Es gab einen breit angelegten Angriff auf persönliche Daten digitaler Nutzer. Wie sich nun herausstellt, war es ein junger Mann im heimischen Kinderzimmer mit den Usernamen Nullr0uter/NFO/Orbit. Auch die Methoden sind nun bekannt und zeigen mehrere Dinge auf.
Hackerangriff / Doxing
Der Angriff war ein Massen-Doxing. Darunter versteht man das massenweise zusammentragen und veröffentlichen von persönlichen Informationen.
Durchführung
Ich persönlich kategorisiere den Angriff nicht als Hack im klassischen Sinne. Es wurden keine Protokolle umgangen und keine aktiven Geräte für Man-in-the-Middle Angriffe genutzt. Es wurde schlicht auf alte, schwache und mehrfach verwendete Passwörter gesetzt, obwohl sehr einfallsreich eine Zwei-Faktor-Authentifizierung umgangen wurde. Somit konnte der Angreifer schon 2016 Twitter Konten übernehmen, da er durch Übernahme der hinterlegten Google Konten per Schwachstelle in der Zwei-Faktor-Authentifizierung dem Support glaubhaft machen konnte, dass er der Konteneigentümer ist.
Es hat also in diesem und zahlreichen anderen Fällen rein gar nichts mit den eingesetzten Clients / OS zu tun. Es ist egal, ob die Opfer nicht verwaltete iOS und oder Android Geräte eingesetzt haben. Auch ein MDM kann dabei nicht helfen, wohl aber mit diesen Systemen Conditional Access Maßnahmen und Passwortrichtlinien.
Denkt also an die Tipps aus dem Beitrag Und ihr habt doch etwas zu verbergen – Hackerangriff. Auch Billig-Smartphones von dubiosen Herstellern aus dem fernen Osten, welche schon mal auffällig waren oder sind, sollten man vielleicht nicht gerade einsetzen.
Orbit
Bei der ersten Kontenübernahme 2016 wurde der Angreifer schon erwischt. Er nutzte einen VPN Dienst, welcher aber bei den Angriffen zwischendurch den Dienst versagte. Somit war seine IP-Adresse ersichtlich. Die Ermittler waren damals auch vor Ort und beschlagnahmten Geräte. Die Ermittlungen dauern aber bis heute an.
Der Nutzer änderte seinen Nickname auf Orbit, versteckte seine alten Nicknames nicht immer. Auch seine über Jahre gesammelten Informationen weisen teilweise die alten Namen auf.
Ermittlungsbehörden
Den Zusammenhang zwischen den damaligen und aktuellen Angriffen und Nicknames konnten seitens der Ermittlungsbehörden nicht hergestellt werden. Auch die bereits im Dezember veröffentlichten Daten sind nicht aufgefallen, obwohl die Ermittlungsbehörden Suchfilter gesetzt hatten. Des Weiteren haben schon im Dezember zwei Politiker auffällige Aktivitäten auf den eigenen Konten gemeldet und es wurde seitens des BSI gehandelt. Da die Behörden schon Suchfilter einsetzen ist die Forderung des Bundesinnenministers Seehofer nach einem Frühwarnsystem obsolet.
Manchmal dauert es einfach bis man solch einen Angriff bemerkt, aber dieser sollte auffällig gewesen sein. Da aber die interne Kommunikation bei den Ermittlungsbehörden schlecht bis gar nicht vorhanden ist, Kompetenzen fehlen oder falsch verteilt sind und die technische Ausrüstung teils obsolet oder einfach schlecht ist, ist diese Verschleppung kein Wunder. Auch die NSA wurde um Mithilfe gebeten.
Die Ermittlungsbehörden haben Orbit erst nach einem Zeugenhinweis gefunden. Ein junger Mann, der Kontakt zu Orbit hatte. Jan Schürlein (nach eigenen Angaben seit 2016 (Zufall?) Geschäftsführer von BlackProtect) hat auf Twitter bzw Google Docs eine Stellungnahme veröffentlicht:
Ob Jan Schürlein mit seinen 19 Jahren wirklich ein Sicherheitsexperte ist lasse ich mal so stehen.
BSI
Was auch viele vergessen: Das BSI kann nur beratend zur Seite stehen wenn es wie in diesem Falle um persönliche Konten geht. Es war schlicht Schlamperei der betroffenen Nutzer in Zusammenhang mit ihren persönlich genutzten Diensten.
“Staatliche” Konten werden gesondert abgesichert. Der Bund setzt eine eigene Infrastruktur mit verschiedenen Sicherheitsmaßnahmen ein.