[English]Aktivisten des Hacker-Kollektivs Anonymous haben ja Aktionen nach dem Eindringen der russischen Armee in die Ukraine Angriffe gegen russische Firmen angekündigt. Presseberichten zufolge hat Anonymous den deutschen Ableger des russischen Energieriesen Rosneft erfolgreich gehackt. Dabei konnten 20 Terabyte an Daten abgezogen werden, bevor der Hack entdeckt und weitere Zugriffe unterbunden wurden.
Anzeige
Mir sind bereits gestern Abend Berichte von Reuters (english) und beispielsweise des Redaktionsnetzwerk Deutschland (RND) unter die Augen gekommen. Auf Twitter weist nachfolgender Tweet von anonleaks.nl auf den Sachverhalt hin.
Zum Sachverhalt: Auf Anonleaks wird bereits zum 11. März 2022 berichtet, dass Aktivisten Zugriff auf die Server von Rosneft Deutschland, einer Tochter des russischen Mineralölkonzerns, erlangt hätten. Im Beitrag wird die Rolle des russischen Mineralöl-Konzerns Rosneft und seiner deutschen Tochter thematisiert. So liefert Rosneft Deutschland nicht nur Produkte wie Bitumen, Flugzeugbenzin und Schmierstoffe, sondern organisiert auch die Betankung von Flugzeugen auf diversen Flughäfen. Russland-Experte Stefan Meister von der Deutschen Gesellschaft für Auswärtige Politik wird dort folgendermaßen zitiert:
Schröder verleiht dem Konzern internationales Renommee, Glaubwürdigkeit, Seriosität. Das ist wichtig für Rosneft, das kein normales Unternehmen ist, sondern zunächst vor allem der Selbstbereicherung von Leuten aus Putins Umfeld diente.
Es gibt Sanktionen gegen Rosneft – aber eine vollständig unberührte Tochter im Ausland ließe sich zur Umgehung von Sanktionen nutzen, so dass über solche Beteiligungen immer noch Devisen nach Russland spülen. Anonymous gibt diese Verbandelung als Grund an, sich mal genauer auf den IT-Systemen von Rosneft Deutschland umzusehen. Dazu heißt es:
Anzeige
Für einige Anons aus Deutschland ist das genau ein Grund, sich Rosneft Deutschland genauer anzuschauen. Nicht wegen der Raffinerien, sondern wegen des Lobbyismus, der Sanktionen.
Die Anons wollten nicht direkt in den russischen Energieunternehmen rumfuhrwerken … gerade der Energiesektor ist ein heißes Eisen, da es einige sanktionierende Staaten gibt, deren Energieversorgung an Russland gekoppelt ist. Da will man keine Teller zerkloppen oder irgendwelche Pipelines an und ausschalten oder sowas. Nicht mal aus Versehen.
Doch Rosneft Deutschland ist interessant genug. Dieses Unternehmen ist hauptsächlich im Vertrieb, An- und Verkauf, Lieferung an die Raffinerien tätig … und was noch? Keine kritische Infrastruktur, die man aus Versehen kaputt machen könnte. Keine Pipelines, die man abschalten könnte, keine Atomreaktoren, ja selbst die Raffinierien würden weiterarbeiten.
Anonymous Aktivsten ist es gelungen, Zugriff auf die Server von Rosneft Deutschland zu erlangen und große Mengen an Daten (20 Terabyte) abzugreifen. Man sei dabei sehr tief in die Systeme von Rosneft Deutschland eingedrungen, heißt es auf Anonleaks. Das Eindringen sei so tief gewesen, dass man problemlos Backups von Laptops der Beschäftigten und Führungskräfte fand.
Backups von Rosneft Deutschland, Quelle. Anonleaks
Darüber hinaus reklamiert Anonymous, dass man Zugriff auf sämtliche Virtuellen Maschinen des Unternehmens, die USV und mehr hatte. Das Kollektiv begann dann die verfügbaren Daten per FTP-Verbindung zu transferieren. Trotz 5.5GB/s Transferrate dauert so ein Vorgang einige Zeit. Die Aktivisten geben an, dass man 2 Wochen im System gewesen sei, der Download aber am 10. März 2022 plötzlich gestoppt wurde. Dazu heißt es:
Nicht, weil man erwischt wurde, das nicht, man war seit fast zwei Wochen kontinuierlich und pausenlos in den Systemen und lud die Daten. Doch am vergangenen Freitag brach die an sich sehr stabile FTP-Verbindung ab, weil deren gesamtes System am Abend die Grätsche machte, auf einmal kein Internet mehr. Der Entry-Point selbst funktionierte noch, aber weiter kam man nicht, da das genutzte System dahinter selbst nicht mehr mit dem Internet verbunden war.
Wir wissen nicht, ob jemand den falschen Stecker gezogen hat. Es machte laut Anons den Anschein, als habe jemand die Firewall des Systems geputtet. Man konnte keinen anderen User mehr im System sehen, Internet war weg, wahrscheinlich hatte Rosneft und die IT selbst keinen Zugriff mehr.
Von den 25 Terabyte an möglichen Daten konnten bis zum Donnerstag, den 10. März 2022, daher nur 20 Terabyte kopiert werden. Die Hacker schreiben, dass man von den Betreibern mehr auf die Service-Accounts von Druckern im Active Directory achten solle – denn über diesen Vektor scheint der Hack gelaufen zu sein. Ein zweiter Hack war zwar erfolgreich, aber die Sitzung wurde kurz nach der Wiederaufnahme des Downloads wieder geschlossen. Anonymous reklamiert, dass man aber ein wenig Verwirrung gestiftet und iPhones remote zurückgesetzt oder Geräte um Netzwerk "umgestaltet" habe.
