Letzte Aktualisierung am 21. Dezember 2020.

19.12.20: Der größte Hacker-Angriff in der US-Geschichte

Quelle: magazin.zenith.me (Dr. Markus Reisner, PhD, ist Oberst des Gernalstabes des Österreichischen Bundesheeres, Fellow der Candid Foundation und Autor von »Robotic Wars« (Miles-Verlag Berlin 2018))

In Europa realisiert man das Ausmaß der jüngsten Cyber-Attacken auf die USA noch nicht. Dort werden Rufe nach Vergeltung lauter. Es wird nun Gegenschläge geben.

Als die Sicherheitsabteilung der US-IT-Firma Fireeye vor kurzem die E-Mail-Anfrage eines ihrer Mitarbeiter genauer unter die Lupe nahm, stellte sie fest, dass diese gar nicht von ihm stammte. Ein anderer musste sie geschickt haben, der wohl viel größer und gefährlicher war. Als sich die Experten die betreffende Malware genauer ansahen, wurde immerhin die Spitze des Eisberges sichtbar. Dieser Cyberhack wird nun wohl in die Geschichte eingehen. Wie es scheint, wurden über 18.000 US-Regierungsbehörden und Unternehmen Opfer eines großangelegten Angriffs. Durchgeführt von Angreifern mit, so lautet die erste Bewertung der amerikanischen Behörden, ausländischem staatlichen Hintergrund. Russland steht unter Verdacht. Die Hackergruppe Cozy Bear oder andere, artverwandte könnten wieder zugeschlagen haben.

Der entdeckte großangelegte Cyberangriff dürfte in einer Qualität und in einem Ausmaß durchgeführt worden sein, dass selbst Kenner der IT-Szene im Moment noch nicht in der Lage sind, die passenden Antworten finden. Zu unübersichtlich ist die derzeitige Lage und zu groß scheint das Ausmaß des möglichen Schadens. Jede neue Meldung löst bei den US-Behörden Schockwellen, Verbitterung und Wut aus. Der Cyberangriff war gut überlegt. Er dürfte unter Umständen schon vor Jahren begonnen worden sein und er war so erfolgreich, dass bereits einige der wichtigsten US-Regierungsbehörden davon betroffen sind. Und er ist so gewaltig, dass man in einigen Behörden in höchster Not und aus Mangel an Alternativen praktisch den Stecker ziehen musste.

Betroffen ist nach ersten Meldungen die National Nuclear Security Administration (NNSA), also jene Behörde, welche das US-Atomwaffenarsenal betreibt und überwacht. Die NNSA ist dabei nicht nur für die Simulation von US-Kernwaffentests verantwortlich, wozu sie einen der modernsten US-Supercomputer namens BlueGene verwendet, sondern auch für den Transport und die Lagerung der vorhandenen armierten Waffen und des radioaktiven Materials. Zudem führt die Behörde eine Datenbank mit den Namen zehntausender Beamter und Zivilpersonen, welche in den USA an der Aufrechterhaltung der nuklearen Abschreckung arbeiten; darunter fällt auch eine Übersicht über die dazu notwendigen Zulieferbetriebe.

Die Angreifer waren schlau, sie gingen überlegt vor, sie tarnten sich, sie versuchten nicht aggressiv zu agieren, sondern behutsam und Schritt für Schritt vorzugehen. Also exakt so wie man es tun würde, wenn man auf lange Zeit nicht entdeckt werden wollte. Wie ein Nachbar, der in böser Absicht mit einem nachgemachten Schlüssel in den Keller seines Feindes einsteigt, alles betrachtet und aufzeichnet und nach dem Verlassen wieder sorgfältig die Kellertüre versperrt. Fireeye entdeckte quasi durch Zufall den Schlüssel an der Kellertüre, den der Einbrecher dort vergessen hatte. Die große Frage ist aber, was hat er nun alles im Keller gesehen, entwendet oder gar unerkannt unbrauchbar gemacht?

Die kritische Infrastruktur der USA wurde über eine Schwachstelle gehackt und lag möglicherweise für lange Zeit wie eine offene Bedienungsanleitung vor dem Angreifer. Er musste nur vorsichtig Seite für Seite umblättern. Die ersten forensischen Untersuchungen von US-IT-Experten, deren Ergebnisse nur sehr spärlich an die Öffentlichkeit dringen, vermutlich vorrangig um den politischen Entscheidungsträgern das ganze verheerende Ausmaß der Situation bewusst zu machen, zeigen, dass die Angreifer neue Cyberangriffsmethoden und Tools verwendeten, welche bis jetzt noch nicht beobachtet wurden. Die wiederholt geäußerte Befürchtung von US-Cybersicherheitsexperten und der dabei zentrale Hinweis auf die Gefährlichkeit der Schwachstellen von Softwarelieferketten scheint wahr geworden zu sein.

