Glasfaserkabel einer Datenleitung
Reuters/Alessandro Bianchi
US-Behörden

Spionageangriff in USA weitet sich aus

Der jüngst bekanntgewordene Spionageangriff auf US-Regierungsstellen weitet sich stetig aus. Nicht nur werden immer mehr Betroffene bekannt, darunter die US-Atombehörde und der Softwarehersteller Microsoft, es wurde zudem offenbar weitere Software für die laut US-Behörden sehr ausgefeilten Angriffe manipuliert.

Seit der offiziellen Bekanntgabe der Angriffe Anfang dieser Woche wird die Liste der Ziele und Opfer mit jedem Tag länger und beunruhigender. Laut einem „Politico“-Bericht wurde etwa auch die US-Energiebehörde und die US-Atombehörde NNSA, unter anderem verantwortlich für die Atomwaffen der USA, gehackt, sowie Forschungslabors im Bereich Atomenergie und Atomwaffen. „Politico“ zufolge wurden die jeweiligen Aufsichtsbehörden im US-Kongress bereits offiziell informiert.

Besonders viel Schaden soll es bei der Energieregulierungsbehörde (Federal Energy Regulatory Commission, FERC) geben. Laut von „Politico“ zitierten, aber nicht näher genannten Quellen soll die US-Behörde für Cyber- und Infrastruktursicherheit, CISA, vom Ausmaß der Angriffe bei FERC überfordert sein und erklärt haben, womöglich nicht genügend Ressourcen für Hilfe bereitstellen zu können. In den vergangenen Wochen haben einige hochrangige Mitarbeiter, darunter der ehemalige Direktor Christopher Krebs, FERC nicht immer ganz freiwillig verlassen, so „Politico“.

Das US-Finanzminsterium in Washington, DC
APA/AFP/Eric Baradat
Auch das US-Finanzministerium wurde Ziel der Angriffe

Unklar ist weiterhin, wie viel Zugang die Angreifer bei den kompromittierten Systemen tatsächlich hatten bzw. welche Informationen sie seit dem zumindest seit Frühling andauernden Zugriff tatsächlich abgreifen konnten. Das Energieministerium gab laut Reuters an, dass die Angreifer keinen Zugriff auf kritische Systeme, darunter die der NNSA hatten, zudem seien sofort Sicherheitsmaßnahmen ergriffen worden. Die Untersuchungen dauern aber noch an.

Auch Microsoft betroffen

Auch der Softwarehersteller Microsoft ist eigenen Angaben zufolge von dem Hack betroffen. Microsoft ist selbst Kunde und Nutzer von SolarWinds und dessen gehackter Netzwerkplattform Orion, und hat laut Sprecher den von den Angreifern eingespielten Code auch in seinen Systemen gefunden. Laut informierten Personen sollen auch Microsoft-Produkte selbst von den Angreifern manipuliert worden sein, berichtete Reuters, Microsoft bestreitet das.

Laut CISA könnten einige von Microsofts Cloud-Systemen Azure von dem Hack betroffen und für Angriffe genutzt worden sein, die Behörde riet, die Systeme runterzufahren. Microsoft selbst gab an, dass die eigenen Systeme nicht für Angriffe verwendet worden seien. Wie auch das US-Heimatschutzministerium (Department of Homeland Security, DHS) erklärte Microsoft am Donnerstag, dass die Angreifer verschiedene Methoden für ihre Attacken verwendeten.

Weitere Angriffswege genützt

Laut dem US-Heimatschutzministerium nutzten die Angreifer nicht nur die SolarWinds-Plattform für ihre Zwecke, sondern auch andere Systeme. Wie CISA in einer ungewöhnlichen Warnung mitteilte, werde das aber noch genauer untersucht. Der Hackerangriff sei auf alle Fälle ein schwerwiegendes Risiko für die US-Behörden auf Bundes- und Länderebene sowie für kritische Infrastrukturbetreiber und auch die Privatwirtschaft, heißt es weiter.

CISA schreibt zudem, dass die Angreifer mit viel Geduld und „komplexer Handwerkskunst“ sowie dem Fokus auf die eigene Sicherheit gearbeitet hätten. Sie hätten profundes Wissen über die Distribution von Software und Windows-Netzwerke. CISA geht davon aus, dass noch gar nicht alle Taktiken und Techniken entdeckt sind. Die Aufarbeitung und Beseitigung sei auf jeden Fall hochkomplex und eine Herausforderung für die betroffenen Unternehmen.

FireEye Mitarbeiter vor einer Landkarte zur Cybersicherheit 2014
Reuters/Beck Diefenbach
Die Sicherheitsfirma FireEye deckte den Angriff auf SolarWinds zuerst auf

Angreifer haben mittlerweile „offiziellen“ Zugang

Die „Washington Post“ berichtete auch von einem über einige Jahre gehenden Angriff auf einen nicht näher genannten Thinktank, bei dem die Angreifer über verschiedene Backdoors und Malware eine Sicherheitslücke in Microsofts Mailsystem Exchange ausnutzen konnten. Nur der letzte von zumindest drei verschiedenen Angriffen auf diesen Thinktank nutzte laut der Sicherheitsfirma Volexity die manipulierte SolarWinds-Plattform dafür.

Problematisch sei, dass die Angreifer mittlerweile auch eine zertifizierte und „offizielle“ Zugangsmöglichkeit und damit Bewegungsfreiheit innerhalb der Systeme hätten. Die Sicherheitslücken zu schließen reiche womöglich nicht aus, da die Angreifer mittlerweile Zugriff auf eine unbestimmte Zahl von legalen Schlüsseln hätten. Im Fall des Thinktanks konnten die Angreifer etwa wie Systemadministratoren agieren und hatten somit breiten Zugriff auf grundlegende Funktionen und auch Informationen.

FireEye-Präsentation auf einer Sicherheitskonferenz 2016
Reuters/David Becker
Der jüngste Angriff soll aus Russland erfolgt sein – Russland verneint das aber

Auch zahlreiche Firmen betroffen

Neben den staatlichen Stellen sollen auch Tausende Firmen weltweit von dem Angriff auf die Plattform potenziell betroffen sein. Microsoft etwa habe 40 Firmen, Regierungsbehörden und Thinktanks ausgemacht, die von dem SolarWinds-Angriff betroffen seien, schreibt die „New York Times“. Fast die Hälfte davon seien IT-Firmen, die meisten davon Sicherheitsfirmen. Fast 80 Prozent der entdeckten Infektionen seien in den USA entdeckt worden.

Bisher vermied die US-Regierung, die Angriffe einer bestimmten Quelle zuzuschreiben, Medienberichten zufolge gehen offizielle Stellen aber davon aus, dass zumindest hinter dem SolarWinds-Angriff die russische Regierung steht. Diese verneint das. Eine offizielle Stellungnahme der Regierung des amtierenden US-Präsidenten Donald Trump gibt es bisher nicht.

Der künftige US-Präsident Joe Biden kündigte unterdessen an, solche Angriffe würden unter seiner Regierung nicht unbeantwortet bleiben. Verantwortliche würden in Abstimmung mit Verbündeten zur Rechenschaft gezogen werden. „Unsere Gegner sollten wissen, dass ich als Präsident Cyberangriffen auf unsere Nation nicht tatenlos zusehen werde.“ Was über den jüngsten Angriff bekannt sei, sei sehr besorgniserregend. Biden betonte: „Meine Regierung wird Cybersicherheit auf allen Regierungsebenen höchste Priorität einräumen.“