Der Hack der Rosneft-Webseite sei wohl von einer anderen Gruppe durchgeführt worden, schreibt Anonymous. Denn man habe keinen Zugriff auf den Webserver über die internen IT-Netzwerke gehabt.
Die Anonymous-Hacker wollen die erbeuteten Daten sichten, und dann überlegen, was sie damit machen. Sicher ist bereits, so die Aussage der Hacker, dass diese Daten nicht öffentlich geleakt werden. Denn der Effekt eines öffentlichen Leaks wäre geringer als der Gewinn, den Mitbewerber daraus ziehen könnten, schreibt man. Der Artikel auf Anonleaks ist sehr aufschlussreich.
Inzwischen hat wohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Hackerangriff auf die deutsche Rosneft-Tochter gegenüber Medien wie Spiegel und Welt bestätigt. Diese Medien berichten, dass das Unternehmen (die als Energielieferant Teil der kritischen Infrastruktur sind) den Angriff selbst gemeldet habe. Beim RND heißt es, dass das BSI Sicherheitswarnungen an andere Unternehmen und Organisationen der Mineralölwirtschaft herausgegeben habe. Die Staatsanwaltschaft Berlin soll wegen des Hackerangriffs ein Ermittlungsverfahren eingeleitet haben. Das Bundeskriminalamt ist laut Bericht des Spiegel mit den Ermittlungen beauftragt worden.
Anzeige
Komplett OT, aber Zyxel hat gearade ein boot brick Problem mit der neusten Firmware:
https://support.zyxel.eu/hc/en-us/articles/4637859383698
Wäre vieleicht eine Meldung wert.
Ich schließe mich kurz einmal dem OT an…
Seit Samstag benachrichtigt Veeam seine Kunden/Partner über teils kritische Sicherheitslücken. Die Patches sollten zeitnah eingespielt werden!
https://www.veeam.com/kb4288
https://www.veeam.com/kb4289
https://www.veeam.com/kb4290
MfG der Seb
Auch wenn es sich gegen den derzeit erklärten "Feind" zu richten scheint – prinzipiell rechts,- und gesetzeswidrig und daher zu verurteilen. Seltsamerweise scheinen sich die Nutznießer dieses unsäglichen Ukraine Krieges eher jenseits des Atlantik zu finden …., nur scheint dies niemanden wirklich zu interessieren ?!
Ah, da bringst du ja einen gaaanz neuen Aspekt ins Spiel. Wenn du das jetzt nicht erwähnt hättest, wär's ja sonst keinem in den Sinn gekommen… – Vielleicht ist das aber für die meisten keineswegs ein neuer, sondern ein seit zig Jahren nur allzu vertrauter Gedanke. Stichworte: Stellvertreterkriege, Lachender Dritter, Rüstungsprofiteure. Und in jedem Krieg besteht erhöhte Bereitschaft, schmutzige Methoden gutzuheißen, getreu der unsäglichen Devise „Der Zweck heiligt die Mittel".
Es gab schon immer Leute, die aus den Kriegen anderer Profit schlagen. Diesseits des Atlantiks auch.
Wie wahr – kurioserweise hat beim damaligen Einmarsch der USA in den Irak niemand irgendjemanden als "Feind" erklärt.
@voko
Bitte nicht vergessen.
Der Irak hatte Kuweit militärisch angegriffen.
Die Ukraine hat Russland nicht angegriffen.
Da hat Pittiplatsch offenbar den Aufstand vom 17. Juni 1953 in der DDR ganz vergessen. Wurde wohl im Schulunterricht eben jener von Russland unterjochten "Republik" etwas unter den Teppich gekehrt.
Der Verweis auf den "Nutznießer" des Krieges jenseits des Atlantik kommt mir zudem arg konstruiert vor. Tatsächlich hat sich Putin aus freien Stücken zu diesem anachronistischen Angriffskrieg entschieden.
Das ist gelinde gesagt – Falsch. So einfach ist die Sache nicht das wäre Bild Zeitung Niveau. Da Steckt ne ganze Menge an Interessen dahinter damit so etwas eskaliert. So einfach gehen Kriege nicht los. Folge dem Geld und du wirst fündig. Es ist wohl seit Jahrhunderten das gleiche Spiel im Hintergrund. Das Frontend dürfen wird "genießen". Hat einen Hauch von Matrix irgendwie :-)
Dass Putin alle zivilisierten Staaten und internationale Sicherheitsverbünde auf politischer und militärischer Ebene stärkt, hätte er als "größter Stratege aller Zeiten" eigentlich vermuten können. Hat er wohl im Eifer des Gefechts und dem intensiven Studium der russischen Geschichte um 1900 herum außer acht gelassen und nun stärkt und eint sein Angriffskrieg die NATO und die EU. Selbst in der UNO erfuhr er lediglich Beistand von den üblichen Bananenrepubliken: Kuba, Nordkorea, Syrien und Eritrea. Der Rest der Welt schüttelt nämlich den Kopf und fragt sich, ob der Mann in den letzten Jahren zu wenig Schlaf bekommen hat… Vielleicht erkennen auch die Chinesen mittelfristig, dass er neben der völkerrechtswidrigen Okkupation (die China vermutlich herzlich egal ist) auch die Weltwirtschaft massiv beeinträchtigt und distanzieren sich nachhaltig von Putin. Abwarten und ****.
Ich frage mich je eher wie man 20TB abzieht ohne das da jemand den Stecker vorher zieht. Ich meine das war der Ableger in Deutschland, hier gibts doch gar keine Anschlüße mit denen man das im Upstream so schnell übertragen könnte ;)
Sie waren ja auch 2 Wochen im System.
Die Frage ist eher, warum ist der Einbruch nicht aufgefallen ?
Das ist doch keine Hinterhof Klitsche.