Steckt hinter dem A1 Hackerangriff Wirtschaftsspionage?

Wie kürzlich bestätigt wurde, kam es zu einem umfangreichen und über 6 Monate andauernden Hackerangriff auf die A1 Telekom Austria. Kundendaten sollen keine gestohlen worden sein.

Die Chronologie des Angriffs

Im November 2019 hatte es ein Angreifer geschafft sich auf einen Office-PC von A1 einzuschleichen. Vorerst unentdeckt. Der Angreifer installierte Schadsoftware und wartete bis sich ein Administrator am PC anmeldete, um seine Zugangsdaten abzugreifen.

Im Dezember 2019 fand das hauseigene Security Team von A1 die Malware auf dem Office-PC, welche als Backdoor fungierte. Zu diesem Zeitpunkt hat sich der Hacker aber bereits Adminrechte und damit Zugang zum Firmennetzwerk verschafft. Mithilfe des leicht erhältlichen Tools „Mimikatz“ stahl der Angriff die Zugangsdaten eines Domainadmins.

Fortan kümmerte sich ein eigenes Team mit über 100 Mitarbeiter und Experten, um die Absicherung kritischer Infrastruktur. Parallel dazu wurden die Datenschutzbehörde und das Innenministerium informiert.

Dem Angreifer war es zu diesem Zeitpunkt bereits gelungen mehrere interne Server, darunter auch zwei Domain-Server zu infiltrieren.

Im Jänner 2020 zog A1 externe IT Security Experten hinzu.

Um mehr über den Angreifer zu lernen, wurden seine Schritte genau rekonstruiert, die kompromittierten Server/Services laufend überwacht, kritische Infrastruktur und Kundendaten wurden zusätzlich abgesichert und Gegenmaßnahmen wurden vorbereitet.

Der Hacker verschaffte sich auch Zugang zu einer SQL-Datenbank und hat einige Abfragen durchgeführt, allerdings waren in dieser Datenbank laut A1 keine Kundendaten gespeichert.

Für den 21. März hatte A1 einen „Reset der internen Systeme“ geplant, um mit dem Zurücksetzen sämtlicher Passwörter den Hacker auszusperren, allerdings hätte man damit auch viele der eigenen Mitarbeiter ausgesperrt, welches sich Corona-bedingt gerade im Home-Office befanden. Die Bereinigungsaktion musste daher vorerst verschoben werden.

Am 22. Mai 2020 konnte man den Angreifer erfolgreich aussperren. Neben der Entfernung aller Webshell-Backdoors wurden gleichzeitig auch alle Passwörter geändert:

  1. Die Systeme wurden kurzfristig von der Außenwelt abschotten,
  2. ein neues Kerberos-Ticket der Active Directory wurde erstellt,
  3. und alle Passwörter wurden zurückgesetzt.

Wer war der Angreifer und was wollte er?

Laut A1 wurden für den Angriff mehrere VPN-Server aus unterschiedlichen Ländern sowie weitverbreitete Standard-Hacking-Tools eingesetzt. Mit Sicherheit ausschließen könne man, dass Kundendaten gestohlen wurden. Es gibt auch keine Hinweise, dass aktiv Schaden angerichtet werden sollte, keine der gängigen Ransomware-Schadsoftwaren kamen zum Einsatz. Vielmehr dürfte sich der Angreifer für interne Informationen interessiert haben.

Es kursieren allerdings Gerüchte: Eines davon bringt die Vorgangsweise mit einer aus China agierenden Hackergruppe mit dem Namen „Gallium“ in Verbindung, die seit 2018 aktiv ist und vorzugsweise Telekommunikationsunternehmen angreift. Möglich, dass es sich bei dem Hack eventuell um einen Angriff im Bereich der Wirtschaftsspionage gehandelt haben.

Weitere Infos:

telephon

Mobilfunk Teilnehmer
20 Nov 2018
1.287
789
Schwer zu glauben, dass da keine Kundendaten abgegriffen worden wären. Vor allem - wie lange reichen die Logs für die Audits zurück, und, sind diese frei von Manipulationen?
 

styxer

Mobilfunk Teilnehmer
26 Aug 2019
80
30
Schwer zu glauben, dass da keine Kundendaten abgegriffen worden wären. Vor allem - wie lange reichen die Logs für die Audits zurück, und, sind diese frei von Manipulationen?
Das ist die erste Frage die ich mir auch gestellt hab.

