Konzertierte Aktion: Mehrere regierungskritische Webseiten ausspioniert

Wolfgang van de Rydt (opposition24)

Erstmal Gratulation an die Operateure. So etwas sieht man nicht alle Tage. Mehrere regierungskritische Webseiten wurden in den letzten Tagen auf ungewöhnliche Weise infiltriert und ausspioniert. Ein „normaler“ Hackerangriff erfolgt nach anderen Mustern, hier kann man nur von einer gezielten Attacke ausgehen, bei der die Akteure an vertrauliche Daten gelangt sind und diese für ihren Angriff genutzt haben. Betroffen sind bis jetzt vier Webseiten, darunter O24 und Qpress, sowie eine weitere große Plattform (nichts illegales, versteht sich.)

Natürlich sind alle Webseiten entsprechend gesichert, so dass „normale“ Versuche, ins Dashboard zu gelangen, zuverlässig blockiert und aufgezeichnet werden. In drei Fällen war es gelungen, meinen Adminzugang zu benutzen, in einem Fall, den von einem Kollegen. Ich benutze weder identische Passwörter, Benutzerkennungen und auch nicht dieselben Emailadressen. Ebenso mein Kollege, der wie ich einen Adminzugang bei der großen Plattform hat, die erstes Ziel der Attacke war. Mit den dort erlangten Datensätzen war es ein Leichtes, die drei anderen Seiten zu hacken, um dort Schadcode zu platzieren.

Die Angriffsmuster belegen eindeutig, dass gezielt vorgegangen wurde und das mit einer Methode, die zwar von unseren Scannern erkannt und deshalb unschädlich gemacht werden konnte, aber so neu ist, dass selbst ausgewiesene IT-Experten den Kopf schütteln. Die wahrscheinlichste Erklärung kann eigentlich nur lauten, der Angreifer hat die Daten auf höherer Ebene abgefischt und war deshalb in der Lage, die Zugänge zu benutzen. Welche Lücke käme dafür in Betracht? Ein Spitzel oder eine ganz offizielle behördliche Anfrage bei den Providern, die Emailkonten von einer oder mehreren Zielpersonen zu überwachen? Das wäre nicht ungewöhnlich, mein Kollege von Pressecop24 wurde in Zusammenhang mit unseren Recherchen im Mordfall Peggy mehrere Jahre lang überwacht, wie ihm nach Abschluss der Ermittlungen mitgeteilt wurde. Pressefreiheit, Informantenschutz? Fehlanzeige! Das Gericht hat in seinem Fall entschieden, dass die Maßnahme rechtens gewesen sein soll. Die Verfahrenskosten wurden ihm auch noch auferlegt.





Nun sind regierungskritische Webseiten Ziel einer höchst ungewöhnlichen Attacke geworden, die man ohne den Besitz gewisser Daten nicht hätte ausführen können. Vielleicht irre ich mich aber auch und der ein oder andere Coder kann mit dem nachfolgenden Script etwas anfangen und hat so etwas doch schon einmal gesehen.

Es wurde ein Plugin hochgeladen, entpackt und installiert, das im normalen WordPress-Dashboard nicht sichtbar ist.

  • Ordner in Plugins: wp-meta-manager.php_
  • Datei in diesem Ordner: wp-meta-manager.php

In der Datei war folgender Code enthalten:

https://pastebin.pl/view/9300ccdf

Damit sollten Passwörter ausspioniert und eine Kopie der Datenbank getarnt als Bilddatei angelegt werden, was allerdings dann doch misslungen ist. Wem die Vorgehensweise bekannt vorkommt, bitte melden. Wir suchen natürlich weiter nach der Lücke.

Wichtig für alle unsere Leser: Hier war zu keiner Zeit von einer Gefährdung auszugehen, nicht zuletzt deshalb, weil wir die Kommentarfunktion frei gegeben haben, so dass man auch ohne Anmeldung kommentieren kann. Trotzdem freuen wir uns über jeden Abonnenten, der kostenlos per Email über neue Beiträge informiert werden möchte.

(Visited 172 times, 1 visits today)
Konzertierte Aktion: Mehrere regierungskritische Webseiten ausspioniert
6 Stimmen, 4.83 durchschnittliche Bewertung (96% Ergebnis)

1 Kommentar

  1. Danke für die gute Aufklärungsarbeit!

    Ich habe vor vielen Jahren mal ein Buch zum hacken gelesen. Und die größte Schwachstelle ist zumeist der Mensch und sein Bedürfnis anderen zu helfen.

    Oftmals geben die die Passwörter oder wichtige Interne Informationen ganz von alleine raus, wenn man die richtige Geschichte auftischt.

    Aber man sollte nie vergessen, dass seit 2008 und dem Patriot Act alle CPUs eine Hintertür für die Dienste haben und ein eigenes zweites Betriebsystem laufen haben, damit mit bestimmten Befehlen alle Rohdaten im Prozessor abgegriffen werden können – also auch verschlüsselte Passwörter.

    Die gängigen Betriebssysteme mussten sich ebenfalls den Diensten öffnen und haben ansonten auch immer wieder neu entdeckte Schwachstellen für ein Eindringen in den Computer.

    Man kann und sollte die eigenen Daten auf den Festplatten verschlüsseln. Auch wenn nicht ganz sicher ist, dass die Dienste nicht auch darauf zugreifen können. Allerdings werden verschlüsselte Daten nicht vor Gericht verwendet, weil niemand ein Interesse daran hat, dass bekannt wird, welche Daten tatsächlich eingesehen werden können. Denn dann würden sich die Leute nicht mehr sicher fühlen und andere Möglichkeiten finden, Informationen zu verstecken.

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*