Kategorien
Anonymous OpRussia Top

20 Terabyte: Anonymous kapert Daten von Rosneft Deutschland

Aktivisten erlangten Zugriff auf die Server von Rosneft Deutschland, einer Tochter des russischen Mineralölkonzerns

This post is available in english: 20 terabytes: Anonymous Germany hijacks data from Rosneft Germany

Während das Angriffskrieges, den Russland in der Ukraine führt, wurden in den vergangenen Wochen ein Haufen Sanktionen gegen russische Unternehmen eingeführt. Unter diesen sanktionierten Unternehmen ist auch Rosneft.

Rosneft ist ein staatlicher russischer Mineralölkonzern, als solcher erforscht er Öl- und Gasvorkommen und betreibt diverse Bohr- und Förderanlagen und Raffinierien. Ex-Bundeskanzler Gerhard Schröder ist Aufsichtsratsvorsitzender von Rosneft in Russland. Der Chef von Rosneft, Igor Iwanowitsch Setschin, ist ein russischer Politiker und Manager. Seit den 1990er Jahren ist er ein enger Vertrauter Wladimir Putins. Laut Berichten war er 2003 als Vizechef der Präsidentenadministration Mitinitiator bei der gerichtlichen Verfolgung und letztlich der Zerschlagung des einst größten Ölkonzerns Yukos.

Yukos-Chef Chodorkowskij wurde im Oktober 2003 festgenommen, sein Unternehmen mit Steuerforderungen in den Bankrott getrieben und schließlich zwangsversteigert. Die profitabelsten Teile landeten bei Rosneft. Einige Jahre später errechnete die russische Wirtschaftszeitung „Wedomosti“, dass Rosneft für die einstigen Yukos-Aktiva einen Preis weit unter dem realen Marktwert bezahlt hatte. Chodorkowskij wurde in zwei Schauprozessen zu langen Haftstrafen verurteilt und kam erst Ende 2013 wieder frei.

https://www.faz.net/aktuell/politik/rosneft-treibt-russlands-geopolitischen-ziele-voran-15156113-p3.html

Setschin wurde im Juli 2004 dann Chef von Rosneft. Und als solcher hilft er seinem Freund Putin, die geopolitischen Interessen Russlands durchzusetzen: Irak, Venezuela, libysche Warlords … Rosneft hat seine Finger drin, nicht nur für Öl, sondern für Mitspracherechte.

Die Sanktionen gegen Rosneft gingen zunächst nur in Richtung Russland. Rosneft durfte nicht mehr mit modernem Bohrgerät, neuer Ausrüstung und mit Ersatzteilen beliefert werden. Öl wurde weiterhin importiert.

Über die Tochter Rosneft Deutschland GmbH ist Rosneft direkt an Bayernoil, PCK-Raffinerie in Brandenburg und mit 24% an der zweitgrößten deutschen Raffinerie MiRO in Karlsruhe beteiligt.

Laut Eigendarstellung ist Rosneft Deutschland in Deutschland

das drittgrößte Unternehmen in der Mineralölverarbeitung. Die verarbeitete Menge beträgt rund 12,5 Millionen Tonnen Rohöl pro Jahr; das sind mehr als 12 % der gesamten Verarbeitungskapazität in der Bundesrepublik.

Das Tochterunternehmen Rosneft Deutschland GmbH ist sowohl für die Belieferung der Raffinerien PCK, MiRO und Bayernoil mit Rohöl verantwortlich als auch für den Vertrieb der Mineralölprodukte.

https://www.rosneft.de/

Rosneft Deutschland liefert nicht nur Produkte wie Bitumen, Flugzeugbenzin und Schmierstoffe, sondern organisiert auch die Betankung von Flugzeugen auf diversen Flughäfen.

Im Februar hieß es noch, die über Rosneft Deutschland mit Rosneft verbandelten Raffinerien würden keine Auswirkungen der Sanktionen spüren, erstaunlich eigentlich. Doch in dieser Woche stoppten die USA und Großbritannien den Import von Öl.

