Blog-Eintrag der Hacker*innen vom 15. November

Phase 4: Übernahme der SOPTIM AG

Die Soptim AG hatte gut reden: Klar sind gefälschte E-Mails eine alte, aber vor allem auch eine gut bewährte Methode, um ein System zu hacken. Und damit sind wir auch in das Netz der Soptim AG eingedrungen. Dadurch, dass unser Opfer die von uns gefälschte E-Mail angesehen, die schadhafte PDF-Datei heruntergeladen und geöffnet hat, wurden uns alle Türen geöffnet. Jetzt befinden wir uns im internen Netz. Unser Ziel: Die Haustechnik!

Nach einigem Suchen sind uns diese zwei Dateien aufgefallen:

Nach kurzer Recherche haben wir herausgefunden, dass diese Dateien von einem Siemens System genutzt werden. Soptim benutzt also eine Logo (das ist eine Steueranlage) von Siemens für ihre Haussteuerung. Gut zu wissen!

Nach weiterer interner Recherche haben wir zudem noch herausgefunden, dass einmal im Jahr diese Dateien verändert und neu aufgespielt werden. Grund genug für uns, der Soptim etwas Arbeit abzunehmen und diese Veränderung selbst vorzunehmen...

Doch da es ja auffallen würde, wenn die Programme plötzlich ganz anders aussehen, haben wir ein weiteres Programm auf den Rechner geladen, dessen einzige Aufgabe darin besteht, zu warten bis sich diese zwei Dateien verändern, um anschließend diese durch unsere zu ersetzen.

Ein teuflisch guter Plan! Nachdem wir erstmal die Haussteuerung übernommen haben, wird uns die Soptim AG zu Füßen liegen. Seien wir mal ehrlich: Wer wehrt sich denn noch gegen einen Hackerangriff, wenn erstmal die Kaffeemaschine ausgefallen ist?

Blog-Eintrag der Hacker*innen vom 9. November

Phase 3: Angriff auf SOPTIM

Nun ist es soweit. Wir haben genug Informationen gesammelt, um den Angriff gegen die SOPTIM AG zu starten. Mit diesen Informationen konnten wir eine Phishing Mail erzeugen, die den Schadcode auf den Rechner der Zielperson bringen soll.

Mit der E-Mail laden wir die Zielperson zu einer Alumnifeier ihrer ehemaligen Hochschule ein. Auf der Webseite der entsprechenden Hochschule haben wir ein Dokument gefunden, welches genau das Material beinhaltet, das wir brauchten. Für unseren Sachverhalt haben wir es entsprechend kopiert und angepasst:

Um die E-Mail möglichst echt wirken zu lassen, haben wir die Hochschule angeschrieben. So konnten wir an das E-Mail-Template der Leiterin des Alumni-Programms kommen und es imitieren.

Folgende Mail haben wir deshalb an die Hochschule versandt:

Als Antwort kam Folgendes:

... womit wir das Mail-Schema der Hochschule hatten und dies zu unseren Gunsten kopieren konnten:

Nun müssen wir warten bis unsere Zielperson durch diese Mail unseren Schadcode ausführt und wir dadurch Zugriff auf dessen Rechner bekommen. Der Schadcode wird entweder durch die PDF ausgeführt oder von der Website runtergeladen, auf die wir verlinkt haben.

Um das Aussehen der komplett fertigen Mail den Lesern nicht vorzuenthalten, hier die Mail, die unsere Zielperson von uns bekomen hat:

Blog-Eintrag der SOPTIM AG vom 2. November 2017

Angriff per Mail – wie schützen wir uns dagegen?

Unsere Gegner setzen also auf E-Mails und wollen ihren Zielpersonen gefälschte Informationen unterjubeln – eine alte und bewährte Methode, mit der schon Kriege (mit-)entschieden wurden. Nachrichten abfangen, verändern oder verschwinden lassen – das war schon im Altertum üblich. Die verlässliche Einschätzung, ob eine Nachricht echt oder gefälscht ist, ist ebenso fundamental wie schwierig. Vielfach spielt dabei „Verschlüsselungstechnik“ eine zentrale Rolle, und die Kryptographen des 5. vorchristlichen Jahrhunderts, die Griechenland vor der Eroberung durch die Perser bewahrten, waren genau so begehrt wie die britischen Wissenschaftler, die 1944 die deutsche ENIGMA knackten und so die alliierte Invasion in Frankreich ermöglichten. Aber vielleicht bedienen sich unsere Gegner auch viel einfacherer Methoden und agieren unverschlüsselt – mit erfundenen Falschnachrichten und gefaketen E-Mails? Original oder Fälschung – eine Frage die häufig nicht einfach zu beantworten ist, wie die beiden unten stehenden Fotos zeigen.

