Rouven Kasten erlebte hautnah wie seine digitale Identität gestohlen wurde. Gleich zwei Twitter-Konten hatte man ihm binnen kurzer Zeit abgenommen. Die Indizien deuteten auf die Hacker-Gruppe OurMine hin. Rouven schaltete die IT-Experten der Bank und die G DATA SecurityLabs ein. Es folgt: Detektivarbeit im digitalen Raum mit Lehren für Jedermann.
Rouven, Blogger und Leiter der digitalen Kommunikation in der öko-sozialen GLS Bank, betreibt seit vielen Jahren einen Blog rund um verschiedene Online-Projekte und Themen aus den Weiten des Webs. In ihm hat er kurz nach dem Hack ein Video präsentiert, in dem er die Situation aus seiner Sicht und chronologisch schildert. Der nachfolgende Bericht basiert auf diesem Video und weiterführenden Analysen seiner privaten E-Mails.
Es ist Dienstag, 29. November 2016. Rouven beendet eine Band-Probe der GLS Band, räumt sein Equipment ein und checkt wie gewohnt sein Handy. Unter den Nachrichten befindet sich eine E‑Mail eines Arbeitskollegen: Dieser wundert sich über komische Inhalte auf dem Twitter-Account der GLS-Bank. Rouven ist für den Account verantwortlich und natürlich irritiert. Über Facebook erhält Rouven außerdem eine private Nachricht eines anderen Freundes: „Dein Twitter Account ist gesperrt, aber das weißt Du ja sicher schon.“
Ich war natürlich ein bisschen neben der Spur“, erinnert sich Rouven, „und bin sofort noch einmal hoch ins Büro gelaufen und habe mir das Dilemma angeschaut. In diesem Moment geht Dir alles Mögliche durch den Kopf. Wer war das? OurMine? Wer? Warum? Was haben die angestellt? Wie bekomme ich das Konto wieder unter meine Kontrolle? Nein, die beiden Konten!
Ohne weiter groß über die Täter und ihre Motive nachzudenken, handelt Rouven schnell. Zunächst versucht er sich an dem geschäftlichen Zugang und beginnt damit, das Twitter-Passwort zu ändern. Hier scheint alles so weit zu funktionieren und er erlangt zunächst wieder Zugriff. Für sein privates Twitter-Konto klappt das leider nicht so einfach. Der Kampf darum wird, wie wir im Nachhinein wissen, dauern. Aber der Reihe nach.
Die Hacker-Gruppe wurde in den letzten Wochen häufiger in den Medien erwähnt: Sie haben es geschafft, einige als High-Profile bezeichnete Konten in verschiedenen Sozialen Medien zu kapern. Unter den bekanntesten Opfern finden sich Facebook-Gründer Mark Zuckerberg, Googles CEO Sundar Picahi, der Video-Stream-Service Netflix, das News-Portal CNN, die US-Football-Liga NFL, populäre Youtube-Channels und einige mehr.
Auch ein kürzlich registrierter Hack der Webseite BuzzFeed soll auf ihr Konto gehen: ein Reporter der Seite veröffentlichte einen Artikel, in dem er vermeintlich ein Mitglied der Gruppe identifizierte und über einen jungen Mann namens Ahmad Makki aus Saudi Arabien berichtete. Der Artikel erregte Aufsehen und Berichten zur Folge wurde das Newsportal kurze Zeit später gehackt, dabei Überschriften zu „Hacked by OurMine“ sowie Artikelinhalte verändert.
Unsere Analysen des Falls gegen Rouven brachten ähnliche Informationen zu Tage. Einerseits erhielt Rouven E-Mails mit dem Absendernamen Maki (nur ein k) und außerdem wiesen uns IP-Logs und benutzte Telefonnummern die Spur nach Saudi Arabien. Natürlich wissen wir, dass Attribution aufgrund von IP-Adressen allein nicht wirkungsvoll ist, aber wir betrachten es als Indiz. Die Detail-Infos folgen im Kapitel "Die sieben Schritte von OurMine zu Rouvens privatem Account".