Sanktionen gegen Rosneft und eine vollständig unberührte Tochter im Ausland – Umgehung von Sanktionen war niemals einfacher und solche Beteilungen bringen immer noch Devisen nach Russland.

Und Schröder.

„Schröder verleiht dem Konzern internationales Renommee, Glaubwürdigkeit, Seriosität. Das ist wichtig für Rosneft, das kein normales Unternehmen ist, sondern zunächst vor allem der Selbstbereicherung von Leuten aus Putins Umfeld diente“, sagt der Russland-Experte Stefan Meister von der Deutschen Gesellschaft für Auswärtige Politik. Schröders Nähe zu Gasprom, aber auch zu deutschen Industriekonzernen könnte für Rosneft wichtig sein. So will Rosneft in das Geschäft mit Flüssiggas einsteigen mit Anlagen in der Arktis und Russlands Fernem Osten. Ein wichtiger Ausrüste für Flüssigerdgas-Anlagen ist der deutsche Konzern Linde. Letztlich hofft der Moskau auch darauf, dass Schröder wichtig sein könnte, wenn es darum geht, die Sanktionen zu mildern. Sie erfüllten ihre Funktionen „nur bedingt“, sagte Schröder nun.

https://www.faz.net/aktuell/politik/rosneft-treibt-russlands-geopolitischen-ziele-voran-15156113-p4.html

Für einige Anons aus Deutschland ist das genau ein Grund, sich Rosneft Deutschland genauer anzuschauen. Nicht wegen der Raffinerien, sondern wegen des Lobbyismus, der Sanktionen.

Die Anons wollten nicht direkt in den russischen Energieunternehmen rumfuhrwerken … gerade der Energiesektor ist ein heißes Eisen, da es einige sanktionierende Staaten gibt, deren Energieversorgung an Russland gekoppelt ist. Da will man keine Teller zerkloppen oder irgendwelche Pipelines an und ausschalten oder sowas. Nicht mal aus Versehen.

Doch Rosneft Deutschland ist interessant genug. Dieses Unternehmen ist hauptsächlich im Vertrieb, An- und Verkauf, Lieferung an die Raffinerien tätig … und was noch? Keine kritische Infrastruktur, die man aus Versehen kaputt machen könnte. Keine Pipelines, die man abschalten könnte, keine Atomreaktoren, ja selbst die Raffinierien würden weiterarbeiten.


Kurzum: Anonymous Aktivsten ist es gelungen, Zugriff auf die Server von Rosneft Deutschland zu erlangen und große Mengen an Daten abzugreifen.

Man ist dabei sehr tief in die Systeme von Rosneft Deutschland eingedrungen. So tief, dass man problemlos Backups von Laptops der Beschäftigten und Führungskräfte fand.

Darüber hinaus hatte man Zugriff auf sämtliche Virtuellen Maschinen des Unternehmens, die USV und mehr.

Der Plan entstand, alle verfügbaren Daten komplett zu ziehen, das ließ sich relativ einfach über eine simple FTP-Verbindung realisieren, die zog denn auch mit 5.5MB/s. Dennoch war mit einer langen Verweildauer in den Systemen zu rechnen, denn insgesamt hatte man Zugriff auf knapp 25 Terabyte, neben den Backups auch Ordner mit Dokumenten, man hatte Zugriff auf die iPhones und iPads der Mitarbeiter.

Doch leider wurde der Download zwischendurch gestoppt. Nicht, weil man erwischt wurde, das nicht, man war seit fast zwei Wochen kontinuierlich und pausenlos in den Systemen und lud die Daten. Doch am vergangenen Freitag brach die an sich sehr stabile FTP-Verbindung ab, weil deren gesamtes System am Abend die Grätsche machte, auf einmal kein Internet mehr. Der Entry-Point selbst funktionierte noch, aber weiter kam man nicht, da das genutzte System dahinter selbst nicht mehr mit dem Internet verbunden war.

