Lesezeit ca. 8 Min.

Geheimdienste und Hackerbanden machen Jagd auf Daten und legen Firmen lahm


Computerwoche - epaper ⋅ Ausgabe 30/2021 vom 19.07.2021

Artikelbild für den Artikel "Geheimdienste und Hackerbanden machen Jagd auf Daten und legen Firmen lahm" aus der Ausgabe 30/2021 von Computerwoche. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Erst Anfang 2021 war einer der größten Angriffe russischer Hacker auf US-amerikanische Behörden und Unternehmen bekannt geworden: Den Cybergangstern war es gelungen, eine Hintertür in die weit verbreitete Netzwerksoftware „Orion“ von Solarwinds einzubauen. Über den automatischen Update- Prozess erhielten die Hacker Zugriff auf rund 18.000 Netzwerke von Unternehmen und öffentlichen Einrichtungen – auch der US-Regierung. Nachdem der Angriff bereits im Frühjahr 2020 erfolgt war, hatten die Angreifer etwa neun Monate Zeit, sich ungestört in den Netzen umzusehen und Daten abzuschöpfen.

Offensichtlich war das nur der Anfang. Am 1. Juli 2021 veröffentlichten die NSA, das FBI, die DHS Cybersecurity und Infrastructure Security Agency sowie das britische National Cybersecurity Centre eine gemeinsame Warnung: Hunderte von versuchten Brute-Force- Hackerangriffen auf der ganzen Welt seien registriert worden, ...

Weiterlesen
epaper-Einzelheft 10,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Computerwoche. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 30/2021 von Es geht voran in Digital Germany. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Es geht voran in Digital Germany
Titelbild der Ausgabe 30/2021 von Landwirtschaft 4.0 – mit Digitalisierung zu mehr Umweltschutz und Effizienz. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Landwirtschaft 4.0 – mit Digitalisierung zu mehr Umweltschutz und Effizienz
Titelbild der Ausgabe 30/2021 von Übernahme von RiskIQ – Microsoft baut sein Security-Portfolio aus. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Übernahme von RiskIQ – Microsoft baut sein Security-Portfolio aus
Titelbild der Ausgabe 30/2021 von Gefragtes Data-Know-how – Accenture schluckt Trivadis. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Gefragtes Data-Know-how – Accenture schluckt Trivadis
Titelbild der Ausgabe 30/2021 von Landkreis Anhalt-Bitterfeld ruft Cyber-Notstand aus. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Landkreis Anhalt-Bitterfeld ruft Cyber-Notstand aus
Titelbild der Ausgabe 30/2021 von Startup-Szene Deutschland – die Stimmung war schon mal besser. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Startup-Szene Deutschland – die Stimmung war schon mal besser
Vorheriger Artikel
Startup-Szene Deutschland – die Stimmung war schon mal bess…
aus dieser Ausgabe
Nächster Artikel Multi-Faktor-Authentifizierung: Sorgfältig implementieren, s…
aus dieser Ausgabe

... die alle von der Einheit 26165 des russischen Militärgeheimdienstes GRU ausgegangen seien – besser bekannt als Fancy Bear oder APT28. Die Attacken richteten sich unter anderem gegen Regierungs- und Militärbehörden, Verteidigungsunternehmen, politische Parteien und Beratungsfirmen, Logistikkonzerne, Energieversorger, Universitäten, Anwaltskanzleien und Medienunternehmen.

Nahezu jeder Sektor, der im Internet von Interesse ist, war betroffen.

