Wie Cyber-Propaganda 2016 die Politik beeinflusst hat

Originalbeitrag von Feike Hacquebord, Senior Threat Researcher

Schon immer wollten politisch motivierte Bedrohungsakteure die öffentliche Meinung beeinflussen, um ihre Ziele zu erreichen. Mit der steigenden Beliebtheit des Internets erhielten sie ein neues Tool an die Hand. Sie nutzen nicht nur die sozialen Medien, um Nachrichten, Gerüchte und falsche Informationen (Fake News) zu verbreiten, sondern hacken auch aktiv politische Organisationen.

Letztere sind ein relativ einfaches Ziel für einen Akteur, der Schaden anrichten will. Politische Parteien müssen naturgemäß in der Lage sein, offen mit ihren Mitgliedern, der Presse und der Öffentlichkeit allgemein zu kommunizieren. Eine Partei ist während einer hektischen Wahlperiode besonders angreifbar durch Spionage-Kampagnen und Cyberangriffe, denn die Sicherheitsmaßnahmen stellen in dieser Zeit eine Bürde für den alltäglichen Betrieb dar. Die Vorfälle 2016 haben gezeigt, wie wichtig Sicherheit für politische Organisationen ist.

2016 gab es mindestens acht verschiedene prominente Angriffskampagnen auf politische Organisationen in Ländern wie die USA, Deutschland, Ukraine, Türkei und Montenegro. Diese Kampagnen waren nicht nur auf Spionage angelegt, sondern auf aktives Eingreifen in den politischen Prozess und auf die Beeinflussung der öffentlichen Meinung. WikiLeaks und allgemeine Medien wurden dazu genutzt, um die Öffentlichkeit über angebliche Skandale zu informieren, die in politischen Organisationen stattgefunden haben könnten oder auch nicht. Gestohlene Daten wurden veröffentlicht, ohne dass deren Authentizität normalerweise bestätigt wurde. Damit aber blieb viel Raum für Änderungen im Sinne der Täter an den gestohlenen Daten und für die Präsentation als authentische, echte Daten. Durch die Veröffentlichung sorgfältig ausgesuchter Datenteile, können die Hintermänner die öffentliche Meinung besser in Richtung ihrer Interessen beeinflussen.

2016 wurde die Demokratische Partei in den USA angeblich von Pawn Storm gehackt, einer Gruppe von Bedrohungsakteuren, die dafür bekannt sind, Personen und Organisationen anzuvisieren, die als Bedrohung für Russland wahrgenommen werden könnten. Zwischen 2014 und 2016 etwa setzte PawnStorm dedizierte Kampagnen gegen das Militär von mindestens einem Dutzend Länder in Gang. Die Aktivitäten zeigen, dass aus- und inländische Spionage sowie Beeinflussung der geopolitischen Gegebenheiten zu den Hauptzielen der Gruppe gehören, und nicht finanzieller Profit.

Es ist eine Tatsache, dass E-Mails von Mitgliedern der Demokratischen Partei gestohlen wurden. Diese Mails wurden von WikiLeaks und dcleaks[.]com, einer Website, die wahrscheinlich von Pawn Storm-Hintermännern kontrolliert wird, veröffentlicht. Die Sicherheitsforscher von Trend Micro können bestätigen, dass im März und April 2016 PawnStorm eine aggressive Phishing-Kampagne gegen Unternehmens- und freie Webmail-Konten verschiedener hochrangiger Mitglieder der Demokratischen Partei der USA durchführte.

Während dieser Kampagne wurden Dutzende Politker, Mitarbeiter des Democratic National Committee (DNC), Redenschreiber, Datenanalysten, frühere Mitarbeiter der Obama-Wahlkampagne, Mitarbeiter der Hillary Clinton-Wahlkampagne und sogar Unternehmenssponsoren mehrfach anvisiert wurden. Dieses Wissen beziehen die Sicherheitsforscher aus dem Zurückverfolgen der auf Zugangsdaten ausgerichteten Phishing-Kampagne seit 2014. Sie konnten eine erhebliche Menge von Klick-Statistiken und Tausende von individuellen Phishing-URLs sammeln und diese 2015 in einer ersten Analyse der Daten veröffentlichen.

Im Juni 2016 entdeckten sie die schwere Kompromittierung der Website des DCCC (Democratic Congressional Campaign Committee), der Vorfall weist die Handschrift von PawnStorm auf. Trend Micro war unter den ersten, die den Vorfall entdeckten und die verantwortlichen US-Behörden darüber informierten. Innerhalb Stunden wurde das Problem beseitigt und die DCCC-Website gesäubert.

