{"id":227558,"date":"2020-01-28T08:37:55","date_gmt":"2020-01-28T07:37:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227558"},"modified":"2020-01-28T15:50:01","modified_gmt":"2020-01-28T14:50:01","slug":"massive-cyber-angriffe-durch-staatsnahe-trkische-hacker","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/01\/28\/massive-cyber-angriffe-durch-staatsnahe-trkische-hacker\/","title":{"rendered":"Massive Cyber-Angriffe durch staatsnahe t&uuml;rkische Hacker"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[<a href=\"https:\/\/borncity.com\/win\/2020\/01\/28\/massive-cyber-attacks-by-state-sponsored-turkish-hackers\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Gerade sind massive Cyber-Angriffe auf Regierungen und andere Organisationen in Europa und im Nahen Osten \u00f6ffentlich geworden. Diese werden als das Werk von Hackern angesehen, die im Interesse der t\u00fcrkischen Regierung handeln.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg05.met.vgwort.de\/na\/9d417aaf99af451dbcb4ee58628cfda9\" width=\"1\" height=\"1\"\/>Ich bin die Nacht \u00fcber den nachfolgenden Tweet eines Reporters der Nachrichtenagentur von Reuters auf die Geschichte <a href=\"https:\/\/www.reuters.com\/article\/us-cyber-attack-hijack-exclusive-idUSKBN1ZQ10X\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> aufmerksam geworden.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">A massive cyber espionage campaign, which we found so spooked US intelligence that it changed how the government handles DNS registration, was the work of hackers aligned with the Turkish government <a href=\"https:\/\/t.co\/5jg4WFFI5W\">https:\/\/t.co\/5jg4WFFI5W<\/a><\/p>\n<p>\u2014 Chris Bing (@Bing_Chris) <a href=\"https:\/\/twitter.com\/Bing_Chris\/status\/1221806195901636614?ref_src=twsrc%5Etfw\">January 27, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Reuters kommt jetzt mit der Geschichte, die man exklusive ver\u00f6ffentlicht habe, an die \u00d6ffentlichkeit. Als der Name \"SeaTurtle\" im Reuters-Artikel fiel, klingelte aber was im Hinterkopf. <\/p>\n<h2>R\u00fcckblick: Ein alter Blog-Beitrag<\/h2>\n<p>Die in Sicherheitskreisen als \"SeaTurtle\" gehandelte Kampagne hatte ich bereits im M\u00e4rz 2019 im Artikel <a href=\"https:\/\/borncity.com\/blog\/2019\/04\/18\/sea-turtle-cisco-talos-deckt-dns-hijacking-kampagne-auf\/\" target=\"_blank\" rel=\"noopener noreferrer\">Sea Turtle: Cisco Talos deckt DNS Hijacking-Kampagne auf<\/a> beschrieben. Dort hie\u00df es, dass die Kampagne auf \u00f6ffentliche und private Einrichtungen, einschlie\u00dflich nationaler Sicherheitsorganisationen, die haupts\u00e4chlich im Nahen Osten und Nordafrika ans\u00e4ssig sind, zielt. Offenbar ist auch Europa mit als Ziel dazu gekommen.<\/p>\n<p>Reuters schreibt (nach Auswertung von Web-Fundstellen), dass die Hacker mindestens 30 Organisationen angegriffen haben. Darunter sich auch Regierungsministerien, Botschaften und Sicherheitsdienste sowie Unternehmen und andere Gruppen. Zu den Opfern geh\u00f6rten laut Reuters auch die E-Mail-Dienste der zypriotischen und griechischen Regierung sowie der nationale Sicherheitsberater der irakischen Regierung.<\/p>\n<p>Die Kampagne begann voraussichtlich bereits im Januar 2017 und dauerte bis zum ersten Quartal 2019. Die Cisco Talos Untersuchung ergab, dass mindestens 40 verschiedene Unternehmen in 13 verschiedenen L\u00e4ndern w\u00e4hrend dieser Kampagne gef\u00e4hrdet waren. Cisco Talos ist sich recht sicher, dass diese Angriffe von einem fortgeschrittenen, staatlich gef\u00f6rderten Akteur durchgef\u00fchrt werden, der einen dauerhaften Zugang zu sensiblen Netzen und Systemen anstrebt.<\/p>\n<p>Die Akteure hinter dieser Kampagne konzentrierten sich darauf, DNS-Hijacking als Mechanismus zur Erreichung ihrer Endziele zu nutzen. DNS-Hijacking tritt auf, wenn der Akteur DNS-Namensaufzeichnungen illegal \u00e4ndern kann, um Benutzer auf von Akteuren kontrollierte Server zu verweisen. Das US Department of Homeland Security (DHS) warnte am 24. Januar 2019 vor dieser Aktivit\u00e4t. Ein Angreifer kann die Benutzer beim Besuch von Internetseiten umleiten und k\u00f6nnte sogar g\u00fcltige Verschl\u00fcsselungszertifikate f\u00fcr die Domainnamen einer Organisation erhalten. Die technischen Details habe ich seinerzeit im Artikel <a href=\"https:\/\/borncity.com\/blog\/2019\/04\/18\/sea-turtle-cisco-talos-deckt-dns-hijacking-kampagne-auf\/\" target=\"_blank\" rel=\"noopener noreferrer\">Sea Turtle: Cisco Talos deckt DNS Hijacking-Kampagne auf<\/a> beschrieben.