Merkwürdige Geschichte, wo noch nicht alles transparent ist. Eine Gruppe mit dem Namen "ransomed" hat auf ihrem Telegram-Kanal bekannt gegeben, dass die in Österreich angesiedelte, aber auch in anderen Ländern aktive Telekommunikationsgesellschaft A1-Telekom eines ihrer Opfer sei. Das Unternehmen soll wohl erpresst werden, Lösegeld zu zahlen. Von Unternehmensseite scheint noch nichts an Informationen vorzuliegen.
Anzeige
Eine Lesemeldung und ein Tweet
Ich bin am gestrigen Dienstag, 22. August 2023, in einer privaten Meldung auf Facebook von einem Leser gefragt worden, ob ich näheres zu einem A1-Telekom Cyber-Vorfall wüsste (danke für den Hinweis). Mir war nichts dergleichen bekannt – aber auf Twitter gab es die nachfolgende kurze Meldung eines Beobachters aus der Gruppe der Sicherheitsforscher.
Diese besagt aber nur, dass ein Akteur mit dem Namen "ransomed" den"A1 Data Provider" als Opfer angegeben habe. Die Quelle ist das ThreadMon Thread Intelligence Team, welches zu einer Firma gehört, die das DarkNet auf entsprechende Aktionen abgrast und so auf Cybervorfälle stößt.
Ein Medienbericht
Der Blog-Leser, der mir den Hinweis auf den möglichen Vorfall gab, hatte noch einen Link auf diesen Artikel der österreichischen Kronen-Zeitung mitgeliefert. Dort heißt es, dass sich die A1 Telekom mit einer Erpressung einer Cybergruppe "ransomed" konfrontiert sieht, die ins System eingedrungen seien und nun ein Lösegeld forderten. Der Artikel greift auf die Informationen von Cornelius Granig zurück. Dies ist ein österreichischer Unternehmensberater und Journalist, der sich seit vielen Jahren mit der Bekämpfung von Computerkriminalität und Korruption befasst.
Anzeige
Laut Eigenaussage der Cybergruppe "ransomed" auf ihrem Telegram-Kanal, aus denen Granig wohl zitiert, dass denen es wohl gelungen sei "in mehrere 'Control-Panels' in Österreich selbst, aber auch Serbien, Bulgarien, Kroatien und Nord Mazedonien einzudringen." Das dürften die IT-Systeme zur Verwaltung der jeweiligen Mobilfunk-, Internet- und Telefondienste in den jeweiligen Ländern sein. Von den unten angegebenen 27 Millionen A1 Telekom-Kunden sollen durch den Hack 11 Millionen betroffen sein. Hinzu kämen noch 18.000 Angestellte des Unternehmens.
Details, welche Daten erbeutet wurden, ob es ein Ransomware-Vorfall war etc. fehlen im Artikel aber. Die Angreifer behaupten aber, dass die Tochtergesellschaften Bob, Yesss und Red Bull Mobile auch als Opfer genannt seien. Die Forderung lautet, dass die Lösegeldforderungen bis 1. September 2023 erfüllt werden müssen. Granig wird so zitiert, dass die neu Cybergruppe der amerikanischen IT-Sicherheitsfirma SOCRADDAR (Spezialisten für Monitoring und internationale Fahndung) aufgefallen sei. So seien auch I & G Broker House (eine der größten Versicherungsagenturen des Balkans und Zentraleuropas mit elf Millionen betroffenen Kunden) und weitere Großunternehmen massiv erpresst worden seien.
Einschätzung von Granig ist, dass es möglicherweise auch ein "Abtasten des Sicherheitssystems" oder ein Fake-Angriff gewesen sein könnte, um die Reputation des Unternehmens zu schädigen. Laut Bericht behaupten die Angreifer, dass bereits ein Viertel der ungenannten Lösegeldsumme bezahlt worden sei (eigentlich unüblich). A1 Telekom gibt aber an, dass noch kein Erpresserschreiben vorliege und dass irgend etwas an Lösegeld gezahlt worden sei. Der Kommunikationschef Jochen Ohnewas-Schützenauer wird so zitiert, dass man die Hinweise sehr ernst nehme und A1-Experten rund um die Uhr im Einsatz seien, um Angriffe abzuwehren. Aktueller Stand ist also, dass alles in der Schwebe ist und man abwarten muss, ob sich da im September 2023 was klärt.
Informationen zur Abrundung
Abschließend noch einige Informationen zum Unternehmen sowie zu einem Cybervorfall, den die A1 Telekom Austria zwischen Ende 2019 und Mitte 2020 getroffen hat.