Die Angriffsmethode war nicht besonders ausgefeilt, dafür folgte sie einem bewährten Muster: Es handelte sich um eine Brute-Force- Attacke, in deren Rahmen automatisiert die nachweislich meistgenutzten Zugangsdaten durchprobiert wurden, um Lücken in Netzwerken zu finden und sich Zugang zu verschaffen. Cybersecurity-Spezialisten haben denn auch mittlerweile festgestellt, dass die Angreifer erfolgreich in mehrere Einrichtungen eingedrungen sind. „Diese langwierige Brute-Force- Kampagne zum Sammeln und Exfiltrieren von Daten, Zugangsdaten und mehr ist wahrscheinlich noch im Gange, und zwar auf globaler Ebene“, schreibt der Direktor für Cybersicherheit der NSA, Rob Joyce, in einer Erklärung.

„Es gibt nichts, was wir tun könnten, um Moskau dazu zu bringen, mit dem Spionieren aufzuhören.“

Keiner soll sich sicher fühlen

Wie „Wired.com“ berichtet, blickt die GRU-Unit 26165 auf eine lange Geschichte teils heftiger Hackerattacken zurück – mehr noch als die für die Solarwinds-Kampagne verantwortlichen Mitarbeiter des russischen Auslandsnachrichtendienstes SWR. Fancy Bear soll hinter zahlreichen Operationen stecken, etwa dem Angriff auf das Demokratische Nationalkomitee, der Clinton-Kampagne 2016 sowie den Attacken auf das Internationale Olympische Komitee und die weltweite Anti-Doping-Agentur.

Sicherheitsexperten sehen den Vorgang als eine Art Erinnerung der russischen Geheimdienste daran, dass es für sie keine Hindernisse gibt und dass sich weder Politiker noch Diplomaten oder Unternehmen der Rüstungsindustrie sicher fühlen sollten. Besonders bedrohlich aus US-Sicht ist die Tatsache, dass auch Ziele aus dem Energiesektor in die Kampagne einbezogen waren. Schon einmal hatte ein anderes GRU-Hacking-Team namens Sandworm Stromausfälle ausgelöst, betroffen waren ukrainische Stromversorger in den Jahren 2015 und 2016.

Hacker öffnen die Türen für weitere Angriffe

Joe Slowik von der Sicherheitsfirma Gigamon vermutet im Gespräch mit Wired.com, dass sich die Angreifer mit dem Brute-Force-Angriff einfach nur Zugänge zu möglichst allen wichtigen Netzwerken verschaffen wollen, um diese dann an andere Kreml-Hacker mit spezifischeren Aufgaben wie Spionage oder Zerstörung weiterzugeben. „Sie haben den Auftrag, den Zugang zu interessanten Organisationen herzustellen“, sagt der Experte. „Oft machen sie gar nichts damit, doch manchmal geben sie den Zugang eben auch an andere Instanzen weiter, die sich dann um komplexere Einbrüche bemühen, je nachdem, wie weit sie damit kommen.“

Allerdings zeigt die Brute-Force-Attacke auch, wie der GRU seine Hackerangriffe ausweitet und professionalisiert. So stellte die NSA fest, dass die Angreifer die Container-Orchestrierungssoftware Kubernetes verwendeten, um virtuelle Maschinen effizienter für ihre Einbruchsversuche einsetzen zu können. Es würden zunehmend eher einfache Techniken genutzt, die bei vielen Cyberkriminellen zum Einsatz kämen. Das verwische die Spuren und mache die Verfolgung hin zur GRU nicht so eindeutig, der russische Geheimdienst könne jederzeit leugnen. Hätten die US-Regierungsbehörden keine konkreten Hinweise auf den GRU, gäbe es für die Netzwerkverantwortlichen kaum Anhaltspunkte, um diese von anderen Hacking-Versuchen zu unterscheiden.

Säbelrasseln zwischen Putin und Biden

US-Präsident Joe Biden hat bei einem Gipfel mit seinem russischen Amtskollegen Wladimir Putin das Thema Cyberspionage angesprochen. In abschließenden Pressekonferenzen nach dem Treffen in Genf behauptete Putin, seine Regierung unterhalte keine Ransomware-Angriffstruppen. Zu anderen Cyberangriffen wollte er keine Fragen beantworten.