Und so dürfte eine Schlüsselrolle beim Eindringen in die Netzwerke dem US-Softwareunternehmen Solarwind zugefallen sein. Solarwind stellte seine Software Orion gezielt für alle relevanten US-Behörden zur Verfügung. Wie üblich erfolgten laufende Updates. Diese wurden entsprechend an die Bedarfsträger verschickt. Die Angreifer nutzten dies. Sie schlüpften quasi als Code in das Softwareupdate und wurden bei der »Zugangskontrolle« eingelassen. Dann begannen sie mit ihrer Arbeit. Sie verschafften sich einen Überblick, erstellten Protokolle und begannen Daten zu transferieren.

Die Cybersecurity and Infrastructure Security Agency (CISA) lässt seit einigen Tagen fast stündlich mit neuen Hiobsbotschaften aufhorchen. So wurden neben der NNSA auch die Federal Energy Regulatory Commission (FERC) Opfer des Angriffs. Die FERC ist in den USA praktisch für die bundesweite Sicherstellung der Strom-, Öl- und Gasversorgung zuständig. Dazu zählen Umspannwerke, Öl- und Gaslagerstätten, Terminals, Stromnetze, Energieprovider, also alles um die Wirtschaft und das tägliche Leben aufrechtzuerhalten. Der entdeckte exploit, also die »Beute« der Hacker, alleine im Verantwortungsbereich der FERC ist so umfangreich, dass die CISA eingestehen musste, nicht genügend Ressourcen zur Bewältigung zur Verfügung zu haben. Ihr Direktor, Christopher Krebs, wurde zudem erst vor Kurzem vom abgewählten US-Präsidenten Trump entlassen.

Es scheint, dass auch Microsoft betroffen ist. Das Unternehmen gab bekannt, dass der Schadcode auch im eigenen Unternehmen angetroffen wurde. Dessen Auffindung ist nicht einfach. So wurden in den knapp 50.000 Zeilen eines Updatecode von Solarwind erst nach genauer Kontrolle einige Zeilen entdeckt, die dort eigentlich nicht sein hätten dürfen. Es ist nun ungewiss, in welche Softwareprogramme sich die Hacker bereits überall eingenistet haben. Und dies war offensichtlich nur eine Methode der Angreifer. Wie viele Methoden und welche Tools genau verwendet wurden ist unbekannt. Die CISA veröffentlichte eine ungewöhnlich dramatische Warnung, um mögliche betroffene Behörden und Unternehmen auf den Hack aufmerksam zu machen.

Auch im Pentagon war man offensichtlich gezwungen, in einer Notmaßnahme vom Netz zu gehen. Und aus Washington kommen weitere bestürzende Nachrichten. So mehren sich Hinweise, dass einige bedeutende Think-Tanks betroffen sind, also Institutionen, die mitunter auch eine wichtige Aufgabe in der Politikberatung der jeweiligen US-Administration übernehmen. Sie erstellen Bedrohungsbilder, formulieren Bewertungen und helfen, Strategien zu erstellen.

Stuxnet zeigt: Die Kämpfe im Cyberspace haben reale Folgen und können Krieg provozieren.

Der Angriff erwischt die USA in der denkbar schwierigsten Phase. Der abgewählte US-Präsident ist nur widerwillig bereit, seinen Platz zu räumen, während der neu gewählte US-Präsident Biden noch nicht die Zügel in der Hand hält. Die Übergabeteams haben zum Teil noch nicht einmal mit ihrer Arbeit begonnen. Zu allem Überfluss steigt die COVID19-Infektionsrate; es wurde die Marke von 300.000 Todesopfern überschritten. Hinzu kommen laufende Proteste aufgrund von immer wieder kritisch hinterfragten US-Polizeimaßnahmen. Die USA sind somit eindeutig in einer Situation großer Anspannung. Nervosität greift um sich. Die erst in den letzten Wochen durchgeführten Langstreckenflüge von US-B52 Bombern in den Mittleren Osten sind ein sichtbares Zeichen dafür, dass man potenziellen Gegnern zeigen möchte, dass man bereit sei. Für was auch immer.

Spätestens seit dem Jahr 2014 ist indes der Cyberraum zum Schlachtfeld geworden. Jeder kämpft dort gegen jeden, so scheint es, oder in wechselnden Allianzen. Die Öffentlichkeit nimmt davon nur Notiz, wenn die entlarvten Hackergruppen durch die ihnen von den Entdeckern gegebenen Namen ans Tageslicht gezerrt werden. Das liest man plötzlich von Office Monkeys, Cozy Car, The Dukes, Cozy Duke, Grizzly Steppe, Fancy Bear oder einfach nur das Kürzel APT29. Doch hinter all diesen Namen stecken staatliche und nichtstaatliche Akteure, die in der militärischen Domain des Cyberspace um die Vorherrschaft rittern. Um in einem möglichen Konflikt in Lichtgeschwindigkeit die Schlacht für sich entscheiden zu können. Diese Kämpfe aber sind real und wirken sich auf das reale Leben aus. Davon zeugen Stromausfälle, zerstörte Kraftwerke, explodierende Transformatoren oder verrücktspielende Atomzentrifugen, wie wir sie in den letzten Monaten in Iran beobachten konnten. Solche Einrichtungen wurden bereits 2010 ein Opfer von Stuxnet.

Sollte tatsächlich Russland oder ein anderer staatlicher Akteur dahinterstecken: Er sei in jedem Fall gewarnt. Denn es scheint, dass die USA sich im Moment im Panikmodus befinden. Sie irren quasi durch ihren Keller auf der Suche nach den verräterischen Spuren der Einbrecher. Und mit jedem Hinweis, den sie entdecken, steigt das Bedürfnis nach Vergeltung. Das Völkerrecht kennt für den Cyberraum noch keine verbindliche Rechtsregime. Völkergewohnheitsrechtliche Maßnahmenpakete (unter anderem dargelegt im Tallinn Manual 2.0) sind nach wie vor umstritten. Also keine gute Basis für eine mögliche Eskalation. Es bleibt zu hoffen, dass die Wut der USA nicht in Gewalt umschlägt. Unbeantwortet wird der Angriff in jedem Fall nicht bleiben. Und die umfangreichen Netzausfälle beim russischen Telekomanbieter Rostelecom vor wenigen Tagen könnten bereits ein Zeichen für Bevorstehendes sein. Dies bleibt zwar vorerst Spekulation. Die Zeichen stehen im Moment aber offenbar auf Sturm.

Kommentar

Bisher blieb die befürchtete Eskalation aus, wie bereits ältere Beispiele (siehe nachfolgend) zeigen. Doch die nun offenbarte Dimension könnte doch zu einer weiteren Eskalation führen. 

Siehe auch generell  die unvollständige Auswertung zu Cyber-Angriffe auf Kritische Infrastrukturen


21.12.20: USA mitten in einem „Cyber-GAU“

Quelle: fm4.orf.at

Auch wenn die Folgen noch völlig unklar sind, so lässt sich der Großangriff auf die wichtigsten Netze der USA nur noch als „Cyber-GAU“ bezeichnen. Die mit eingeschmuggelten Hintertüren versehene Software für Netzwerkmanagement der Firma SolarWinds war seit dem Frühjahr in den fast 18.000 größten US-Netzen installiert. Die mittlerweile bekanntgewordenen Angriffe über diese Hintertüren auf mindestens fünf US-Ministerien sind nicht einmal die Spitze des vielzitierten Eisbergs.


18.19.16: Internet in Europa durch DoD Gateways gefährdet

Quelle: ots.at

Experten haben auf der IKT-Sicherheitskonferenz 2016 davor gewarnt, dass die Einbeziehung der globalen DoD Gateways in Cyberaktivitäten zu einer signifikanten Störung der Verfügbarkeit des Internets in Europa führen kann.

Backbone Gateways sind die Hauptschlagadern des Internets. Wenn durch Störungen oder Angriffe einige Gateways beschädigt werden bzw. ausfallen, wird der Datenstrom über die verbliebenen Backbone Gateways geleitet, um so die Verfügbarkeit des Internets weiterhin zu gewährleisten.

Aber welche Konsequenzen resultieren aus der Tatsache, dass die vorhandenen Backbone Gateways in Europa – die eine primäre Rolle für die Sicherstellung der Konnektivität des gesamten Internets in Europa einnehmen – als Bestandteil einer Cyberdoktrin anderer Staaten ‚missbraucht‘ werden können?

Dieser Fragestellung gingen die Sicherheitsexperten der PAN AMP AG aus Hamburg nach, die anhand von Vermessungen der globalen Internet Gateways erstmals Cyberkonflikte zwischen den USA und Russland sowie den USA und China simulierten. Unter der Prämisse, dass in den Cyberkonflikten Waffen zur IP- und Datenpaket-Transformation zur Anwendung kommen, und die sich außerhalb des US-Territoriums befindlichen DoD Gateways in Deutschland und Japan zum Angriff / zur Verteidigung eingesetzt werden, führte die Simulation zu einer Überlastung der vernetzten Backbone Gateways in Europa und Asien.

Cyberdefence Experten zeigten sich überrascht, dass durch die Überlastung einzelner Backbone Gateways und die hieraus folgenden Umleitungen von Datenpaketen, zu Kettenreaktionen führten, die ihrerseits weitere Backbone Gateways überlasteten. So stieg die kriegsbedingte Netzlast in Europa auf bis zu 92,8 % bei einem Cyberwar zwischen den USA und Russland bzw. auf bis zu 98,1 % bei einem Cyberwar zwischen den USA und China.

„Auch wenn allgemein angenommen wird, dass Cyberkonflikte in Netzwerken mit einem verteilten Ressourcenmanagement, wie dem Internet, global wenig Schaden anrichten können, weisen die Ergebnisse der Cyberwar Simulation darauf hin, dass die topologischen Schwächen der gegenwärtigen Backbone Gateways, sich schwerwiegend bei einem gezielten Missbrauch auswirken können. Dies könnte von jenen Staaten ausgenutzt werden, die diese Systeme gezielt in ihre Cyberdoktrin einbinden“, so Bert Weingarten, Vorstand der PAN AMP AG.

Eine Restkapazität von lediglich 1,9 bis 7,2 % der Backbone Gateways für nicht ‚kriegsbedingten‘ Datenverkehr, wäre nicht mehr ausreichend, um in Europa Datenverbindungen aus Mobilfunknetzen oder Leit- und Steuerungssystemen für kritische Infrastrukturen aufrechtzuerhalten. Ein möglicher Kausalschaden wäre der großflächige Stromausfall in Deutschland, Österreich und der Schweiz.

Würden Staaten sich die Kenntnisse über die bestehenden Sicherheitsrisiken der Backbone Gateways zu eigen machen, so die Sicherheitsforscher, könnten sie die Backbone Gateways auch als Schutzschild im Cyberwar missbrauchen und somit großen Schaden anrichten. Denn Fakt ist, unsere moderne Gesellschaft ist mittlerweile vollumfänglich von der stetigen, reibungslosen Verfügbarkeit der Netzinfrastruktur, und somit auch der Backbone Gateways, abhängig.

Kommentar

Diese Aussendung unterstreicht leider die Einschätzungen zur aktuellen USA-Russland Eskalation (US-Hacker sollen Putin „bloßstellen“). Leider häufen sich derzeit Meldungen, die uns massiv alarmieren sollten, wie etwa auch zuletzt Machtvolle Rückkehr der DDoS-Attacken. Hier bahnen sich sehr dunkle Wolken an, die unvorstellbare Schwarze Schwäne enthalten

Daher tragen öffentliche Ambitionen wie „Bundesheer setzt auf offensive Cyberwaffen“ wohl eher zu einer weiteren Eskalation und nicht zum Schutz bei. Es bleibt nur zu hoffen, dass das niemand als Einladung versteht, einmal die Abwehrfähigkeiten zu testen, denn dann würde es ziemlich rasch ziemlich düster aussehen. Denn ein solcher Ansatz würde wahrscheinlich nicht auf gut geschützte Objekte, sondern auf leicht verwundbare Infrastrukturen gerichtet werden, was durch Dominoeffekte genauso die geschützten Objekte erreichen würde. Nur mit einem erheblichen Kollateralschaden.

Denn wir wissen nicht was wir tun … weil wir mit Komplexität noch nicht umgehen können.

13.11.16 – Russische Banken melden Hackerattacke

Quelle: orf.at

Die russischen Großbanken Sberbank und Alfa Bank sind nach eigenen Angaben in dieser Woche Ziele von Hackerangriffen geworden. Nach Erkenntnissen der Sicherheitsfirma Kaspersky Lab handelt es sich um die erste größere Angriffswelle auf russische Geldinstitute in diesem Jahr. Russland hatte sich auf solche Aktionen bereits vorbereitet. Hintergrund waren Äußerungen von US-Vizepräsident Joe Biden, der Vergeltung für mutmaßlich russische Hackerangriffe auf Computer der Demokratischen Partei angekündigt hatte.

Kommentar

Wenn solche Meldungen und Schlüsse auf orf.at gezogen werden, wo es Tage dauert, bis die Vorgänge in Indien rund um die Abschaffung von Bargeld aufscheinen, dann möchte ich nicht wissen, was in Russland dazu kommuniziert wurde. Und es ist aus meiner Sicht nur eine Frage der Zeit, bis es Gegenschläge geben wird – wer auch immer dann wirklich hinter der jeweiligen Aktion steckt. Das Ding hat das Potenzial ziemlich rasch exponentiell zu eskalieren. Was da losgetreten wurde, ist nicht mehr steuerbar, da jetzt jeder „mitspielen“ kann. Und dann bleibt möglicherweise Europa als Kollateralschaden übrig.

16.12.16 – „Glaube, dass wir handeln müssen“

Quelle: orf.at

US-Präsident Barack Obama hat Vergeltung für russische Hackerangriffe während des US-Wahlkampfs angekündigt. „Ich glaube, es gibt keinen Zweifel daran, dass wir handeln müssen, wenn eine ausländische Regierung versucht, die Integrität unserer Wahlen anzugreifen“, sagte Obama dem Rundfunksender NPR. „Und das werden wir – zu einem Zeitpunkt und an einem Ort, den wir bestimmen. Manches davon könnte offen geschehen und publik gemacht werden, manches nicht.“

Trump warf die Frage auf: „Wenn Russland oder irgendjemand sonst als Hacker unterwegs war, warum hat das Weiße Haus dann so lange gewartet, bis es etwas getan hat? Warum haben sie sich erst beklagt, als Hillary (Clinton) verloren hat?“ Die US-Wahl fand am 8. November statt.

Putin soll Vorwürfe wegen Hackangriffen auf die US-Präsidentschaftswahl nach Angaben Moskaus schon vor Monaten bei einem Treffen mit Obama zurückgewiesen haben.

Kommentar

Leider bewahrheiten sich die im November ausgesprochenen Befürchtungen und die Eskalationsspirale dreht sich weiter. Siehe dazu auch den Beitrag: Wer im Glashaus sitzt, sollte nicht mit Steinen werfen, der nicht nur für Österreich Gültigkeit besitzt.

31.12.16 – Russen hacken offenbar US-Stromversorger

Quelle: www.handelsblatt.com

Russische Hacker sind einem Bericht zufolge in das Netzwerk eines US-Stromversorgers eingedrungen. Bereits vor mehreren Tagen wurde das Unternehmen vor einem Angriff gewarnt und überprüft seitdem sein System.

Im Computer eines Stromversorgers im US-Bundesstaat Vermont ist ein Schadprogramm entdeckt worden, das die USA der mutmaßlichen russischen Hackeroperation zuordnen. Der Code sei jedoch nicht benutzt worden, um den Betrieb des Stromnetzes zu stören, berichtete die „Washington Post“ unter Berufung auf Regierungsbeamte.

Der Stromversorger Burlington Electric teilte auf seiner Webseite mit, dass man die Schadsoftware auf einem einzelnen Laptop gefunden habe.

Kommentar

Das Geplänkel geht weiter, die verbale Eskalation nimmt damit weiter zu. Wenn ein einziger Rechner mit Schadsoftware bereits solche Meldungen hervorruft, die noch dazu auf vielen Gerüchten und wenigen Fakten beruhen, dann macht sich bei dieser Eskalation wohl auch die Medienlandschaft mitschuldig. Ähnliche Meldungen haben sich heute in allen Medien weit verbreitet. Nur wenige scheinen die Dinge zu hinterfragen, wie etwa  im The Intercept: Russia Hysteria Infects WashPost Again: False Story About Hacking U.S. Electric Grid

Few things are more dangerous to the journalistic function than group-think, and few instruments have been invented that foster and reinforce group-think like social media, particularly Twitter, the platform most used by journalists. That’s a phenomenon that merits far more study, but examples like this one highlight the dynamic.

In this case, the effect is a constant ratcheting up of tensions between two nuclear-armed powers whose nuclear systems are still on hair-trigger alert and capable of catastrophic responses based on misunderstanding and misperception. Democrats and their media allies are rightly alarmed about the potential dangers of Trump’s bellicose posture toward China, but remarkably and recklessly indifferent to the dangers of what they themselves are doing here.

Es geht hier längst nicht mehr um die reale Bedrohung, sondern um eine gefährliche Aufschaukelung/Aufrüstung der Worte, die in einer Katastrophe münden könnten!