OurMine auf Beutezug nach Twitter-Accounts

29.03.2017
G DATA Blog

Rouven Kasten erlebte hautnah wie seine digitale Identität gestohlen wurde. Gleich zwei Twitter-Konten hatte man ihm binnen kurzer Zeit abgenommen. Die Indizien deuteten auf die Hacker-Gruppe OurMine hin. Rouven schaltete die IT-Experten der Bank und die G DATA SecurityLabs ein. Es folgt: Detektivarbeit im digitalen Raum mit Lehren für Jedermann.

Rouven, Blogger und Leiter der digitalen Kommunikation in der öko-sozialen GLS Bank, betreibt seit vielen Jahren einen Blog rund um verschiedene Online-Projekte und Themen aus den Weiten des Webs. In ihm hat er kurz nach dem Hack ein Video präsentiert, in dem er die Situation aus seiner Sicht und chronologisch schildert. Der nachfolgende Bericht basiert auf diesem Video und weiterführenden Analysen seiner privaten E-Mails.

Was war passiert?

Es ist Dienstag, 29. November 2016. Rouven beendet eine Band-Probe der GLS Band, räumt sein Equipment ein und checkt wie gewohnt sein Handy. Unter den Nachrichten befindet sich eine E‑Mail eines Arbeitskollegen: Dieser wundert sich über komische Inhalte auf dem Twitter-Account der GLS-Bank. Rouven ist für den Account verantwortlich und natürlich irritiert. Über Facebook erhält Rouven außerdem eine private Nachricht eines anderen Freundes: „Dein Twitter Account ist gesperrt, aber das weißt Du ja sicher schon.“

Ich war natürlich ein bisschen neben der Spur“, erinnert sich Rouven, „und bin sofort noch einmal hoch ins Büro gelaufen und habe mir das Dilemma angeschaut. In diesem Moment geht Dir alles Mögliche durch den Kopf. Wer war das? OurMine? Wer? Warum? Was haben die angestellt? Wie bekomme ich das Konto wieder unter meine Kontrolle? Nein, die beiden Konten!

Rouven Kasten

Ohne weiter groß über die Täter und ihre Motive nachzudenken, handelt Rouven schnell. Zunächst versucht er sich an dem geschäftlichen Zugang und beginnt damit, das Twitter-Passwort zu ändern. Hier scheint alles so weit zu funktionieren und er erlangt zunächst wieder Zugriff. Für sein privates Twitter-Konto klappt das leider nicht so einfach. Der Kampf darum wird, wie wir im Nachhinein wissen, dauern. Aber der Reihe nach.

Wer ist eigentlich OurMine?

Die Hacker-Gruppe wurde in den letzten Wochen häufiger in den Medien erwähnt: Sie haben es geschafft, einige als High-Profile bezeichnete Konten in verschiedenen Sozialen Medien zu kapern. Unter den bekanntesten Opfern finden sich Facebook-Gründer Mark Zuckerberg, Googles CEO Sundar Picahi, der Video-Stream-Service Netflix, das News-Portal CNN, die US-Football-Liga NFL, populäre Youtube-Channels und einige mehr.

Auch ein kürzlich registrierter Hack der Webseite BuzzFeed soll auf ihr Konto gehen: ein Reporter der Seite veröffentlichte einen Artikel, in dem er vermeintlich ein Mitglied der Gruppe identifizierte und über einen jungen Mann namens Ahmad Makki aus Saudi Arabien berichtete. Der Artikel erregte Aufsehen und Berichten zur Folge wurde das Newsportal kurze Zeit später gehackt, dabei Überschriften zu „Hacked by OurMine“ sowie Artikelinhalte verändert.

Unsere Analysen des Falls gegen Rouven brachten ähnliche Informationen zu Tage. Einerseits erhielt Rouven E-Mails mit dem Absendernamen Maki (nur ein k) und außerdem wiesen uns IP-Logs und benutzte Telefonnummern die Spur nach Saudi Arabien. Natürlich wissen wir, dass Attribution aufgrund von IP-Adressen allein nicht wirkungsvoll ist, aber wir betrachten es als Indiz. Die Detail-Infos folgen im Kapitel "Die sieben Schritte von OurMine zu Rouvens privatem Account".