„Keiner wollte, dass dies passiert. Wir lieben unsere Kunden, und es kotzt mich an, wenn wir Dinge tun, die sie verletzen.“

Kaseya-CEO Fred Voccola in einer Videobotschaft an seine Kunden

Biden sagte, er habe den Russen eine Liste mit 16 Institutionen der „kritischen Infrastruktur“ übergeben, deren Angriffe die USA keinesfalls dulden würden. Dazu gehörten der Chemieund der Energiesektor, Staudämme, Finanzdienstleistungen, Regierungseinrichtungen, Kernreaktoren, Transportsysteme, Wasserversorgung und vieles mehr. Mit anderen Worten: Würden die Russen diese Liste wirklich ernst nehmen, müssten sie auf Angriffe auf US-Institutionen gänzlich verzichten – was wohl eher illusorisch anmutet.

Andererseits hatte Bidens Vorstoß einen ernsten Hintergrund: Ein Ransomware-Angriff auf die Colonial-Pipeline hatte Teile des amerikanischen Südostens tagelang von der Gasversorgung abgeschnitten. Hinter dem Angriff steckte vermutlich die russische Hackerbande Darkside, die bereits Millionenbeträge an Lösegeldern von anderen Opfern erpresst hatte. Beobachter glauben zwar nicht, dass Darkside zu den von russischen Geheimdiensten unterstützten Hackergruppen gehört, doch es scheint, als würde Darkside von der Regierung geduldet – zumindest, solange keine russischen Ziele angegriffen werden.

Insbesondere Ransomware-Attacken erreichen derzeit eine neue Qualität, wie der Angriff auf den IT-Dienstleister Kaseya gerade erst gezeigt hat. In den ersten Julitagen war es der vermutlich von Russland aus operierenden Hackerbande REvil gelungen, eine Schwachstelle in Kaseyas VSA-Software auszunutzen. Dabei handelt es sich um eine Lösung für das Remote Monitoring and Management (RMM), die auf den PCs und Servern der Kunden installiert und genutzt wird, um diese aus der Ferne über ein zentrales Dashboard zu überwachen und zu warten. Dazu gehören beispielsweise das Patchen der Systeme und das Aufspielen von Software-Updates. Neben vielen Anwenderunternehmen nutzen auch zahlreiche Managed Service Provider (MSPs) die Lösung.

Das Fatale an dieser Konstellation: Um ihre Aufgaben bewältigen zu können, besitzt Kaseyas VSA-Software in aller Regel Administratorenrechte. Das sorgte für einen regelrechten Domino-Effekt. Experten sprechen von einer sogenannten „Supply Chain Attack“. Die Cybergangster müssen, wie in diesem Fall, nur ein zentrales Softwaresystem knacken, um von dort aus ihre Ransomware auf viele weitere IT-Infrastrukturen verschiedener Anwenderunternehmen verteilen zu können.

„Unternehmen fallen reihenweise um“

Der ITK-Verband Bitkom warnt angesichts der aktuellen Security-Vorfälle vor großen Schäden. „Mit der jüngsten Attacke auf das IT-Unternehmen Kaseya wird eine besonders perfide Masche genutzt, um Unternehmen in aller Breite zu attackieren“, konstatiert Bitkom-Hauptgeschäftsführer Bernhard Rohleder. Viele Unternehmen ließen sich von externen IT-Dienstleistern unterstützen. Werde die beim Dienstleister eingesetzte Software infiltriert, könne der Angriff quasi beliebig skaliert werden.

