Webserver der WKÖ angegriffen
SQL-Injektion
Am Montag gegen 21.00 Uhr Ortszeit haben Unbekannte einen Angriff auf das Web-Angebot der Wirtschaftskammer Österreich [WKÖ] gestartet. Laut Auskunft von Peter Pöschl, Leiter der zuständigen Systemgruppe bei der WKÖ-IT-Tochter Inhouse, habe man die Attacke schnell bemerkt und die Server gegen 22.00 Uhr abgeschaltet. Das Angebot werde nach und nach am Mittwochabend wieder aktiviert.
Laut Pöschl handelte es sich bei dem Angriff um eine SQL-Injektion. Durch einen Code, der in die Browserzeile eingegeben wurde, sollte der Webserver der WKÖ dazu gebracht werden, in die generierten Webseiten Umleitungen einzuschreiben, welche die Browser der arglosen Besucher beim Ansteuern des WKÖ-Webangebots automatisch auf einen Server in China lenken, wo die Browser der WKÖ-User von einem Arsenal an Schadsoftware in Empfang genommen werden sollten. "Eine klassische Taktik, um ein Botnet zu vergrößern", so Pöschl.
Wer also am Montag zwischen 21.00 Uhr und 22.00 Uhr die Website der Wirtschaftskammer besuchte, sollte sicherheitshalber mit einem aktuellen Viren- und Malware-Scanner sein System überprüfen.
Kein Datenverlust
Es ging dem Angreifer also nicht darum, Daten von der WKÖ abzuziehen, sondern möglichst viele PCs von Nutzern des Wirtschaftskammer-Portals zu infizieren. "Mit an Sicherheit grenzender Wahrscheinlichkeit hat es sich um einen Angriff gehandelt, der seit heute auch auf dem Sicherheitsportal SANS dokumentiert ist. Die Taktik ist exakt die dort beschriebene, nur die Adresse des Schadsoftware-Servers ist eine andere", so Pöschl. Datenverlust habe es bei der WKÖ keinen gegeben.
WKÖ-Sprecher Gregor Herzog weist darauf hin, dass es sich bei den Angreifern keineswegs um chinesische Netzkriminelle handeln müsse. Man wisse nur, dass der Rechner, der die PCs der WKÖ-User mit Schadsoftware infizieren sollte, in China stehe.