OurMine selbst sagen, dass sie im Namen der Sicherheit handeln, bezeichnen sich auf ihrer Homepage als Sicherheits-Gruppe und offerieren Überprüfungen für Privatpersonen und auch Firmen. „Hey, it’s OurMine, Don’t worry we are just testing your security“, schrieben Sie bei vielen erfolgreichen Angriff in die Konten der Opfer: “Hey, hier ist OurMine, keine Sorge, wir testen nur Eure Sicherheit”.
Die in den Medien als 3-köpfiges Team bezeichnete Gruppe ist jedoch nur schwer in die IT-Security Community einzuordnen. Es gibt Blackhat Hacker (Angreifer mit bösartigen Absichten), Whitehat Hacker (Angreifer mit ethisch moralischen Absichten, die digitale Welt besser zu machen) und es gibt die Zwischenstufe, die Greyhats. OurMine passt irgendwie in keine dieser Schubladen, da sind sich die meisten Beobachter einig. Würde man ihr Handeln als lehrendes Hacking (educational hacking) bezeichnen? Vielleicht. Aber, würden sie dann Geld für die Herausgabe der Konto-Zugangsdaten verlangen dürfen, wie im Netz berichtet wird?
An dieser Stelle sei erwähnt, dass wir uns an den Untersuchungen in Bezug auf Rouvens privaten Twitter-Account beteiligten. Der Social Media-Account der Firma und die dazugehörigen E-Mails wurden vom Team der GLS-Bank betreut, dieser wurde auch durch den Twitter Support sehr schnell der GLS Bank wieder zugewiesen.
Durch Rouvens Video und auch nach persönlichen Gesprächen konnte von uns zunächst keine eindeutige Schwachstelle ausgemacht werden. Die Spekulationen über die Ursache der Twitter-Hacks reichten von Keyloggern über DNS-Changer bis hin zu geglückten Phishing-Attacken. Aufschluss gab erst die kleinteilige Analyse der insgesamt 50 E-Mails, die im Zusammenhang mit dieser Attacke versendet und empfangen wurden.
Der Knackpunkt des Angriffs: Die Angreifer schaffen es, sich Zugang zum Webmail-Account von Rouvens Domain-Anbieter zu verschaffen. Glücklicherweise ist es nur der Mail-Account und nicht der gesamte Admin-Account der Domain. Der Zugriff bedeutet aber, dass die Angreifer in Rouvens Namen E-Mails versenden und außerdem alle seine empfangenen Mails auch mitlesen können.
29.11.2016, 18:10 Uhr: Die Angreifer lösen Support-Tickets bei Twitter aus und ändern die ursprüngliche E‑Mail Adresse des Accounts @OurMine1Sec (ou***@gm***.com) zu Rouvens E-Mail Account, rouven@***.de. Da sie Zugriff auf das von ihnen gemeldete E-Mail Postfach haben, können sie nun alles steuern. Ihre gesamte Konversation mit Twitter erfolgt auf Englisch.
29.11.2016, 18:18 Uhr: Es werden weitere Support-Tickets ausgelöst. Dieses Mal soll das Passwort von Rouvens Account geändert werden, die Angreifer haben darauf zu diesem Zeitpunkt noch keinen Zugriff. Aber sie haben die Möglichkeit, die Passwort-Recovery Mails mitzulesen und aus dem Mail-Account heraus auch Antworten an den Twitter-Account zu senden, wie die Mail-Header verraten. Dazu geben sie zunächst die neue E-Mail Adresse und auch eine Telefonnummer an, die sie ebenfalls kontrollieren. Die Landeskennung der von OurMine angegeben Nummer lautet +966 und steht damit für Saudi Arabien. Das gleiche wurde übrigens auch so beim GLS Bank Account durchgeführt, es könnte also ein Schwachstelle im Support System von Twitter sein.
