A1 Telekom Austria Group: Sechsmonatiger Cyberangriff wurde beendet

9.6.2020 9:02 Uhr

Bild: A1 Telekom Austria Group

Wie das in Österreich führende Telekommunikationsunternehmen A1 Telekom Austria offiziell bekanntgab, konnte es jüngst einen monatelangen Cyberangriff auf sein Netz beenden und den Angreifer vertreiben. Die Kundendaten seien zu keinem Zeitpunkt kompromittiert worden, sagte das Unternehmen dem ORF.

Eine schöne Bescherung

Es war kurz vor Weihnachten 2019 und noch lange vor der weltweiten COVID-19-Pandemie, als der hauseigene Fachbereich für Computersicherheit, das sogenannte Computer Emergency Response Team (CERT) Schadsoftware in der Office-Umgebung des Unternehmens fand. Es handelte sich um Malware, die, wie sich später herausstellen sollte, als Backdoor diente, sodass unbekannte Angreifer darüber in die Office-Umgebung der A1 Telekom Austria eindringen konnten.

Ein Wettlauf mit der Zeit

Bereits einen Monat vor ihrer Entdeckung durch das CERT, im November 2019, gelang es den Angreifern, sich in das Netzwerk des größten Telekommunikationsunternehmens Österreichs einzuschleichen. Wolfgang Schwabl, Cyber Security Officer der A1-Telekom und sein Team hatten die Aufgabe, über 15.000 PC-Systeme, mehr als 12.000 Server und mehrere tausend Applikationen zu schützen. Über das A1-Netz laufen zahlreiche Geschäfte von Banken sowie das Gesundheitsnetz, kritische Infrastruktur, deren störungsfreier Betrieb gewährleistet sein muss.

100 Spezialisten gegen den Angreifer

Zeitweise wurden über 100 Mitarbeiter und Experten herangezogen, um den Angreifer aus dem Netz zu vertreiben. Eine Maßnahme, die notwendig erscheint, hatte der Angreifer sogar Administratorrechte erlangt und konnte administrative Konten eröffnen. Die Spezialistinnen und Spezialisten kümmerten sich daher zuerst um die kritische Infrastruktur.

Sobald wir von dem Angriff erfahren haben, insbesondere, dass der Angreifer auch bemächtigt ist, Administrative Accounts zu haben, haben wir sofort begonnen, die kritische Infrastruktur abzuhängen, sodass sie auch mit einem Administrator-Account nicht erreicht werden konnte.
Wolfgang Schwabl, Cyber Security Officer

Angriff aus dem Office-Netzwerk

Wie Analysen der betroffenen Systeme ergaben, hatte der Angreifer das Office-Netzwerk kompromittiert. Wie der Angreifer dorthin gelangen konnte, war aber noch lange unklar. In der Folge wurde zwar keine Schadsoftware gefunden, doch bemerkten die Experten, dass der Angreifer sich mittels Admin-Accounts das Netz der A1 Telekom Austria ganz genau ansah und versuchte, die Strukturen der Datenbanken zu analysieren.

Spezialisten vermuten Spionage

Das „Blue Team“, so der Name des Expertengremiums, analysierte seinerseits jeden Schritt des Angreifers, der kein Interesse an Daten zu haben schien.

Die Experten gehen von einem Angriff durch ein Spionageunternehmen aus, der das Beschaffen von Informationen zum Aufbau und der Strukturen des A1-Netzes zum Ziel hatte. Gruppen wie APT5, APT3, Turla sowie „Dark Hotel“ und das Malware-Toolkit der NSA „Regin“ kommen unter anderem als Verdächtige für den Cyberangriff infrage.

Beim Angriff kam sehr übliche Software zum Einsatz, deshalb fiel sie auch kaum auf. Einzig die Art und Weise, wie sie benutzt wurde, war unüblich. Die Behörden, die wir zu Rate gezogen haben konnten ebenfalls keine eindeutige Attribuierung feststellen. Es schien aber kein ‚gewöhnlicher Krimineller‘ zu sein.
Wolfgang Schwabl, Cyber Security Officer

Finale wegen Coronavirus verschoben

Strategische Planungen sahen für den 21. März vor, sämtliche Passwörter bei allen Systemen gleichzeitig zurückzusetzen, sodass der Angreifen aus dem Netz vertrieben werden kann. Doch dann begannen die Coronakrise und die damit verbundenen Beschränkungen. Das bedeutete Home-Office und Neuplanung für das Team.

Erfolgreiches Nachholspiel

Zwei Monate später, am 22. Mai 2020, gelang es dem 100-köpfigen Team mit Hilfe von 10.000 zusätzlichen Systemen, alle Passwörter zurückzusetzen und den Angreifer von allen möglichen Verstecken abzuschneiden. Sowohl die Windows- als auch die UNIX-Umgebung wurde komplett auf Null gesetzt und der Angreifer damit aus dem Netz geschmissen.

Im Prinzip brauchte es drei Schritte: Sie müssen sich von jedem Außenverhältnis abschotten, den Passwort-Store oder im Fachbereich die Domain komplett zurücksetzen, Sie müssen eigentlich das Kerberos-Ticket neu erzeugen und anschließend müssen sich alle Benutzerinnen und Benutzer neue Kennworte geben.

Sprich, es wurden, ohne Ausnahme, alle Kennworte auf „ungültig“ gesetzt, damit es keine Möglichkeit gibt sich zu verstecken. Das haben wir sowohl im Microsoft- als auch im Unix-Umfeld gemacht.
Wolfgang Schwabl, Cyber Security Officer

Die A1 Telekom Austria Group gibt an, seine Verteidigung in der Zwischenzeit deutlich gestärkt zu haben. Zudem seien während des gesamten sechsmonatigen Angriffs keinerlei Kundendaten kompromittiert worden.

Die Redaktion dankt dem Community-Mitglied und Moderator „burnout150“ für den Hinweis zu dieser Meldung.