Wir wissen nicht, ob jemand den falschen Stecker gezogen hat. Es machte laut Anons den Anschein, als habe jemand die Firewall des Systems geputtet. Man konnte keinen anderen User mehr im System sehen, Internet war weg, wahrscheinlich hatte Rosneft und die IT selbst keinen Zugriff mehr.

Jedenfalls brach die Verbindung ab. Und obwohl der Zugang in deren System noch immer funktionierte (wahrscheinlich hatten nur noch die Anons Zugriff; man sollte mehr auf die Service-Accounts von Druckern im Active Directory achten), konnten wegen der fehlenden Internetverbindung in dem internen System keine Daten transferiert werden. Das ist ein bisschen Pech, aber nicht zu ändern, und es blieb bis zum gestrigen Donnerstag so.

Am Donnerstag fand einer der Anons einen Umweg und konnte den Download wieder starten. Doch dann bewegte sich der Mauszeiger und ein Fenster wurde geschlossen … also raus.

Aber nicht, ohne ein bisschen Verwirrung zu stiften und so wurden unwichtige Systeme … umgearbeitet.

iPhone-Remote-Wipes sind immer wieder lustig. Vor allem, wenn es eine Security-PIN gibt …1234 … ein Versuch, ein Treffer.

59 Apple-Devices …

Aber auch andere Geräte wurden umgestaltet … so intern so …

Auch Datenbanken …

Was die gesicherten Daten angeht, so muss man sich mit den in der letzten Woche gezogenen knapp 20 Terabyte einfach auch mal zufrieden geben. Mit dabei sind vollständige Festplattenimages von Mitarbeiterlaptops und -Rechnern, Festplattenimages eines Mailservers (34GB), viele Archiv-Dateien (ZIP, TAR.GZ und 7Z), CSV, XLSX, DOC und natürlich auch Software-Pakete, Anleitungen, Lizenzschlüssel für Software, und – weil alles Microsoft Windows ist – Tausende von DLLs.

oof 🤣

Wir sind gespannt, ob wir was über Herrn Schröder erfahren. Jetzt, wo er – folgt man dem Artikel in der New York Times – für eine Woche in Quarantäne muss, um Putin treffen zu können … Selbst Rosneft-Chef Setschin, so wird kolportiert, sei „zwei bis drei Wochen im Monat in Quarantäne“, um gelegentlich Putin treffen zu können.

Mr. Sechin is said to quarantine for two or three weeks a month, all for the sake of occasional meetings with the president.

Doch sicher ist nicht nur Schröder interessant – für Lobbyismus sind ja Politiker generell empfänglich.

Die Anons werden jetzt erstmal eine Mütze voll Schlaf nehmen, dann gemeinsam die Daten sichten – und überlegen, was wir damit machen. Sicher ist bereits, dass diese Daten nicht öffentlich geleakt werden. Denn der Effekt eines öffentlichen Leaks wäre geringer als der Gewinn, den Mitbewerber daraus ziehen könnten.

Also … so wie Anonymous Germany das immer macht: in Ruhe schauen und Leute dazuholen, die das objektiv durchforsten, was an Daten da ist.

Die Website war hiervon übrigens nicht betroffen, die liegt auf einem Server, den man laut Auskunft der Anons nicht erreichen konnte. Das mit der Website war jemand anderes …

Stand: 11.03.2022, 16:30 Uhr https://archive.ph/DQ7yP

Auch schick … aber nicht von uns bekannten Akteuren. Die letzte Aktion in den internen Systemen fand heute Mittag statt. Wahrscheinlich waren die von Rosneft das selbst, weil sie die Anons bemerkt haben. „Schnell, stell die Domain auf irgendwas anderes …“ 0375-gastroguide.de ist die erste Domain auf dem Shared-Server, auf dem Rosneft.de liegt.

