Staatliche Spionage?

Hacker sechs Monate lang im Firmennetzwerk von A1

(Bild: APA/HERBERT PFARRHOFER)

Schwerwiegende Cyberattacke auf den Telekomkonzern A1: Ein halbes Jahr lang hatten Hacker weitreichenden Zugriff auf die IT-Systeme des Providers sowie zentrale Computer und Server. Erst nach monatelanger Observierung der Vorgänge gelang es den A1-Technikern, die Angreifer aus dem Firmennetzwerk zu befördern. Die genutzten Angriffsmethoden erinnern an jene staatlicher Hacker, heißt es von A1.

Der Angriff auf A1 sei in IT-Security-Kreisen schon länger bekannt gewesen, heißt es in einem „Heise“-Bericht zum Thema. Man habe A1 allerdings zugesichert, die Informationen erst zu veröffentlichen, wenn die Bedrohung beseitigt wurde. Das ist mittlerweile geschehen, so A1. Der Provider betont, dass keine Kundendaten entwendet wurden und man die angezapften Systeme in einer konzertierten Aktion am 22. Mai gesäubert habe.

Die Hacker legen seit Tagen die gesamte EDV des Landes Kärnten lahm.

(Bild: stock.adobe.com (Symbolbild))

Hacker erlangten schon im November Zugriff
Den Zugriff auf das Firmennetz hatten sich die Hacker nach und nach verschafft. Zunächst wurde - vermutlich mithilfe erbeuteter Anmeldeinformationen - im November ein einzelner PC mit einer Hintertür versehen. Von dort aus gelang es den Angreifern, einen schlecht gesicherten Server mit lokalen Administratorberechtigungen zu infiltrieren. Als sich dort ein A1-Administrator anmeldete, war es geschehen: Die Angreifer hatten Zugriff auf das komplette Windows-Netz des Konzerns.

Die Hacker wieder aus den Systemen zu befördern, gestaltete sich durch den Umfang des Hacks sehr schwierig. Das Team von A1-Sicherheitschef Wolfgang Schwabl beobachtete nach Entdeckung erster Unregelmäßigkeiten im Dezember monatelang, was die Angreifer im Firmennetz taten. Eigentlich hätte das Netzwerk bereits Ende März gesäubert werden sollen, wegen der Corona-Krise verschob man die Desinfektion allerdings. Am 22. Mai ging es nun Schlag auf Schlag: Bei allen A1-Mitarbeitern wurde das Passwort geändert, alle bekannten Hintertüren wurden beseitigt und alle angezapften Schnittstellen abgedichtet.

(Bild: stock.adobe.com)

A1 dementiert, dass Kundendaten erbeutet wurden
Welche Daten die Angreifer konkret abgegriffen haben, ist noch nicht zur Gänze bekannt. Gegenüber „Heise“ betonte A1-Konzernsprecher Michael Höfler unter Berufung auf die Analyse der Aktivitätsprotokolle, dass keine Kundendaten betroffen gewesen seien. Das sei angesichts der Schwere und Dauer des Angriffes aus IT-Security-Perspektive aber schwer vorstellbar, schreibt das Fachmagazin. Laut A1 ging es den Angreifern offenbar vor allem um Infos über die Infrastruktur. „Der oder die Angreifer haben sich sehr für die Sendekatasterdatenbank interessiert“, so Schwabl. Darin ist gespeichert, wo in Österreich die Funkmasten von A1 stehen. Zugriff auf das Mobilfunk- und Festnetz selbst hatten die Angreifer laut A1 nicht. Die kritische Infrastruktur habe man sicherheitshalber abgekoppelt.

Dass es zu keinen Erpressungsversuchen mit verschlüsselten Daten kam und sich die Angrifer auch sonst primär auf das Sammeln von Informationen konzentriert haben, lege nahe, dass es sich um einen Cyber-Angriff eines staatlichen Akteurs handle, zitiert das IT-Magazin Schwabl. Muster, etwa eine ländertypische Zeitzone, die eine Zuordnung möglich machen würden, habe man aber keine entdeckt. Die Behörden seien von Anfang an involviert gewesen, wurde betont. Die mediale Information sei aber erst im Nachhinein erfolgt, um dem Angreifer nicht zu verraten, was man über ihn wisse.