Österreichischer Telekommunikationsanbieter A1 wehrt Cyberangriff ab

Das österreichische Telekommunikationsunternehmen A1 hat einen Hackerangriff eingeräumt. Wie der Österreichische Rundfunk ORF berichtet, verschafften sich die Cyberkriminellen bereits im November 2019 Zugriff auf ein Netzwerk des Unternehmens. Unter anderem aufgrund der COVID-19-Pandemie konnte der im Dezember 2019 entdeckte Einbruch erst am 22. Mai abgewehrt werden. A1 betont, das Kundendaten nicht kompromittiert wurden.

Kurz vor Weihnachten fand das hauseigene A1-CERT in der Office-Umgebung des Unternehmens eine Schadsoftware. Über diese Backdoor drangen die Hacker in die Office-Umgebung ein, die mehr als 15.000 PCs, 12.000 Server und einige Tausend Applikationen umfasst.

Die ersten Bemühungen galten der Analyse des Angriffs, um die eigentlichen Motive und Ziele zu erfahren, sowie die Aufrechterhaltung der Verfügbarkeit aller Systeme, über die unter anderem Finanztransaktionen mit Banken abgewickelt werden. „Sobald wir von dem Angriff erfahren haben, insbesondere, dass der Angreifer auch bemächtigt ist, Administrative Accounts zu haben, haben wir sofort begonnen, die kritische Infrastruktur abzuhängen, sodass sie auch mit einem Administrator-Account nicht erreicht werden konnte“, wird Wolfgang Schwabl, Cyber Security Officer bei A1 Telekom, in dem Bericht zitiert.

Zudem zog das Unternehmen externe IT-Experten hinzu, um den Angriff zu analysieren. Ein erster Verdacht auf einen möglichen Erpressungsversuch bestätigte sich nicht. Stattdessen stellte sich heraus, dass die Angreifer das Netzwerk erkundeten und sich mit der Struktur von Datenbanken beschäftigten. Das ihnen inzwischen rund 100 IT-Experten auf der Spur waren, merkten die Angreifer indes nicht.

Schließlich kam anhand der Vorgehensweise der Angreifer der Verdacht auf, es könne sich um Spionage handeln. Rückschlüsse auf den oder die Täter waren jedoch nicht möglich. Schließlich wurde für den 21. März eine konzertierte Aktion geplant, um den Angreifer vollständig und dauerhaft aus dem Netzwerk zu werfen.

Dies war unter anderem Notwendig, weil ein vorübergehendes Abschalten von Systemen und damit der Wegfall kritischer Dienste für Kunden und Nutzer, um beispielsweise alle Passwörter zu ändern, nicht möglich war. Allerdings musste der Termin wegen der inzwischen verhängten Corona-Beschränkungen, die unter anderem Home Office für alle Mitarbeiter vorsahen, verschoben werden.

Die Aktion fand schließlich am 22. Mai statt. „Im Prinzip brauchte es drei Schritte: Sie müssen sich von jedem Außenverhältnis abschotten, den Passwort-Store oder im Fachbereich die Domain komplett zurücksetzen, Sie müssen eigentlich das Kerberos-Ticket neu erzeugen und anschließend müssen sich alle Benutzerinnen und Benutzer neue Kennworte geben. Sprich, es wurden, ohne Ausnahme, alle Kennworte auf ‚ungültig‘ gesetzt, damit es keine Möglichkeit gibt sich zu verstecken. Das haben wir sowohl im Microsoft als auch im Unix-Umfeld gemacht“, erläuterte Schwabl.

Schwabl zufolge wird der Vorfall nun detailliert aufgearbeitet. „Wir haben bei diesem Cyberangriff sehr viel auf die harte Tour gelernt, aber nun kennen wir die Methoden, die Indicators of Compromise oder, wie man die Alarmsysteme entsprechend scharf stellt. Dieses Wissen wollen wir gerne mit anderen großen Betreibern von kritischen Infrastrukturen, auch sektorenübergreifend, teilen.“

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Chinesische Hacker schieben Microsoft schädliche Azure Active Directory Apps unter

Sie setzen insgesamt 18 Anwendungen bis April 2020 für Angriffe auf nicht genannte Ziele ein.…

2 Tagen ago

Schlafende Tabs: Microsoft reduziert Stromverbrauch seines Browsers Edge

Tests zufolge sinkt die Speicherauslastung um durchschnittlich 26 Prozent. Die CPU-Nutzung geht um 29 Prozent…

2 Tagen ago

Apple behebt Fehler in macOS 10.15 Catalina und iOS 14

Unter iOS und iPadOS lassen sich Standardanwendungen für Browser und E-Mail nun dauerhaft einrichten. Auch…

2 Tagen ago

IAM-Lösung von Beta Systems bei der Thüringer Aufbaubank

Die Beta Systems Software AG setzt in einem IAM-Projekt bei der Thüringer Aufbaubank Rollenkonzepte mit…

2 Tagen ago

AgeLocker-Ransomware stiehlt Daten von QNAP-NAS-Geräten

Die Erpressersoftware ist seit rund einem Monat aktiv. Sie nutzt den Verschlüsselungsalgorithmus Actually Good Encryption.…

3 Tagen ago

Microsoft warnt vor aktiven Angriffen auf Zerologon-Lücke

Hacker nehmen Exploits für die Schwachstelle in ihr Waffenarsenal auf. Für US-Behörden wird der verfügbare…

3 Tagen ago