Die A1 Telekom Group
Die A1 Group ist ein in Österreich angesiedelter Provider für digitale Services und Kommunikationslösungen (Mobilfunk, Internet, Telefon), der im CEE-Raum (Central and Eastern European) tätig ist. Das Unternehmen hat unter der Marke A1 in Österreich, Bulgarien, Kroatien, Belarus, Slowenien, Nordmazedonien und Serbien rund 27 Millionen Kunden.
Die A1 Group, die Kommunikationslösungen, Payment und Unterhaltungsservices sowie integrierte Business Lösungen anbietet, hat im Geschäftsjahr 2022 einen Umsatz von 5,0 Mrd. Euro erzielt. Rund 18.000 Mitarbeiter und State-of-the-Art Breitband Infrastruktur ermöglichen laut Eigenaussage digitalen Lifestyle und erlauben Kunden, Unternehmen und Geräte, sich überall und jederzeit zu vernetzen. Als Europäische Unit von América Móvil, einem der weltweit größten Mobilfunkbetreiber, hat die Gruppe ihren Firmensitz in Wien und ermöglicht Zugang zu weltweiten Lösungen.
Ergänzung: Ein Blog-Leser hat mir noch mitgeteilt, dass die A1 Telekom Group nicht nur Telekom-Provider sei. Die seien auch im IoT-Bereich aktiv – was wohl unter A1 Digital läuft – und dort komme die "Österreichische Bahn" (plus andere Unternehmen) ins Spiel, die mittlerweile komplett mit dem Fleet Tracking von diesem Unternehmen abhänge. Und es gäbe noch das Stichwort Exoscale, hinter dem sich ein Angebot für ein europäisches Cloud-Hosting durch die A1 Digital verbirgt.
Cyber Security und der Angriff aus 2020
Mir war, also ob es bereits einen Hack gegeben habe und eine Suche im Blog hat einen Treffer ergeben. Im Juni 2020 wurde bekannt, dass die A1 Telekom Austria im Fokus eines massiven Cyberangriffs gestanden hat – ich hatte dazu was im Beitrag Sicherheitsinformationen (8. Juni 2020) geschrieben.
Zum Sachverhalt: Hackern war es gelungen, erfolgreich die Rechnersysteme der Telekom Austria A1 angreifen und zentrale Komponenten fast ein halbes Jahr zu kontrollieren. Im November 2019 entdeckten Mitarbeiter des Computer Emergency Response Teams (CERT) auf einigen Office-Systemen Malware. Eine Analyse zeigte, dass es sich um eine Backdoor handelte und Bestandteil eines größeren Angriffs war. Die Sicherheitsspezialisten entschlossen sich, die Angreifer bei der Arbeit zu überwachen, obwohl zentrale PCs und Server infiltriert waren. Eine Bereinigung im März 2020 wurde durch die Coronakrise verhindert. Später mussten alle A1-Mitarbeiter ihre Kennwörter ändern.
heise hat den spannenden Fall in diesem Beitrag aufbereitet. Ich bin seinerzeit auf den Blog von Christian Haschek und diesen Beitrag gestoßen, wo dieser Details berichtet, und schreibt, dass er über einen Whistleblower auf den Hack aufmerksam gemacht wurde. Weil er von A1 Telekom gebeten wurde, den Fall nicht vor dem Aussperren der Angreifer zu publizieren, hat Haschek den Beitrag über Monate zur Veröffentlichung zurückgehalten, so dass der Tipp-Geber dann auch heise kontaktierte.
Der ORF hat dann den Fall im Juli 2020 unter der Rubrik "Cyberangriff erfolgreich abgewehrt" nochmals aufgegriffen. Beim Schreiben dieses Blog-Beitrags bin ich dann darauf gestoßen, dass das Unternehmen noch im Mai 2023 hier bekannt gegeben hat, dass das Thema "Cyber Security" auf der Agenda ganz oben angesiedelt sei. Scheint aber nicht ausreichend umgesetzt worden zu sein, wenn es sich um einen neuen, erfolgreichen Cyberangriff handelt – was aktuell noch unklar ist.
Anzeige
Kartenzahlungsgeräte bietet A1 auch noch an! Wenn das stimmt und nicht nur heiße Luft ist wird es lustig.
Hallo hatte öfter Internet Ausfälle und auch Vieren auf meinen Computer bekommen kann es mit dem Vorkommnissen zusammenhängen?
MfG
FB
Aus dem Bauch heraus: Eher nicht – die Angreifer wollen ja Kohle von A1 Telekom, da wäre so was kontraproduktiv.