[Wien] Status update GRIZZLY STEPPE

L. Aaron Kaplan (spam-protected)
Di Jan 3 14:49:23 CET 2017 

> On 03 Jan 2017, at 14:43, Alfred Nagl <(spam-protected)> wrote:
> 
> On Tuesday 03 January 2017 14:22:02 L. Aaron Kaplan wrote:
>>> On 03 Jan 2017, at 13:53, Alfred Nagl <(spam-protected)> wrote:
>>> 
>>> On Monday 02 January 2017 18:33:12 L. Aaron Kaplan wrote:
>>>> ### Presse
>>>> 
>>>> Markus Sulzbacher vom Standard hat uns bei der Arbeit besucht.
>>>> Ein Artikel ist soeben erschienen:
>>>> http://derstandard.at/2000050143907/Russische-Hacker-nutzten-laut-FBI-au
>>>> ch -Rechner-in-Wien
>>> 
>>> Hi!
>>> Der Artikel ist übertitelt mit
>>> 
>>> 	Russische Hacker nutzten laut FBI für Angriffe auch Rechner in Wien
>>> 
>>> Läßt sich das aus den bisherigen Analysen vermuten?
>> 
>> Was wir *wissen* ist, dass eine PHP shell am server installiert war.
>> Diese gehört nicht dort hin. Ja, der Server war kompromittiert.
>> 
>> Von wem sie installiert wurde, ist nicht klar.
>> 
>> Alles andere ist derzeit noch nicht bestätigt. Ich bitte um Verständnis,
>> dass ich da nur double-checked Fakten posten will.
> 
> So ähnlich hab ich mirs eh gedacht. Allerdings behauptet der zweite Satz im
> Artikel folgendes:
> ----------------------------------------------------------------------------------------------------------------------
> Laut einem offiziellen Bericht des FBI und des US-Heimatschutzministeriums
> befindet sich dort ein Rechner, der von Hackergruppen für Angriffe auf US-
> Einrichtungen benutzt wurde – und zwar im Auftrag des russischen
> Geheimdienstes.
> ----------------------------------------------------------------------------------------------------------------------
> 
> Ich nehme an, das fällt schon unter journalistische (dichterische) Freiheit.
> 

Nein, nicht unbedingt.
Das ist ist auch wirklich die Aussage vom DHS/FBI. Siehe:
https://www.us-cert.gov/security-publications/GRIZZLY-STEPPE-Russian-Malicious-Cyber-Activity
https://www.dhs.gov/news/2016/12/30/executive-summary-grizzly-steppe-findings-homeland-security-assistant-secretary

Ob das nun stimmt oder nicht, kann ich nicht beurteilen.
Aber der Journalist hat meiner Meinung nach durchaus korrekt auf die Behauptung (dort) verwiesen.

Was wir hier gestern gesehen haben, ist dass der Server in der Tat gehackt wurde.


Wie gesagt: das Forensik Team, das derzeit aus Adrian, mir, Martin und Adi besteht - wird sobald wir mehr *bestätigte* Infos haben, diese sehr transparent kommunizieren. Bitte nur zu beachten, dass Forensik immer durchaus auch dauern kann.

lg,
a.

--
//  CERT Austria
//  L. Aaron Kaplan <(spam-protected)>
//  T: +43 1 505 64 16 78
//  http://www.cert.at
//  Eine Initiative der nic.at GmbH
//  http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 801 bytes
Beschreibung: Message signed with OpenPGP using GPGMail
URL         : <http://lists.funkfeuer.at/pipermail/wien/attachments/20170103/571e9ccb/attachment.sig>

Mehr Informationen über die Mailingliste Wien