.

Awareness und von Piloten lernen

Wenn Piloten mit der Flugverkehrskontrolle (ATC) kommunizieren, müssen sie sich an Regeln halten. Eine davon ist laut FAA “think before you transmit”. Eine andere ist das “Readback”, die wiederholte Wiedergabe einer Nachricht oder der wichtigen Teile davon an die Senderin. Hätten sich Podesta und Rinehart daran gehalten, wären sie vermutlich nicht Opfer der Phishingseiten geworden.

Gerade Zeitdruck und Übermüdung und dazu vielleicht noch ein weiterer gezielter Druck von Angreifern wie ein Telefonat, in dem sie angeben, das Opfer müsste dringend eine E-Mail öffnen führen häufig zur Einschleusung von Schadsoftware oder dem Stehlen von Informationen.

Eine Sensibilisierung der Mitarbeiter dafür hätte vielleicht schlimmeres verhindert. Wissen können wir das natürlich im Nachhinein nicht mehr.

Aber vielleicht können wir das eine oder andere daraus lernen.