Ein Sicherheitsforscher hat auf Servern der Linkspartei im Bundestag Schadcode entdeckt. Dieser soll es Angreifern erlaubt haben, Rechner im Netzwerk der Fraktion fernzusteuern und Daten mitgehen zu lassen. Dem Timing nach soll der Angriff sehr nah an den Trojaner-Angriffen im Mai stattgefunden haben, über die bereits seit Wochen berichtet wird. Der Sicherheitsforscher will Indizien dafür entdeckt haben, dass der Angriff auf die Linkspartei durch eine staatlich unterstützte Hackergruppe russischen Ursprungs erfolgt ist.

Wenn es um den Hacker-Angriff auf den Bundestag geht, gibt es momentan wenig gesicherte technische Informationen von der mit der Aufklärung betrauten Organisationen – dafür grassieren um so mehr Gerüchte. Da die Bundestagsverwaltung, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und an der Untersuchung beteiligte Firmen sich nicht öffentlich äußern, hatte Netzpolitik.org den Sicherheitsforscher Claudio "Nex" Guarnieri gebeten, die Netze von interessierten Bundestags-Büros zu untersuchen. So kam es zu dem Auftrag durch die Linkspartei.

Fernwartungstool gone bad

In der Analyse Guarnieris ist von zwei unterschiedlichen Schadcode-Funden die Rede. Es handelt sich um zwei Windows-Executables, eine davon wurde auf einem Dateiserver gefunden, die andere auf einem Server, der Administrationsaufgaben erfüllt. Bei der auf dem Dateiserver gefundene Datei handelt es sich um ein quelloffenes Fernwartungs-Tool namens Winexe, mit dem von Linux aus Befehle auf Windows-Servern ausgeführt werden können. Das es auch oft für legitime Zwecke verwendet wird, wird es von vielen Virenscannern als unbedenklich eingestuft.

Der Schadcode, der auf dem Admin-Server gefunden wurde, scheint maßgeschneiderte Malware zu sein, die den Angreifern als Hintertür ins Netz gedient hat. Es wurde von seinen Entwicklern "Xtunnel" getauft und dient dazu, eine Verbindung nach außen aufzubauen und unauffällig zu halten. Auf Grund von Indizien rechnet Guarnieri den Code einer Hackergruppe zu, die APT28 oder Sofacy genannt wird und die aus Russland stammen soll. Die Gruppe soll in der Vergangenheit bereits die NATO und das Weiße Haus angegriffen haben.

Führt die Spur wirklich nach Russland?

Ob die Sofacy-Gruppe wirklich hinter dem Angriff steht ist fraglich. Guarnieri nennt als Indizien die Serverinfrastruktur der Angreifer, die bestimmte IPs und Domains benutzt, die der Gruppe in der Vergangenheit zugerechnet wurden. Der Schadcode selbst liefert keine Hinweise in diese Richtung. Auch ist nicht klar, ob es sich hier um den selben Angriff handelt, wie den auf das Parlakom-Netz, über den seit Wochen berichtet wird. Stimmt das von Guarnieri dokumentierte Timing, dann ist das wahrscheinlich – stichfeste Beweise gibt es dafür allerdings nicht.

In den verschiedenen Netzen des Bundestages könnten zur selben Zeit immerhin verschiedene Angreifer aktiv gewesen sein. Der Bundestag ist schließlich ein prominentes Ziel – der Angriff auf die Linksfraktion könnte ebenso als Beifang durch die gesteigerte Aufmerksamkeit der Öffentlichkeit ans Licht gekommen sein. Abschließend klären lassen wird sich das erst, wenn BSI und Co. ebenfalls Auskunft über die Ergebnisse ihrer Untersuchungen geben. (fab)