Es ist notwendig, dass wir uns Mails – aus dem geschäftlichen wie auch privaten Umfeld – genauer ansehen. Woran wäre eine Fälschung wohl zu erkennen? Absenderadressen könnten beispielsweise falsch sein, auch wenn sie bekannt und korrekt aussehen. Oder benutzt der Absender normalerweise eine digitale Signatur, die bei der neuen Nachricht fehlt? Eine solche Signatur stellt durch einen Hashcode sicher, dass die Nachricht nicht nachträglich verändert wurde, und über ein Zertifikat ist die Identität des Absenders nachprüfbar. Und was ist mit eingebetteten Links? Diese müssen wir uns ebenso genau ansehen wie angehängte Dateien – könnte alles anders sein als es aussieht. Vielleicht haben unsere Gegner aber auch die seit Kurzem bekannten Lücken in der WPA2-Verschlüsselung von privaten WLAN-Routern genutzt und haben echte Nachrichten erzeugt? Wie lange werden wir noch „clean“ bleiben, oder waren die Angreifer schon erfolgreich? – In den nächsten zwei Wochen geht es um „die Wurst“!

Blog-Eintrag der Hacker*innen vom 26. Oktober 2017

Phase 2: Information Gathering

"Zuerst haben wir eingehende Nachforschungen zu unseren Zielpersonen unternommen. Diese Informationen haben wir ausgewertet und konnten uns so für eine bestimmte Person aus dem Unternehmen entscheiden, der wir gezielt eine so genannte Phishing E-Mail schicken werden.

Zur Erklärung: Eine Phishing Mail ist eine gefälschte Mail, die das Opfer dazu bringen soll, eine Datei zu öffnen, welche dann Schadcode auf dem Rechner ausführt. Die Datei kann über den Anhang mitgesendet oder über einen Link in der Mail platziert werden. Klickt das Opfer auf den Link, lädt es die Datei mit dem Schadcode selbst herunter.

Teil der Social Engineering Phase ist es, möglichst viele persönliche Informationen über die Zielperson zu sammeln. Mit diesen Informationen können wir eine so gut zugeschnittene E-Mail erstellen, dass die Zielperson mit sehr großer Wahrscheinlichkeit darauf reagiert. Wichtig ist es, die E-Mail so vertrauenswürdig und authentisch wie möglich zu gestalten.

In unserem Fall verwenden wir Informationen über das Studium der Zielperson. Wir wissen wo und wann die Zielperson ihr Studium absolviert hat. Nun werden wir das E-Mail Design dieser Hochschule kopieren und die Informationen nutzen, um eine personalisierte Phishing Mail zu versenden.

Die Mail lädt zu einem Alumnitreffen ein. Im Anhang befindet sich eine PDF-Datei mit den Veranstaltungsdetails. Zudem wird auf eine Webseite zur Anmeldung verwiesen. Im besten Fall wird das Opfer die PDF-Datei öffnen, die Schadcode enthalten könnte und auf den Link gehen, um sich für das scheinbare Event anzumelden und weitere persönliche Daten preiszugeben..."

Blog-Eintrag der Hacker*innen vom 12. Oktober 2017

Phase 1: Information Gathering

Phase 1 läuft. Wir kennen die Zielpersonen, und unser Ziel ist es jetzt, möglichst viele Informationen über sie und das Unternehmen zu bekommen.

In der letzten Woche haben wir die privaten Adressen und Telefonnummern der Zielpersonen herausgefunden. Außerdem haben wir Informationen über ihre Hobbys, Trainingszeiten und ihre Familien gesammelt. Wir wissen auch, an welchen Aktionen die Zielpersonen teilnehmen. Das erlaubt uns, auf bestimmte Verhaltensweisen zu schließen. Die Informationen benutzen wir, um mögliche Angriffspunkte zu analysieren und Angriffsstrategien zu entwickeln. Wir erstellen Schad-Mails, die auf die Zielpersonen zugeschnitten sind. Das erhöht die Wahrscheinlichkeit, dass sie die Mails öffnen und wir somit die Möglichkeit bekommen, auf das System zuzugreifen und es zu manipulieren...