<\/p>\n<p><img decoding=\"async\" title=\"KRITIS-Netzwerk\" alt=\"KRITIS-Netzwerk\" src=\"https:\/\/i.imgur.com\/yNk8TvY.jpg\"\/><br \/>(Quelle: Pexels Markus Spiske CC0 Lizenz)<\/p>\n<h2>Reuters bringt neue Informationen<\/h2>\n<p>W\u00e4hrend Cisco Talos in seinem Artikel 2019 nur von staatsnahen Hackern schreibt, zitiert Reuters zwei britische und einen amerikanischen Offiziellen. Deren Angaben zufolge tragen die Sea Turtle-Cyber-Angriffe die Merkmale einer staatlich unterst\u00fctzten Cyber-Spionageoperation, die durchgef\u00fchrt wurde, um t\u00fcrkische Interessen zu f\u00f6rdern. Die Quellen st\u00fctzen diese Schlussfolgerung auf drei Elementen: <\/p>\n<ul>\n<li>die Identit\u00e4ten und Standorte der Opfer, zu denen auch die Regierungen von L\u00e4ndern geh\u00f6ren, die f\u00fcr die T\u00fcrkei geopolitisch bedeutsam sind;  <\/li>\n<li>\u00c4hnlichkeiten mit fr\u00fcheren Angriffen, die ihrer nach Meinung der Quellen, die von der T\u00fcrkei aus registrierte Infrastruktur nutzten;  <\/li>\n<li>und Informationen aus vertraulichen geheimdienstlichen Dossier und Einsch\u00e4tzung, die die T\u00fcrkei wohl bis ins Detail zur\u00fcckweist.<\/li>\n<\/ul>\n<p>Laut den Reuters-Quellen ist unklar, welche konkreten Personen oder Organisationen f\u00fcr die Kampagne verantwortlich waren. Die Quellen glauben aber, dass die Angriffswellen miteinander verbunden waren. Denn diese benutzten alle die gleichen Server oder andere Infrastrukturen.<\/p>\n<p>Das t\u00fcrkische Innenministerium lehnte einen Kommentar ab. Ein hoher t\u00fcrkischer Beamter antwortete nicht direkt auf Fragen zur Kampagne, sagte aber, dass die T\u00fcrkei selbst h\u00e4ufig Opfer von Cyberangriffen sei.<\/p>\n<p>Die zypriotische Regierung sagte in einer Erkl\u00e4rung, dass \"die zust\u00e4ndigen Beh\u00f6rden sofort von den Angriffen wussten und sich bem\u00fchten, sie einzud\u00e4mmen\". Aus Gr\u00fcnden der nationalen Sicherheit wolle man sich nicht zu Einzelheiten \u00e4u\u00dfern.<\/p>\n<p>Regierungsquelle aus Athen sagten, sie h\u00e4tten keine Beweise daf\u00fcr, dass das E-Mail-System der griechischen Regierung kompromittiert wurde. Bei diesem Satz ging mir sofort 'hallo, da war doch was, was ein Blog-Leser aus Griechenland dir gesteckt hat' durch den Kopf. Kurze Suche hier im Blog, Bingo, ich kann den Artikel <a href=\"https:\/\/borncity.com\/blog\/2019\/07\/12\/griechenlands-top-level-domain-registrar-gehackt\/\" target=\"_blank\" rel=\"noopener noreferrer\">Griechenlands Top-Level Domain Registrar gehackt<\/a> pr\u00e4sentieren. Dort hatte ich gemeldet, dass Hacker der Sea Turtle-Gruppe bei Griechenlands Top-Level Domain Registrar eingebrochen sind und ihre Angriffe mit DNS-Hijacking-Angriffen fortsetzen. Mit dem Griechenland-Hack ist der staatlich gef\u00f6rderten Gruppe ein gro\u00dfer Coup gelungen. Die irakische Regierung reagierte nicht auf Anfragen von Reuters.<\/p>\n<p>Der <a href=\"https:\/\/www.reuters.com\/article\/us-cyber-attack-hijack-exclusive-idUSKBN1ZQ10X\" target=\"_blank\" rel=\"noopener noreferrer\">Reuters-Artikel<\/a> enth\u00e4lt noch weitere Details zu Opfern und deren per DNS umgeleiteten Internetverkehr. K\u00f6nnt ihr bei Interesse dort nachlesen. Abschlie\u00dfend: Eigentlich wollte ich die Nacht und heute \u00fcber diverse andere Themen im Microsoft-Umfeld bloggen. Aber nun ist es schon eine ganze Latte an Sicherheitsthemen geworden \u2013 die Einschl\u00e4ge kommen n\u00e4her. Aber heute ist europ\u00e4ischer Datenschutztag \u2013 da passt das schon.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Gerade sind massive Cyber-Angriffe auf Regierungen und andere Organisationen in Europa und im Nahen Osten \u00f6ffentlich geworden. Diese werden als das Werk von Hackern angesehen, die im Interesse der t\u00fcrkischen Regierung handeln.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-227558","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227558","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=227558"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227558\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=227558"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=227558"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=227558"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}