Der Fall orbit: FireEye liefert erste Erkenntnisse

In der ersten Januar-Woche 2019 bekannt gewordene Veröffentlichung persönlicher Daten von Politikern und Prominenten hat Spuren hinterlassen

[datensicherheit.de, 08.01.2019] Nach eigenen Angaben beobachtet, erfasst und analysiert die „FireEye iSIGHT Cyber Threat Intelligence“ mit einem Team aus weltweit 160 Datenspezialisten seit Jahren Cyber-Bedrohungen u.a. mit dem Ziel, detaillierte Informationen über die Motivationen, Absichten, bevorzugten Ziele und Methoden verschiedener Angreifer bzw. Angreifergruppen sowie die ihnen zugeschriebenen Aktivitäten zu gewinnen.

Auch die in der ersten Januar-Woche 2019 bekannt gewordene Veröffentlichung persönlicher Daten von Politikern und Prominenten hat demnach Spuren hinterlassen – hierzu die „wichtigsten Ergebnisse einer ersten Analyse“:
• Es sei davon auszugehen, dass die veröffentlichten Daten aus privaten Accounts über mehrere Wochen herausgefiltert und gesammelt wurden.
• Der unter dem Pseudonym „0rbit“ aktive, inzwischen vom BKA identifizierte mutmaßliche Täter, sei mindestens seit 2015 aktiv und habe mehrere Social-Media-Konten genutzt, um Accounts zu infiltrieren und Daten verschiedener deutscher Politiker und Prominenter – vor allem von „YouTubern“ – zu veröffentlichen.
• Die Daten seien nach derzeitigem Stand der Analysen hochgeladen und über zahlreiche Links auf File- und Image-Sharing-Seiten verbreitet worden, unter Verwendung von Backup-Spiegelseiten zum Hosten der Daten: Benutzt worden seien Web-Seiten wie „Megaupload“, „AnonFile“, „ForumFiles“, „Box“, „BayFiles“ und „Imgur“. Im Rahmen einer ersten Überprüfung hätten mindestens 375 Links zu File-Sharing-Sites mit „geleakten“ Daten identifiziert werden können.
• Es werde davon ausgegangen, dass „0rbit“ seit mindestens 2015 aktiv sei und verschiedene Social-Media-Accounts genutzt habe, um Accounts zu infiltrieren und das „Doxing“ (das internetbasierte Zusammentragen und anschließende Veröffentlichen personenbezogener Daten) vorzubereiten.
• Obwohl der sich dringend Tatverdächtige als Einzeltäter in den Vernehmungen dargestellt habe, sei es aufgrund der verschiedenen mit „0rbit“ verbundenen Konten und dem schieren Volumen der geposteten Links möglich, dass es doch mehrere Täter sein könnten.
• „0rbit“ habe kürzlich auf den Blogging- und Video-Sharing-Sites „Busy.org“, „Steemit“ und „DTube“ das Konto „@dennis567“ verwendet, um Leaks von infiltrierten Konten und andere Inhalte der Betroffenen zu posten.
• Beobachtet worden sei, dass mindestens das 2015 von „0rbit“ infiltrierte Instagram-Konto die Meldung „Hacked by NFO“ angezeigt habe. Darüber hinaus sei auch ein wahrscheinlich von „0rbit“ genutzten twitter-Account, „@NFOr00t“, beobachtet worden – der enthaltene Begriff „NFO“ sei ein möglicher, zuvor auch von „0rbit“ verwendeter Gruppennamen.
• Ein früheres wahrscheinlich von „0rbit“ genutztes twitter-Account, „@0rbitofr00t“ habe den Vermerk „Controlling the Internet since 2015“ im Profil. Ein weiteres twitter-Konto, „@_p0wer__“, zeige indes: „Controlling the Internet since – Seit 2013.“ Die Diskrepanz zwischen 2013 und 2015 könnte ein Hinweis darauf sein, dass „0rbit“ aus mehr als einer Person besteht.
• Obwohl in den Analysen einige Kontoeröffnungsdaten vor 2013 festgestellt worden seien, scheine es plausibel, dass „0rbit“ Infiltrierungen vorgenommen hat und diese Konten zu einem späteren Zeitpunkt in Betrieb genommen und reaktiviert wurden.
• Viele der älteren verdächtigen „0rbit“-Konten hätten Links zu „geleakten“ Daten veröffentlicht, die auf verschiedenen Web-Seiten, File-Sharing-Diensten und in zahlreichen Sicherungskopien auf alternativen Websites gespeichert seien. Dies stehe im Einklang mit Methoden, mit denen die undichten Daten der deutschen Politiker zusammengestellt und veröffentlicht worden seien. Viele der von älteren Konten beworbenen Web-Seiten hätten auch ASCII-Kunstheader verwendet, wie von „0rbit“ im Dezember 2018 verwendet.
• Von diesen älteren Konten zeigten auch Links zu Screenshots, die auf die Image-Sharing-Site „Imgur“ hochgeladen worden seien. Ebenso enthielten die jüngsten Leaks vom Dezember 2018 auf „Imgur“ gespeicherte Bilder.
• Die von den älteren Accounts veröffentlichten Daten seien auf verschiedenen Plattformen erscheinen, darunter twitter, Instagram, facebook, Snapchat, Skype, Amazon, Steam, EA (Electronic Arts) und Microsoft. Ähnlich wie die Daten vom Dezember 2018 hätten auch die älteren Konten Chat-Historien und andere private Daten veröffentlicht, welche anscheinend aus den kompromittierten Konten ihrer Ziele entfernt worden seien.