„Die Cyberkriminellen machen sich die Hebelwirkung über den IT-Dienstleister zunutze, indem sie die Zielsysteme der Endkundinnen und -kunden verschlüsseln und horrende Lösegelder erpressen“, so Rohleder. „Wird ein solcher Angriff erfolgreich geführt, fallen die Kundinnen und Kunden reihenweise um.“

Nach Darstellung des Bitkom stellt der jüngste Angriff auf die Software-Lieferkette nur die Spitze eines Eisbergs in einer Reihe von Attacken dar. „Nach einem ähnlichen Muster erfolgte bereits der Solarwinds-Angriff, der Ende vergangenen Jahres bekannt wurde und bei dem ebenfalls die Software-Lieferkette als Einfallstor diente“, sagte Geschäftsführer Rohleder. „Ziel waren dabei vor allem staatliche Institutionen und Großunternehmen.“ Mit der Kaseya-Attacke treffe es nun eine andere Zielgruppe – mit nicht weniger schwerwiegenden Konsequenzen für die Gesellschaft. „Hacking hat sich zu einer maßgeblichen Bedrohung für den Schutz der Bevölkerung und deren Versorgungssicherheit entwickelt. Das haben auch die Angriffe auf eine zentrale US-Ölpipeline, das irische Gesundheitssystem sowie den weltgrößten Fleischproduzenten eindrücklich unter Beweis gestellt.“

REvil-Hacker mit Gespür fürs Timing

Die Hacker haben ihren Angriff gut geplant. Kurz vor dem Wochenende zum US-amerikanischen Unabhängigkeitstag am 4. Juli rechneten sie mit einer geringeren Aufmerksamkeit der Security-Teams und mit langsameren Reaktionszeiten. Das hat offenbar funktioniert.

Während die Kaseya-Verantwortlichen kurz nach Bekanntwerden der Attacke noch zu beschwichtigen versuchten und die Zahl der Opfer auf etwa 40 taxierten, sprachen Security- Experten nach dem Wochenende von über 1.000 Unternehmen, deren Systeme von der REvil-Ransomware verschlüsselt worden sein könnten. Kaseya-CEO Fred Voccola musste einige Tage nach dem Vorfall kleinlaut einräumen, dass bis zu 1.500 Kunden aus 17 Ländern von der Attacke betroffen sein könnten.

Zu den betroffenen Betrieben, die ihre Systeme herunterfahren mussten, gehörte die Supermarktkette Coop in Schweden. Den Filialleitern wurde empfohlen, ihre Geschäfte am Samstag, den 3. Juli, gar nicht erst zu öffnen, weil offenbar die Kassensysteme komplett auszufallen drohten. „Wir glauben, dass wir die Schwachstelle entdeckt haben und werden sie so schnell wie möglich schließen“, teilte Kaseya-Chef Voccola seinen Kunden kurz nach dem Angriff mit. Man habe, um sicherzugehen, auch seine eigenen SaaS-Dienste heruntergefahren, um die mehr als 36.000 Kunden zu schützen. Außerdem seien die Behörden eingeschaltet und das FBI informiert worden, so Voccola weiter.

Doch das Krisenmanagement schien sich schwierig zu gestalten. Auch zwei Tage nach dem Angriff riet Kaseya seinen On-Premises- Kunden, ihre VSA-Systeme nicht wieder einzuschalten und offline zu bleiben. Unternehmen, die Opfer eines Ransomware-Angriffs geworden seien und von den Hackern kontaktiert wurden, sollten auf keinen Fall auf irgendwelche Links klicken – damit könnten sie weiteren Schadcode nachladen, so die Warnung. Mittlerweile bietet der IT-Dienstleister seinen Kunden ein Detection-Tool an, mit dessen Hilfe sich feststellen lassen soll, ob die eigenen Systeme kompromittiert worden sind.

Die Hacker haben offenbar eine SQLi-Schwachstelle in Kaseya VSA ausgenutzt, um die Authentifizierung auszuhebeln, schrieb John Hammond, ein leitender Sicherheitsforscher beim Managed Threat Detection and Response- Anbieter Huntress, in einem Blogbeitrag. Seien die Systeme einmal gekapert, würden sich die Hacker entsprechende Administratorenrechte sichern. In der Folge lüden die Angreifer einen manipulierten VSA-Agent nach, den die REvil- Ransomware auf die betroffenen Systemen aufgespielt habe. Sämtliche Daten seien in der Folge verschlüsselt worden. Über ein Power-Shell-Kommando wurden gängige Sicherheits- Features lahmgelegt. Den Betreibern blieb als einziger Ausweg, um die weitere Verbreitung der Ransomware einzudämmen, die Systeme komplett auszuschalten.

