Medienbericht: Cyberkriminelle spähten angeblich Regierungs-IT aus

"Unbekannte Hacker" haben Berichten zufolge drei für Ministerien und Behörden arbeitende IT-Unternehmen ausgespäht. Das gehe aus einem Warnschreiben des Informationstechnikzentrums des Bundes (ITZ Bund) von Ende April hervor, das dem Bayerischen Rundfunk (BR) vorliegt. Demnach sollen die Angreifer "sehr wahrscheinlich" die E-Mail-Kommunikation bei den betroffenen Firmen abgegriffen haben und damit "personenbezogene Daten, Telefonnummern und Dienstsitze, aber auch aktuelle Projekte, Mailverläufe und angehängte Dokumente".

Ein Direktoriumsmitglied des ITZBund macht die Mitarbeiter in dem Schreiben darauf aufmerksam, dass möglicherweise durch die Angriffe erlangte Kontaktdaten für Social Engineering genutzt werden könnten. Alles ein bisschen anders, sagt das ITZBund.

Keine Daten beim ITZBund abgeflossen

Dass es ein an die Mitarbeiter gerichtetes Schreiben gibt, bestätigt das ITZBund gegenüber heise online. "Allerdings handelt es sich hier um ein reines Sensibilisierungsschreiben für unsere Beschäftigten. In dem Schreiben werden keine Tatsachen berichtet [...] es dient als reine Vorsichtsmaßnahme", teilt das ITZBund auf Anfrage mit. Bisher seien aufgrund von Social Engineering keine Informationen abgeflossen.

Einen IT-Notfall durch eine DDoS-Attacke, von dem laut BR-Recherchen Kunden des ITZBund betroffen waren, habe es ebenfalls nicht gegeben, wie das ITZ Bund heise online mitteilt. Auch das Bundesamt für Sicherheit in der Informationstechnik sieht derzeit keine "unmittelbare Bedrohung für die IT-Sicherheit der Bundesverwaltung".

Das neben drei weiteren IT-Dienstleistern im Bericht erwähnte Unternehmen Adesso war bereits seit Mai 2022 Opfer eines Cyberangriffs. Diese Erkenntnis habe das Unternehmen allerdings "erst im Nachhinein im Zuge der Analyse des Angriffs gewonnen". Ein Abfluss von Daten habe im Rahmen des Cyberangriffs nicht stattgefunden. Zu Adessos Kunden gehören verschiedene Bundesministerien, aber auch der aktuell ebenfalls von einem Cyberangriff betroffene Krankenkassen-IT-Dienstleister Bitmarck.

Zero-Day-Schwachstelle bei Confluence

Das ebenfalls betroffene Berliner Unternehmen Init hat den Cyberangriff gegenüber heise online bestätigt; Kunden seien bereits informiert, das LKA Berlin ermittle. Ursache für die Angriffe bei Adesso und Init waren demnach eine ausgenutzte Zero-Day-Schwachstelle des Confluence Atlassian Systems im Juni 2022 (CVE-2022-26134). Diese gehörte laut IT-Sicherheitsforschern zu den mit am häufigsten angegriffenen Sicherheitslücken, die das Einschleusen von Schadcode erlaubt.

Zwar habe Init die Lücke sofort nach Bekanntwerden gepatcht, alle online verfügbaren Confluence-Systeme offline genommen und alle bereitgestellten Patches eingespielt. Dennoch hätten Sicherheitsanalysen gezeigt, dass die Schwachstelle bereits ausgenutzt wurde und die Angreifer "ein manipuliertes Plugin zur Funktionserweiterung" über diese Schwachstelle installieren konnten.

Ein Versuch, dieses Plugin im März 2023 zu nutzen, habe Inits Security Team erkannt und "entsprechende Gegenmaßnahmen in Zusammenarbeit mit externen Forensikern und dem BSI ergriffen". Dann wurde die in dem Plugin erkannte Schadsoftware umgehend entfernt. Aktuell dauern die Untersuchungen des BSI und IT-Forensikern noch an.

Die Beteiligten suchen aktiv nach Bedrohungen und beobachten den aktiven Datenverkehr. Eine Kompromittierung der Infrastruktur könne bisher ausgeschlossen werden. Daten seien lediglich bei wenigen Kunden abgeflossen. Bei dem dritten im Bericht erwähnten IT-Unternehmen Materna wurden bisher keine Datenabflüsse festgestellt, außerdem sei der Eintrittsvektor keine Schwachstelle in Confluence gewesen. Informationen des BRs zufolge laufen dazu gerade Ermittlungen des Landeskriminalamts NRW. Die BR-Recherchen kommen zu dem Schluss, dass zwischen den drei Attacken ein Zusammenhang besteht.

(mack)