OurMine selbst sagen, dass sie im Namen der Sicherheit handeln, bezeichnen sich auf ihrer Homepage als Sicherheits-Gruppe und offerieren Überprüfungen für Privatpersonen und auch Firmen. „Hey, it’s OurMine, Don’t worry we are just testing your security“, schrieben Sie bei vielen erfolgreichen Angriff in die Konten der Opfer: “Hey, hier ist OurMine, keine Sorge, wir testen nur Eure Sicherheit”.

Die in den Medien als 3-köpfiges Team bezeichnete Gruppe ist jedoch nur schwer in die IT-Security Community einzuordnen. Es gibt Blackhat Hacker (Angreifer mit bösartigen Absichten), Whitehat Hacker (Angreifer mit ethisch moralischen Absichten, die digitale Welt besser zu machen) und es gibt die Zwischenstufe, die Greyhats. OurMine passt irgendwie in keine dieser Schubladen, da sind sich die meisten Beobachter einig. Würde man ihr Handeln als lehrendes Hacking (educational hacking) bezeichnen? Vielleicht. Aber, würden sie dann Geld für die Herausgabe der Konto-Zugangsdaten verlangen dürfen, wie im Netz berichtet wird?

Die sieben Schritte von OurMine zu Rouvens privatem Account

An dieser Stelle sei erwähnt, dass wir uns an den Untersuchungen in Bezug auf Rouvens privaten Twitter-Account beteiligten. Der Social Media-Account der Firma und die dazugehörigen E-Mails wurden vom Team der GLS-Bank betreut, dieser wurde auch durch den Twitter Support sehr schnell der GLS Bank wieder zugewiesen.


Durch Rouvens Video und auch nach persönlichen Gesprächen konnte von uns zunächst keine eindeutige Schwachstelle ausgemacht werden. Die Spekulationen über die Ursache der Twitter-Hacks reichten von Keyloggern über DNS-Changer bis hin zu geglückten Phishing-Attacken. Aufschluss gab erst die kleinteilige Analyse der insgesamt 50 E-Mails, die im Zusammenhang mit dieser Attacke versendet und empfangen wurden.

Schritt 1: OurMine verschafft sich Zugang zu Rouvens E-Mail Account

Der Knackpunkt des Angriffs: Die Angreifer schaffen es, sich Zugang zum Webmail-Account von Rouvens Domain-Anbieter zu verschaffen. Glücklicherweise ist es nur der Mail-Account und nicht der gesamte Admin-Account der Domain. Der Zugriff bedeutet aber, dass die Angreifer in Rouvens Namen E-Mails versenden und außerdem alle seine empfangenen Mails auch mitlesen können.

Schritt 2: Der Twitter-Account @OurMine1Sec soll Rouvens Adresse haben

29.11.2016, 18:10 Uhr: Die Angreifer lösen Support-Tickets bei Twitter aus und ändern die ursprüngliche E‑Mail Adresse des Accounts @OurMine1Sec (ou***@gm***.com) zu Rouvens E-Mail Account, rouven@***.de. Da sie Zugriff auf das von ihnen gemeldete E-Mail Postfach haben, können sie nun alles steuern. Ihre gesamte Konversation mit Twitter erfolgt auf Englisch.

Schritt 3: Das Passwort von Rouvens Account wird von OurMine geändert

29.11.2016, 18:18 Uhr: Es werden weitere Support-Tickets ausgelöst. Dieses Mal soll das Passwort von Rouvens Account geändert werden, die Angreifer haben darauf zu diesem Zeitpunkt noch keinen Zugriff. Aber sie haben die Möglichkeit, die Passwort-Recovery Mails mitzulesen und aus dem Mail-Account heraus auch Antworten an den Twitter-Account zu senden, wie die Mail-Header verraten. Dazu geben sie zunächst die neue E-Mail Adresse und auch eine Telefonnummer an, die sie ebenfalls kontrollieren. Die Landeskennung der von OurMine angegeben Nummer lautet +966 und steht damit für Saudi Arabien. Das gleiche wurde übrigens auch so beim GLS Bank Account durchgeführt, es könnte also ein Schwachstelle im Support System von Twitter sein.