Nachdem Sie Zugang zum Twitter-Account erlangten, änderten Sie die angezeigten Daten:
„Da war die Biographie gelöscht, da war nur noch ein Punkt. Und dort, wo mein Name stand, also mein richtiger Name, Rouven Kasten, da stand auch nur noch ein Punkt“, erinnert sich Rouven kurz nach der Attacke.
Es beginnt ein Katz- und Maus-Spiel zwischen Rouven und den Angreifern, um die Zugriffsrechte zum Webmailer und auch zum Twitter-Konto.
30.11.2016: Da er zu diesem Zeitpunkt noch nicht weiß, dass sein gesamter Webmail-Account betroffen ist, legt Rouven einen neues Postfach in seinem Account an (twitter-gestalterhuette@***.de) und lenkt alle Twitter-bezogenen Mails darauf. Kurz darauf erhält das neue Postfach eine interessante Mail:
"Eine ähnliche Mail hatte ich im Firmen-Mail-Account bekommen. Ihn ihr war der Absender als Maki angegeben." - stellt Rouven fest.
OurMine testete offensichtlich, ob sie auch zu diesem neuen Konto noch uneingeschränkten Zugriff haben. Rouven schaltet jetzt umgehend die Zwei-Faktor-Authentifizierung für den Twitter-Account ein, setzt ein neues Passwort und schottet den Social Media Account damit für die Angreifer ab.
OurMine bleibt hartnäckig und sendet mehrfach E-Mails mit erfundenen Gründen, die Rouven verleiten sollen, ihnen den Bestätigungscode für die aktiviere Zwei-Faktor-Authentifizierung zu senden. Fast drei Stunden lang bombadieren sie ihn regelrecht mit immer neuen Aufforderungen, die aussehen als würden sie von support@twitter.com stammen. In Wahrheit wurden sie jedoch von anonyme@orbit.eternalimpact.info gesendet, einem Konto, eingerichtet bei einem Service für anonymes Mailen. Die Angreifer lassen nicht ab und versuchen erneut, durch das Auslösen von Support Tickets und dem Zugriff auf den Webmailer an den Twitter-Account zu kommen.
Bis Anfang Dezember hatten die Angreifer noch immer Zugriff auf Rouvens Webmailer, wie ein Ausschnitt aus den Logs belegt, die uns der Hoster zur Verfügung gestellt hat:
| Date | Body | IP | System |
| 02-Dec-2016 10:24:50 +0100 | Successful login for wpxxx-twitter@xxx.xx (id 0) | 159.xxx.xxx.242 | xxx-.webmailer |
| 02-Dec-2016 10:29:39 +0100 | Successful logout for wpxxx-twitter@xxx.xx (id 0) | 159.xxx.xxx.242 | xxx-.webmailer |
| 02-Dec-2016 11:27:56 +0100 | Successful login for wpxxx-twitter@xxx.xx (id 0) | 159.xxx.xxx.242 | xxx-.webmailer |
| 02-Dec-2016 11:49:19 +0100 | Successful logout for wpxxx-twitter@xxx.xx (id 0) | 159.xxx.xxx.242 | xxx-.webmailer |
Zum Zeitpunkt der Analyse gehörte die oben anonymsierte IP in die Range der Saudi Arabischen Telekom (STC), genauer gesagt in das Mobilfunknetz: IP for STC mobile users. Dort hat sich Rouven zum fraglichen Zeitpunkt definitiv nicht aufgehalten. Erst nach einem Passwort-Reset im Webmailer-Account waren die Angreifer endgültig ausgesperrt.
Die Detektivarbeit hat keine Erkenntnisse dazu gebracht, wie die Angreifer initial in den Mail-Account von Rouven Kasten gelangt sind. Trotzdem lassen sich aus diesem Fall Lehren ableiten, die Internetnutzer zum Schutz ihrer Konten beherzigen sollten:
