Der Cybersicherheitsexperte Brian Krebs analysierte am Freitag auf seiner Website das Vorgehen der Hacker: Die Angreifer hätten eine Sicherheitslücke im E-Mail-Dienst Exchange des Softwarekonzerns Microsoft ausgenutzt, E-Mails gestohlen und Computer mit Programmen infiziert, die eine Fernsteuerung erlauben würden.
Der Angriff war diese Woche bekanntgeworden. Nachdem Microsoft am Dienstag das Sicherheitsupdate für Exchange veröffentlicht hatte, sei die Zahl der Angriffe aber „dramatisch angestiegen“, schrieb Krebs unter Berufung auf anonyme Quellen. „Mindestens 30.000 Organisationen in den Vereinigten Staaten, darunter eine erhebliche Zahl an kleinen Unternehmen, Stadtverwaltungen und Regionalregierungen, sind in den vergangenen Tagen von einer ungewöhnlich aggressiven chinesischen Cyberspionageeinheit angegriffen worden, die sich auf den Diebstahl von E-Mails konzentriert.“
Infrastruktur in USA genutzt
Die von Microsoft „Hafnium“ genannte Hackergruppe ist nach Angaben des Unternehmens ein „sehr versierter und hochentwickelter Akteur“. „Hafnium“ hatte in der Vergangenheit laut Microsoft vor allem auf Organisationen und Einrichtungen in den USA abgezielt.
Betroffen seien „Forschungseinrichtungen für Infektionskrankheiten, Anwaltskanzleien, Hochschulen, Verteidigungsunternehmen, politische Denkfabriken und Nichtregierungsorganisationen“ gewesen. Die Gruppe habe ihren Sitz in China, agiere aber hauptsächlich über gemietete virtuelle private Server in den USA. Microsoft hatte allerdings keine Hinweise darauf, dass auch Privatkunden angegriffen worden seien.
Trittbrettfahrer befürchtet
Betroffen seien die Exchange-Server-Versionen 2013, 2016 und 2019. Exchange wird von vielen Unternehmen, Behörden und Bildungseinrichtungen als E-Mail-Plattform genutzt. Bei einer erfolgreichen Attacke über die Schwachstellen ist es möglich, Daten aus dem E-Mail-System abzugreifen.
Ein Insider aus den Kreise der US-Regierung sprach gegenüber Reuters von mehr als 20.000 betroffenen Organisationen in den USA. Und das Weiße Haus mache sich auf eine weitere große Welle von Angriffen gefasst. Denn nun würden auch Trittbrettfahrer aktiv. Die Sprecherin des Weißen Hauses, Jennifer Psaki, sprach von einer „aktuellen Bedrohung“. „Jeder, der diese Server nutzt, muss jetzt handeln“, sagte Psaki und riet dazu, möglichst schnell ein verfügbares Sicherheitsupdate zu installieren. „Wir befürchten, dass es eine große Zahl an Opfern gibt.“
Deutsche Behörde warnt
Die US-Behörden haben der chinesischen Regierung in der Vergangenheit wiederholt vorgeworfen, hinter Hackerangriffen in den USA zu stehen. Peking weist das regelmäßig zurück. Auch andere Länder sind betroffen. In Deutschland forderte das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Freitag rund 9.000 Unternehmen auf, die Sicherheitslücken zu stopfen und die von Microsoft bereitgestellten Updates auch zu installieren. „Die tatsächliche Anzahl verwundbarer Systeme in Deutschland dürfte noch deutlich höher liegen“, warnte die Behörde, die auch für die IT-Sicherheit der deutschen Regierung zuständig ist.