Wie kürzlich bestätigt wurde, kam es zu einem umfangreichen und über 6 Monate andauernden Hackerangriff auf die A1 Telekom Austria. Kundendaten sollen keine gestohlen worden sein.
Die Chronologie des Angriffs
Im November 2019 hatte es ein Angreifer geschafft sich auf einen Office-PC von A1 einzuschleichen. Vorerst unentdeckt. Der Angreifer installierte Schadsoftware und wartete bis sich ein Administrator am PC anmeldete, um seine Zugangsdaten abzugreifen.
Im Dezember 2019 fand das hauseigene Security Team von A1 die Malware auf dem Office-PC, welche als Backdoor fungierte. Zu diesem Zeitpunkt hat sich der Hacker aber bereits Adminrechte und damit Zugang zum Firmennetzwerk verschafft. Mithilfe des leicht erhältlichen Tools „Mimikatz“ stahl der Angriff die Zugangsdaten eines Domainadmins.
Fortan kümmerte sich ein eigenes Team mit über 100 Mitarbeiter und Experten, um die Absicherung kritischer Infrastruktur. Parallel dazu wurden die Datenschutzbehörde und das Innenministerium informiert.
Dem Angreifer war es zu diesem Zeitpunkt bereits gelungen mehrere interne Server, darunter auch zwei Domain-Server zu infiltrieren.
Im Jänner 2020 zog A1 externe IT Security Experten hinzu.
Um mehr über den Angreifer zu lernen, wurden seine Schritte genau rekonstruiert, die kompromittierten Server/Services laufend überwacht, kritische Infrastruktur und Kundendaten wurden zusätzlich abgesichert und Gegenmaßnahmen wurden vorbereitet.
Der Hacker verschaffte sich auch Zugang zu einer SQL-Datenbank und hat einige Abfragen durchgeführt, allerdings waren in dieser Datenbank laut A1 keine Kundendaten gespeichert.
Für den 21. März hatte A1 einen „Reset der internen Systeme“ geplant, um mit dem Zurücksetzen sämtlicher Passwörter den Hacker auszusperren, allerdings hätte man damit auch viele der eigenen Mitarbeiter ausgesperrt, welches sich Corona-bedingt gerade im Home-Office befanden. Die Bereinigungsaktion musste daher vorerst verschoben werden.
Am 22. Mai 2020 konnte man den Angreifer erfolgreich aussperren. Neben der Entfernung aller Webshell-Backdoors wurden gleichzeitig auch alle Passwörter geändert:
- Die Systeme wurden kurzfristig von der Außenwelt abschotten,
- ein neues Kerberos-Ticket der Active Directory wurde erstellt,
- und alle Passwörter wurden zurückgesetzt.
Wer war der Angreifer und was wollte er?
Laut A1 wurden für den Angriff mehrere VPN-Server aus unterschiedlichen Ländern sowie weitverbreitete Standard-Hacking-Tools eingesetzt. Mit Sicherheit ausschließen könne man, dass Kundendaten gestohlen wurden. Es gibt auch keine Hinweise, dass aktiv Schaden angerichtet werden sollte, keine der gängigen Ransomware-Schadsoftwaren kamen zum Einsatz. Vielmehr dürfte sich der Angreifer für interne Informationen interessiert haben.
Es kursieren allerdings Gerüchte: Eines davon bringt die Vorgangsweise mit einer aus China agierenden Hackergruppe mit dem Namen „Gallium“ in Verbindung, die seit 2018 aktiv ist und vorzugsweise Telekommunikationsunternehmen angreift. Möglich, dass es sich bei dem Hack eventuell um einen Angriff im Bereich der Wirtschaftsspionage gehandelt haben.
Weitere Infos:
- https://blog.haschek.at/telekoma1
- oe1.orf.at/artikel/673576/Cyberangriff-auf-A1-erfolgreich-abgewehrt
- derstandard.at/a1-massiver-hackereinbruch-beim-oesterreichischen-mobilfunker
- futurezone.at/wie-kriminelle-a1-sechs-monate-lang-in-atem-halten-konnten/400934981
- www.heise.de/hintergrund/Massiver-Angriff-auf-A1-Telekom-Austria-4775451.html