Die zweite Frage ist: Kann A1 garantieren, dass die Angreifer nicht weiter zu Kunden vorgedrungen sind. Also Kundenrouter kompromitiert haben? Kenn mich da zu wenig aus, wie das so ausschaut bei A1, aber prinzipiell wär's ja möglich....
 
  • Gefällt mir
Reaktionen: Jonas12

Jonas12

Mobilfunk Teilnehmer
7 Jun 2015
670
136
Mich wundert nichts mehr.

Sollte man den ACS Server übernommen haben oder die Modems seinen ACS Server zugewiesen haben, hat man eigentlich gewonnen. Bei manchen Modems muss der ACS Server nicht einmal in dem passenden Management VLAN sein, sondern kann auch in jedem anderem Netz sein.
Da würde dann nur noch ein tausch aller Router helfen
 
  • Gefällt mir
Reaktionen: charmin.armin

styxer

Mobilfunk Teilnehmer
26 Aug 2019
80
30
Mich wundert nichts mehr.

Sollte man den ACS Server übernommen haben oder die Modems seinen ACS Server zugewiesen haben, hat man eigentlich gewonnen. Bei manchen Modems muss der ACS Server nicht einmal in dem passenden Management VLAN sein, sondern kann auch in jedem anderem Netz sein.
Da würde dann nur noch ein tausch aller Router helfen
Das wär ja dann das worst case Szenario. Somit könnten die Angreifer mehrere Kunden infiziert haben und drauf jetzt noch immer ihr Unwesen treiben.

Wie schaut das eigentlich bei @fonira aus, seid ihr über diesen Vorfall benachrichtigt worden? Kann das euer Netz irgendwie betreffen? Also irgendwo muss es ja eine Schnittstelle zu A1 geben.
 
Zuletzt bearbeitet:

MOM2006

Mobilfunk Teilnehmer
29 Mrz 2014
1.299
456
gar nicht mal so gut für a1

Ursprünglich erlangten die Angreifer damit lediglich normale Zugangsrechte auf einem Arbeitsplatz-PC. Sie konnten diese jedoch auf einem nicht ausreichend abgesicherten Server auf die eines lokalen Administrators ausbauen. Und dann war es nur noch eine Frage der Zeit. Irgendwann meldete sich ein Domänen Administrator auf dem System an – und dann war es "Game Over". Das komplette Windows-Netz gehörte den Angreifern.

würden die ganzen firmen mal die best practices von Microsoft umsetzen und mal zeitnah patchen. Aber gut in den neuen campus bürokonstrukten mit desksharing und software phone in form von skype 4 business oder was auch immer. wirds halt schwer ein sicheres admin tier konzept einzuführen. da darf man sich dann auch nicht wundern, wenns ordentlich raucht
 
Zuletzt bearbeitet:

styxer

Mobilfunk Teilnehmer
26 Aug 2019
80
30
Aber gut in den neuen campus bürokonstrukten mit desksharing und software phone in form von skype 4 business oder was auch immer. wirds halt schwer ein sicheres admin tier konzept einzuführen. da darf man sich dann auch nicht wundern, wenns ordentlich raucht
Naja, zertifizierte Makros wären da schon mal ein Anfang, wenn man Makros unbedingt braucht....
 
  • Gefällt mir
Reaktionen: sebinity

styxer

Mobilfunk Teilnehmer
26 Aug 2019
80
30
Wieder ein Argument gegen Zwangsrouter und für mehr Soft- und Hardwarediversität.
oder einfach transparenz wenn etwas passiert ;) Und nicht nichts sagen, weil's ja dem Unternehmensruf schaden könnt.

Allein schon die Aussage: "... Um es zukünftigen Angreifern nicht unnötig leicht zu machen, will Schwabl dazu keine Details nennen. Einzig dass jetzt wirklich alle Zugänge mit Zweifaktor-Authentifizierung gesichert werden, ließ er sich entlocken. ..." zeugt davon, dass sie noch immer dem "security through obscurity" prinzip folgen.....
 
  • Gefällt mir
Reaktionen: telephon und pc.net

eigsi124

Mobilfunk Teilnehmer
6 Apr 2015
657
305
Wär noch interessant zu wissen ob sie einen HoneyPot eingerichtet haben um die Verursacher zu finden ;)