Konzertierte Aktion: Mehrere regierungskritische Webseiten ausspioniert

Wolfgang van de Rydt (opposition24)

Erstmal Gratulation an die Operateure. So etwas sieht man nicht alle Tage. Mehrere regierungskritische Webseiten wurden in den letzten Tagen auf ungewöhnliche Weise infiltriert und ausspioniert. Ein „normaler“ Hackerangriff erfolgt nach anderen Mustern, hier kann man nur von einer gezielten Attacke ausgehen, bei der die Akteure an vertrauliche Daten gelangt sind und diese für ihren Angriff genutzt haben. Betroffen sind bis jetzt vier Webseiten, darunter O24 und Qpress, sowie eine weitere große Plattform (nichts illegales, versteht sich.)

Natürlich sind alle Webseiten entsprechend gesichert, so dass „normale“ Versuche, ins Dashboard zu gelangen, zuverlässig blockiert und aufgezeichnet werden. In drei Fällen war es gelungen, meinen Adminzugang zu benutzen, in einem Fall, den von einem Kollegen. Ich benutze weder identische Passwörter, Benutzerkennungen und auch nicht dieselben Emailadressen. Ebenso mein Kollege, der wie ich einen Adminzugang bei der großen Plattform hat, die erstes Ziel der Attacke war. Mit den dort erlangten Datensätzen war es ein Leichtes, die drei anderen Seiten zu hacken, um dort Schadcode zu platzieren.

Die Angriffsmuster belegen eindeutig, dass gezielt vorgegangen wurde und das mit einer Methode, die zwar von unseren Scannern erkannt und deshalb unschädlich gemacht werden konnte, aber so neu ist, dass selbst ausgewiesene IT-Experten den Kopf schütteln. Die wahrscheinlichste Erklärung kann eigentlich nur lauten, der Angreifer hat die Daten auf höherer Ebene abgefischt und war deshalb in der Lage, die Zugänge zu benutzen. Welche Lücke käme dafür in Betracht? Ein Spitzel oder eine ganz offizielle behördliche Anfrage bei den Providern, die Emailkonten von einer oder mehreren Zielpersonen zu überwachen? Das wäre nicht ungewöhnlich, mein Kollege von Pressecop24 wurde in Zusammenhang mit unseren Recherchen im Mordfall Peggy mehrere Jahre lang überwacht, wie ihm nach Abschluss der Ermittlungen mitgeteilt wurde. Pressefreiheit, Informantenschutz? Fehlanzeige! Das Gericht hat in seinem Fall entschieden, dass die Maßnahme rechtens gewesen sein soll. Die Verfahrenskosten wurden ihm auch noch auferlegt.

Nun sind regierungskritische Webseiten Ziel einer höchst ungewöhnlichen Attacke geworden, die man ohne den Besitz gewisser Daten nicht hätte ausführen können. Vielleicht irre ich mich aber auch und der ein oder andere Coder kann mit dem nachfolgenden Script etwas anfangen und hat so etwas doch schon einmal gesehen.

Es wurde ein Plugin hochgeladen, entpackt und installiert, das im normalen WordPress-Dashboard nicht sichtbar ist.

• Ordner in Plugins: wp-meta-manager.php_
• Datei in diesem Ordner: wp-meta-manager.php

In der Datei war folgender Code enthalten:

https://pastebin.pl/view/9300ccdf

Damit sollten Passwörter ausspioniert und eine Kopie der Datenbank getarnt als Bilddatei angelegt werden, was allerdings dann doch misslungen ist. Wem die Vorgehensweise bekannt vorkommt, bitte melden. Wir suchen natürlich weiter nach der Lücke.

Wichtig für alle unsere Leser: Hier war zu keiner Zeit von einer Gefährdung auszugehen, nicht zuletzt deshalb, weil wir die Kommentarfunktion frei gegeben haben, so dass man auch ohne Anmeldung kommentieren kann. Trotzdem freuen wir uns über jeden Abonnenten, der kostenlos per Email über neue Beiträge informiert werden möchte.