Wie Hacker eine FPÖ- Seite kaperten
Mutmaßlich russische Hacker haben eine Website der FPÖ Vorarlberg gekapert und über diese Daten über die Besucher der Seite gesammelt. Diese Taktik kam schon bei mehreren Seiten zum Einsatz.
Wien – Viel braucht es derzeit nicht, um Teil einer internationalen Spionageaffäre zu werden. Dies zeigt sich am Beispiel der Vorarlberger FPÖ, deren Internetserver von mutmaßlich staatlichen Akteuren aus Russland gehackt und für ihre Cyberoperation genutzt wurde. Der Rechner, der den offiziellen Webauftritt der Freiheitlichen (www.vfreiheitliche.at) beherbergte, wurde laut der IT-Sicherheitsfirma Eset von der Hackergruppe Turla gekapert, die seit Jahren weltweit Regierungen, Botschaften, militärische Einrichtungen sowie Geheimdienste ausspioniert.
Nutzerdaten gesammelt
Ein Kennzeichen der Turla-Hacker ist die Kombination („Watering-Hole-Attacken“) verschiedener Angriffsmittel, um in Computer und Netzwerke einzudringen und dauerhaft Daten abzusaugen. Üblicherweise werden Webseiten gehackt, die von Mitarbeitern der ins Visier geratenen Unternehmen oder Organisationen häufig aufgesucht werden. Danach werden die Besucher auf einen Internetserver der Angreifer umgeleitet, über den die Geräte der Opfer Befehle empfangen und überwacht werden können. Welche Lücken die Angreifer dabei ausgenutzt haben, ist derzeit noch unklar. Die Homepage der Freiheitli- chen wurde genutzt, um Daten über ihre Besucher zu sammeln. Die FPÖ hat von dem Angriff nichts mitbekommen, wie Landesgeschäftsführer Christian Klien dem STANDARD sagte. Derzeit wird der Webauftritt nicht genutzt, die Adresse führt zum Facebook-Auftritt der Partei.
Auch die Homepage „Bewusst kaufen“des Landwirtschaftsministeriums wurde von Turla im November 2016 gehackt, wie eine Ministeriumssprecherin auf Anfrage bestätigte. Das Ziel der Angreifer war es damals, E-Mail-Adressen zu sammeln. Nachdem der Angriff bekannt wurde, brachte das Ministerium eine Sachverhaltsdarstellung bei der Staatsanwaltschaft Wien ein. Laut den Recherchen von Sicherheitsteams von Google und Eset wurden auch die Webseiten der russischen Botschaft in den USA, des usbekischen Außenministeriums, der Afrikanischen Union und weitere Seiten von den Turla-Hackern übernommen. Darunter auch jene der kleinen burgenländischen Gemeinde Mischendorf.
Bei ihren Attacken gehen die Hacker durchaus raffiniert vor. Die Gruppe sorgte in den vergangenen Tagen weltweit für Schlagzeilen, da sie eines ihrer Spionageprogramme über Nutzerkommentare auf Social-Media-Seiten steuern – etwa über das Instagram-Konto der US-Sängerin Britney Spears.
Schon seit Jahren vermuten ITSicherheitsfirmen, dass es sich bei Turla um staatlich unterstützte Hacker aus Russland handelt. Be- sonders ihre Angriffsziele sprechen für diese These.
Auch bei Angriffen auf US-Einrichtungen im Vorfeld des Präsidentschaftswahlkampfs spielte ein heimischer Internetserver eine Rolle. Er wurde gehackt und für Attacken missbraucht. Laut FBI wurde der Rechner als sogenannter C&C-Server (Command and Control) genutzt, mit dem man Angriffe anderer, auch gehackter Rechner steuert und Daten sammelt. Für die Attacken werden hauptsächlich die beiden mit russischen Geheimdiensten verwobenen Hackergruppen APT28 und APT29 verantwortlich gemacht. Diese Abkürzung steht für „Advanced Persistent Threat“(über-