Im November 2019 gelang es unbekannten Hackern, sich in einen Teil des zentralen Computernetzwerk des österreichischen Mobilfunkanbieters einzuhacken. Der Vorfall kam einen Monat später ans Licht, konnte aber erst am 22 Mai dieses Jahres bereinigt werden.

Fast sechs Monate lang hielten sich die Angreifer in dem Unternehmensnetzwerk auf. Laut dem Leiter der A1 IT-Abteilung, Wolfgang Schwabl, kann der ursprüngliche Infektionsherd nicht exakt rekonstruiert werden. Vermutet wird, dass die Angreifer zunächst über gestohlene Zugangsdaten ins System gelangten und von dort aus weitere Zugangsdaten abgriffen.

Das interne CERT-Team entdeckte dann in der zweiten Dezemberhälfte Malware, die sie näher untersuchten. Es stellte sich als eine Backdoor heraus, über die viele verschiedene Angriffe auf die A1-Systeme geleitet wurden. Das IT-Team musste vorsichtig vorgehen, um die Angreifer nicht zu alarmieren. Ziel war es, sie mit einem Schlag ganz auszusperren, damit sie ihre weitgreifenden Zugangsrechte nicht zum Gegenschlag einsetzen konnten. Das ist das Ziel eines guten Security Incident Handlings: Die Angreifer sollen keine Möglichkeit merhr bekommen, auf die Aussperrung zu reagieren.

Dafür waren präzise koordinierte Aktionen nötig, die nicht ganz einfach in der Umsetzung waren. Alle Komponenten der Malware mussten zunächst lokalisiert und zum Entfernen vorbereitet werden. Bis das gelang, musste das Team die Angreifer möglichst unauffällig von allen kritischen Datensystemen fernhalten. Am 22. Mai war es dann soweit. Es hieß, dass viele Experten auf diesen Tag hingearbeitet hatten.

Zunächst wurden alle vorhandenen Passwörter schlagartig gesperrt und zeitgleich die Webshell-Backdoors entfernt sowie neue „Golden Tickets“ für den zentralen Kerberos-Server des Active Directories vergeben. Die Aktion umfasste noch viele andere verschiedene Maßnahmen. Zuletzt wurden alle A1-Mitarbeiter aufgefordert, neue Passwörter zu vergeben. Betroffen waren über 15.000 PC-Arbeitsplätze, 12.000 Server und viele Tausend Apps. Wolfgang Schwabl war am Ende sehr zuversichtlich, dass die gemeinsame Aktion gelungen war und die Angreifer nachhaltig ausgesperrt werden konnten.

Aufarbeitung des Hackereinbruchs

Die forensischen Untersuchungen ergaben, dass der Angriff über einen bestimmten PC-Arbeitsplatz erfolgt war. Danach hangelten sich die Hacker auf einen ungenügend gesicherten Server weiter und erweiterten ihre Rechte auf die eines lokalen Administrators. Schlussendlich gelang es ihnen noch, die Domain-Admin-Rechte zu kapern. Damit hatten sie volle Kontrolle über das gesamte Windows Netzwerk. Allerdings, so hieß es aus internen Quellen, war es nicht einfach für die Angreifer, sich im A1-Netzwerk bei den Tausenden von Datenbanken zurechzufinden. Dennoch konnten sie ein paar Datenbanken kompromittieren und sogar Abfragen ausführen. Offensichtlich wollten sie das interne Netzwerk des Unternehmens näher kennenlernen.

Bei dem Angriff wurde keine Ransomware eingeschleust und auch keine Daten verschlüsselt. Das lasse vermuten, dass es sich bei den Angreifern um eine staatlich geförderte Hackergruppe handelte, hieß es. Wer genau das sein könnte, ist bisher nicht bekannt. Laut einem unbekannten Whistleblower, der in Kontakt stand mit einem österreichischen IT- Sicherheitsforscher, würde Gallium dahinterstecken. Microsoft hatte diese chinesischen Angreifer, die sich auf Telekommunikationsunternehmen spezialisierten, so benannt. Bei dem Angriff wurden keine speziellen Angriffswerkzeuge verwendet, sondern beispielsweise nur herkömmlich Varianten der Mimikatz-Malware.

A1-seitig hieß es, dass keine Kundendaten entwendet worden waren. Man habe das „durch umfangreiches Monitoring und Analyse der Tätigkeiten des Angreifers“ rückschließen können. Allerdings behauptet der Whistleblower, dass die Hacker „sehr spezifische Datenbank-Abfragen zu Ort, Telefonnummern und anderen Kundendaten für bestimmte private A1-Kunden“ durchgeführt und „riesige Mengen“ an Kundendaten „heruntergeladen“ hatten. Das Kapitel A1-Angriff ist vielleicht noch nicht ganz zu Ende.

Artikel von zdnet.com, 11.06.2020: Hackers breached A1 Telekom, Austria’s largest ISP
Artikel von heise.de, 08.06.2020: Massiver Angriff auf A1 Telekom Austria