Mehr als 150 Journalistinnen und Journalisten berichten rund um die Uhr für Sie über das Geschehen in Deutschland und der Welt.
Zum journalistischen Leitbild von t-online.Neue Emotet-Angriffe Trojaner: E-Mails des sächsischen AfD-Sprechers gehackt
Wer Fragen an die AfD Sachsen hatte, kann aktuell Mails mit einem gefährlichen Trojaner bekommen. Zumindest der E-Mail-Account des Parteisprechers ist gehackt und der Inhalt abgegriffen worden.
Die AfD in Sachsen ist von einer aktuellen Welle von Cyberangriffen betroffen. Andreas Harlaß, Pressesprecher der Landespartei und der Landtagsfraktion, bestätigte, dass zumindest sein E-Mail-Account betroffen ist: "Leider wurde ich gehackt." Mutmaßlich hat er unvorsichtig eine verseuchte Datei geöffnet. Nun laufen Kontakte von Harlaß Gefahr, dass im schlimmsten Fall ihre Rechner ausspioniert werden.
Auf dem Computer des AfD-Sprechers, der auch selbst erfolglos für den sächsischen Landtag kandidiert hat, muss der Trojaner Informationen aus dem Postfach gesammelt und an die Angreifer geschickt haben. Mit echten Betreffzeilen aus Mails in Harlaß Postfach verschicken Unbekannte nun vermeintliche Antwort-E-Mails mit einem verseuchten Word-Dokument.
Trojaner ein Altbekannter mit Änderungen
Was genau der Trojaner ausrichten kann, ist unklar. Es ist eine neue Variante eines seit vielen Jahren bekannten Schadprogramms, erläutert Thomas Uhlemann, Sicherheitsexperte von Antivirus-Spezialist Eset. Eset führt diese Variante unter dem Namen VBA/TrojanDownloader.Agent.PMU. Seit dem Auftauchen dieser Version am 19. September sind bereits weitere Modifikationen aufgetaucht.
Das Ausmaß der Bedrohung durch die neue Variante lasse sich nur nach tiefergehenden Analysen der aktuellen Vorfälle sagen, die Zeit beanspruche. Was Thomas Uhlemann sagen kann: "Es erfolgt ein Angriff in mindestens zwei Stufen."
Was kann der Trojaner ausrichten?
Stufe eins: Wenn in der verseuchten Word-Datei im Anhang trotz entsprechender Warnung das Ausführen von Makros erlaubt wird, gelangt ein sogenannter Dropper auf den Rechner, der von Anti-Virus-Programmen nicht so leicht entdeckt werden soll. "Es geht darum, sprichwörtlich einen Fuß in die Tür zu bekommen", so Eset-Experte Uhlemann. Dann folgt Stufe zwei: Einmal auf dem Computer ausgeführt, ruft dieser Schädling dann quasi seinen gefährlichen Komplizen zu sich. "Entscheidend ist, was dann durch den Dropper an weiterem Schadcode heruntergeladen wird."
Die weiteren Möglichkeiten und die Motive können unterschiedlich sein. "Kriminelle könnten so ein Botnetz aufbauen, um Kryptowährungen zu schürfen. Aber es kann auch ein ganzes Spionageprogramm auf den Rechner heruntergeladen werden. Dieses zeichnet dann auf dem Opfer-PC alle Aktivitäten wie Tastatureingaben, E-Mail-Verläufe und Zugangsdaten aus, schleust sensible Daten hinaus und verbreitet sich im Netzwerk weiter."
Aktuell führt Emotet-Trojaner zu Schäden
Der Schädling im AfD-Rechner könnte im Schlepptau ein Programm haben, das aktuell Sicherheitsexperten einige Sorgen bereitet: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Emotet-Trojaner und hat eine Cyber-Sicherheitswarnung an Unternehmen, Bundesverwaltung und die Betreiber kritischer Infrastrukturen verschickt. Mitte September hat eine neue Welle von Angriffen mit diesem Emotet-Trojaner begonnen.
In den vergangenen Tagen kam es durch den Emotet-Trojaner in Deutschland auch zu Produktionsausfällen und lahm gelegten Bürgerdiensten in Kommunen, berichtet das Bundesamt für Sicherheit in der Informationstechnik.
Harlaß lässt Auswirkungen offen
AfD-Sprecher Harlaß hat auf eine Nachfrage nicht geantwortet, in welchem Ausmaß sein Rechner oder die AfD Sachsen insgesamt betroffen ist und in welchem Umfang sensible Daten betroffen sind. Damit ist unklar, ob Experten das untersucht haben. Eine Mitarbeiterin der Fraktion erklärte, es sei nur der Account von Harlaß befallen, aber auch das sei behoben.
Auf dem Harlaß-Rechner sind zumindest Informationen aus dem E-Mail-Account gesammelt und an eine andere Adresse geschickt worden und werden nun automatisiert für neue Mails genutzt. Deshalb gingen bei der AfD in Dresden am Montag besorgte und verärgerte Anrufe ein, in denen sich Menschen über die Trojaner-Mails beschwerten. Die Mitarbeiter konnten dann nur versichern, dass die Mails nicht von der AfD kommen. Tatsächlich hat die AfD keinen Einfluss darauf, dass nun die erbeuteten Adressen unter dem vermeintlichen Absender von Harlaß angeschrieben werden.
- Trojaner Emotet: Bundesamt warnt vor gefährlichen Cyberangriffen
- Comeback von Schadsoftware: Emotet antwortet selbständig auf E-Mails
- Gefährlicher Spam: Mit diesen Tricks wird Emotet verbreitet
Allerdings hat die AfD offenbar auch nichts unternommen, um auf den Fall aufmerksam zu machen und mögliche Empfänger von Mails zu warnen. Ein Großteil der aktuellen Virenprogramme erkennt den Trojaner aber und lässt entsprechende Mails erst gar nicht durch.
Anmerkung der Redaktion: Harlaß teilte am Donnerstag ohne weitere Erläuterung mit, es sei “bereits geschehen”, mögliche Betroffene zu informieren. t-online.de, das auch Mails von Harlaß mit Trojaner bekommen hatte, hatte von der AfD keine Warnung erhalten.
- Eigene Recherchen:
- BSI: Maßnahmen zum Schutz vor Emotet
- virustotal.com: Entdeckungen von VBA/TrojanDownloader.Agent.PMU
- Talos: Emotet is back after summer break