Es kommt vor, dass PawnStorm breite Medien nutzt, um die allgemeine Öffentlichkeit über ihre Angriffe zu informieren. So bestätigen einige dieser Medien, dass ihnen ein exklusiver Zugang zu von PawnStorm gestohlenen Daten angeboten wurde. Das zeigt, dass die Angreifer neben WikiLeaks auch die breiten Medien dazu nutzen wollen, um die öffentliche Meinung zu beeinflussen und politische Organisationen so zu schädigen.

Nicht nur die politischen Organisationen in den USA wurden 2016 anvisiert. Das Problem ist viel breiter angelegt. Im April und Mai 2016 hatte PawnStorm auch die Bundeskanzlerin Angela Merkels CDU im Visier. Es ist nicht bekannt, ob die Angriffe erfolgreich waren, doch sind sie von den deutschen Behörden bestätigt worden. Keine Informationen sind veröffentlicht worden, doch in anderen Fällen wartete die Gruppe mehr als ein Jahr, bevor die Veröffentlichung der gestohlenen Daten begann.

Anfang Februar 2016 hatte PawnStorm das türkische Parlament im Visier. Auch stellten andere Sicherheitsforscher fest, dass ein bestimmter Bedrohungsakteur zwischen März und August letzten Jahres politische Parteien anvisierte, einschließlich Die Freiheit in Deutschland, die AKP in der Türkei und zwei weitere Parteien in der Ukraine.

Es ist nicht bekannt, ob diese Angriffe auch von PawnStorm stammen, doch eine der dabei genutzten Mail-Adressen wurde von PawnStorm einige Tage vor der Kampagne gegen die AKP ins Visier genommen und kompromittiert.

Es ist unwahrscheinlich, dass die Angriffe auf politische Parteien in naher Zukunft aufhören werden. Im Oktober 2016 startete eine auf Logininformationen ausgerichtete Phishing-Kampagne auf das Parlament von Montenegro, die auch PawnStorm zugeschrieben wird.

Ab Frühjahr 2017 werden in einigen europäischen Ländern Wahlen stattfinden, so in Bulgarien, Frankreich, Deutschland, die Niederlande und Norwegen. Deshalb wird politischen Organisationen und anderen dringend empfohlen, Maßnahmen zu ergreifen, um nicht Opfer ausländischer Bedrohungsakteure zu werden, die die Wahlen beeinflussen wollen.

Trend Micro gibt folgende Empfehlungen aus:

  • Minimieren der Angriffsfläche. Services, die nicht unbedingt online benötigt werden, sollten nicht mit dem Internet verbunden sein.
  • Regionale Organisationen eines Unternehmens sollten keine eigene Computer-Infrastruktur betreiben, sondern es sollte ein zentrales IT-Management geben.
  • Falls E-Mail outgesourct wird, sollte dies nur an renommierte Dienstleister geschehen und dabei müssen alles vom Provider angebotenen Sicherheitsfähigkeiten genutzt werden. Zweifaktor-Authentifizierung ist ein Muss für alle und falls möglich, sollte auch ein physischer Sicherheitsschlüssel zum Einsatz kommen.
  • Für Domänennamen sollten ebenfalls nur vertrauenswürdige Registrare genutzt werden. Domänennamen müssen gesichert sein, sodass sie nicht gekapert werden können.
  • Mitarbeitern sollten eigene private, kostenlose Webmail-Konten für die Arbeit verboten sein.
  • Die Durchführung regelmäßiger Penetrationstests, einschließlich Social Engineering ist Pflicht.
  • Mitarbeitern muss bewusst gemacht werden, dass Mail-Systeme gehackt werden können. Wichtige Informationen dürfen nicht unverschlüsselt über Mail verschickt werden.
  • Eine geeignete Prozedur für das Patching von veralteter, unsicherer Software muss vorhanden sein.
  • Der Einsatz von Produkten wie Trend Micro Deep Discovery™ sollte in die Überlegungen einfließe, denn die Lösung bietet Erkennung, tiefgehende Analyse und proaktive Antworten in Echtzeit auf heutige versteckte Malware sowie zielgerichtete Angriffe.

Hier gibt es eine Liste der anvisierten Organisationen, die Trend Micro beobachtet hat

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*