Ransomware as a Service boomt

REvil, auch bekannt als „Sodinokibi“ oder „Pinchy Spider“, ist eine Ransomware, die erstmals im April 2019 auftauchte. Die Malware wird als Ransomware-as-a-Service-Plattform betrieben. Das heißt, die Urheber bieten ihren Schadcode Partnern, sogenannte Affiliates, an, und kassieren einen Teil der Lösegeldzahlungen. Im vergangenen Jahr war REvil eine der am häufigsten eingesetzten Ransomware-Lösungen. Da die Malware von verschiedenen Hackergruppen einsetzt wird, variiert der anfängliche Zugriffsvektor.

Die Forderungen der REvil-Erpresser beliefen sich im Fall des Kaseya-Angriffs zunächst auf etwa 70 Millionen Dollar, der Betrag wurde dann auf 50 Millionen Dollar gesenkt. Ein Bekennerschreiben im Darknet ist nach Einschätzung von Security-Experten glaubwürdig. Die Angreifer teilen mit, sie würden eine Art Generalschlüssel herausrücken, mit dessen Hilfe sich die Systeme wiederherstellen ließen.

Mittlerweile beschäftigt die REvil-Attacke auch die große Politik. US-Präsident Joe Biden wies die US-amerikanischen Geheimdienste an, den Angriff genauestens zu untersuchen.

Eine Schuldzuweisung, die russische Regierung könnte dahinterstecken, vermied der US-Präsident, schloss diese Möglichkeit aber auch nicht aus.

BSI spricht von „dynamischem Lagebild“

Wie stark deutsche Unternehmen von der jüngsten REvil-Attacke betroffen sind, ist noch nicht abzusehen. Nach derzeitigem Stand seien hierzulande mehrere IT-Dienstleister und Unternehmen betroffen, gab das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem kurzen Statement bekannt.

Mehrere Tausend IT-Geräte seien verschlüsselt worden. Kritische Infrastrukturen oder die Bundesverwaltung sind laut BSI aber wohl nicht betroffen.

„Der Vorfall zeigt, wie intensiv die globale Vernetzung in der Digitalisierung voranschreitet und welche Abhängigkeiten dabei entstehen“, sagte BSI-Präsident Arne Schönbohm. Bei dem aktuellen Angriff sei Ransomware über jedes Glied einer Software-Lieferkette ausgerollt worden. Das zeige, dass auch Lieferketten unter dem Aspekt der IT-Sicherheit in den Fokus rücken müssten. „Ransomware ist derzeit als eine der größten Bedrohungen für die IT von Unternehmen und Organisationen einzuschätzen“, so Schönbohm weiter. Erst vor wenigen Tagen berichteten Zeit Online und der Bayerische Rundfunk mit Bezug auf Informationen aus deutschen Innenministerien, dass es in den vergangenen sechs Jahren zu mehr als 100 erfolgreichen Ransomware-Angriffen auf Behörden, Kommunalverwaltungen und andere öffentliche Stellen gekommen sei.

Sie suchen weitere Hintergrundinformationen zum Thema Ransomware?

Auf der Website der COMPUTERWOCHE werden Sie fündig:

Ransomware – Lösegeld ist keine Lösung www.cowo.de/3549039

Backup und Recovery – Pflichtübung in Zeiten von Ransomware www.cowo.de/3549951

Wie Sie mit Cybererpressern verhandeln www.cowo.de/3550637

Ransomware-Kosten – So teuer wird Cybererpressung www.cowo.de/3550868