Schritt 4: OurMine ändern die Angaben im Twitter-Account

Nachdem Sie Zugang zum Twitter-Account erlangten, änderten Sie die angezeigten Daten:

„Da war die Biographie gelöscht, da war nur noch ein Punkt. Und dort, wo mein Name stand, also mein richtiger Name, Rouven Kasten, da stand auch nur noch ein Punkt“, erinnert sich Rouven kurz nach der Attacke.

Es beginnt ein Katz- und Maus-Spiel zwischen Rouven und den Angreifern, um die Zugriffsrechte zum Webmailer und auch zum Twitter-Konto.

Schritt 5: Rouven legt ein neues Postfach an, im gleichen Domänen-Account

30.11.2016: Da er zu diesem Zeitpunkt noch nicht weiß, dass sein gesamter Webmail-Account betroffen ist, legt Rouven einen neues Postfach in seinem Account an (twitter-gestalterhuette@***.de) und lenkt alle Twitter-bezogenen Mails darauf. Kurz darauf erhält das neue Postfach eine interessante Mail:

"Eine ähnliche Mail hatte ich im Firmen-Mail-Account bekommen. Ihn ihr war der Absender als Maki angegeben." - stellt Rouven fest.

OurMine testete offensichtlich, ob sie auch zu diesem neuen Konto noch uneingeschränkten Zugriff haben. Rouven schaltet jetzt umgehend die Zwei-Faktor-Authentifizierung für den Twitter-Account ein, setzt ein neues Passwort und schottet den Social Media Account damit für die Angreifer ab.

Schritt 6: Die Angreifer fordern vehement die Herausgabe des Bestätigungscodes

OurMine bleibt hartnäckig und sendet mehrfach E-Mails mit erfundenen Gründen, die Rouven verleiten sollen, ihnen den Bestätigungscode für die aktiviere Zwei-Faktor-Authentifizierung zu senden. Fast drei Stunden lang bombadieren sie ihn regelrecht mit immer neuen Aufforderungen, die aussehen als würden sie von support@twitter.com stammen. In Wahrheit wurden sie jedoch von anonyme@orbit.eternalimpact.info gesendet, einem Konto, eingerichtet bei einem Service für anonymes Mailen. Die Angreifer lassen nicht ab und versuchen erneut, durch das Auslösen von Support Tickets und dem Zugriff auf den Webmailer an den Twitter-Account zu kommen.

 

Schritt 7: Rouven lenkt seinen Mail-Verkehr zum Twitter-Account auf ein völlig neues Konto

Bis Anfang Dezember hatten die Angreifer noch immer Zugriff auf Rouvens Webmailer, wie ein Ausschnitt aus den Logs belegt, die uns der Hoster zur Verfügung gestellt hat:

Date Body IP System
02-Dec-2016 10:24:50 +0100 Successful login for wpxxx-twitter@xxx.xx (id 0) 159.xxx.xxx.242 xxx-.webmailer
02-Dec-2016 10:29:39 +0100 Successful logout for wpxxx-twitter@xxx.xx (id 0) 159.xxx.xxx.242 xxx-.webmailer
02-Dec-2016 11:27:56 +0100 Successful login for wpxxx-twitter@xxx.xx (id 0) 159.xxx.xxx.242 xxx-.webmailer
02-Dec-2016 11:49:19 +0100 Successful logout for wpxxx-twitter@xxx.xx (id 0) 159.xxx.xxx.242 xxx-.webmailer

Zum Zeitpunkt der Analyse gehörte die oben anonymsierte IP in die Range der Saudi Arabischen Telekom (STC), genauer gesagt in das Mobilfunknetz: IP for STC mobile users. Dort hat sich Rouven zum fraglichen Zeitpunkt definitiv nicht aufgehalten. Erst nach einem Passwort-Reset im Webmailer-Account waren die Angreifer endgültig ausgesperrt.

