Bei einem Hackerangriff Mitte Juli 2019 wurden europäische UN-Server kompromittiert und 400 GB an Daten gestohlen. Der Angriff wurde erst einen Monat später bemerkt – und verschwiegen. Aus einem am 20. September 2019 erstellten vertraulichen Bericht, der kürzlich geleakt wurde, gehen nun Einzelheiten des Angriffs hervor und eine ganze Reihe von Sicherheitslücken.

Betroffen waren mehr als 40 Server in den europäischen UN-Zentralen in Wien und Genf und im genfer Büro des Hohen Kommissars für Menschenrechte (OHCHR). Zugriffspunkt für die Hacker war die allseits bekannte Microsoft-Schwachstelle in der Webanwendung SharePoint. Für diese gibt es zwar schon seit März 2019 ein Patch – die IT-Leute bei der UN hatten ihn wohl nicht eingespielt.

Der Vorfall wurde von den Vereinten Nationen geheim gehalten und nur wenig IT-Mitarbeiter waren eingeweiht worden. Ein interner Bericht war seinerzeit erstellt worden, den Journalisten der online Nachrichtenagentur The New Humanitarian entdeckten und analysierten. Darin wird der Hackerangriff und welche Systeme kompromittiert wurden, genau beschrieben. Bekannt ist nun das Ausmaß: Personaldaten von Tausenden UN-Mitarbeitern und ebenso viele sensible Dokumente anderer Organisationen, die mit der UN zusammenarbeiten, waren betroffen. Die UN beschloss, alles zu vertuschen und keine der Betroffenen oder gar die Öffentlichkeit zu informieren.

Die UN-Mitarbeiter wurden aufgefordert, ihr Passwort zu ändern, aber nicht über den Hackerangriff. Niemand wusste, dass persönliche Daten kompromittiert worden sind.

In einer Erklärung sagte ein UN-Sprecher gegenüber The New Humanitarian es Ende Januar:

„Der Angriff führte zu einem Sicherheitsvorfall in den zentralen Komponenten unserer Infrastruktur. Da die genaue Art und das Ausmaß des Vorfalls nicht bestimmt werden konnten, beschloss [die UN], den Vorfall nicht öffentlich bekannt zu geben.“

Der IT-Sicherheitsvorfall in der UNO – aufgerollt

Am 30. August, etwa einen Monat nach dem eigentlichen Eindringen in die UN-Systeme wurde entdeckt, dass etwas passiert war. In dem Bericht hieß es, folgender interner Warnhinweis wurde an System-Administratoren verschickt:

„Wir arbeiten unter der Annahme, dass die gesamte Domain kompromittiert ist“.

Zusätzlich hieß es:

„Der Angreifer zeigt bisher keine Anzeichen von Aktivität, wir gehen davon aus, dass er seine Position eingenommen hat und sich ruhig verhält.“

Die Hacker konnten sich in Anwender-Verwaltungssysteme und an Firewalls vorbeihacken und sich dann auf mehr als 40 Server herumtreiben. Die meisten dieser Server befanden sich im europäischen UN-Hauptsitz in Genf. In dem Bericht wird von einem schweren Schlag gesprochen – und das hat durchaus tiefere Bedeutung, denn die UN ist naturgemäß ein beliebtes Angriffsziel für Hacker. 2016 verschafften sich chinesische Hacker der Gruppe Emissary Panda Zugang zu Mitarbeiterdaten der UN-Luftfahrtbehörde. Im Februar 2019 zielte eine Phishing-Kampagne auf UN-Mitarbeiter in Nord Korea. Im Oktober wurde der UN-Rentenfond gehackt und die Phishing-Attacken gehen bis dato weiter. Und kürzlich nahmen die Emotet Hacker das gesamte UN-Personal ins Visier. Die Liste lässt sich bestimmt noch verlängern.

Zielscheibe: UNO-Server in Wien

Im Juli 2019 waren die UN-Server in Wien der Einstiegspunkt gewesen. Von dort bewegten sich die Hacker dann mit Admin-Rechten innerhalb der Netzwerke der Organisation voran. Letztendlich gelangten sie auf die Server der Genfer Zentrale und von dort auf die des Büros für Menschenrechte.

In einer Erklärung hieß es, dass die Hacker

„auf einen in sich geschlossenen Teil unseres Systems zugegriffen haben. Dieser enthielt keine sensiblen Daten oder vertrauliche Informationen“.

Allerdings hätten die Hacker es geschafft, sich Zugriff auf die „Active User Directory“ zu verschaffen. Darin sind die Benutzer-IDs der UN-Mitarbeiter und deren Geräte gespeichert. Laut der UN waren die Passwörter oder andere Teile des internen Systems aber nie in Gefahr.

Über die Art der eingesetzten Malware und die verwendeten Command-and-Control-Server (C2) weiß man nichts. Auch die Identität der Hacker und der tatsächliche Umfang der abgegriffenen Daten ist nicht bekannt.

Die Nachwirkungen des Hackerangriffs

Der Aufruhr zu den Sicherheitsstandards der Vereinten Nationen ist groß – ganz zurecht. Der Organisation wird vorgeworfen, zu wenig zum Schutz sensibler Daten unternommen zu haben. Die UN habe zwar über 1,7 Milliarden US-Dollar für bessere Sicherheit ausgegeben. Laut den internen Revisionen hat sich dadurch allerdings nichts zum Besseren gewendet. Eine Prüfung durch IT-Spezialisten stellte 2012 bereits ein „inakzeptables Risikoniveau“ fest. Immerhin nahmen die Vereinten Nationen daraufhin eine IT-Umstrukturierung vor. Auch die Revision 2018 offenbarte haarsträubende Schwachstellen an allen Ecken und Enden. Die Umsetzung von Sicherheitsprojekten wurde lange verzögert. Interne Abteilungen ignorierten vorhandene Vorschriften. Eine große Zahl der internen Bereiche hatten gar nicht reagiert auf Sicherheitsmaßnahmen. Außerdem hätte man nur eine von fast 1.500 UN-Webseiten einer Sicherheitsbewertung unterzogen. Letztendlich kam heraus, dass nur etwa die Hälfte der UN-Mitarbeiter den Pflichtkurs in grundlegender IT-Sicherheit absolviert hatten.

Es heißt, ein Unternehmen für Digitalforensik sowie Microsoft wären dabei, der UN in Sachen Aufarbeitung des Angriffs zu helfen. Bereits im Dezember 2019 genehmigte man einen umfassenden Aktionsplan zur Cybersicherheit mit zusätzlichen technischen und verfahrenstechnischen Kontrollen. Außerdem gäbe es nun einen umfassenden Plan zur Schadensbegrenzung und Wiederherstellung. Dazu gehören auch der Wiederaufbau wichtiger Infrastruktur-Elemente und der Austausch von Zugangsschlüsseln und Berechtigungsnachweisen.

Artikel von theregister.co.uk, 29.01.2020: UN didn’t patch SharePoint, got mega-hacked, covered it up, kept most staff in the dark, finally forced to admit it
Artikel von threatpost.com, 30.01.2020: U.N. Hack Stemmed From Microsoft SharePoint Flaw
Artikel von technadu.com, 30.01.2020: The United Nations was Hacked and Tried to Keep it a Secret
Artikel von thenewhumanitarian.org, 29.01.2020: EXCLUSIVE: The cyber attack the UN tried to keep under wraps

Beitragsbild: Public Domain, Creative Commons CC0, geralt über pixabay