Momentan werden ja E-Mails des Wahlkampfteams der Demokraten durch Wikileaks veröffentlicht, um in den US-Wahlkampf einzugreifen. Jetzt gibt es Hinweise, wie der Hack abgelaufen sein dürfte.
Anzeige
Am 19. März diesen Jahres erhielt John Podesta, der Wahlkampfmanager von Hillary Clinton, eine "alarmierende" E-Mail auf sein GMail-Konto, welche angeblich von Google stammte. Der Inhalt: Jemand hat das Passwort und er solle dieses doch sofort ändern. Hier ein Screenshot der Fake-Mail mit der Schaltfläche Change Password.
(Quelle: motherboard)
In der E-Mail war ein mit Bitly verkürzter Link mit der Schaltfläche Change Password verknüpft, der von John Podesta angeklickt wurde. Der Rest ist Geschichte – denn ab dem 9. Oktober 2016 begann Wikileaks damit, tausende E-Mails aus Podestas GMail-Postfach zu veröffentlichen.
Sofort wurden russische Hacker (Fancy Bear, APT28, Sofacy) verdächtigt, weil diese wohl auch für den Hack des Democratic National Committee verantwortlich gemacht werden. Die verkürzte URL, die in der Phishing-Mail an John Podesta enthalten war, verwies auf folgende URL:
Anzeige
Auf den ersten Blick könnte man meinen, dass die URL auf ein Google-Konto verweist. Aber bei genauerem Hinsehen steckt eine auf Tokelau gehostete Domain dahinter. Der Ziffernsalat am Ende des Strings enthält die encodierte E-Mail-Adresse von John Podestas GMail-Konto.
Die Bitly-Statistik zeigt, dass die betreffende URL genau zwei Mal am 19. März 2016 expandiert und dann aufgerufen wurde. Die Aufrufe erfolgten wohl durch John Podesta, der die "alarmierende E-Mail, vorgeblich von Google" nicht als Phishing-Versuch erkannte, den Link anwählte und die Zielseite abrief. Ich vermute, dass dort ein Passwort-Eingabefeld zum Ändern des Passworts hinterlegt war. In Folge wurde das alte und neue Passwort abgegriffen und wohl auch bei Gmail geändert. Damit erhielten die Hacker Zugriff auf Podestas GMail-Konto. Das hat ein Insider, der mit der Aufklärung des Hacks betraut ist, gegenüber der Site Motherboard bestätigt.
Der Bitly-Link war einer von ca. 9.000 individuellen Links, die Fancy Bear benutzt hat, um 4.000 Personen zwischen Oktober 2015 bis May 2016 mit Phishing-Mails zu bombardieren. Jeder dieser URLs enthielt die E-Mail-Adresse und den Namen des angegriffenen Ziels. Dazu haben die Hackers zwei Bitly-Konten angelegt, dummerweise aber vergessen, diese auf "Privat" zu setzen. So konnten Experten der Firma SecureWorks, die Fancy Bear-Hacks der letzten Jahre untersuchten, die verkürzten Links aufspüren.
Dazu haben Sie die bekannten, von Fancy Bear verwendeten, Command and Control-Domains überwacht. Die Sicherheitsexperten fanden dann einen Bitly-Shortlink, der zum Bitly-Account führte. Und dort fanden sich dann tausende Bitly URLs, die sich diversen Phishing-Angriffen zuordnen ließen. Darunter waren auch Angriffsversuche auf Clintons Wahlkampfteam. Konkret konnten Fancy Bear 213 Short-Links zugeordnet werden, die für "Spear-Phishing" von 108 E-Mail-Addressen der Domain hillaryclinton.com genutzt wurden. Das Ganze ist sogar diesen Sommer von secureworks.com in diesem Artikel veröffentlicht worden.
Auf die gleiche Weise wurde Colin Powell, Außenminister unter George W. Bush, gehackt. So konnte eine geheime Mail, die Donald Trump als "nationale Schande" bezeichnet, geleakt werden. Auch Journalisten von Bellingcat, die den Abschuss der Maschine MH17 der Malaysia Airline über der Ukraine im Jahr 2014 recherchieren, erhielten solche Spear-Phishing-Mails. Ähnliche Mails gingen an weitere Journalisten aus Osteuropa. Das alles ist zwar kein "Smoking Gun" für die Beteiligung Russlands – aber es sind wohl starke Indizien. Weitere Details sind diesem Motherboard-Artikel (Englisch) zu entnehmen.
Der Fall zeigt: Man kann die Mitarbeiter nicht genug darauf trimmen, solche Spear-Phishing-Mails zu erkennen und keinesfalls die enthaltenen Links anzuklicken. Und es ist keine gute Idee, populäre Mail-Dienste von US-Firmen wie Apple, Google, Microsoft für brisante Korrespondenz zu nutzen. Das ist zwar bequem und die Postfächer können auch Gigabytes an Mails speichern. Erhält jemand Zugriff, kann er die Korrespondenz von Jahren zurück verfolgen.
Anzeige