IT-Security auf höchstem Niveau? Rosnjet!


Update 12.03.2022 11:40 Uhr

Gerade heute erschien ein Artikel über Rosneft und die Raffinerie im brandenburgischen Schwedt, wo die Druschba-Pipeline endet.

[…] mögliche Sanktionen auf russisches Öl und Gas rücken die PCK-Raffinerie in Schwedt und ihren Mehrheitseigner Rosneft in den Fokus. Wie das Unternehmen im November mitteilte, hat es von seinem Vorkaufsrecht auf den Erwerb von Shell-Anteilen Gebrauch gemacht. Mit der Übernahme, die das Bundeswirtschaftsministerium derzeit prüft, gingen 91,67 Prozent der Unternehmensanteile auf Rosneft über, einen Konzern, den Igor Setschin – ein enger Vertrauter Putins – leitet.

Als Vizechef der Präsidenten-Administration hatte Setschin zunächst die Zerschlagung des einst größten Ölkonzerns Yukos angeordnet – und dessen Übernahme durch Rosneft. Dann wurde Setschin zum Rosneft-Chef ernannt. „Durch dieses Ereignis hat Putin die Oberhand gegen die Oligarchen gewonnen,“ erklärt Andreas Goldthau vom Institut für transformative Nachhaltigkeitsforschung in Potsdam. Es sei daher kein Wunder, dass Setschin sich so lange an der Spitze behauptet hat. „Er ist jemand, dem Putin vertraut.“

https://www.rbb24.de/politik/thema/Ukraine/beitraege/brandenburg-schwedt-raffinerie-benzin-diesel-sanktionen-russland.html

Über die Druschba-Pipeline kommen nach Angaben der Raffinerie in Schwedt 25 Prozent des Rohölbedarfs Deutschlands. 


Update 13.03.2022:

Als Sprachrohr der Anonymous Aktivisten, die den Angriff durchgeführt haben, muss man die manchmal auch in Schutz nehmen. Im Spiegel ist ein Artikel von Max Hoppenstedt et al. über den Hack erschienen.

Um das einmal klar zu sagen: Man hatte bei Rosneft zu keinem Zeitpunkt Zugriff auf kritische Systemteile oder Steuerungsanlagen Auch bestand von Seiten der Hacktivisten gar kein Interesse, auf solche Systeme zuzugreifen oder sie zu stören. Es mag sein, dass bei Rosneft Deutschland zur Zeit die Möglichkeit für Geschäftsabschlüsse gestört ist, weil keine Verträge geschlossen werden können. Aber man hatte nie Zugriff auf wirklich kritische Systeme.

Natürlich wissen wir nicht, welcher Sicherheitsbeamte die Aussage traf:

Der Angriff sei weitaus riskanter gewesen als sogenannte DDoS-Attacken, mit denen Hacktivisten zuletzt etwa russische Regierungsseiten vorübergehend vom Netz genommen hatten. Bei Rosneft seien die Angreifer tief in die Systeme eingedrungen und hätten im schlimmsten Fall die Steuerungsfunktionen zum Absturz bringen können, sagte ein ranghoher Beamter dem SPIEGEL.

Nein, hätten sie nicht. Nach Aussage der Anons – und in einigen Screenshots ist dies nachvollziehbar -, waren die Systeme auf die man Zugriff hatte, für 5 Tage nicht mit dem Internet verbunden. Von Freitag, den 04. März abends, bis mindestens zum darauffolgenden Mittwoch. Nicht, weil die Aktivisten etwas gemacht hätten, sondern aus Dusseligkeit der eigenen IT.

Seltsam “kritische Systeme” sind dies, bei denen nicht ein ganzes IT-Team bereit steht, um die Verbindungen in kürzester Zeit wiederherzustellen.

Max Hoppenstedt hat mit uns Kontakt aufgenommen und seinen Artikel um unsere Stellungnahme ergänzt.