Wie können solche Angriffe verhindert werden?

Die Detektivarbeit hat keine Erkenntnisse dazu gebracht, wie die Angreifer initial in den Mail-Account von Rouven Kasten gelangt sind. Trotzdem lassen sich aus diesem Fall Lehren ableiten, die Internetnutzer zum Schutz ihrer Konten beherzigen sollten: 

  • Benutzen Sie starke und einzigartige Passwörter für jeden Account
    Sollte ein solches Passwort geknackt oder gestohlen werden, ist der Schaden in aller Regel minimiert, wenn eine Mehrfachnutzung ausgeschlossen ist. Hilfreiche Tipps zum Erstellen von sicheren Passwörtern gibt es im G DATA Ratgeber. Um bei der Masse der Account-Daten nicht den Überblick zu verlieren, eignen sich leistungsstarke Passwortmanager als Merkhilfe.
  • Lassen Sie die Finger von Online-Passwort-Tests
    Im Netz tummeln sich immer wieder Webseiten von vermeintlichen Sicherheits-Firmen oder Experten, die Ihnen anbieten, in einem Online-Test die Stärke Ihres Passworts zu bewerten. Lassen Sie diese Tests links liegen, vertrauen sie ihnen nicht. Den Betreibern ist es ein Leichtes, die eingegebenen Passwörter zu sammeln, zu verkaufen und natürlich auch in ihre Brute-Force Tests zum Knacken von Passwörtern mit einzubauen.
  • Aktivieren Sie möglichst eine Zwei-Wege-Authentifizierung
    Viele Internetservices und Social Media Plattformen bieten schon eine Zwei-Wege-Authentifizierung an. Wird sie eingeschaltet, reicht zum Log-In nicht mehr nur ein Passwort aus. Auf einem zweiten Kanal, zum Beispiel per SMS, erhält man eine weitere Information, die für den Zugang gebraucht wird, zum Beispiel einen nur einmal gültigen Zahlencode. Biometrische Daten können ebenfalls als weiterer Faktor eingesetzt werden. Mehr Informationen zu Multi-Faktor-Authentifizierung finden Sie im G DATA Blog.
  • Überprüfen Sie Zusammenhänge unter verschiedenen Konten
    Viele Social Media Accounts lassen sich untereinander verbinden. So werden Posts aus einem Portal gleichzeitig auch im verbundenen Medium ausgesendet. Diese Komfort-Funktion hat aber auch Nachteile: der Schutz aller gepaarten Konten ist nur so stark, wie das schwächste Glied in der Kette. Sichern Sie also alle Konten gegen Angriffe ab.
  • Stellen Sie das Verlangen von Kopien und Scans von Ausweisdokumenten in Frage
    Rouven wurde im Laufe seiner Recovery-Bemühungen gebeten, ein Ausweisdokument einzuscannen und zur Verifikation auf einen Server hochzuladen. Diese Anfragen kamen tatsächlich vom Twitter-Support und nicht von den Angreifern. Nichtsdestotrotz ist immer Vorsicht geboten, wenn derart persönliche und sensible Daten verlangt werden. Es gibt zudem gesetzliche Regelungen zum Thema Vervielfältigungen von Ausweisdokumenten. 
  • Informieren Sie sich über bekannte Datenbank-Hacks
    Wenn digitale Einbrüche mit einhergehendem Datenverlust bekannt werden, entstehen manchmal öffentlich zugängliche Webseiten, auf denen Internetnutzer prüfen können, ob ihre Zugangsdaten von den Einbrüchen betroffen waren. Nutzen sie diese Webseiten, von vertrauenswürdigen Anbietern, um ihre eigenen Daten zu überprüfen. Einige Beispielseiten:

    haveibeenpwned.com
    shouldichangemypassword.com
    www.sicherheitstest.bsi.de
    sec.hpi.uni-potsdam.de/leak-checker

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein