Die „Washington Post“ („WP“) berichtete unter Berufung auf informierte Kreise, Hacker mit Verbindungen zum russischen Auslandsgeheimdienst SWR seien für die Angriffe auf das Finanz- und Handelsministerium und weitere US-Behörden verantwortlich. Es sei derzeit noch unklar, welche Informationen genau erbeutet worden seien. Die Attacken sollen seit Frühling andauern. Laut „New York Times“ („NYT“) handelt es sich um den möglicherweise größten Angriff der letzten Jahre.
Der „NYT“ zufolge bestätigte die US-Regierung den Angriff im Auftrag einer ausländischen Regierung. Der Sprecher des Nationalen Sicherheitsrates, John Ullyot, gab sich in seinem offiziellen Statment zurückhaltend: „Die US-Regierung ist sich dieser Berichte bewusst, und wir unternehmen alle notwendigen Schritte, um mögliche Probleme in Zusammenhang mit dieser Situation zu identifizieren und zu beheben.“
Kreml: „Wir haben nichts damit zu tun“
Hinter den aktuellen Angriffen soll laut „Washington Post“ die Hackergruppe APT29/Cozy Bear stehen, die Teil des SWR sei. Die gleiche Gruppe soll bereits die E-Mail-Systeme des US-Außenministeriums und des Weißen Hauses unter der Obama-Regierung 2014/2015 angegriffen haben. Laut der Zeitung untersucht die US-Bundespolizei FBI den Vorfall.
„Wir haben nichts damit zu tun“, sagte Kreml-Sprecher Dmitri Peskow der Agentur Interfax zufolge in Moskau. „Wenn auch die Amerikaner viele Monate lang nichts dagegen tun konnten, sollte man nicht gleich den Russen alles so grundlos vorwerfen.“ Peskow erinnerte an den Vorschlag des russischen Präsidenten Wladimir Putin, bei der Cybersicherheit mit den USA enger zusammenzuarbeiten. „Russland führt keine offensiven Operationen im Internet durch“, hieß es in einer Erklärung der russischen Botschaft in den USA auf Facebook.
US-Handelsministerium bestätigt Angriff
Das US-Handelsministerium bestätigte dem Sender CNN, dass Hacker in einem seiner Büros Schutzmaßnahmen überwunden hätten. Es handle sich um dieselben Hacker, die die IT-Sicherheitsfirma FireEye angegriffen hatten, die US-Behörden ihrerseits oft bei Cyberattacken einschalten. FireEye hatte am Dienstag mitgeteilt, bei dem Angriff sei Software gestohlen worden, mit der das Unternehmen üblicherweise die Abwehrsysteme seiner Kunden teste.
FireEye ging davon aus, dass im staatlichen Auftrag agierende Hacker hinter der Attacke steckten. Darauf würden unter anderem die technischen Fähigkeiten und die Disziplin der Angreifer hinweisen, hieß es. Laut jüngsten Angaben von FireEye zählen neben Regierungen Firmen aus den Bereichen Telekom, Energie (Öl und Gas), Consulting und Technologie aus den USA sowie Europa, Asien und dem Nahen Osten zu den Zielen der Angreifer.
Grundlegende Softwaresysteme gehackt
In einem Blogpost schrieb FireEye am Sonntag, dass auch das Netzwerkmanagementsystem der Firma SolarWinds gehackt wurde. SolarWinds selbst gab am Sonntag an, dass seine Software mit einem „sehr ausgefeilten“ Angriff von einer „Regierung“ gehackt worden sei. Das SolarWinds-System ermöglicht laut „Washington Post“ Zugriff auf grundlegende Funktionen eines Netzwerks.
Während Angriffe üblicherweise vor allem darauf abzielen, Usernamen und Passwörter abzugreifen, sollen beim Angriff auf die SolarWinds-Systeme laut „NYT“ gefälschte „Token“ eingespielt worden seien, die der Gegenseite (etwa Systeme von Microsoft und Google) die Authentizität des eigenen Systems garantieren sollen.
Die US-Behörde für Cyber- und Infrastruktursicherheit, CISA, rief alle zivilen US-Behörden auf, ihre Netzwerke auf verdächtige Vorgänge zu überprüfen und alle Produkte von SolarWinds vom Netz zu nehmen. Wer genau wie sehr von dem Angriff betroffen ist, wollte CISA-Chef Brandon Wales nicht sagen, auch nichts bezüglich des Angreifers.
Hochrangige Kunden: NASA, NSA und US-Behörden
Die SolarWinds-Plattform wird laut Angaben des Anbieters von über 300.000 Organisationen weltweit eingesetzt, dazu zählten etwa das US-Militär, das US-Verteidigungsministerium, das US-Außenministerium, das US-Justizministerin, die NASA, die NSA sowie das Büro des US-Präsidenten. Wer aller die Plattform Orion des Anbieters tatsächlich einsetzt, ist laut „NYT“ aber unklar. „Das schaut sehr, sehr schlecht aus“, zitierte die „Washington Post“ eine damit vertraute Person. Auch die zehn größten US-Telekoms gehörten zu den Kunden.
Die Nachrichtenagentur Reuters berichtete am Sonntag, dass im US-Handelsministerium die US-Telekombehörde Ziel des Angriffs war. Sie ist unter anderem für den Ex- und Import von Technologie, die für die nationale Sicherheit wichtig ist, zuständig. Es soll auch eine Verbindung mit dem Versuch geben, Informationen über ein Coronavirus-Vakzin zu stehlen. Microsoft warnte unterdessen seine Nutzer vor einer ausgeklügelten Kampagne, die auf „hochrangige Ziele“ in den Bereichen Regierung und Cybersicherheit abzielt. Die Kampagne werde als „staatliche Aktivitäten in erheblichem Umfang“ eingeschätzt.
Verbindungen zu Angriff auf US-Demokraten?
Dieselbe Gruppe soll laut „Washington Post“ auch für einen breiten Spionageangriff 2014 und 2015 verantwortlich sein. Dabei wurden Tausende Organisationen, darunter Regierungsbehörden und ebenfalls Energiefirmen und Telekoms, angegriffen – im Zuge dessen soll auch ein Teil des E-Mail-Systems des Weißen Hauses und auch der Demokratischen Partei gehackt worden sein. Die Demokraten wurden laut „NYT“ auch vom russischen Militärgeheimdienst GRU gehackt – der SWR soll im Gegensatz zum GRU nichts von den entwendeten Dokumenten veröffentlicht haben.
Es sei das erste Mal gewesen, dass Russland aggressiver vorgegangen sei, so der damalige Chef für Cybersicherheit im Weißen Haus, Michael Daniel, zur „Washington Post“. Die Angreifer hätten sich damals, als sie entdeckt wurden, nicht still zurückgezogen, sondern hätten Zugriff auf die angegriffenen Netzwerke gesucht. Der SWR nutze gestohlene Informationen üblicherweise für Spionagezwecke im Auftrag des Kreml, so die Zeitung weiter. Die Obama-Regierung habe aufgrund dessen auch keine öffentlichen Strafen bzw. Maßnahmen ergriffen, so Daniel weiter, vielmehr habe man sich auf die Erhöhung der Schutzmaßnahmen konzentriert.
Bei der aktuellen Attacke sollen die Angreifer laut FireEye darauf abgezielt haben, möglichst nicht entdeckt zu werden und so möglichst lange Zugriff auf die Netzwerke zu haben. Man sei noch bei der genauen Anlyse und informiere die vom Angriff betroffenen Organisationen, heißt es in dem Blogpost weiter. Die Analyse zeige zudem, dass hinter den Angriffen gezielte Aktionen stecken würden, die sich zudem nicht selbstständig verbreiten.