Blog-Eintrag der SOPTIM AG vom 5. Oktober 2017

„… Wie verbreitet man die Nachricht, dass ein Computersystem ein Loch hat? Manche sagen gar nicht, weil sie fürchten, wenn man den Leuten sagt, wie man Sprengstoff herstellt, basteln sie Bomben. …“ Clifford Stoll, 1989 im Nachwort zu seinem Buch „Kuckucksei“.

Im Buch "Kuckucksei beschreibt Stoll, wie Hacker in das Datennetz des Pentagon eingedrungen sind und wie er anhand eines Abrechnungsfehlers von 75 Cent für in Anspruch genommene, aber nicht bezahlte Rechenzeit auf deren Spur stieß. Inzwischen sind 28 Jahre vergangen, und wir haben uns daran gewöhnt, dass regelmäßig Sicherheitsupdates für Betriebssysteme und Anwendungs¬programme veröffentlicht werden, um neue Löcher zu schließen. Das macht deutlich, dass das Thema Datensicherheit nach wie vor aktuell ist und die Einbrecher ihren Verfolgern regelmäßig um eine Nasenlänge voraus sind.

Nun ist die SOPTIM AG als Angriffsziel nicht mit dem Pentagon zu vergleichen, und wir stehen auch keiner weltweit organisierten Community gegenüber. Darüber hinaus geht es im Rahmen von Blackout@fh_aachen nicht darum, Informationen zu stehlen oder andere kriminelle Aktionen durchzuführen, sondern um die Möglichkeit, gezielt Haustechnik zu manipulieren und zu zeigen, dass dies mit relativ einfachen Mitteln machbar sein könnte.

Wie bedenklich ist das eigentlich, wenn allerorten Smart-Home-Lösungen propagiert und in Betrieb genommen werden? Welche Mechanismen entwickeln wir, um möglichst schnell festzustellen, dass die Technik manipuliert wird? – Zugegeben: Jeder Einzelne stellt vermutlich kein lohnendes Ziel für einen Angreifer dar, aber wenn gleichzeitig eine große Zahl von Einzelsystemen betroffen sein sollte…

„Awareness“ heißt das Stichwort, unter dem dieser Blog steht – Wir wollen herausfinden ob wir bereit sind, dem Risiko von Eindringlingen in unser Netzwerk mit geeigneten Gegenmaßnahmen zu begegnen, wenn wir schon nicht in der Lage sein sollten, den Angriff von vornherein zu verhindern.

Wir werden in den nächsten Tagen und Wochen über das, was geschieht, berichten und sind gespannt, welche Wege das studentische Team wählen wird, um am Ende unsere Haustechnik zu steuern und welche Erkenntnisse wir gemeinsam aus diesem Projekt gewinnen werden.

Hintergrundinfos Vol I: Die Vorgeschichte

Gewonnen!!! Hallte es im Februar 2017 durch die Hallen der FH Aachen. Die Hochschule hatte sich erfolgreich für die Aktion "Eine Uni - ein Buch" von der Klaus Tschira Stiftung und der Wochenzeitung DIE ZEIT beworben. Mit "Eine Uni – ein Buch" haben die Initiatoren deutsche Hochschulen dazu aufgerufen, sich für ein Buch zu entscheiden, das ein Semester lang Grundlage für Aktionen und Events ist. Das Ziel: möglichst viele Mitglieder der Hochschule über alle Hierarchiegrenzen hinweg ins Gespräch bringen und sie für ein gemeinsames Thema begeistern.

Das Bewerbungsvideo der FH Aachen:

Die FH Aachen hatte sich für „Blackout – Morgen ist es zu spät“ von Marc Elsberg entschieden und lud Hochschul-Angehörige, Unternehmen, Journalisten und alle Aachener ein:

"Lesen Sie diesen spannenden Techno-Thriller, und verfolgen Sie die katastrophalen Auswirkungen eines großflächigen, von Hackern verursachten Stromausfalls in Europa. Kommen Sie zu unseren Veranstaltungen, und tauchen Sie ein in Themen wie Energie und IT-Sicherheit. Highlight der Veranstaltungsreihe wird übrigens ein Hackerangriff auf die Stromversorgung eines Unternehmens in Aachen sein…"